BCB 538 · CMN 5.274 · PCI DSS v4.0.1

Conformidade

que começa no build

Conformidade que começa no build

Para instituições financeiras e de pagamento, adequação regulatória já não se resolve apenas com documentação. Ela exige hardening verificável, correção tempestiva e evidência técnica dos componentes de software, sem ampliar um backlog que já opera no limite. No Quor, essas exigências se traduzem em operação contínua e evidência por versão.

Como o Quor sustenta

essas exigências na prática

Como o Quor sustenta essas exigências na prática

97%

Redução de CVEs em POC

Redução de CVEs em POC

+2.739

Rebuilds automáticos no catálogo

Rebuilds automáticos no catálogo

+24.095

CVEs corrigidas

CVEs corrigidas

O que o regulador passou a exigir

Três pilares obrigatórios e auditáveis

Três pilares obrigatórios e auditáveis

Em dezembro de 2025, BCB 538 e CMN 5.274 elevaram controles de segurança a requisitos auditáveis para Instituições Financeiras e de Pagamento.

Em dezembro de 2025, BCB 538 e CMN 5.274 elevaram controles de segurança a requisitos auditáveis para Instituições Financeiras e de Pagamento.

Art. 3º, § 10

Hardening obrigatório

Hardening obrigatório

É necessário comprovar perfis de configuração segura em todos os recursos computacionais. Varredura isolada não substitui hardening verificável.

Art. 3º, § 8º

Correção tempestiva

Correção tempestiva

Vulnerabilidades exigem plano de ação documentado, correção em prazo verificável e registro objetivo da remediação realizada.

Art. 14

Integridade da supply chain

Integridade da supply chain

A IF responde por todo software em operação, incluindo componentes e dependências de terceiros. Rastreabilidade demonstrável de ponta a ponta.

PCI DSS v4.0.1

Para operações sob escopo do PCI DSS, esses três pilares se somam às exigências específicas do padrão, incluindo remediação de vulnerabilidades críticas em até 30 dias, classificação de risco, documentação e acompanhamento contínuo.

Para operações sob escopo do PCI DSS, esses três pilares se somam às exigências específicas do padrão, incluindo remediação de vulnerabilidades críticas em até 30 dias, classificação de risco, documentação e acompanhamento contínuo.

Por que a remediação manual de CVEs não

sustenta a exigência regulatória

Mais FTEs não resolvem

o estoque de CVEs

Mais FTEs não resolvem

o estoque de CVEs

A maior parte das operações ainda tenta sustentar essa exigência regulatória por meio de remediação manual de CVEs, com imagem pública, scanner, triagem manual, correção por sprint e evidência montada depois para auditoria.

O problema é que esse fluxo consome engenharia, não acompanha o volume de novas CVEs e mantém o estoque crescendo, mesmo com mais FTEs.

A maior parte das operações ainda tenta sustentar essa exigência regulatória por meio de remediação manual de CVEs, com imagem pública, scanner, triagem manual, correção por sprint e evidência montada depois para auditoria.

O problema é que esse fluxo consome engenharia, não acompanha o volume de novas CVEs e mantém o estoque crescendo, mesmo com mais FTEs.

1:63

A cada 1 CVE tratada, 63 novas surgem no mesmo período.

CVEs publicadas/mês (média)

CVEs publicadas/mês (média)

5.040

Horas por CVE (média)

Horas por CVE (média)

6h

Capacidade de 3 FTEs

Capacidade de 3 FTEs

80

5040

5040

80

80

Novas CVES

Corrigidas

Base do cálculo

-> 3 FTEs × 160h/mês = 480h disponíveis

-> 480h ÷ 6h por CVE = 80 CVEs tratadas/mês

Como o Quor muda essa equação

O Quor reduz o passivo na origem

Construído com a experiência da Getup em Kubernetes, o Quor entrega imagens de container compiladas do código-fonte, com superfície de ataque reduzida e build controlado desde a origem. Cada versão já é publicada com zero CVEs e com evidências técnicas como SBOM, proveniência verificável (SLSA), changelog e VEX. O resultado é menos esforço reativo, menor custo operacional e menos pressão sobre times já expostos ao acúmulo de CVEs.

Como o Quor entrega prazo, rastreabilidade e evidência por versão

Front Icon

Rebuild automático

Quando uma nova CVE afeta uma base do catálogo, o Quor dispara o rebuild e republica a imagem corrigida dentro do SLA, sem depender de triagem manual. Cada ciclo fica registrado no changelog.

SLA: 7 dias críticas · 14 dias altas
O QUE ISSO GARANTE

Prazo de correção contratual

Documentado e verificável, sem depender de sprint ou priorização interna.

