要約
- C & M Software Ltda.は、2020年に文書化された PSTI 認可を受け、ブラジル中央銀行(BCB)が2025年以降の認証制度の下で「秩序ある退出の過程」にあると現在リストしている同一のブラジル法人(CNPJ 03.215.009/0001-08)です。
- 2025年7月のインシデントは Pix の中央決済エンジンを停止させたわけではないが、1つのアクセスプロバイダーが複数の機関のメッセージ、認証情報、不正設定、サポート判断、移行オプションに対して集中管理面となる可能性を示しました。
- C&M は、攻撃はソフトウェアの欠陥ではなく、ソーシャルエンジニアリングと正当な認証情報の悪用から始まったと述べています。この区別は、特権アクセス、取引整合性チェック、異常検知、顧客とプロバイダーの分離が統合システムとして十分に強固であったかどうかという、より難しい管理上の問題を解決するものではありません。
- ブラジルの改訂された PSTI 規則は、購入者を受動的な顧客ではなく継続的な監督者としています。機関は秘密署名鍵を保管し、署名前に取引の整合性を検証し、プロバイダーを監視し、古い信頼を新しい環境に持ち込むことなく秩序ある変更を実行できなければなりません。
- 公開証拠は、C&M が秩序ある退出カテゴリーにある理由、そのプロセスがいつ終了するか、2025年の不正行為による最終的な連結損失、または同社が依頼したと述べる独立したレビューの結果を開示していません。これらは重大な欠落であり、推測を招くものではありません。
営業時間を取得した決済レール
2025年7月の短期間において、C & M Software に関する最も示唆に富む事実はタイムテーブルでした。Pix は継続的な使用向けに設計されていますが、C&M に接続された運用は、営業日の朝6時30分から夕方6時30分までの間のみ再開可能でした。各参加機関は明示的に同意する必要があり、不正監視を強化し、取引限度額を適用しなければなりませんでした。ブラジル中央銀行(BCB)はまず、C&M が運営するインフラストラクチャに接続された機関の切断を命じ、その後、緩和措置の後に予防的停止を部分的なものに置き換えました。ロイターはその管理された復帰の条件を報じ、Folha de S.Paulo は規制当局のより緊密な監視を説明しました。
この12時間の枠は単なる停止統計ではありませんでした。それは通常 Pix ブランドの背後に隠れている層を可視化しました。BCB は、即時決済のためのブラジルの単一中央インフラストラクチャとして、SPI を運営しています。これは各指示を個別にリアルタイムで処理します。決済されると、送金は最終的かつ取消不能です。直接参加者は中央銀行の専用 PI 口座を通じて決済し、当座貸越はありません。これらはBCB 自身の SPI に関する説明です。しかし、すべての機関がすべての接続、メッセージインターフェース、操作コンソール、不正ルール、サポートプロセスを自ら構築し運用しているわけではありません。情報技術サービスプロバイダー(PSTI)は、全国金融システムネットワーク(RSFN)へのアクセスのためにデータを処理できます。
C&M はその継ぎ目を占めていました。それは Pix でも中央銀行でもなく、BCB が攻撃後に強調したように、中央銀行の請負業者でもありません。それは規制された決済インフラへのルートを必要とする機関にテクノロジーを販売していました。この区別は重要です。中央 SPI は利用可能なままでありながら、接続された機関のグループはその経路を失うか制限される可能性があります。顧客残高は手つかずのままでありながら、金融機関に属する資金が決済口座から移動された可能性があります。攻撃は中央レールの暗号を破るのではなく、正規に見える権限を悪用する可能性があります。
これがこの記事の中心的な命題です。経済的に重要な製品は決して単なる接続ではありませんでした。それは公共金融インフラのための民間運営の交換台でした。プロバイダーは専門的なシステムと人材をプールすることで、各顧客のコストと導入負担を削減できました。同じ範囲の経済性が、運用知識、特権ワークフロー、復旧判断を集中させる可能性がありました。C&M の2025年のインシデントと、その後に同社が BCB の現在の秩序ある退出カテゴリーに登場したことは、この命題を抽象的なアウトソーシングの懸念から、ブラジルの決済エッジがどのように統治されるかの実践的なテストに変えました。
1つの企業、3つの異なるステータス質問
身元の橋渡しは異常に強固ですが、ステータスの言語には異常な注意が必要です。連邦登録データに基づく現在の公開企業検索では、C & M Software Ltda.(CNPJ03.215.009/0001-08)がバルエリ(サンパウロ)にある株式会社として特定され、1999年6月8日に開設され、主にカスタマイズ不可のコンピュータプログラムの開発とライセンス供与に分類されています。Serasa Experian の現在の CNPJ ページがこれらの詳細を記録しています。同じ CNPJ が同社の長年にわたる CMSW 商業アイデンティティと、そのウェブサイトの同じバルエリ住所に表示されています。
2つ目の質問は歴史的な規制上の地位です。2020年5月22日にブラジルの官報に掲載された抜粋で、BCB は2020年5月20日付で当時の通達3,970に基づき、C&M Software Ltda.(CNPJ 03.215.009/0001-08)を PSTI として承認したと述べています。官報の通知は明示的です。これは、割り当てられた企業と歴史的に承認されたプロバイダーが同一の組織であることを示す確かな証拠です。C&M 自身の歴史によれば、この役割をはるかに以前から果たしており、中央銀行によって承認された最初のプロバイダーであったとされていますが、これらのより広範な起源の主張は、官報に記載された行為に代わるものではなく、会社の声明です。
3つ目の質問は、2025年の攻撃後に変更された制度の下での現在の PSTI ステータスです。BCB の現在の RSFN ページは、名前付きプロバイダーを3つのグループに分けています。Gokei、JD Consultores、Sinqia は新しい認証プロセスにあり、指示664に準拠しています。Tivit と Topaz は認証および調整中でクライアントなしです。ABBC と「PSTI CMSW (C&M Software) – CNPJ: 03.215.009/0001-08」は、決議498の下で「秩序ある退出の過程」にあると表示されています。
これら3つの事実は共存できます。会社の法人登録は有効であり得ます。2020年の PSTI 承認は真正であり得ます。それでも現在の規制上の行は、認証コホートではなく秩序ある退出の行であり得ます。法人の存在は PSTI 認証ではありません。歴史的な承認は現在の許可の証明ではありません。そして秩序ある退出プロセスは、ソフトウェア会社があらゆる事業を停止したことの証明ではありません。
BCB のページは、なぜ C&M がそのカテゴリーにあるのかを述べていません。決議498は移行、予防措置、認証取消、退出に関するいくつかの経路と権限を提供していますが、公開行はどの事実が CMSW に適用されたかを述べていません。年表は、2025年の攻撃が新制度に先行するため、明白な疑問を生み出します。インシデントが現在の分類を引き起こしたことを証明するものではありません。また、ページは退出完了日や移行中の許可された活動の正確な範囲を開示していません。したがって、責任ある結論は狭いものです。2026年7月17日現在、規制当局自身の現在のリストは、C&M を現在認証された PSTI として説明することを支持していません。C&M を現在秩序ある退出プロセスにリストされている正確な法的プロバイダーとして説明することを支持しています。
