Instrução Normativa BCB nº 373 DE 25/04/2023
Norma Federal - Publicado no DO em 27 abr 2023
Altera a Instrução Normativa BCB nº 291, de 29 de julho de 2022, que estabelece os procedimentos necessários para a adesão ao Pix, para ajustar dispositivos referentes à etapa cadastral e à etapa homologatória; para inserir anexos referentes ao questionário de autoavaliação em segurança; bem como para estabelecer disposições transitórias relacionadas ao envio do mencionado questionário.
O Chefe do Departamento de Competição e de Estrutura do Mercado Financeiro (Decem), no uso da atribuição que confere o art. 97-A, inciso X, alínea "b", do Regimento Interno do Banco Central do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, e tendo em conta o disposto no § 3º do art. 25 do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020, resolve:
Art. 1º A Instrução Normativa BCB nº 291, de 29 de julho de 2022, passa a vigorar com as seguintes alterações:
"Art. 2º Para instituições que possuam autorização para funcionamento emitida pelo Banco Central do Brasil e que pretendam atuar como provedores de conta transacional, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:
I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo I desta Instrução Normativa;
II - formulário de produtos e serviços que ofertará, conforme modelo disponível no Anexo I da Instrução Normativa BCB nº 290, de 29 de julho de 2022; e
III - questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética:
a) conforme modelo disponível no Anexo VI desta Instrução Normativa, caso pretenda acessar de forma direta o DICT e ser participante direto do SPI; ou
b) conforme modelo disponível no Anexo VII desta Instrução Normativa, caso pretenda acessar de forma indireta o DICT e ser participante indireto do SPI.
..............................................................................................................." (NR)
"Art. 3º Para instituições que possuam autorização para funcionamento emitida pelo Banco Central do Brasil e que pretendam atuar exclusivamente como liquidantes especiais, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:
I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo II desta Instrução Normativa; e
II - questionário de autoavaliação em segurança, conforme modelo disponível no Anexo VIII desta Instrução Normativa, devidamente assinado por diretor responsável pela política de segurança cibernética.
..........................................................................................................." (NR)
"Art. 4º Para instituições que não possuam autorização para funcionamento emitida pelo Banco Central do Brasil, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:
I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo III desta Instrução Normativa;
II - formulário de produtos e serviços que ofertará, conforme modelo disponível no Anexo II da Instrução Normativa BCB nº 290, de 29 de julho de 2022;
III - questionário de autoavaliação em segurança, conforme modelo disponível no Anexo VII desta Instrução Normativa, devidamente assinado por diretor responsável pela política de segurança cibernética;
IV - contrato firmado com participante responsável, nos termos do Regulamento do Pix; e
V - declaração firmada pelo participante responsável de que, nos termos do Regulamento do Pix, a instituição contratante integralizou o montante de capital mínimo requerido.
..........................................................................................................." (NR)
"Art. 5º Para instituições que possuam autorização para funcionamento emitida pelo Banco Central do Brasil e que pretendam atuar exclusivamente como iniciadores, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:
I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo IV desta Instrução Normativa;
II - formulário de produtos e serviços que ofertará, conforme modelo disponível no Anexo III da Instrução Normativa BCB nº 290, de 2022; e
III - questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética:
a) conforme modelo disponível no Anexo IX desta Instrução Normativa, caso pretenda acessar de forma direta o DICT;
b) conforme modelo disponível no Anexo X desta Instrução Normativa, caso pretenda acessar de forma indireta o DICT; ou
c) conforme modelo disponível no Anexo XI desta Instrução Normativa, caso pretenda não acessar o DICT.
..........................................................................................................." (NR)
"Art. 7º À exceção das informações relativas ao número, à modalidade de contas ativas de clientes e às evidências que demonstram o atendimento aos itens constantes do questionário de autoavaliação em segurança, as demais informações e documentos apresentados no âmbito da etapa cadastral devem ser mantidos atualizados perante o Banco Central do Brasil durante o processo de adesão e enquanto a instituição for participante do Pix.
§ 1º As informações e os documentos de que trata este Capítulo, inclusive eventuais alterações em informações e documentos já enviados, devem ser encaminhados ao Decem exclusivamente por meio do Protocolo Digital do Banco Central do Brasil (Protocolo Digital), observando-se as orientações constantes no Anexo V desta Instrução Normativa.
