Revogada Norma
06/04/2010
#60882

Carta Circular Nº 3.439

Esclarece os requisitos para prestação de serviços de tecnologia da informação no Sistema de Pagamentos Brasileiro.

                      CARTA-CIRCULAR N. 003439                       
                      ------------------------                       

                                   Esclarece os requisitos para pres-
                                   tação de serviços de tecnologia da
                                   informação no âmbito do Sistema de
                                   Pagamentos Brasileiro - SPB.      


         Esclarecemos que os Provedores de Serviços de Tecnologia  da
Informação (PSTI) são as entidades autorizadas pelo Banco Central  do
Brasil  a  prestar serviços de tecnologia da informação no âmbito  do
SPB  para instituições detentoras das contas a que se referem o  art.
1º  e  o inciso II do art. 2º da Circular nº 3.438, de 2 de março  de
2009, nos termos desta carta-circular.                               

2.       Os serviços prestados por PSTI compreendem o  encaminhamento
das  mensagens originadas das instituições por ele servidas ou a elas
destinadas, observado que:                                           

         I - uma instituição somente pode ser  PSTI para instituições
do conglomerado a que pertencer; e                                   

         II - os provedores da  Rede do  Sistema  Financeiro Nacional
(RSFN) não podem ser PSTI.                                           

3.       A  prestação de serviços pelo PSTI deve observar o  disposto
nos documentos Catálogo de Mensagens e de  Arquivos da  RSFN,  Manual
Técnico da RSFN e Manual de Segurança da RSFN, de que trata a  Circu-
lar nº 3.424, de 12 de dezembro de 2008, disponíveis nas  páginas  da
internet do Banco  Central  do  Brasil  (www.bcb.gov.br)  e  da  RSFN
(www.bcb.rsfn.net.br).                                               

4.       As  formas  de aglutinação de instituições  para  efeito  de
compartilhamento de serviços prestados por um PSTI compreendem:      

         I - Aglomerado: conjunto de instituições detentoras de conta
Reservas Bancárias ou de Conta  de Liquidação não participantes de um
mesmo conglomerado financeiro;                                       

         II - Conglomerado: conjunto  de  instituições  detentoras de
conta  Reservas  Bancárias ou de Conta de Liquidação com  controlador
comum,  direto ou indireto, das quais uma presta os serviços  típicos
de PSTI às demais, mesmo que qualquer das demais seja participante do
Sistema de Transferência de Reservas - STR; ou                       

         III - Contingência:  conjunto de instituições detentoras  de
conta  Reservas Bancárias ou de Conta de Liquidação e não integrantes
de  um  mesmo conglomerado financeiro, que utiliza os serviços de  um
PSTI exclusivamente em situação de contingência.                     

5.       O pedido de autorização para funcionar como PSTI deverá con-
ter o Plano de Negócios da entidade  e  a descrição do projeto de im-
plementação dos  requisitos  tecnológicos estabelecidos nesta  carta-
circular, formalizado mediante expediente encaminhado ao Departamento
de Tecnologia da Informação (Deinf).                                 

6.       A autorização referida no item precedente será revogada caso
a entidade credenciada como PSTI não preste, por um ano ininterrupto,
serviços de tecnologia da informação no âmbito do SPB para pelo menos
um participante do STR, no ambiente de produção.                     

7.       Na prestação dos serviços, o PSTI deve:                     

         I - manter inalterado o conteúdo das  mensagens por ele cur-
sadas;                                                               

         II - assegurar e preservar o sigilo das  informações proces-
sadas por seu intermédio;                                            

         III - oferecer igual nível  de serviços às instituições  que
utilizem seus serviços;                                              

         IV - ter disponível,  para supervisão pelo Banco Central  do
Brasil,  os  programas-fonte de seus programas de acesso ao  STR,  os
diagramas de conexão ao STR e os diagramas de programas, de  máquinas
e  de  telecomunicações, envolvendo a instituição e o PSTI,  caso  os
aplicativos sejam providos aos aglomerados;                          

         V - possuir, no mínimo, uma ligação a cada um dos provedores
de comunicações da RSFN,  em  cada um de  seus Centros de Serviços de
Informática - CSI;                                                   

         VI - possuir, para cada Aglomerado ou  Conglomerado, elemen-
tos computacionais independentes,  assim definidos todas as máquinas,
os programas e as aplicações necessários para cursar as mensagens das
instituições;                                                        

         VII - possuir, no mínimo,  dois CSI independentes e interli-
gados, de modo a oferecer funcionamento ininterrupto,  devendo obser-
vado o índice de disponibilidade igual ou superior a 99,8%.          

