Desbloqueie análises Okai
As análises Okai fazem parte do Okai Pro. Faça upgrade ou entre com uma conta que já tenha acesso.
Esclarece os requisitos para prestação de serviços de tecnologia da informação no âmbito do Sistema de Pagamentos Brasileiro - SPB.
CARTA-CIRCULAR N. 003465
------------------------
Esclarece os requisitos para pres-
tação de serviços de tecnologia da
informação no âmbito do Sistema de
Pagamentos Brasileiro - SPB.
Esclarecemos que os Provedores de Serviços de Tecnologia da
Informação (PSTI) são as entidades autorizadas pelo Banco Central do
Brasil a prestar serviços de tecnologia da informação no âmbito do
SPB para instituições detentoras das contas a que se referem o art.
1º e o inciso II do art. 2º da Circular nº 3.438, de 2 de março de
2009, nos termos desta carta-circular.
2. Os serviços prestados por PSTI compreendem o encaminhamento
das mensagens originadas das instituições por ele servidas ou a elas
destinadas, observado que:
I - uma instituição somente pode ser PSTI para instituições
do conglomerado a que pertencer; e
II - os provedores da Rede do Sistema Financeiro Nacional
(RSFN) não podem ser PSTI.
3. A prestação de serviços pelo PSTI deve observar o disposto
nos documentos Catálogo de Mensagens e de Arquivos da RSFN, Manual
Técnico da RSFN e Manual de Segurança da RSFN, de que trata a Circu-
lar nº 3.424, de 12 de dezembro de 2008, disponíveis nas páginas da
internet do Banco Central do Brasil (www.bcb.gov.br) e da RSFN
(www.bcb.rsfn.net.br).
4. As formas de aglutinação de instituições para efeito de
compartilhamento de serviços prestados por um PSTI compreendem:
I - Aglomerado: conjunto de instituições detentoras de conta
Reservas Bancárias ou de Conta de Liquidação não participantes de um
mesmo conglomerado financeiro;
II - Conglomerado: conjunto de instituições detentoras de
conta Reservas Bancárias ou de Conta de Liquidação com controlador
comum, direto ou indireto, das quais uma presta os serviços típicos
de PSTI às demais, mesmo que qualquer das demais seja participante do
Sistema de Transferência de Reservas - STR; ou
III - Contingência: conjunto de instituições detentoras de
conta Reservas Bancárias ou de Conta de Liquidação e não integrantes
de um mesmo conglomerado financeiro, que utiliza os serviços de um
PSTI exclusivamente em situação de contingência.
5. O pedido de autorização para funcionar como PSTI deverá con-
ter o Plano de Negócios da entidade e a descrição do projeto de im-
plementação dos requisitos tecnológicos estabelecidos nesta carta-
circular, formalizado mediante expediente encaminhado ao Departamento
de Tecnologia da Informação (Deinf).
6. A autorização referida no item precedente será revogada caso
a entidade credenciada como PSTI não preste, por um ano ininterrupto,
serviços de tecnologia da informação no âmbito do SPB para pelo menos
um participante do STR, no ambiente de produção.
7. Na prestação dos serviços, o PSTI deve:
I - manter inalterado o conteúdo das mensagens por ele cur-
sadas;
II - assegurar e preservar o sigilo das informações proces-
sadas por seu intermédio;
III - oferecer igual nível de serviços às instituições que
utilizem seus serviços;
IV - ter disponível, para supervisão pelo Banco Central do
Brasil, os programas-fonte de seus programas de acesso ao STR, os
diagramas de conexão ao STR e os diagramas de programas, de máquinas
e de telecomunicações, envolvendo a instituição e o PSTI, caso os
aplicativos sejam providos aos aglomerados;
V - possuir, no mínimo, uma ligação a cada um dos provedores
de comunicações da RSFN, em cada um de seus Centros de Serviços de
Informática - CSI;
VI - possuir, para cada Aglomerado ou Conglomerado, elemen-
tos computacionais independentes, assim definidos todas as máquinas,
os programas e as aplicações necessários para cursar as mensagens das
instituições; e
VII - possuir, no mínimo, dois CSI independentes e interli-
gados, de modo a oferecer funcionamento ininterrupto, devendo obser-
vado o índice de disponibilidade igual ou superior a 99,8%.