§ 2º Os participantes do Pix devem armazenar as evidências que demonstrem o atendimento aos itens constantes do questionário de autoavaliação em segurança pelo período mínimo de 5 (cinco) anos e, quando solicitados, encaminhá-las ao Banco Central do Brasil de acordo com o formato e os prazos definidos.
§ 3º O período mínimo de que trata o § 2º será contado a partir do envio, ao Banco Central do Brasil, das informações contidas no questionário de autoavaliação em segurança." (NR)
"Art. 10. ......................................................................................................
....................................................................................................................
§ 3º Até o término da etapa homologatória, a instituição em processo de adesão deverá cadastrar no Sistema de Informações sobre Entidades de Interesse do Banco Central (Unicad):
I - diretor responsável por questões relacionadas à participação no Pix; e
II - diretor responsável pela política de segurança cibernética.
....................................................................................................................
§ 8º Será considerada reprovada na etapa homologatória a instituição:
....................................................................................................................
III - reprovada na etapa de verificação de aderência das soluções aos usuários finais, de que trata o art. 17;
IV - desistente do processo de adesão ao Pix;
V - que pretenda acessar o DICT de forma indireta e que tenha indicado participante direto não habilitado à prestação de serviços no DICT, de que trata o art. 14, até o término do prazo de que trata o caput, ressalvada eventual prorrogação de que trata o § 4º; ou
VI - que pretenda ser participante indireta do SPI e que tenha indicado participante direto não aprovado nos testes formais de homologação, de que trata o art. 11, até o término do prazo de que trata o caput, ressalvada eventual prorrogação de que trata o § 4º." (NR)
"Art. 26. Participantes iniciadores e participantes provedores de conta transacional que sejam participantes do Open Finance, nos termos dispostos em regulamentação específica, devem ser aprovados nos testes formais de validação da prestação de serviço de iniciação de transação de pagamento, nos termos da Instrução Normativa BCB nº 290, de 2022." (NR)
"Art. 27. ......................................................................................................
I - o provedor de conta transacional que não seja participante do Open Finance como instituição detentora de conta, nos termos dispostos em regulamentação específica; e
....................................................................................................................
§ 1º O provedor de conta transacional que não seja participante do Open Finance como instituição detentora de conta, nos termos dispostos em regulamentação específica, deverá ser aprovado na validação da prestação de serviço de iniciação de transação de pagamento, caso passe a ser participante do Open Finance como instituição detentora de conta.
§ 2º O liquidante especial que seja participante do Open Finance como instituição detentora de conta, nos termos dispostos em regulamentação específica, deverá ser aprovado na validação da prestação de serviço de iniciação de transação de pagamento, caso deseje alterar sua modalidade de participação para provedor de conta transacional." (NR)
"Art. 37-B. As instituições que impetraram pedido de adesão ao Pix até 30 de abril de 2023, e que estejam aguardando a análise do pleito, deverão enviar ao Decem, pelo Protocolo Digital e até o término da eventual etapa cadastral, o questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética.
Parágrafo único. A aprovação das instituições de que trata o caput na etapa cadastral do processo de adesão ao Pix fica condicionada, além dos requisitos constantes do Capítulo I, à aprovação do Decem quanto ao questionário de autoavaliação em segurança." (NR)
"Art. 37-C. As instituições que impetraram pedido de adesão ao Pix até 30 de abril de 2023, e que estejam em etapa cadastral, deverão enviar ao Decem, pelo Protocolo Digital e até o término da eventual etapa homologatória, o questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética.
Parágrafo único. A aprovação das instituições de que trata o caput na eventual etapa homologatória do processo de adesão ao Pix fica condicionada, além dos requisitos constantes do Capítulo II, à aprovação do Decem quanto ao questionário de autoavaliação em segurança." (NR)
"Art.37-D. As instituições que impetraram pedido de adesão ao Pix até 30 de abril de 2023, e que estejam em etapa homologatória, deverão enviar ao Decem, pelo Protocolo Digital e até o término dessa etapa o questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética.