Front Icon

SBOM em formato padrão

Inventário dos componentes e dependências da imagem, vinculado à versão publicada.

CycloneDX · SPDX
O QUE ISSO GARANTE

Composição da imagem em formato auditável

Compatível com ferramentas externas e disponível por versão.

Front Icon

Proveniência verificável

Atestado criptograficamente verificável da origem do artefato e do processo de build que o gerou.

Attestation SLSA
O QUE ISSO GARANTE

Rastreabilidade da origem e do build

Com verificação por assinatura e metadados associados.

Front Icon

Changelog por versão

Histórico objetivo por imagem e por versão: CVE, severidade, pacote afetado, versão corrigida, digest e data da publicação.

Por imagem · por versão
O QUE ISSO GARANTE

Trilha auditável de correções por versão

Sem reconciliação manual entre times, planilhas e sistemas.

Conformidade como consequência

Menos esforço manual para sustentar

evidência regulatória

Menos esforço manual para sustentar

evidência regulatória

Quando SBOM, proveniência, changelog e VEX nascem com a imagem base, responder ao regulador deixa de depender de reconciliação entre times, tickets e planilhas.

CRITÉRIO

CRITÉRIO

QUOR

QUOR

PROCESSO INTERNO REATIVO

PROCESSO INTERNO REATIVO

Hardening

Imagens compiladas do código-fonte, com superfície de ataque reduzida desde a base.

Imagens compiladas do código-fonte, com superfície de ataque reduzida desde a base.

Configuração manual, variável entre imagens e times.

Configuração manual, variável entre imagens e times.

SLA de correção

Rebuild automático e publicação da imagem corrigida dentro de SLA contratual para CVEs críticas e altas.

Rebuild automático e publicação da imagem corrigida dentro de SLA contratual para CVEs críticas e altas.

Correção condicionada a backlog, priorização e força-tarefa entre times com dedicação parcial. Estoque de CVEs.

Correção condicionada a backlog, priorização e força-tarefa entre times com dedicação parcial. Estoque de CVEs.

Trilha de auditoria

Changelog por versão com CVE, severidade, pacote afetado, digest e data de publicação.

Changelog por versão com CVE, severidade, pacote afetado, digest e data de publicação.

Evidência distribuída entre planilhas, tickets e sistemas distintos, exigindo consolidação manual.

Evidência distribuída entre planilhas, tickets e sistemas distintos, exigindo consolidação manual.

SBOM e proveniência

SBOM e atestado de proveniência gerados no build e associados à versão publicada.

Imagens oficiais ou já conhecidas no ambiente, geralmente sem SBOM e proveniência associados à versão publicada.

Imagens oficiais ou já conhecidas no ambiente, geralmente sem SBOM e proveniência associados à versão publicada.

Aplicabilidade de vulnerabilidades

Aplicabilidade de

vulnerabilidades

VEX por versão para indicar se uma CVE é aplicável à versão publicada ou se ainda está sob investigação.

VEX por versão para indicar se uma CVE é aplicável à versão publicada ou se ainda está sob investigação.

Sem VEX, findings entram em triagem sem contexto suficiente de aplicabilidade.

Preparação para auditoria

Evidência técnica disponível na interface do Quor, por versão, sem reconciliação manual entre sistemas.

Evidência técnica disponível na interface do Quor, por versão, sem reconciliação manual entre sistemas.

Preparação manual, fragmentada e dependente de reconciliar dados entre times e sistemas.

Preparação manual, fragmentada e dependente de reconciliar dados entre times e sistemas.

Comece por aqui!

Comece por aqui!

Atender à regulação não deveria ampliar o custo operacional da engenharia.

O Quor reduz o passivo na origem e entrega evidência técnica por versão para sustentar hardening, prazo de correção e rastreabilidade com menos esforço manual.

O Quor reduz o passivo na origem e entrega evidência técnica por versão para sustentar hardening, prazo de correção e rastreabilidade com menos esforço manual.

Solicitar uma avaliação

Solicitar uma avaliação

Para continuar

Conteúdos para expandir essa discussão

Conteúdos para expandir essa discussão

Três perspectivas que ajudam a aprofundar o debate sobre custo, compliance e supply chain security.

custo operacional

Quanto custa o CVE management e por que ele vira um imposto operacional

O custo da remediação reativa não aparece no orçamento de segurança. Aparece na sprint, no oncall e no desgaste do time.

COMPLIANCE

Changelog de imagens de container para auditoria e compliance

Como o histórico automático de cada versão elimina o trabalho manual de montar trilha de auditoria para reguladores.

supply chain

Confiança verificável em containers: SBOM, VEX, SLSA e atestados

Os mecanismos técnicos que sustentam integridade e rastreabilidade da cadeia de software.

Por Getup Cloud

quor.dev