Comunicado
18/05/2001
#16203

COMUNICADO N. 008454

Define regras para provedores de serviços de tecnologia da informação no Sistema de Pagamentos Brasileiro, incluindo topologias, segurança e requisitos operacionais.

                        COMUNICADO N. 008454                         
                        --------------------                         

                               Comunica decisoes  do Banco Central do
                               Brasil,  relativas a  implementacao da
                               Reestruturacao do  Sistema de Pagamen-
                               tos Brasileiro.                       

         Comunicamos que  o Banco Central do Brasil adotou as seguin-
tes decisoes, no  ambito da  Reestruturacao do Sistema  de Pagamentos
Brasileiro, relativas a prestacao de servicos de tecnologia da infor-
macao:                                                               

         I  -  Provedores  de Servicos  de  Tecnologia  da Informacao
(PSTI) podem prestar servicos para uma ou mais instituicoes financei-
ras detentoras de conta  Reservas Bancarias, desde  que observados os
requisitos e as  definicoes referentes a  topologia "n x  2" aqui es-
tabelecidos, bem como  o disposto  no documento Manual  de Mensagens,
disponivel na pagina do Banco Central na Internet (www.bcb.gov.br);  

         II -  Considera-se PSTI a entidade que proporciona o encami-
nhamento das  mensagens originadas  das instituicoes  financeiras por
ele servidas ou a elas destinadas, observado que:                    

         a) uma instituicao  financeira  somente pode  ser  PSTI para
            instituicoes do conglomerado a que pertencer; e          

         b) os provedores da rede SPB nao podem ser PSTI;            

          III - Define-se "n x 2"  (n variando de 1  a 8) a topologia
em que "n" significa  o numero maximo de  instituicoes que podem com-
partilhar, de forma independente de outros  grupos de ate oito insti-
tuicoes, os servicos  do PSTI  e "2"  o numero  minimo de  Centros de
Servicos de  Informatica (CSI)  possuidos pelo  PSTI e  utilizados na
prestacao desses servicos;                                           

         IV - A topologia n x 2 pode ter as seguintes formas de aglu-
tinacao:                                                             

         a) AGLOMERADO BANCARIO: conjunto de,  no maximo, oito insti-
            tuicoes financeiras detentoras de conta Reservas Bancari-
            as nao participantes de um mesmo conglomerado financeiro,
            compartilhando os servicos  de um PSTI  de forma indepen-
            dente de outros aglomerados bancarios; ou                

         b) CONGLOMERADO: conjunto de ate oito instituicoes financei-
            ras detentoras de conta  Reservas Bancarias com controla-
            dor comum,  direto ou indireto,  das quais  uma presta os
            servicos tipicos de  PSTI, mesmo que  qualquer das demais
            esteja apta a operar no SPB;                             

         V - Na prestacao dos servicos, o PSTI deve:                 

         a) manter inalterado o conteudo das mensagens por ele cursa-
            das;                                                     

         b) assegurar e preservar o  sigilo das informacoes processa-
            das por seu intermedio;                                  

         c) oferecer nivel de servicos indiferenciado as instituicoes
            financeiras participantes de um aglomerado ou conglomera-
            do;                                                      

         d) ter a  possibilidade de  processar as "mensagens  de eco"
            oriundas das instituicoes financeiras participantes de um
            aglomerado, nao se admitindo  que o PSTI emita essas men-
            sagens em substituicao ou em nome das instituicoes;      

         e) possuir, no minimo:                                      

         1. dois Centros de Servicos de Informatica (CSI) independen-
            tes e interligados,  de  modo  a  oferecer  funcionamento
            ininterrupto,  observado o indice de 99,8% de operaciona-
            lidade;                                                  

         2. uma ligacao a  cada um dos  provedores de comunicacoes da
            rede SPB, em cada um de seus CSI;                        

         f) possuir,  para cada aglomerado ou conglomerado, elementos
            computacionais independentes, definindo-se como elementos
            computacionais todas as maquinas,  programas e aplicacoes
            necessarios para cursar as mensagens das instituicoes fi-
            nanceiras participantes do aglomerado ou conglomerado;   