8. Na prestação dos serviços de Contingência, adicionalmente ao
previsto nos incisos de I a VI do item 7, o PSTI deve:
I - garantir o sigilo das informações processadas, caso os
aplicativos sejam por ele providos e as instituições compartilhem os
servidores de aplicação e infraestrutura;
II - prover elementos computacionais independentes para cada
instituição, assim definidos todas as máquinas e a infraestrutura ne-
cessárias à aplicação, caso os aplicativos sejam providos pelas ins-
tituições.
9. A instituição participante de Aglomerado, conforme definido
no inciso I do item 4, deve:
I - zelar pela guarda e integridade de sua chave criptográ-
fica secreta para assinatura digital, que não pode, em nenhuma hipó-
tese, estar localizada nas máquinas servidoras do PSTI;
II - possuir máquinas e programas apropriados para preparar,
assinar digitalmente, cifrar e encaminhar suas mensagens;
III - possuir máquinas e programas apropriados para receber,
conferir a assinatura digital, decifrar e processar as mensagens que
lhe forem encaminhadas;
IV - possuir, no mínimo, uma ligação a cada um dos provedo-
res de comunicações da RSFN, para comunicação com o PSTI a que esteja
ligada; e
V - ter disponível, para supervisão pelo Banco Central do
Brasil, os programas-fonte de seus programas de acesso ao STR, os
diagramas de conexão ao STR e os diagramas de programas, de máquinas
e de telecomunicações, envolvendo a própria instituição e o PSTI.
10. No caso de Conglomerado, conforme definido no inciso II do
item 4:
I - os serviços de processamento de dados das instituições
participantes devem ser executados em um único CSI;
II - o PSTI do Conglomerado, se utilizar CSI de terceiros,
estará sujeito às condições previstas para Aglomerado; e
III - cada instituição participante deve possuir seu próprio
certificado digital e suas mensagens devem ser assinadas com as cha-
ves privadas relativas ao seu certificado.
11. Cada instituição pode contratar somente um PSTI e deve man-
ter as suas informações cadastrais atualizadas no Banco Central do
Brasil.
12. São admitidas a hospedagem de máquinas e de aplicativos e a
utilização de centros de processamento comerciais especializados,
desde que observados todos os critérios definidos nesta carta-
circular, para as instituições participantes e para os PSTI.
13. É vedado o trânsito, entre a instituição contratante e o
respectivo PSTI, das chaves criptográficas privadas utilizadas ou de
mensagens "em claro".
14. Somente por meio da RSFN é permitida a troca de informações
entre o PSTI e as instituições detentoras de conta Reservas Bancárias
que dele se utilizam e entre o PSTI e os demais participantes do STR.
15. Admite-se a troca de informações por meio de rede dedicada,
homologada pelo Banco Central do Brasil, entre o PSTI e as institui-
ções detentoras de Conta de Liquidação que dele se utilizam, ressal-
vado que a troca de informações entre o PSTI e os demais participan-
tes do STR deve ocorrer por meio da RSFN, mantidos os demais requisi-
tos estabelecidos nesta carta-circular, inclusive no que se refere à
guarda das assinaturas digitais e demais elementos de segurança.
16. Fica revogada a Carta-Circular nº 3.439, de 6 de abril de
de 2010.
17. Esta carta-circular entra em vigor na data de sua publica-
ção.
Brasília, 13 de agosto de 2010.
Departamento de Operações Bancárias Departamento de Tecnologia da
e de Sistema de Pagamentos Informação
MIguel Arcanjo Neto José Antônio Eirado Neto
Chefe de Unidade, substituto Chefe de Unidade