Revogada Norma
30/12/2009
#53857

Carta Circular Nº 3.426

Estabelece requisitos para provedores de serviços de tecnologia no Sistema de Pagamentos Brasileiro.

                      CARTA-CIRCULAR N. 003426                       
                      ------------------------                       

                                  Estabelece os requisitos para pres-
                                  tação de serviços de tecnologia  no
                                  âmbito  do  Sistema  de  Pagamentos
                                  Brasileiro - SPB.                  

          Esclarecemos que os Provedores de Serviços de Tecnologia da
Informação - PSTI são  entidades que podem prestar serviços de tecno-
logia no âmbito do SPB para instituições detentoras de conta Reservas
Bancárias ou de Conta de Liquidação, exceto para câmaras e  prestado-
res de serviço de compensação e  de  liquidação sistemicamente impor-
tantes, nos termos desta carta-circular.                             

2.        O serviço de tecnologia prestado por  PSTI compreende o en-
caminhamento das mensagens originadas das instituições por ele servi-
das ou a elas destinadas, observado que:                             

          I - uma instituição somente pode ser PSTI para instituições
do conglomerado a que pertencer; e                                   

          II - os provedores da RSFN não podem ser PSTI.             

3.        A prestação de serviços pelo  PSTI deve observar o disposto
nos documentos  Catálogo de Mensagens  e  de Arquivos da RSFN, Manual
Técnico da RSFN e Manual de Segurança da RSFN, de que trata a  Circu-
lar  nº 3.424, de  12 de dezembro de 2008,  disponíveis na  página do
Banco Central do Brasil na internet  (www.bcb.gov.br) e  na página da
Rede do Sistema Financeiro Nacional RSFN (www.bcb.rsfn.net.br).      

4.        As formas de  aglutinação de  instituições para  efeito  de
compartilhamento de serviços prestados por um PSTI compreendem:      

          I - Aglomerado: conjunto de instituições detentoras de con-
ta Reservas Bancárias ou  de Conta de Liquidação não participantes de
um mesmo conglomerado financeiro;                                    

          II - Conglomerado:  conjunto de  instituições detentoras de
conta  Reservas Bancárias  ou de  Conta de Liquidação com controlador
comum,  direto ou indireto,  das quais uma presta os serviços típicos
de PSTI às demais, mesmo que qualquer das demais seja participante do
Sistema de Transferência de Reservas - STR; ou                       

          III - Contingência:  conjunto de instituições detentoras de
conta Reservas Bancárias ou de  Conta de Liquidação e não integrantes
de um  mesmo conglomerado financeiro, que utiliza  os serviços  de um
PSTI, exclusivamente em situação de contingência.                    

5.        A contratação dos serviços de PSTI por instituição detento-
ra de conta  Reservas Bancárias ou  de Conta de Liquidação deverá ser
previamente aprovada pelo  Banco Central do Brasil, nos termos de re-
gulamentação específica, esclarecido que  uma instituição somente po-
de contratar os serviços de um único PSTI.                           

6.        O  pedido de autorização  para funcionar como  PSTI  deverá
conter o  Plano de Negócios da entidade e  a descrição do  projeto de
implementação dos requisitos tecnológicos estabelecidos nesta  carta-
circular, formalizado mediante expediente encaminhado ao Departamento
de Tecnologia da Informação - Deinf.                                 

7.        A autorização referida no item precedente será revogada ca-
so a entidade credenciada como  PSTI não preste, por  um ano ininter-
rupto, serviços de tecnologia da informação no âmbito do SPB para pe-
lo menos um participante do STR, no ambiente de produção.            

8.        Na prestação dos serviços, o PSTI deve:                    

          I - manter inalterado o conteúdo das mensagens por ele cur-
sadas;                                                               

          II - assegurar e preservar o sigilo das informações proces-
sadas por seu intermédio;                                            

          III - oferecer igual  nível de serviços às instituições que
utilizem seus serviços;                                              

          IV - ter disponível, para supervisão pelo  Banco Central do
Brasil,  os programas-fonte de seus  programas de acesso ao  STR,  os
diagramas de conexão ao STR e  os diagramas de programas, de máquinas
e de telecomunicações, envolvendo a instituição e  o PSTI, caso os a-
plicativos sejam providos aos aglomerados;                           

          V - possuir, no mínimo,  uma ligação a cada um dos provedo-
res de comunicações da  RSFN, em cada um de seus  Centros de Serviços
de Informática - CSI;                                                

          VI - possuir, para cada Aglomerado ou Conglomerado, elemen-
tos computacionais independentes, assim definidos  todas as máquinas,
os programas e as aplicações necessários para cursar as mensagens das
instituições;                                                        

          VII - possuir, no mínimo, dois CSI independentes e interli-
gados, de modo a oferecer funcionamento ininterrupto, observado o in-
dice de 99,8% de disponibilidade.                                    