その結論は C&M の現在のマーケティングのトーンと矛盾しています。CMSW のホームページは「BACEN によって承認」されていると述べ、現在の Corner ページは完全な CMSW インフラストラクチャと中央銀行への完全準拠を備えた「PSTI Clássico」モデルを宣伝しています。これらは現在形の会社の主張です。それらは製品、歴史的地位、移行取り决め、または会社自身の解釈を説明するかもしれません。ページは主張を BCB の現在の表と調和させていません。規制されたアクセス市場では、買い手は営業ページを権威として扱う前に、規制当局と提案された契約からその矛盾を解決すべきです。
Corner が実際に制御していたもの
C&M の価値提案は、ソフトウェアモジュールをリストするよりも、決済機関の仕事を追うことで最も簡単に理解できます。小さな銀行、フィンテック、信用組合、ブローカー、決済機関は、Pix やその他のサービスを提供したいと考えています。顧客向けアプリが指示を作成するかもしれませんが、機関は依然として参加ルールの管理、標準化されたメッセージの交換、RSFN への到達、証明書の維持、流動性の制御、決済の調整、不正の監視、運用上の例外への対応、障害を通じたサービスの維持を行う必要があります。これらの機能を直接構築することは、規制された接続性と専門的な決済運用を24時間体制で組み合わせることを意味します。
C&M の Corner プラットフォームはその負担を圧縮することを約束しました。その現在の製品ページは、プラットフォームが従来のブラジル決済システム(SPB)と SPI を通じて機関を BCB に接続すると述べています。Pix、オープンファイナンス、新しい請求プラットフォーム、ボレト、古い決済サービスを宣伝しています。一般的なレガシーシステムとの統合、フロントエンドまたはウェブサービスを介したメッセージング、不正スコアリングと行動ルール、流動性サポート、トレジャリービュー、継続的な可用性を提供します。ページは「Corner 2026」の3つの展開パターンを提案しています。CMSW インフラを使用するクラシックモデル、CMSW データセンターと運用を共有するハイブリッド構成、顧客がより多くの技術的主権を保持し CMSW が専門的なサードラインサポートを提供するオンサイトインストールです。
これらのモデルは制御を異なる方法で割り当てます。完全管理構成では、プロバイダーはネットワーク、処理、監視、サポート経路のより多くを所有できます。これにより参入が加速し、顧客が希少な RSFN 専門知識を維持する必要性が減る可能性があります。ハイブリッドモデルは、アプリケーションやデータコンポーネントを移動させる一方で、運用知識を必ずしも移動させません。オンサイトライセンスはランタイムインフラを機関の屋根の下に置きますが、プロプライエタリコード、リリース知識、エスカレーションエンジニアに依存したままにします。したがって、「オンプレミス」は「独立」と同義ではなく、「管理」は「非制御」と同義ではありません。
Corner のビジネスおよび技術計画として提出された歴史的な C&M 文書は、より詳細な情報を提供しますが、2026年のシステムの監査として読むべきではありません。ウェブコンソール、メッセージサービス、RSFN を介したアクセス、VPN 構成、顧客ファイアウォール、冗長通信、トレジャリー制御、Pix の緊急時としての SPB の使用について説明しています。また、参加者の PI 口座流動性に関する制御、すなわち残高、拠出および償還ルール、他の決済サービスが閉鎖されている場合のシミュレーション、承認、運用通知についても説明しています。この文書は C&M の主張する設計の有用な地図ですが、その年代と出所は、2025年のインシデントに関与した環境や現在提供されている製品について証明する範囲を制限しています。
したがって、販売されている経済的単位は、2つのエンドポイント間を移動するパケットよりも広範でした。Corner は、顧客のビジネス指示が規制されたシステムに受け入れ可能なメッセージになるところに位置していました。それは指示がどのように認証され、承認され、スケジュールされ、観察され、調整され、エスカレーションされるかを決定するのに役立ちました。そのコンソールと API は、顧客の決済チームの運用記憶になる可能性がありました。そのサポートスタッフは、午前2時にメッセージが失敗した理由を理解する人々になる可能性がありました。その不正設定は、有効な認証情報が一見有効な取引を生成するポイントを仲介する可能性がありました。
その広さが魅力と危険の両方を説明します。共有決済インフラは、すべての小規模機関がそれを再作成するよりも安価で信頼性が高くなります。専門家はより多くの障害モードを見て、専任チームを維持できます。しかし、複数の顧客が同じプロバイダーを共有する場合、欠陥、侵害されたアクセス経路、悪いリリース、または遅い緊急決定が機関の境界を越える可能性があります。製品の最も深い利点である集中専門知識は、最も深いリスクである集中制御に隣接しています。
指示から取消不能な資金へ
取引を制御段階に分けると、アーキテクチャがより明確になります。第一に、顧客または機関が意図された支払いを作成します。第二に、機関は口座、承認、不正、コンプライアンスルールを適用します。第三に、システムは適切な Pix メッセージを構築し、安全なチャネルを確立します。第四に、参加者は送信しようとするものを認証し、署名します。第五に、メッセージは規制されたネットワークを通じて BCB 運営の SPI に到達します。最後に、決済は PI 口座の残高を変更し、取消不能になります。
PSTI は、顧客の決定を法的に所有することなく、いくつかの段階を支援できます。だからこそ、「銀行を Pix に接続する」といったフレーズは有用でありながら危険なほど不正確です。ネットワーク接続は依存関係の1つに過ぎません。メッセージ形成、証明書処理、API 権限、コンソールアクセス、例外キュー、流動性ビュー、不正制限は、機関が何を承認しているかを知っているかどうかを決定できます。攻撃者が最終署名の前に不正な指示を運用上正常に見せかけたり、過剰権限のある正当な経路を悪用したりできる場合、中央システムは設計されたとおりに、有効に提示された指示を決済する可能性があります。
2025年の証拠は、攻撃者が使用した完全なチェーンを確立していません。C&M の説明によれば、インシデントは認証情報の悪用から始まりましたが、警察の報道は従業員が不正アクセスを可能にしたと主張しました。各コマンド、権限昇格、証明書アクション、取引承認をマッピングした公開の最終的なフォレンジック報告書はありません。そのギャップを想像上の技術的悪用で埋めることは無謀です。それでも、防御可能な調査が答えるべきアーキテクチャ上の質問を特定することは可能です。
各指示を生成したのは誰か?どのアイデンティティ、デバイス、ネットワークパスがそれを開始したか?機関は署名前に何を見たか?プロバイダーは秘密署名材料を所有、保存、または到達できたか?価値、ボリューム、宛先の異常な変更にはどのような人間および機械の承認が必要か?顧客環境は、ある機関に関連するアクセスが別の機関に影響を与えないように十分に分離されていたか?不正制御は決済前または主に決済後に機能したか?サポートアイデンティティは機関向けの API を呼び出すことができたか?送金の時間、速度、集中度は、影響を受けた機関の通常とは十分に異なり、警告ではなく停止したか?