Parágrafo único. A aprovação das instituições de que trata o caput na etapa homologatória do processo de adesão Pix fica condicionada, além dos requisitos constantes do Capítulo II, à aprovação do Decem quanto ao questionário de autoavaliação em segurança." (NR)
"Art.37-E. No âmbito do processo de adesão ao Pix, as instituições que tenham concluído a etapa homologatória até 30 de abril de 2023 estão dispensadas do envio do questionário de autoavaliação em segurança." (NR)
"Anexo VI - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade provedor de conta transacional, acessar de forma direta o DICT e ser participante direto do SPI
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Comunicação segura |
|
|
A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura |
||
|
I (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição na fase de operação restrita, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix? (Sim/Não) |
|
|
II |
Assinatura Digital |
|
|
A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI) e no Diretório de Identificadores de Contas Transacionais (DICT). |
||
|
II (a) |
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix? (Sim/Não) |
|
|
III |
Segurança de QR Codes dinâmicos |
|
|
A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança deQR Codesdinâmicos gerados pelo recebedor. |
||
|
III (a) |
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos nos itens 4.1 e 4.2 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
|
|
III (b) |
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
|
|
IV |
Certificados digitais |
|
|
A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação de revogação desses certificados. |
||
|
IV (a) |
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix? (Sim/Não) |
|
|
V |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
V (a) |
A solução prevista contempla a utilização, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
V (b) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
|
|
V (c) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
|
|
V (d) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
|
|
V (e) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
V (f) |
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento de operação da instituição na fase de operação restrita, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
|
|
V (g) |
A solução prevista contempla o fornecimento, desde o primeiro momento de operação da instituição na fase de operação restrita, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
|
.
|
V (h) |
A solução prevista contempla a implementação de controles, desde o primeiro momento de operação da instituição na fase de operação restrita, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos esoftwaresclientes? (Sim/Não) |
|
|
V (i) |
A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizandoQR Codediretamente no sistema ouAPI, ao invés da utilização de filtros nosoftwarecliente, desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
|
|
V (j) |
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
|
|
VI |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
VI (a) |
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
|
|
VII |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
VII (a) |
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
|
|
VII (b) |
Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
|
|
VII (c) |
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
|
|
VII (d) |
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
|
|
VII (e) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não) |
|
|
VII (f) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
|
|
VII (g) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
|
|
VII (h) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
|
|
VII (i) |
A instituição estabelecerá, desde o primeiro momento de operação da instituição na fase de operação restrita, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
|
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome
(diretor responsável pela política de segurança cibernética)" (NR)
|
I |
Segurança de QR Codes dinâmicos |
|
|
A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança deQR Codesdinâmicos gerados pelo recebedor. |
||
|
I (a) |
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos nos itens 4.1 e 4.2 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
|
|
I (b) |
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
|
|
II |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
II (a) |
A solução prevista contempla a utilização, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
II (b) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
|
|
II (c) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
|
|
II (d) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
|
|
II (e) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
II (f) |
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento de operação da instituição na fase de operação restrita, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
|
|
II (g) |
A solução prevista contempla o fornecimento, desde o primeiro momento de operação da instituição na fase de operação restrita, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
|
|
II (h) |
A solução prevista contempla a implementação de controles, desde o primeiro momento de operação da instituição na fase de operação restrita, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos esoftwaresclientes? (Sim/Não) |
|
|
II (i) |
A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizandoQR Codediretamente no sistema ouAPI, ao invés da utilização de filtros nosoftwarecliente, desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
|
|
II (j) |
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
|
|
III |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
III (a) |
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
|
|
IV |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
IV (a) |
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
|
|
IV (b) |
Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
|
.