8.       Na prestação dos serviços de Contingência, adicionalmente ao
previsto nos incisos de I a VI do item 7, o PSTI deve:               

         I - garantir o sigilo das  informações processadas, caso  os
aplicativos sejam por ele providos e as instituições compartilhem  os
servidores de aplicação e infraestrutura;                            

         II - prover elementos computacionais independentes para cada
instituição, assim definidos todas as máquinas e a infraestrutura ne-
cessárias à aplicação, caso os  aplicativos sejam providos pelas ins-
tituições.                                                           

9.       A  instituição participante de Aglomerado, conforme definido
no inciso I do item 4, deve:                                         

         I - zelar pela guarda e integridade de  sua chave criptográ-
fica secreta para assinatura digital,  que não pode, em nenhuma hipó-
tese, estar localizada nas máquinas servidoras do PSTI;              

         II - possuir máquinas e programas apropriados para preparar,
assinar digitalmente, cifrar e encaminhar suas mensagens;            

         III - possuir máquinas e programas apropriados para receber,
conferir a assinatura digital,  decifrar e processar as mensagens que
lhe forem encaminhadas;                                              

         IV - possuir, no mínimo,  uma ligação a cada um dos provedo-
res de comunicações da RSFN, para comunicação com o PSTI a que esteja
ligada; e                                                            

         V - ter disponível, para supervisão  pelo  Banco Central  do
Brasil,  os  programas-fonte de seus programas de acesso ao  STR,  os
diagramas de conexão ao STR e os diagramas de programas, de  máquinas
e de telecomunicações, envolvendo a própria instituição e o PSTI.    

10.      No caso de Conglomerado, conforme definido no inciso  II  do
item 4:                                                              

         I - os serviços de processamento  de  dados das instituições
participantes devem ser executados em um único CSI;                  

         II - o PSTI do Conglomerado,  se utilizar  CSI de terceiros,
estará sujeito às condições previstas para Aglomerado; e             

         III - cada instituição participante deve possuir seu próprio
certificado digital e suas  mensagens devem ser assinadas com as cha-
ves privadas relativas ao seu certificado.                           

11.      Cada instituição pode contratar  somente um PSTI e deve man-
ter as suas informações  cadastrais  atualizadas  no Banco Central do
Brasil por meio de mensagem do Catálogo de Mensagens e de Arquivos da
RSFN.                                                                

12.      São admitidas a hospedagem de máquinas e de aplicativos e  a
utilização  de  centros  de processamento comerciais  especializados,
desde  que  observados  todos  os critérios  definidos  nesta  carta-
circular, para as instituições participantes e para os PSTI.         

13.      É  vedado  o trânsito, entre a instituição contratante  e  o
respectivo PSTI, das chaves criptográficas privadas utilizadas ou  de
mensagens "em claro".                                                

14.      Somente  por meio da RSFN é permitida a troca de informações
entre o PSTI e a instituição contratante dos serviços, e entre o PSTI
e os demais participantes do STR.                                    

15.      Admite-se a troca de informações por meio de rede  dedicada,
homologada pelo Banco Central do Brasil, entre o PSTI e a instituição
contratante dos serviços, ressalvado que a troca de informações entre
o  PSTI  e  os demais participantes do STR deve ocorrer por  meio  da
RSFN,  mantidos  os  demais  requisitos  estabelecidos  nesta  carta-
circular,  inclusive  no  que  se refere  à  guarda  das  assinaturas
digitais e demais elementos de segurança.                            

16.      Fica  revogada a Carta-Circular nº 3.426, de 30 de  dezembro
de 2009.                                                             

17.      Esta carta-circular entra em vigor na  data  de sua publica-
ção.                                                                 

Brasília, 6 de abril de 2010.                                        

Departamento de Operações Bancárias    Departamento de Tecnologia  da
e de Sistema de Pagamentos             Informação                    

José  Antonio Marciano                 José Antonio Eirado Neto      
Chefe de Unidade                       Chefe de Unidade              