これらの質問は、マーケティングがしばしば「セキュリティ」に統合する4つの制御を区別します。チャネルセキュリティは経路を保護します。アイデンティティセキュリティは誰または何が存在するかを確立します。取引整合性は、承認された正確なデータが署名され送信されるデータであることを確立します。行動制御は、一見許可されたアクションが妥当かどうかを尋ねます。侵害されたアイデンティティを持つ安全なチャネルは、不正な指示を完璧に伝送できます。過剰権限のある役割への多要素アクセスも依然として安全でない可能性があります。取消不能な決済の後に到着する予測スコアは、印象的でありながら同時に役に立たない可能性があります。
ブラジルの改訂された規則は現在、その分離を明示的にしています。顧客は秘密署名鍵を保持し、署名前に取引整合性を検証しなければなりません。プロバイダーはトレーサビリティとリアルタイム監視を構築しなければなりません。異なる証明書が異なる環境と機能に役立たなければなりません。これらは冗長な制御ではありません。それらは、単一のプロバイダーアカウント、顧客認証情報、または運用上のショートカットが意図の完全なチェーンを崩壊させるのを防ぐ試みです。
侵害の夜、誤った正確さなしに
公開タイムラインは、2025年6月30日から7月1日夜頃に始まります。7月2日、ロイターは報じました、C&M が BCB にその技術インフラへのサイバー攻撃を通知したと。規制当局は、C&M が運営するインフラへの金融機関のアクセスをブロックするよう命じました。影響を受けた機関の1つである BMP は、不正アクセスが中央銀行に保有される銀行間決済用の準備口座に到達したが、顧客の口座や内部残高には影響しなかったと述べました。ロイターは、C&M が約20数の小規模機関にサービスを提供していたとする情報源を引用し、報告された損失見積もりは異なり、公式の総額は示されていないと強調しました。
C&M の説明は、7月3日に詳細な公開 Q&A に発展しました。同社は、その時点で利用可能な証拠は、従業員がソーシャルエンジニアリングを通じて認証情報を共有するよう誘導され、その後さらなる認証情報または認証メカニズムが使用された可能性があることを示していると述べました。同社は技術的な脆弱性や重要なシステムへの直接侵入を否定しました。認証情報と鍵を失効させ、影響を受けた環境を隔離し、Pix の特別返還メカニズムを呼び出し、返金を要求し、当局とクライアントに通知し、外部のフォレンジック評価を依頼したと述べました。また、製品は分離されており、インシデントにはクライアント固有の Pix 取引シミュレーションが関与していたと述べました。Q&A は会社の立場であり、独立した調査結果ではありません。
同社はまた、重要な制御選択を認めました。Corner は承認、チャネルおよび時間制御、多要素認証、予備運用パイロット、その他のセキュリティ設定を提供していたが、一部の顧客は利用可能なすべての制御を有効にしていなかったと述べました。API ガバナンス、オンボーディング、外部アクセスポリシーを見直しており、より高い必須セキュリティ要件を検討すると述べました。その説明は、共有責任の境界を示唆しています。プロバイダーはオプションを提供し、顧客はその一部を設定し、正当に見えるアクセス経路が悪用されました。これは、リスクに対してオプション性が適切であったかどうか、安全なデフォルトが十分に強固であったかどうか、または顧客の構成に関係なくプロバイダーレベルの制御が活動を停止すべきであったかどうかを確立するものではありません。
独立した報道は、最終的な技術的評決ではなく、主張を追加しました。AP 通信は報じました、サンパウロ警察が C&M の従業員が認証情報を販売し、他の者が不正アクセスを得るのを助けたと告発したと。警察は、1つの金融機関から5億4000万レアル以上が流用され、総損失はさらに高くなる可能性があり、2億7000万レアルが差し押さえられたと述べました。CNN ブラジルは BMP に関する警察の数字5億4200万レアルを報じ、BCB が C&M もそのスタッフも中央銀行の請負業者ではないと明らかにしたことを引用しました。これらは、申し立てられた犯罪に関する主張と予備的な捜査声明でした。逮捕や告発は有罪判決ではなく、ある機関に関連する金額が必ずしも最終的な総額ではありません。
報道機関の推定はさらに高く、Folha や他のメディアは約8億レアルまたは10億レアルの数字を報じましたが、ロイターは10億レアルの総額に異議を唱える情報源を引用しました。同社は金額の確認を拒否しました。責任ある選択は、数字を平均したり、最大の見出しを上げたりしないことです。検証された核はより狭いものです。金融機関に属する資金が影響を受けました。少なくとも1つの警察の説明では、BMP の金額は5億4000万レアル以上でした。顧客の預金残高は影響を受けなかったと報告されています。BCB の中央 Pix インフラは侵害されたとは説明されていません。最終的な連結損失は、ここでレビューされた証拠では未公開のままです。
回復の順序は金額と同じくらい重要です。BCB は最初に依存する機関を切断し、その後、緩和措置の後に、より強力な監視、制限、顧客の同意を得て、平日の朝6時30分から夕方6時30分までの制御された運用を許可しました。C&M は DICT サービスと制御された Pix 運用が戻ったと述べました。この制限は即時のエクスポージャーを減らしましたが、依存の継続コストも示しました。プロバイダーに依存する機関は、規制、技術、運用上の作業なしに単に迂回することはできませんでした。
「有効な認証情報」は調査の始まり
C&M による侵害された認証情報とソフトウェア脆弱性の区別は技術的に意味があります。それ自体は免責にはなりません。バッファオーバーフロー、パッチ未適用のコンポーネント、盗まれたパスワード、賄賂を受け取った従業員、範囲が不適切なサポート役割は異なる障害メカニズムです。それらは異なる是正を必要とします。しかし、決済制御システムは、許可されたアイデンティティが敵対的になるか、説得力を持って偽装される可能性を考慮して設計されなければなりません。すべての認証情報保持者が信頼できる場合にのみ機能するセキュリティは、人事ポリシーであり、回復力のある取引アーキテクチャではありません。
したがって、2025年のエピソードは「コードはハッキングされたか?」よりも有用な質問を提起します。すなわち、別の独立した制御が介入する前に、1つの侵害された経路がどれだけの被害権限を集結できたか?答えは、最小権限、職務分離、顧客分離、取引署名、行動制限、人間によるエスカレーションに依存します。従業員の認証情報だけではメッセージを作成または承認できなかった場合、攻撃者は2番目の独立した能力を必要とするでしょう。影響を受けた機関が、自分だけが制御する鍵を使用する前に正確な支払いデータを検証した場合、プロバイダーアクセスだけでは不十分でしょう。異常な夜間ボリュームがハードストップを引き起こした場合、スピードは防御側ではなく攻撃側に不利に働くでしょう。
これらのいずれも、特定の欠落した制御が C&M インシデントを引き起こしたことを証明するものではありません。公開証拠はそれほど詳細ではありません。しかし、規制当局のその後の要件がこれらの点に焦点を当てている理由を説明しています。指示664は、既存のプロバイダーにエンドツーエンドのトレイル、安全な保持、顧客によるログへのアクセスを強化し、特権的およびリモートアクセスをレビューし、外部接続と異常なアクセスパターンを監視することを要求しました。現在の決議498は、PSTI は決済システムメッセージの署名に使用される秘密鍵にアクセスしてはならないと述べています。また、提出前ではなく、決済前ではなく、異常な価値、ボリューム、レートを評価できるリアルタイムの24時間不正監視を要求しています。