         VI - A instituicao  financeira  participante  de  aglomerado
bancario como o definido no item IV-a deve:                          

         a) zelar pela guarda e integridade do seu  Certificado Digi-
            tal, que nao pode, em nenhuma  hipotese, estar localizado
            nas maquinas servidoras do PSTI;                         

         b) possuir maquinas e  programas apropriados  para preparar,
            assinar digitalmente, cifrar e encaminhar suas mensagens;

         c) possuir maquinas e programas  apropriados  para  receber,
            conferir  a  assinatura digital, decifrar e  processar as
            mensagens que lhe forem encaminhadas;                    

         d) possuir duas ligacoes a rede SPB,  para comunicacao com o
            PSTI a que esteja ligada;                                

         e) ter disponivel,  para supervisao  pelo Banco Central,  os
            programas-fonte de seus  programas  de  acesso ao SPB, os
            diagramas de conexao ao SPB e  os diagramas de programas,
            maquinas e de telecomunicacoes, envolvendo a propria ins-
            tituicao e o PSTI;                                       

         VII - No caso de conglomerado, como definido no item IV-b:  

         a) os servicos de processamento de  dados  das  instituicoes
            financeiras participantes devem ser executados em um uni-
            co CSI;                                                  

         b) o PSTI do conglomerado nao pode  ter seu centro de infor-
            matica terceirizado,  do contrario,  o conglomerado passa
            a condicao de aglomerado bancario,  sujeitando-se as con-
            dicoes pertinentes;                                      

         c) cada instituicao financeira participante deve possuir seu
            proprio  certificado digital,  devendo suas mensagens ser
            assinadas  com  as chaves privadas  relativas ao seu cer-
            tificado;                                                

         d) a instituicao  financeira  que operar como PSTI deve pos-
            suir dois  CSI independentes e interligados e, no minimo,
            duas ligacoes a rede SPB, de modo a oferecer funcionamen-
            to ininterrupto, observado o indice de 99,8% de operacio-
            nalidade.                                                

        VIII - A instituicao, independentemente da topologia adotada,
que nao puder encaminhar as mensagens relativas a movimentacao de sua
conta Reservas Bancarias ao Banco Central do Brasil, devera adotar os
os procedimentos de contingencia a serem oportunamente divulgados;   

         IX - Serao divulgados, oportunamente,  os requisitos minimos
de desempenho e de seguranca de dados que os participantes do SPB de-
verao atender.                                                       

         X - Cada instituicao, ao aderir a rede SPB,  devera submeter
ao Banco Central do Brasil a topologia que pretende utilizar e manter
atualizadas as informacoes  pertinentes, as quais  estarao sujeitas a
supervisao desta Autarquia, a exemplo dos  programas-fonte e dos dia-
gramas mencionados no item VI-e.                                     
         XI - E admitida a hospedagem de maquinas  e de aplicativos e
a utilizacao de  centros de  processamento comerciais especializados,
desde que observados todos os criterios  acima definidos para as ins-
tituicoes financeiras participantes e para os PSTI.                  

         XII - E vedado o transito, entre as partes, das chaves crip-
tograficas privadas utilizadas ou  de mensagens "em  claro" de infor-
macoes.                                                              

                                   Brasilia, 18 de maio de 2001      


DEPARTAMENTO DE OPERACOES          DEPARTAMENTO DE INFORMATICA       
BANCARIAS E DE SISTEMA                                               
DE PAGAMENTOS                                                        

Luis Gustavo da Matta Machado           Roberto Ozu                  
Chefe                                   Chefe                        