Perguntas e respostas

Quando a Carta-Circular nº 3.439 entrou em vigor?
A Carta-Circular nº 3.439 entrou em vigor na data de sua publicação, em 6 de abril de 2010.
Quais são as obrigações de uma instituição participante de um Conglomerado?
Uma instituição participante de um Conglomerado deve executar os serviços de processamento de dados em um único Centro de Serviços de Informática (CSI), possuir seu próprio certificado digital e assinar suas mensagens com as chaves privadas relativas ao seu certificado.
Quais são as obrigações de um PSTI na prestação de serviços?
Na prestação de serviços, um PSTI deve manter inalterado o conteúdo das mensagens, assegurar o sigilo das informações processadas, oferecer igual nível de serviços às instituições, e ter disponível para supervisão pelo Banco Central do Brasil os programas-fonte, diagramas de conexão e de programas, entre outros requisitos técnicos.
É permitida a troca de informações entre o PSTI e a instituição contratante por meio de redes dedicadas?
Sim, é permitida a troca de informações por meio de rede dedicada homologada pelo Banco Central do Brasil entre o PSTI e a instituição contratante dos serviços, desde que observados todos os critérios definidos na carta-circular.
Quais são as condições para a utilização de centros de processamento comerciais especializados?
A utilização de centros de processamento comerciais especializados é admitida desde que observados todos os critérios definidos na carta-circular para as instituições participantes e para os PSTI.
Quantos PSTI uma instituição pode contratar?
Cada instituição pode contratar somente um PSTI e deve manter suas informações cadastrais atualizadas no Banco Central do Brasil.
Quais são as formas de aglutinação de instituições para compartilhamento de serviços prestados por um PSTI?
As formas de aglutinação de instituições para compartilhamento de serviços prestados por um PSTI são: Aglomerado, Conglomerado e Contingência.
Quais são os requisitos para que uma instituição seja um PSTI?
Para ser um PSTI, uma instituição deve ser autorizada pelo Banco Central do Brasil, observar os documentos Catálogo de Mensagens e de Arquivos da RSFN, Manual Técnico da RSFN e Manual de Segurança da RSFN, e atender a diversos requisitos técnicos e operacionais, como manter o sigilo das informações processadas e possuir elementos computacionais independentes para cada aglomerado ou conglomerado.
O que é um Conglomerado no contexto dos PSTI?
Um Conglomerado é um conjunto de instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação com controlador comum, direto ou indireto, das quais uma presta os serviços típicos de PSTI às demais, mesmo que qualquer das demais seja participante do Sistema de Transferência de Reservas (STR).
O que são Provedores de Serviços de Tecnologia da Informação (PSTI)?
Provedores de Serviços de Tecnologia da Informação (PSTI) são entidades autorizadas pelo Banco Central do Brasil a prestar serviços de tecnologia da informação no âmbito do Sistema de Pagamentos Brasileiro (SPB) para instituições detentoras de contas de Reservas Bancárias ou de Conta de Liquidação.
Qual é a única forma permitida de troca de informações entre o PSTI e os demais participantes do STR?
Somente por meio da Rede do Sistema Financeiro Nacional (RSFN) é permitida a troca de informações entre o PSTI e os demais participantes do STR.
O que acontece se um PSTI não prestar serviços por um ano ininterrupto?
A autorização para funcionar como PSTI será revogada caso a entidade credenciada não preste, por um ano ininterrupto, serviços de tecnologia da informação no âmbito do SPB para pelo menos um participante do STR, no ambiente de produção.
O que é um Aglomerado no contexto dos PSTI?
Um Aglomerado é um conjunto de instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação que não participam de um mesmo conglomerado financeiro.
Quais são as obrigações de uma instituição participante de um Aglomerado?
Uma instituição participante de um Aglomerado deve zelar pela guarda e integridade de sua chave criptográfica secreta, possuir máquinas e programas apropriados para preparar, assinar digitalmente, cifrar e encaminhar suas mensagens, e ter disponível para supervisão pelo Banco Central do Brasil os programas-fonte e diagramas de conexão e de programas.
Quais são os requisitos adicionais para a prestação de serviços de Contingência por um PSTI?
Na prestação de serviços de Contingência, além dos requisitos gerais, o PSTI deve garantir o sigilo das informações processadas e prover elementos computacionais independentes para cada instituição, caso os aplicativos sejam providos pelas instituições.
O que é uma situação de Contingência no contexto dos PSTI?
Uma situação de Contingência é quando um conjunto de instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação, que não integram um mesmo conglomerado financeiro, utiliza os serviços de um PSTI exclusivamente em situações de emergência.
Qual é o índice de disponibilidade mínimo exigido para os PSTI?
Os PSTI devem oferecer um índice de disponibilidade igual ou superior a 99,8%.