原則は、真正性と妥当性は分離されなければならないということです。有効な証明書は、メッセージが期待される暗号アイデンティティを通じて送信されたことを確立できます。基礎となる経済的指示が意図されたことを確立することはできません。正当なサポートアカウントは、認識されたオペレーターがログインしたことを確立できます。その時間にオペレーターが顧客の本番アクションに到達すべきであったことを確立することはできません。管理されたプロバイダーを使用するという顧客の同意は契約を確立できます。顧客の口座から何が出ていくかを知る義務を移転することはできません。
同じ論理が「オプションの制御」にも適用されます。ソフトウェアベンダーはしばしば、顧客に摩擦と速度をトレードオフさせます。通常のビジネスアプリケーションでは、買い手は合理的に軽い承認を選択できます。取消不能なリアルタイム決済経路では、壊滅的でありながら起こり得る取引から保護するオプションは、最小限の安全な製品の一部になる可能性があります。決議498は、いくつかの制御を参加条件に変え、プロバイダーと機関の両方に義務を課すことで、その方向に動いています。C&M の顧客にとっての難しい調達質問は、機能がパンフレットに存在するかどうかではありません。それは、その機能が関連する経路で必須であり、独立してテスト可能であり、制約することを意図された同じアイデンティティによって無効にできないかどうかです。
ブラジルが PSTI の取引を書き換えた
BCB の規制対応は C&M を超えて拡大しました。2025年9月、金融機関および決済機関への最近の攻撃に組織犯罪が関与していることを挙げて、中央銀行は完全な認可を持たない決済機関および PSTI を通じて接続する機関に対して、Pix および TED 送金に即時15,000レアルの上限を課しました。BCB の発表は、制御が実証された後に制限を解除できると述べる一方、アクセス、IP アドレス変更、機関認可のタイムテーブルも強化しました。
決議498は、比較的軽いプロバイダー承認の概念を、より完全な認証および監督フレームワークに置き換えました。2026年初頭に改正され、ブラジルの法人構造、互換性のある技術的および管理的能力、ガバナンスおよび制御機能、サイバーおよび不正ポリシー、独立監査、運営および民事賠償責任保険、少なくとも1,500万レアルの払込資本および自己資本を要求しています。BCB は、取引量、クライアント数、リスクに比例してさらに多くを要求できます。この規制は、認証がプロバイダーの経済活動を実施するための一般的な承認ではないことを明示的に述べています。だからこそ、慎重なステータス言語が重要です。ソフトウェア会社は存続し他の製品を販売しながら、特定の RSFN サービスに必要なステータスを欠く可能性があります。
指示664は、2025年9月にすでに運営されているプロバイダーに緊急の技術的詳細を提供しました。エンドツーエンドの監査トレイル、保持ルール、調整およびリスク管理のために顧客が利用可能な安全なログ、より厳格なアクセス制御、異常な外部または特権アクセスの監視を要求しました。ブラジルの証券規制当局に登録された独立監査人による合理的保証報告書が、コンプライアンス証拠の一部でした。これは、プロバイダーが評価を依頼したと言うこととは実質的に異なります。機関と規制当局は、定義された範囲、基準、例外リスト、是正状況を必要とします。
BCB はさらに署名権限をトランスポートから分離しました。指示667は、Pix 制限からの救済を求める機関に対し、秘密署名鍵を PSTI と共有していないこと、またはそれらの鍵をその環境に保存していないことを証明することを要求しました。プロバイダーがアクセス可能な証明書は失効および交換されなければなりませんでした。顧客は、本番とテスト、メッセージ署名とチャネル確立の間で異なる認証情報を使用し、請負業者のものを含む権限をレビューし、取引整合性を検証しなければなりませんでした。
2026年1月、BCB は決議547を通じて制度を調整しました。ガバナンスおよびリスク要件を明確にし、リスク比例資本を下限以上で許可し、認証取消を強化し、既存の PSTI が新しい認証を申請するための移行期限を8か月に延長しました。BCB の説明ノートは、PSTI を使用する機関は、そのプロバイダーが認証を正常に完了するまで、Pix および TED の15,000レアルの上限下に留まると述べました。移行規則は、期限内に申請しない既存プロバイダーは職権で認証を取り消され、秩序ある退出計画を実行しなければならないと述べています。しかし、その一般的な条項から C&M の行が申請漏れの結果であると推測するのは誤りでしょう。現在のリストは理由を述べていません。
結果として得られる取引は、より高価でより正直です。PSTI は依然として小規模機関に規模と専門家アクセスを提供できます。その見返りとして、プロバイダーは財務能力、独立した制御証拠、より強力なセキュリティアーキテクチャを実証しなければなりません。機関は説明責任をアウトソーシングできません。ガバナンス、サイバーリスク、不正管理、継続性を継続的に監視し、文書化と監査報告書を維持し、必要な制御を実施し、重要な障害を報告し、署名鍵を保持し、署名するメッセージを検証しなければなりません。アウトソーシングは誰が作業を実行するかを変更します。規制された結果を誰が所有するかを変更するものではありません。
秩序ある退出はテクノロジープログラムである
「秩序ある退出」は管理的に聞こえます。決済システムでは、古いサービスが依然として重要である可能性がある間に実行されるエンジニアリングおよび運用プログラムです。決議498は、計画はクライアント機関と SFN および SPB の通常の機能への影響を制限することを優先しなければならないと述べています。その目的は欺瞞的にコンパクトです。クライアントは、ドメイン名を変更しデータベースをコピーするだけで決済エッジを切り替えることはできません。
移行は法的および規制上の適格性から始まります。受入プロバイダーは適切な現在の認証を持っているか、機関が資格を得て直接ルートを構築しなければなりません。参加記録、連絡先、運用責任を変更しなければなりません。RSFN の2つの独立したテレコミュニケーションネットワーク(BCB は各参加者が両方を使用することを要求)を介したネットワークアクセスを確立し、障害と復旧をテストしなければなりません。ファイアウォール、アドレス、ルート、チャネル証明書、監視は新しい所有権を必要とします。
アプリケーション作業が続きます。Pix および SPB メッセージには、定義されたバージョン、検証ルール、ライフサイクルがあります。新しい経路は、指示を複製またはドロップすることなく、顧客固有の変換、冪等性、再試行、確認、例外処理、調整を再現しなければなりません。履歴メッセージと監査証拠は、規制上のレビューと紛争のために利用可能でなければなりません。トレジャリースタッフは信頼できる PI 口座の可視性を必要とします。不正ルールは、ベースラインを失ったり、新しいプロバイダーにブラインド学習の期間を与えたりせずに移動する必要があります。コアバンキング、元帳、顧客アプリ、コンプライアンスシステム、サポートツールへのインターフェースはすべて並行テストを必要とします。