9.        Na prestação dos  serviços de Contingência,  adicionalmente
ao previsto nos incisos de I a VI do item 8, o PSTI deve:            

          I - garantir o sigilo das informações processadas,  caso os
aplicativos sejam por ele providos e  as instituições compartilharem 
os servidores de aplicação e infra-estrutura;                        

          II - prover elementos computacionais independentes para ca-
da instituição, assim definidos todas as máquinas e a infra-estrutura
necessárias à aplicação, caso os aplicativos sejam providos pelas ins
tituições.                                                           

10.       A instituição participante de Aglomerado, conforme definido
no inciso I do item 4, deve:                                         

          I - zelar pela guarda e integridade de sua chave criptográ-
fica secreta para assinatura digital, que  não pode, em nenhuma hipó-
tese, estar localizada nas máquinas servidoras do PSTI;              

          II - possuir máquinas  e programas  apropriados para prepa-
rar, assinar digitalmente, cifrar e encaminhar suas mensagens;       

          III - possuir máquinas  e programas apropriados  para rece-
ber, conferir a assinatura digital, decifrar e processar as mensagens
que lhe forem encaminhadas;                                          

          IV - possuir, no mínimo, uma ligação a cada um dos provedo-
res de comunicações da RSFN, para comunicação com o PSTI a que esteja
ligada; e                                                            

          V - ter disponível,  para supervisão pelo  Banco Central do
Brasil,  os programas-fonte de  seus programas de acesso ao  STR,  os
diagramas de conexão ao  STR e os diagramas de programas, de máquinas
e de telecomunicações, envolvendo a própria instituição e o PSTI.    

11.       No caso de Conglomerado,  conforme definido no inciso II do
item 4:                                                              

          I - os serviços de processamento  de dados das instituições
participantes devem ser executados em um único CSI;                  

          II - o PSTI do Conglomerado, se utilizar  CSI de terceiros,
estará sujeito às condições previstas para Aglomerado; e             

          III - cada instituição participante  deve possuir  seu pró-
prio certificado digital e  suas mensagens devem ser assinadas com as
chaves privadas relativas ao seu certificado.                        

12.       A instituição contratante dos serviços de um PSTI que,  por
qualquer motivo,  não puder encaminhar as mensagens relativas à movi-
mentação de sua conta Reservas Bancárias  ou Conta de Liquidação deve
utilizar o serviço de inserção de mensagens em regime de contingência
disponibilizado pelo Banco Central do Brasil.                        

13.       São admitidas a  hospedagem de máquinas e  de aplicativos e
a utilização de centros de  processamento comerciais  especializados,
desde que observados todos os critérios definidos nesta  carta-circu-
lar, para as instituições participantes e para os PSTI.              

14.       É vedado o trânsito, entre as partes, das chaves criptográ-
ficas privadas utilizadas ou de mensagens "em claro".                

15.       Somente por meio da RSFN é permitida a troca de informações
entre o PSTI e as instituições detentoras de conta Reservas Bancárias
que dele se utilizam e entre o PSTI e os demais participantes do STR.

16.       Admite-se a troca de informações por meio de rede dedicada,
homologada pelo Banco Central do Brasil, entre o PSTI e  as institui-
ções detentoras de Conta de Liquidação que dele se utilizam,  ressal-
vado que a troca de informações entre o PSTI e  os demais participan-
tes do STR deve ocorrer por meio da RSFN, mantidos os demais requisi-
tos estabelecidos nesta carta-circular, inclusive no  que se refere à
guarda das assinaturas digitais e demais elementos de segurança.     

17.       Fica revogada a  Carta-Circular nº 3.189,  de 10 de maio de
2005.                                                                

18.       Esta carta-circular entra em vigor na data  de sua publica-
ção.                                                                 

                                    Brasília, 30 de dezembro de 2009.


Departamento de Operações Bancárias     Departamento de Tecnologia da
e de Sistema de Pagamentos              Informação                   



Radjalma Costa                          Marcelo José Oliveira Yared  
Chefe de Unidade, substituto            Chefe de Unidade, substituto