Perguntas e respostas

Quais são as obrigações do PSTI na prestação de serviços?
O PSTI deve:
  • Manter inalterado o conteúdo das mensagens por ele cursadas.
  • Assegurar e preservar o sigilo das informações processadas por seu intermédio.
  • Oferecer nível de serviços indiferenciado às instituições financeiras participantes de um aglomerado ou conglomerado.
  • Ter a possibilidade de processar as 'mensagens de eco' oriundas das instituições financeiras participantes de um aglomerado, não se admitindo que o PSTI emita essas mensagens em substituição ou em nome das instituições.
  • Possuir, no mínimo, dois Centros de Serviços de Informática (CSI) independentes e interligados, de modo a oferecer funcionamento ininterrupto, observado o índice de 99,8% de operacionalidade.
  • Possuir uma ligação a cada um dos provedores de comunicações da rede SPB, em cada um de seus CSI.
  • Possuir, para cada aglomerado ou conglomerado, elementos computacionais independentes, definindo-se como elementos computacionais todas as máquinas, programas e aplicações necessários para cursar as mensagens das instituições financeiras participantes do aglomerado ou conglomerado.
O que deve fazer uma instituição financeira que não puder encaminhar mensagens relativas à movimentação de sua conta Reservas Bancárias ao Banco Central do Brasil?
Ela deve adotar os procedimentos de contingência a serem oportunamente divulgados.
O que são Provedores de Serviços de Tecnologia da Informação (PSTI)?
Provedores de Serviços de Tecnologia da Informação (PSTI) são entidades que proporcionam o encaminhamento das mensagens originadas das instituições financeiras por eles servidas ou a elas destinadas.
Quais são os requisitos para que uma instituição financeira seja considerada PSTI?
Uma instituição financeira só pode ser considerada PSTI para instituições do conglomerado a que pertence, e os provedores da rede SPB não podem ser PSTI.
É permitido o trânsito de chaves criptográficas privadas ou de mensagens 'em claro' entre as partes?
Não, é vedado o trânsito, entre as partes, das chaves criptográficas privadas utilizadas ou de mensagens 'em claro' de informações.
Quais são as formas de aglutinação na topologia 'n x 2'?
As formas de aglutinação na topologia 'n x 2' são:
  • Aglomerado Bancário: conjunto de, no máximo, oito instituições financeiras detentoras de conta Reservas Bancárias não participantes de um mesmo conglomerado financeiro, compartilhando os serviços de um PSTI de forma independente de outros aglomerados bancários.
  • Conglomerado: conjunto de até oito instituições financeiras detentoras de conta Reservas Bancárias com controlador comum, direto ou indireto, das quais uma presta os serviços típicos de PSTI, mesmo que qualquer das demais esteja apta a operar no SPB.
O que significa a topologia 'n x 2'?
A topologia 'n x 2' define-se como a configuração em que 'n' é o número máximo de instituições que podem compartilhar, de forma independente de outros grupos de até oito instituições, os serviços do PSTI, e '2' é o número mínimo de Centros de Serviços de Informática (CSI) possuídos pelo PSTI e utilizados na prestação desses serviços.
Quais são as condições para que um conglomerado financeiro opere como PSTI?
Para que um conglomerado financeiro opere como PSTI, deve-se observar:
  • Os serviços de processamento de dados das instituições financeiras participantes devem ser executados em um único CSI.
  • O PSTI do conglomerado não pode ter seu centro de informática terceirizado; caso contrário, o conglomerado passa à condição de aglomerado bancário, sujeitando-se às condições pertinentes.
  • Cada instituição financeira participante deve possuir seu próprio certificado digital, devendo suas mensagens ser assinadas com as chaves privadas relativas ao seu certificado.
  • A instituição financeira que operar como PSTI deve possuir dois CSI independentes e interligados e, no mínimo, duas ligações à rede SPB, de modo a oferecer funcionamento ininterrupto, observado o índice de 99,8% de operacionalidade.
Quais informações devem ser submetidas ao Banco Central do Brasil ao aderir à rede SPB?
Cada instituição deve submeter ao Banco Central do Brasil a topologia que pretende utilizar e manter atualizadas as informações pertinentes, as quais estarão sujeitas à supervisão desta Autarquia, a exemplo dos programas-fonte e dos diagramas mencionados no item VI-e.
Quais são as responsabilidades de uma instituição financeira participante de um aglomerado bancário?
Uma instituição financeira participante de um aglomerado bancário deve:
  • Zelar pela guarda e integridade do seu Certificado Digital, que não pode, em nenhuma hipótese, estar localizado nas máquinas servidoras do PSTI.
  • Possuir máquinas e programas apropriados para preparar, assinar digitalmente, cifrar e encaminhar suas mensagens.
  • Possuir máquinas e programas apropriados para receber, conferir a assinatura digital, decifrar e processar as mensagens que lhe forem encaminhadas.
  • Possuir duas ligações à rede SPB, para comunicação com o PSTI a que esteja ligada.
  • Ter disponível, para supervisão pelo Banco Central, os programas-fonte de seus programas de acesso ao SPB, os diagramas de conexão ao SPB e os diagramas de programas, máquinas e de telecomunicações, envolvendo a própria instituição e o PSTI.
É permitida a hospedagem de máquinas e aplicativos em centros de processamento comerciais especializados?
Sim, desde que observados todos os critérios definidos para as instituições financeiras participantes e para os PSTI.