信頼は再生成されなければならず、引き継がれてはなりません。2026年2月、BCB はSPI 通知003/2026を発行し、参加者に対し、テクノロジー環境、接続モデル、または証明書アクセスを持つサプライヤーが変更されるたびに、新しいチャネルおよび署名証明書を発行し、古いものを BCB で無効にし、認証局で失効させなければならないと伝えました。通知はまた、不正が疑われる場合に新しい証明書を求めるものです。これは重要な退出原則です。古い認証情報がまだ権限を行使できる場合、移行は不完全です。
証明書の区別は2026年6月にさらに明確になりました。BCB の更新された Pix セキュリティ資料は、通信チャネルの認証に使用される証明書とメッセージの署名に使用される証明書を分離し、一方の目的が他方に代用されることを禁止しています。この分離は、トランスポートに対する制御が値に対する制御になる可能性を減らします。また、作業を追加します。在庫は正確でなければならず、ストレージとハードウェアの保護をレビューし、証明書の更新をリハーサルし、ロールバックは侵害された信頼経路を静かに復元することを意味してはなりません。
C&M の3つの宣伝された展開モデルは、なぜすべてのクライアントの退出が異なるかを示しています。クラシックな CMSW インフラモデルのクライアントは、完全な宛先環境を必要とするかもしれません。ハイブリッド顧客は一部のアプリケーションコンポーネントを制御するかもしれませんが、依然として CMSW のデータセンターと運用知識に依存するかもしれません。オンサイト顧客はランタイムを持っているかもしれませんが、ソースレベルの能力や専門的なサードラインサポートを欠いているかもしれません。資産の所有は運用上の独立性ではありません。信頼できる退出計画は、危機の前にそれぞれの削減不可能な依存関係を特定し、既存のプロバイダーが健全な間にその経路をテストします。
BCB の現在のリストは、C&M のクライアントレベルのタイムテーブル、宛先プロバイダー、残余範囲、完了基準を開示していません。これらの詳細は適切に機密である可能性があります。それらがないため、部外者は退出がどの程度進行したかを判断できません。しかし、顧客と規制当局は、測定可能な一連の質問に答えられるべきです。すなわち、依存する機関の数、まだプロバイダーを通過するメッセージサービス、新しい認証情報が発行されたかどうか、各顧客がデュアルパステストを完了したかどうか、調整例外のパフォーマンス、古い経路を廃止できるイベント。
サポートはセキュリティ境界の一部である
決済ソフトウェアはしばしばテクノロジーとして購入され、サポートとして体験されます。午前3時の失敗したメッセージは、原因が顧客のコア、プロバイダーの変換、証明書、ネットワークパス、SPI ルール変更、または不十分な流動性のどれであるかを発表しないかもしれません。最速の解決は、これらの層全体を見ることができる人々に依存します。C&M の主張する利点である SPB および Pix メッセージングにおける長年の経験は、まさにその瞬間に最も価値があるでしょう。
それは過小評価された集中を生み出します。サードラインエンジニアと運用アナリストは、通常の顧客チームが最も困難なケースを解決できないため、広範な可視性と例外的な特権を蓄積できます。緊急アクセスは、支払いが迅速に再開されるように、通常のワークフローをバイパスする可能性があります。共有サポートツールは多くの顧客環境を接続する可能性があります。少数のグループが証明書の交換、メッセージの再処理、規制当局との調整を理解しているかもしれません。彼らの知識は回復力を向上させる一方で、彼らのアカウント、デバイス、作業スケジュール、判断が攻撃対象領域の一部になります。
2025年の C&M 従業員の関与の申し立ては、人事管理を避けられないものにしますが、答えは認証情報を開示しないようスタッフを訓練することに還元できません。回復力のあるサポート設計は、強制、賄賂、疲労、エラー、アカウント乗っ取りが可能であると想定します。Just-in-time 権限、本番アクションのための別個の承認、デバイスにバインドされたアイデンティティ、セッション記録、顧客可視ログ、狭い顧客パーティション、強制期限、行動停止を使用します。サポートアイデンティティが価値のある指示を生成または承認するのを防ぎます。緊急昇格が、別の人物がそれが発生している間に説明しなければならないほど目立つようにします。
報酬と人員配置もデューデリジェンスに属しますが、公開記録は C&M の慣行を判断するには十分ではありません。継続的な可用性を販売するプロバイダーは、不可欠なオペレーターが1人だけにならないように十分な深さのシフトを必要とします。指名されたインシデントリーダーシップ、該当する場合はバイリンガルまたはローカルサポート、BCB および認証局へのテスト済みの連絡経路、古い SPB サービスを理解する専門家の後継者が必要です。買い手は、特権的な役割の離職率、バックグラウンドスクリーニングポリシー、アクセス失効時間、オンコールエンジニアと重要顧客の比率を検査すべきです。華やかな24時間365日のサービスステートメントは、エスカレーションの3番目の人物が目覚めており、承認され、訓練されているかどうかを何も語りません。
サポート証拠は結果ベースでなければなりません。有用な尺度には、規制メッセージ障害の認識時間、顧客の隔離時間、証明書の失効時間、未解決の調整例外の経過期間、不正制御の偽陰性率と偽陽性率、特権アクセスの頻度、予告なしの訓練中の復旧パフォーマンスが含まれます。平均チケット解決は、重要な1つの支払いインシデントを隠す可能性があります。したがって、ベンダーは重要な経路を別途報告し、顧客が自分自身のトレイルを見られるようにすべきです。
最後に、サポート義務は契約終了および規制上の退出後も存続しなければなりません。既存プロバイダーは、クライアントが移行する際に専門家を維持する商業的インセンティブが低い可能性があります。これは、歴史的知識が最も必要な時です。秩序ある退出計画は、リングフェンスされた移行チームに資金を提供し、主要人物リスクを特定し、最新のラン�ックを要求し、カットオーバーを通じて応答レベルを維持すべきです。インフラストラクチャが電源オンのままでも、それを理解する人々が先に去ってしまえば、継続性は達成されません。
委任の代償
C&M は一般的な PSTI 料金表を公開していません。その Corner ページは、見込み顧客を営業担当者に誘導し、Pix Automático の FAQ は、特定のサービスがメッセージングを通じて請求され、既存の Corner ユーザーに追加の設定費用や驚きの月額料金をもたらさないと述べています。これは範囲限定のマーケティングステートメントであり、完全な価格リストではありません。したがって、C&M の全体的な商業条件の推定は推測になります。
製品のコスト論理は依然として分析可能です。管理された PSTI サービスは、いくつかの目に見える費用を置き換えます。デュアルネットワーク接続、安全な環境、専門的な決済エンジニア、メッセージソフトウェア、証明書、監視、テスト、規制当局向けの運用、継続的なサポートです。プロバイダーは固定費をクライアント間で分散できます。小規模機関は、単独で集めるよりも早く、より経験豊富なチームで Pix に到達できるかもしれません。メッセージごとの価格設定は、一部の費用を取引量に合わせます。