|
IV (c) |
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
|
|
IV (d) |
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
|
|
IV (e) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não) |
|
|
IV (f) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
|
|
IV (g) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
|
|
IV (h) |
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
|
|
IV (i) |
A instituição estabelecerá, desde o primeiro momento de operação da instituição na fase de operação restrita, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome
(diretor responsável pela política de segurança cibernética)" (NR)
"Anexo VIII - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade liquidante especial
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Comunicação segura |
|
|
A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura |
||
|
I (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix? (Sim/Não) |
|
|
II |
Assinatura Digital |
|
|
A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI) e no Diretório de Identificadores de Contas Transacionais (DICT). |
||
|
II (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix? (Sim/Não) |
|
|
III |
Certificados digitais |
|
|
A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação de revogação desses certificados. |
||
|
III (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix? (Sim/Não) |
|
|
IV |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
IV (a) |
A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
IV (b) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
|
|
IV (c) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
|
|
IV (d) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
|
|
IV (e) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
IV (f) |
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
|
|
IV (g) |
A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
|
|
V |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
V (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
|
|
VI |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
VI (a) |
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento da instituição em operação plena? (Sim/Não) |
|
|
VI (b) |
Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
|
|
VI (c) |
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena? (Sim/Não) |
|
|
VI (d) |
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
|
|
VII (e) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
|
|
VII (f) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
|
|
VII (g) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
|
|
VII (h) |
A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
|
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome
(diretor responsável pela política de segurança cibernética)" (NR)
"Anexo IX - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade iniciador e acessar de forma direta o DICT
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Comunicação segura |
|
|
A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura |
||
|
I (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix? (Sim/Não) |
|
|
II |
Assinatura Digital |
|
|
A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI) e no Diretório de Identificadores de Contas Transacionais (DICT). |
||
|
II (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix? (Sim/Não) |
|
|
III |
Segurança de QR Codes dinâmicos |
|
|
A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança deQR Codesdinâmicos gerados pelo recebedor. |
||
|
III (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
|
|
IV |
Certificados digitais |
|
|
A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação de revogação desses certificados. |
||
|
IV (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix? (Sim/Não) |
|
|
V |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
V (a) |
A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
V (b) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
|
|
V (c) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
|
|
V (d) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
|
|
V (e) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
V (f) |
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
|
|
V (g) |
A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
|
|
V (h) |
A solução prevista contempla a implementação de controles, desde o primeiro momento da instituição em operação plena, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos esoftwaresclientes? (Sim/Não) |
|
|
V (i) |
A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizandoQR Codediretamente no sistema ouAPI, ao invés da utilização de filtros nosoftwarecliente, desde o primeiro momento da instituição em operação plena? (Sim/Não) |
|
|
V (j) |
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
|
|
VI |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
VI (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
|
|
VII |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
VII (a) |
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena? (Sim/Não) |
|
|
VII (b) |
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
|
|
VII (c) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não) |
|
|
VII (d) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
|
|
VII (e) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
|
|
VII (f) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
|
|
VII (g) |
A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
|
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome
(diretor responsável pela política de segurança cibernética)" (NR)
"Anexo X - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade iniciador e acessar de forma indireta o DICT
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Segurança de QR Codes dinâmicos |
|
|
A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança deQR Codesdinâmicos gerados pelo recebedor. |
||
|
I (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
|
|
II |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
II (a) |
A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
II (b) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
|
|
II (c) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
|
|
II (d) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
|
|
II (e) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
II (f) |
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
|
|
II (g) |
