No Money20/20, o painel “Beyond Post-Quantum Readiness” deixou claro: a migração para criptografia resistente à computação quântica (PQC) saiu do “se” e entrou no “quando”. Reguladores em múltiplas jurisdições pressionam por planos de transição, enquanto bancos, fintechs e processors encaram um passivo oculto: criptografia legada espalhada por sistemas, parceiros e dispositivos.
Precisamos inventariar, orquestrar e migrar em camadas, com automação, governança e vendor management alinhados à realidade pós-quântica.
Participantes: Joe Fitzsimons (Horizon Quantum Computing), Juan Asenjo (Prime Factors), Adwait Joshi (DataSeers), Dr. Mekena McGrew (Deloitte).
Pressão regulatória global: normas e orientações ampliam a exigência por PQC e planos faseados.
Gargalo real: descobrir e substituir criptografia legada em sistemas internos e de terceiros.
Transição em camadas: estratégia, tecnologia e operações precisam andar juntas — projeto organizacional, não só técnico.
Identidade + ecossistema: confiança digital dependerá de identidade e interoperabilidade entre atores.
Vendor management + ética: prontidão quântica vira critério de compra; rastreabilidade e transparência tornam-se diferenciais.
Regulação moldando o futuro: governos avançam em padrões resistentes a quantum, exigindo planos e cronogramas. Vantagem competitiva virá da agilidade para atualizar a infraestrutura à medida que padrões evoluem.
Descoberta de legados: a dor está em mapear onde os algoritmos antigos estão embutidos — bibliotecas, HSMs, integrações, SDKs móveis, firmware, APIs de parceiros.
Orquestração em camadas: a migração exige educação transversal, papéis claros, playbooks e execução coordenada em estratégia → tecnologia → operações.
Identidade e ecossistema: credenciais e chaves com ciclos de vida controlados e interoperabilidade entre provedores de identidade e serviços financeiros.
Fornecedores e responsabilidade: readiness attestations, auditorias, SLA de migração e ética tecnológica entram no scorecard de compras.
Criar um Comitê PQC (CISO, CTO, Jurídico/Regulatório, Risco, Operações).
Estabelecer cronogramas por criticidade (pagamentos, autenticação, dados em repouso/em trânsito).
Preparar relatórios de conformidade contínuos (evidências, gaps, marcos).
Rodar um inventário criptográfico: protocolos, bibliotecas, tamanhos de chave, curvas/algoritmos, HSMs, SDKs, endpoints externos.
Classificar ativos por impacto e exposição (P1 a P4) e mapear cadeia de terceiros.
Implantar telemetria de cifragem (observabilidade: quem cifra o quê, quando, como).
Definir arquitetura de referência PQC (híbrida: clássico + pós-quântico onde fizer sentido).
Criar playbooks de migração por domínio (auth, TLS, data-at-rest, mobile, IoT), com rollbacks e canary releases.
Treinar times (engenharia, devops, segurança, SRE, produto) em padrões PQC e gestão de chaves.
Adotar gestão de ciclo de vida de credenciais (emissão, rotação, revogação, auditoria).
Planejar interoperabilidade com provedores de identidade e parceiros críticos (APIs, mTLS, OIDC).
Simular falhas e failovers envolvendo chaves/credenciais em rotas de produção.
Incluir prontidão quântica no RFP: algoritmos suportados, cronograma, attestations.
Exigir rastreabilidade de decisões e transparência algorítmica em componentes de IA envolvidos na operação de segurança.
Amarrar SLA/penalidades a marcos de migração e auditorias de terceiros.
Oportunidades
Antecipar-se à regulação com inventário + runbooks + métricas de prontidão.
Reduzir custo de migração com automação e orquestração multiagente.
Diferenciar-se comercialmente com readiness comprovado (ganho em licitações e contratos regulados).
Riscos
Subestimar a descoberta de legados (sistemas e firmware invisíveis).
Vendor lock-in sem SLA de evolução PQC.
Paralisar a operação ao trocar tudo de uma vez (migração big-bang sem canary/rollback).
🔹 Leia também
🎧 Ouça no DoTheMATH