しかし、請求書は最初の層に過ぎません。導入コストには、コアバンキングデータの決済メッセージへのマッピング、環境の確立、アイデンティティのオンボーディング、不正しきい値の設定、ホモロゲーションテストの実行、運用のトレーニング、調整の証明が含まれます。継続的な経済性は、プラットフォームまたはサポート料金、使用量料金、モジュール、接続性、ストレージ、監査サポート、より高いサービスレベルを組み合わせる可能性があります。規制の変更は追加作業を生み出します。C&M の公開されたデータ保護条件は、変更された法的または規制要件が交渉されるべきコストを生み出す可能性があり、顧客が要求した監査は顧客に請求されると述べています。ポリシーはまた、監査とインシデントの責任を定めていますが、これは会社の契約文書であり、独立して検証された制御報告書ではありません。
リスクは別の価格を追加します。保険控除額、資本バッファー、不正損失、インシデント弁護士、フォレンジック作業、顧客救済、規制制限は、サブスクリプションの節約をはるかに上回る可能性があります。新しい認証プロセスを完了していないプロバイダーを使用する機関に課された15,000レアルの送金制限は、テクノロジーがまだ機能している場合でも、クライアントの製品経済性を変える可能性があります。トレジャリーまたはビジネス決済製品は、日常的な送金が上限を超える場合、有用性が低下します。したがって、プロバイダーのステータスは、即時の収益影響を伴う商業的特徴です。
退出は最後の層であり、しばしば最も価格設定されていません。プロプライエタリコンソール、変換、運用知識を使用することで節約した顧客は、後で並行インフラ、データ抽出、新しい証明書、デュアルサポート、数か月のテストに対して支払う可能性があります。切り替えコストは、文書化されていないルール、プロバイダー制御の不正構成、既存プロバイダーの頭の中にのみ存在する統合ごとに上昇します。オンサイト展開はインフラ移行コストを下げるかもしれませんが、アプリケーションと専門知識への依存を維持します。したがって、より低い月額料金は、より高価な将来のオプションを購入する可能性があります。
合理的な比較は、メッセージあたりのコストではなく、総制御コストを使用します。導入、内部監督、独立保証、インシデント演習、規制変更作業、資金調達された退出を追加します。次に、残余リスクを比較します。独立した停止の前にどれだけの価値が移動できるか、いくつの顧客が障害ドメインを共有するか、鍵をどれだけ迅速に交換できるか、代替ルートが実際のテストメッセージを運んだことがあるかどうか。最も安いプロバイダーは、最も低い料金を持つものではありません。それは、運用、監視、障害、離脱の複合コストが最小のもので、要求される支払い結果を提供するものです。
競争は制御アーキテクチャの選択である
BCB の現在のプロバイダーページは、小さな移行セットのみを挙げていますが、市場シェアを計算するために使用すべきではありません。3つのプロバイダーが認証中で指示664に準拠、2つが調整中でクライアントなし、2つが秩序ある退出中と表示されています。このページは、これがすべてのソフトウェアベンダー、直接接続、グループ内構成の完全な経済センサスであるとは述べていません。C&M 自身のウェブサイトは、動的に生成されているように見え、監査可能な方法論を伴わない変動する市場シェアの数字を表示しています。それらは集中率の証拠として不適切です。
それでも競争上の選択肢は識別可能です。機関は、別の成功裏に認証された PSTI を求めるか、規制形態が許可する場合に直接 RSFN および SPI 能力を構築するか、制度の分離例外の下でグループ内テクノロジープロバイダーを使用するか、特定の Pix サービスへの直接参加を再検討することができます。直接および間接の Pix 参加は、決済とディレクトリ機能を異なる方法で割り当てます。各オプションは、1つのロゴを別のものに置き換えるのではなく、コストと制御を変更します。
別の管理プロバイダーが最も近い機能代替を提供します。同じメッセージカタログと使い慣れたレガシーシステムをサポートする場合、移行の複雑さを軽減する可能性があります。買い手は依然として「異なるプロバイダー」が異なる障害ドメインを意味するかどうかを尋ねなければなりません。2つのブランドがデータセンター、テレコミュニケーションキャリア、証明書プロセス、ソフトウェアコンポーネント、セキュリティサブコントラクター、または少数の専門スタッフプールを共有する可能性があります。集中は、ベンダー名で数えるのではなく、フォースパーティと共通インフラを通じてマッピングされるべきです。
直接運用は制御を増加させますが、機関内に新しい運用機関を作成します。カタログリリースに従い、両方の RSFN ネットワークを維持し、鍵を保護し、流動性を管理し、不正を継続的に監視し、インシデントを調整できる人材が必要です。セキュリティの利点は、買い手がこれらの義務を専門家よりもうまく実行できる場合にのみ存在します。人員が不十分な直接接続は、プロバイダーの集中を主要人物リスクと弱いメンテナンスに交換する可能性があります。
グループ内プロバイダーはインセンティブを調整し知識を保持できますが、保護するはずの金融機関と同じガバナンス、アイデンティティシステム、危機管理を共有する可能性があります。改正された決議498は、同じグループの処理プロバイダーを完全な外部 PSTI フレームワークから免除する一方、運用上の分離と適用可能な技術的およびセキュリティ制御を要求しています。それは義務を崩壊させるライセンスではありません。グループは、通常の企業環境の侵害が支払い権限にならないことを示さなければなりません。
国際基準はこのアーキテクチャビューを強化します。CPMI-IOSCO の重要なサービスプロバイダー向け方法論は、エンタープライズリスク、情報セキュリティ、信頼性、テクノロジー計画、第三者依存関係について質問します。バーゼル委員会の2025年の第三者リスク原則は、集中、サプライチェーン依存関係、ライフサイクル管理、退出を銀行の責任として扱います。これらの基準は C&M または競合を選択しません。それらは、調達決定が完全な依存関係グラフをカバーし、契約期間を通じて再検討可能でなければならない理由を説明しています。
C&M にとって、競争には現在時間的次元があります。製品ページは引き続き Corner 2026、ハイブリッド展開、専門サポートを宣伝できます。RSFN アクセスを必要とする規制対象機関は、まず BCB の現在のステータス証拠から始めなければなりません。提案されたサービスが C&M を外部 PSTI として行動することに依存する場合、買い手は関連当局からの法的根拠、移行範囲、許可されたタイムテーブルの書面による確認を必要とします。提案がオンサイトソフトウェアライセンス、サポートサービス、または非 PSTI 製品である場合、買い手はどの規制機能が C&M に残り、どの機能が残らないかを定義しなければなりません。役割に関する曖昧さはそれ自体が制御の失敗です。
12の調達テスト
2025年のインシデントへの有用な対応は、一般的なサイバーアンケートではありません。買い手は、本番支払いを任意のプロバイダーに委託する前に、制御境界を観察可能にするテストを実行すべきです。C&M の場合、これらのテストは現在の秩序ある退出分類にも対処する必要があります。