A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
|
|
II (h) |
A solução prevista contempla a implementação de controles, desde o primeiro momento da instituição em operação plena, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos esoftwaresclientes? (Sim/Não) |
|
|
II (i) |
A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizandoQR Codediretamente no sistema ouAPI, ao invés da utilização de filtros nosoftwarecliente, desde o primeiro momento da instituição em operação plena? (Sim/Não) |
|
|
II (j) |
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
|
|
III |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
III (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
|
|
IV |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
IV (a) |
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena? (Sim/Não) |
|
|
IV (b) |
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
|
|
IV (c) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não) |
|
|
IV (d) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
|
|
IV (e) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
|
|
IV (f) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
|
|
IV (g) |
A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
|
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome
(diretor responsável pela política de segurança cibernética)" (NR)
"Anexo XI - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade iniciador e sem acesso ao DICT
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
I (a) |
A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
I (b) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
|
|
I (c) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
|
|
I (d) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
|
|
I (e) |
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
|
|
I (f) |
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
|
|
I (g) |
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
|
|
II |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
II (a) |
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
|
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome
(diretor responsável pela política de segurança cibernética)" (NR)
Art. 2º O Anexo I à Instrução Normativa BCB nº 291, de 29 de julho de 2022, passa a vigorar com a seguinte redação:
"Anexo I - Formulário de adesão ao Pix e de atualização cadastral para instituições que tenham autorização para funcionamento do Banco Central do Brasil e que pretendam atuar na modalidade provedor de conta transacional
|
I |
Motivo da apresentação |
( ) Pedido de adesão ( ) Atualização cadastral de participante em operação, nos termos dispostos no art. 7º ( ) Atualização cadastral de instituição em adesão ao Pix, nos termos dispostos no art. 7º |
||
|
II |
Instituição elegível para regime de transição de que trata a Seção IX do Capítulo XXII do Regulamento do Pix (Sim/Não) |
|||
|
III |
Inscrição no CNPJ |
|
||
|
IV |
Oferta serviço de iniciação no âmbito do Open Finance (Sim/Não) |
|||
|
V |
Participante do Open Finance como instituição detentora de conta |
( ) Sim 1 ( ) Não, a instituição está dispensada 2 ( ) A instituição está pleiteando ou pleiteará dispensa de participação do Open Finance 3 |
||
|
VI |
Facilita serviço de saque (Pix Saque e Pix Troco) (Sim/Não) |
|
||
|
VII |
Tipo de acesso ao DICT (direto ou indireto) Obs: O acesso direto ao DICT é obrigatório ao participante direto no SPI. |
|
||
|
VIII |
Tipo de participação no SPI (direta ou indireta) Obs: Se indireta, informar código ISPB do participante liquidante no SPI: |
|
||
|
IX |
Se participante direto no SPI, informar forma de conexão à RSFN (direta ou por meio de PSTI) Se por meio de PSTI, indicar o nome e o CNPJ do PSTI: - Nome do PSTI: - CNPJ do PSTI: |
|
||
|
X |
Número de contas ativas de clientes no momento do pedido de adesão, nas seguintes modalidades: |
|
||
|
X (a) |
Contas de depósito à vista |
|
||
|
X (b) |
Contas de depósito de poupança |
|
||
|
X (c) |
Contas de pagamento pré-pagas |
|
||
|
XI |
Oferta contas transacionais a usuários finais: |
( ) pessoas jurídicas ( ) pessoas naturais |
||
|
XII |
Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao Pix |
Nome: CPF: |
||
|
XIII |
Telefone da instituição para assuntos relacionados ao Pix |
|
||
|
XIV |
Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao Pix Obs: Informar preferencialmente e-mail institucional acessível a mais de um usuário |
|
||
|
XV |
Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao SPI |
Nome: CPF: |
||
|
XVI |
Telefone da instituição para assuntos relacionados ao SPI |
|
||
|
XVII |
Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao SPI |
|
||
1 A participação no Open Finance como detentor de conta é obrigatória a todas as instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, nos termos dispostos em regulamentação específica.
2 A comprovação de dispensa de participação no Open Finance deverá ser enviada ao Decem por ocasião da apresentação do pedido de adesão ou durante o prazo de que trata o art. 8º, caput.
3 A dispensa de participação no Open Finance é obtida nos termos dispostos em regulamentação específica, e deverá ser apresentada ao Decem até o término da etapa homologatória do processo de adesão ao Pix. Caso contrário, a instituição deverá submeter-se aos testes de que trata o art. 26.
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome e Cargo" (NR)
Art. 3º Ficam revogados os seguintes dispositivos da Instrução Normativa BCB nº 291, de 29 de julho de 2022:
I - o § 1º do art. 4º; e
II - o parágrafo único do art. 7º.
Art. 4º Esta Instrução Normativa entra em vigor em 2 de maio de 2023.
CARLOS EDUARDO DE ANDRADE BRANDT SILVA
Substituto
ANEXO
NOTA
O Decreto nº 10.411, de 30 de junho de 2020, prevê a obrigatoriedade da realização de análise de impacto regulatório (AIR) para a edição de atos normativos de interesse geral produzidos pelos órgãos e entidades da administração pública federal direta e indireta.
Todavia, consoante se definiu no parágrafo 8 do Voto 280/2021-BCB, de 10 de novembro de 2021, o Regulamento do Pix, inclusive os demais documentos que o integram ou que o detalham e o complementam, não se caracterizam como ato regulatório de força cogente, ostentando, em verdade, natureza eminentemente contratual. Assim, modificações promovidas no referido regulamento e nos demais documentos que o integram ou que o detalham e o complementam não se sujeitam à produção prévia de AIR.