1. 法的および規制上の役割を証明する。契約当事者の法的名称と CNPJ を BCB の現在の記録と一致させる。サービスの日付ごとに正確なステータスと範囲を取得する。ソフトウェアライセンス、管理処理、RSFN アクセス、間接 Pix サポート、中央銀行参加を区別する。現在の認証の証拠として、歴史的な官報通知やマーケティングの主張を受け入れない。
2. 1回の支払いをエンドツーエンドで追跡する。顧客の指示から始め、決済までのすべてのシステム、アイデンティティ、変換、承認、鍵、証明書、キュー、ログ、調整レコードを特定する。各段階をどの当事者が制御するかをマークする。返金、タイムアウト、重複、不正形式メッセージ、流動性不足について繰り返す。アーキテクチャスライドだけでは不十分。買い手は制御された取引を観察すべきである。
3. 独占的な署名制御を実証する。機関は、プロバイダーが到達できない境界内で秘密署名鍵を生成し保持すべきである。署名する前に正確なメッセージを検証すべきである。プロバイダー管理者、サポートエンジニア、または侵害されたチャネル証明書が有効な価値のあるメッセージを生成できないことをテストする。テスト、本番、チャネル確立、メッセージ署名に別個の認証情報を確認する。
4. 内部関係者のシナリオを試行する。レッドチームオペレーターに、正当でありながら限定されたサポートアイデンティティを与える。別の顧客に到達する、不正限度を変更する、新しい統合を作成する、メッセージを再生する、異常な時間に権限を昇格させようとする。予防制御が有害な行動を阻止し、顧客可視証拠が試行をリアルタイムで説明する場合にのみテストは合格する。
5. 提出前に異常な価値と速度をテストする。個別には許可されるが、時間、宛先、金額、レートによって集合的に異常な送金をシミュレートする。ハードストップがいつ発生するか、誰がそれをオーバーライドできるか、オーバーライドに異なる組織が必要かどうか、機関にどれだけ迅速に通知されるかを検証する。取消不能な決済後のダッシュボードアラートは予防制御ではない。
6. 全員を停止せずに顧客を隔離する。1つのテナントに障害または疑わしい侵害を強制する。アクセスの失効、認証情報のローテーション、証拠の保存にかかる時間を測定する。他の機関が安全に継続し、共有コンポーネントがパーティション間で権限を漏洩できないことを確認する。次に、逆をテストする。共通コンポーネントの障害は、不確かな取引を生成するのではなく、制御されたフェイルセーフ状態に入るべきである。
7. 信頼を失効させ再構築する。BCB の証明書変更プロセスを実行する。新しい証明書を発行し、古い登録を無効にし、認証局で失効させる。すべての古い経路(緊急システムや忘れられたテストエンドポイントを含む)が失敗することを証明する。時間を計測する。実際の攻撃中、証明書の回復はサービスの回復の一部である。
8. 両方のネットワークパスを実行し、1つを失う。RSFN は2つの独立したテレコミュニケーションネットワークを使用する。機関は、いずれかが失敗した場合のトラフィックの切り替え、容量、アラーム、復旧を観測すべきである。また、一見独立したルートが電源、施設、DNS、アイデンティティ、運用を共有させる可能性がある依存関係をマッピングすべきである。
9. 顧客の証拠から調整する。買い手は、プロバイダーのコンソールに完全に依存することなく、何が生成され、承認され、署名され、送信され、確認され、決済されたかを再構築できなければならない。ログは改ざん防止、必要な期間保持され、迅速に利用可能で、アイデンティティとメッセージ間で相関可能であるべきである。サンプル例外は会計エントリに解決されるべきである。
10. バッジではなく独立保証を検査する。セキュリティおよび継続性作業の監査人、範囲、期間、システム、除外、例外、是正日を取得する。レビューが正確な本番サービスと事後インシデント制御をカバーしたかどうかを確認する。C&M は攻撃後に外部のフォレンジックおよび制御作業を依頼したと述べた。規制対象の見込み顧客は、どの報告書が合法的に共有可能で、何が未解決のままかを判断すべきである。
11. 参入前に完全な退出を価格設定する。代替プロバイダーまたは直接モデル、必要なスタッフ、データおよび構成のエクスポート、証明書計画、並行稼動期間、サポート義務、最大許容中断を指定する。契約にコストとサービスレベルを記載する。次に、部分的な移行演習を実行する。メッセージを移動したことがない文書は退出能力ではない。
12. 秩序ある退出フェーズの証拠を定義する。依然として C&M の移行の影響を受けている顧客のために、規制当局が承認したマイルストーン、残余サービス、許可された制限、移行先、クライアントの同意、監視措置、最終廃止イベントを記録する。取締役会レベルでレビューする。公開 BCB ページは理由やタイムテーブルを説明していないため、民間のガバナンス証拠は特に正確でなければならない。
公開記録が答えられないこと
C&M に関する証拠は、確固たるアイデンティティと意味のあるリスク分析には十分です。しかし、責任や現在の運用範囲に関する最終評決には十分ではありません。いくつかの欠落は明示されるべきです。
第一に、本記事のためにレビューされた公開の最終的なフォレンジック報告書は、2025年の不正の完全な技術的シーケンスを確立していません。C&M はソーシャルエンジニアリングと認証情報の悪用が出発点であり、ソフトウェアの欠陥を否定しました。警察と報道機関の説明は、従業員がアクセスを促進したと主張しました。これらの説明は互換性があるかもしれませんが、使用された正確な権限、追加の脆弱性が悪用されたかどうか、誰によってどのメッセージが署名されたか、どの制御が最初に送金を検出したかを開示していません。
第二に、ここでレビューされた公開記録には、権威ある連結損失額はありません。警察の報告は BMP に5億4000万レアル以上を付与しましたが、他の報道機関の推定は8億レアルまたは10億レアルに及びました。一部の資金は差し押さえられたか回収されたと報告されました。影響を受けた機関の数も異なりました。起訴金額、試行された送金価値、総流用価値、差し押さえられた価値、最終的な経済的損失は異なる尺度です。当局がそれらを調整するまで、単一の見出し数字は誤った確実性を生み出します。
第三に、BCB の現在のページは C&M のカテゴリーを示していますが、その原因は示していません。秩序ある退出が自発的か、移行的か、申請決定の結果か、予防措置か、新しい要件を満たせなかったためか、またはそれらの組み合わせかを述べていません。すべての元クライアントが移行したかどうか、退出中にどのサービスが継続できるか、完了がいつ期待されるかを述べていません。決議498は可能な経路を説明しています。どの経路が C&M に適用されるかを特定していません。
第四に、現在の製品マーケティングはそのステータスと調整されていません。ウェブサイトは完全な PSTI 準拠と現在のアクセス機能を宣伝しています。移行、展開モデル、製品ライセンス、規制された PSTI 役割外のサービスを含む合法的な説明があるかもしれません。ここで見つかった公開の明確化は、各主張を現在の BCB 表にマッピングしていません。買い手は不一致から合法性または違法性を推測すべきではありません。役割が解決されることを要求すべきです。
第五に、制御証拠はほとんど自己記述です。C&M は歴史的なセキュリティおよび継続性文書を公開し、インシデント後に独立した作業を依頼したと述べています。ここでレビューされた公開記録には、結果として得られたフォレンジック報告書、現在の独立保証意見、現在のディザスタリカバリテスト、顧客固有の可用性データ、またはすべての事後インシデント是正が完了したという証拠は含まれていません。公開の視界から欠けていることは、作業が存在しないことを意味しません。それは外部の読者が検証できないことを意味します。
最後に、集中自体が測定されていません。C&M は歴史的および現在の市場シェアの主張を行っていますが、目に見える数字は変動し、開示された方法を欠いています。ロイターは攻撃時に約20数の小規模クライアントを引用しましたが、会社のページははるかに広い歴史的リーチを引用しています。BCB の移行リストは市場シェアの分母ではありません。厳格な集中評価には、現在のクライアント数、その取引価値、共通の依存関係、代替可能性、移行時間が必要です。これらのデータは規制当局が公開よりも利用可能である可能性が高いです。
C&M とその取引相手のための監視ポイント
最初の監視ポイントは BCB リスト自体です。将来の変更は、秩序ある退出の完了、異なるステータス、または新しい公開説明を示す可能性があります。それまでは、C&M が現在形の PSTI 言語を使用しているからといって、現在認証されていると説明されるべきではありません。逆に、秩序ある退出の行は、会社が解散したか、すべてのソフトウェアの販売を禁止されているという主張に拡張されるべきではありません。
2つ目はクライアントの移行です。機関が成功裏に認証されたプロバイダーに移行し、直接アクセスを構築し、証明書を交換し、調整を完了したという証拠は、退出が意図したとおりに機能しているかどうかを示します。期限の繰り返し延長、永続的な取引制限、一時的な取り決めへの依存の証拠は、より高い継続性リスクを示します。重要な尺度は、移行の発表ではなく、古い信頼経路なしでのテスト済みの本番能力です。
3つ目は独立した制御の開示です。C&M は外部のフォレンジックおよびセキュリティ作業を依頼し、API ガバナンス、オンボーディング、アクセスを見直していると述べました。悪用可能な詳細を露出させずに、範囲、調査結果、残余例外、クローズ日を特定する要約は、是正の公開理解を実質的に改善するでしょう。また、機密性の下で顧客が利用可能な現在の保証報告書も同様です。「完全準拠」と言うマーケティングページは、例外を伴う範囲設定された証拠よりも弱いです。
4つ目は執行と裁定です。警察の申し立て、刑事告発、民事請求、または規制措置は、誰が何をしたか、どの損失額が関連するかを明確にするかもしれません。また、初期の理論を却下するかもしれません。報告は、申し立てと認定の区別を全期間にわたって維持すべきです。後の有罪判決は指名された人々による犯罪行為を確立します。それ自体では、すべてのアーキテクチャやガバナンスの質問に答えることはできません。
5つ目は製品の再ポジショニングです。Corner 2026のクラシック、ハイブリッド、オンサイトモデルは、C&M がプロバイダーの役割が変わってもソフトウェアと専門知識の収益を維持しようとする可能性を示唆しています。それは正当な道筋かもしれませんが、契約は誰が規制された接続を運用するか、誰が鍵を保持するか、誰が不正を監視するか、どの会社がサポートに責任を持つかを明記しなければなりません。クライアントに展開されたライセンスは依然としてプロプライエタリな依存関係を含む可能性があります。ハイブリッドは依然として特権的な運用を集中させる可能性があります。
6つ目は、規制当局による自らの新しい基準の実施です。現在の表は、確定したフィールドではなく移行中の市場を示しています。成功した認証決定、より高い資本要件、保証調査結果、顧客制限は、決議498がどの程度厳格に適用されるかを明らかにするでしょう。BCB はまた、プロバイダーの集中と移行リスクに関する集約情報について監視されるべきです。厳格なプロバイダールールは安全性を向上させる一方で、意図せずサプライヤーの数を減らす可能性があります。より少ないがより強力なプロバイダーは、依然としてセクター全体の依存関係を生み出す可能性があります。
最後の監視ポイントは顧客の取締役会に属します。決議498は、契約機関に継続的な監視義務を課しています。PSTI ステータスを調達証明書ではなく生きた運用条件として扱わない取締役会は、教訓を逃しています。特権アクセス、異常取引、証明書の健全性、インシデント演習、監査例外、集中、退出準備の尺度を受け取るべきです。独立した停止の前に出ていくことができる最大価値と、別の経路を通じて運用するために必要な時間を知るべきです。
公共ユーティリティの下の交換台
Pix の成果は、その依存関係を認識することで減少しません。中央システムは高可用性、最終性、安全性を維持できますが、エッジでのアクセスは不均一です。実際、2025年のインシデントはある種の回復力を示しています。BCB は影響を受けたプロバイダー層を隔離し、中央レールを運用し続け、より厳格な制御の下で制限付きアクセスを回復しました。また、C&M に依存していた機関にとってのその隔離のコストも示しています。
C & M Software は、困難なインフラストラクチャを使いやすくすることでビジネスを構築しました。決済メッセージ知識を集め、レガシーシステムを接続し、運用コンソールを提供し、完全な RSFN スタックを再現したくない機関をサポートしました。それは実際の技術的作業です。まさにそれが同社を重要にした理由です。サプライヤーが意図が取消不能な決済になるポイントに近づくほど、サプライヤーを通常のエンタープライズソフトウェアとして評価することは不十分になります。
2025年の攻撃は、認証情報が壊れたサーバーよりも危険である可能性を示しました。現在の秩序ある退出の行は、継続性には冗長ハードウェアだけでなく離脱も含まれなければならないことを示しています。新しい規制制度は、機関が委任しない暗号的および運用上のコア、すなわちその鍵、取引意図の検証、サプライヤーの監視、経路を変更する能力を保持しなければならないことを示しています。
C&M に関する最終的な判断への証拠に基づく近道はありません。同社のソーシャルエンジニアリングの説明はもっともらしく、警察の報告に部分的に反映されていますが、公開のフォレンジックチェーンは不完全です。規制当局の現在のステータスは明確ですが、その理由は不明です。ウェブサイトの製品主張は可視的ですが、秩序ある退出プロセスとの関係は未解決です。これらの緊張は、無罪または非難のいずれかに滑らかにされるのではなく、可視的なままであるべきです。
より永続的な結論は市場設計に関するものです。共有プロバイダーは小規模機関が洗練された公共インフラに参加することを可能にします。また、ユニバーサルサービスの下に民間のチョークポイントを作り出します。2025年後のブラジルの回答(資本、保険、独立保証、鍵の分離、決済前の不正制御、顧客監督、秩序ある退出)は、PSTI が中立的なパイプではないことを認識しています。それは重要な制御面です。
C&M のソフトウェアを検討している、そのプロバイダーサービスから移行している、または後継者を選択している機関にとって、決定的な質問は「このベンダーは私たちを Pix に接続できるか」ではありません。それは「この接続はどの権限を集中させ、どの権限が独立して私たちのものに留まり、契約の最悪の夜に両方の答えを証明できるか」です。Pix は数秒で決済するかもしれません。その下の交換台への信頼は、何年もかけて設計されなければなりません。

