Cancelada Norma
19/12/2023
#72697

Instrução Normativa BCB N° 440

Estabelece regras e cronograma para controle da alteração do perfil de segurança das APIs do Open Finance.

Os Chefes do Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias (Desuc) e do Departamento de Supervisão Bancária (Desup), no uso da atribuição que lhes confere o art. 23, inciso I, alínea "a" do Regimento Interno do Banco Central do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, com base nos artigos 46, inciso II e 51, incisos IX e XI, ambos da Resolução Conjunta nº 1, de 04 de Maio de 2020.

R E S O L V E M :

Art. 1º  Esta Instrução Normativa divulga regras e calendário para pontos de controle de uma etapa do processo de alteração do perfil de segurança do Open Finance, que, em atendimento à Instrução Normativa BCB 305, de 15 de setembro de 2022, estabelece as diretrizes de segurança e interoperabilidade que devem ser aplicadas às APIs (Applications Programming Interface) do Open Finance.

Art. 2º Em uma das etapas do cronograma de implementação de criação do novo perfil de segurança, conforme estabelecido pela Estrutura de Governança do Open Finance, deverão ser realizados os DCMs (Dynamic Client Management), na qual, de forma bilateral, as Instituições informam os padrões utilizados e reconhecidos por cada Instituição. Esse passo é crítico para a adequada interoperabilidade do Open Finance e deverá obedecer às regras e pontos de controle estabelecidos nesta Instrução Normativa.

Art. 3º A etapa mencionada no parágrafo anterior se encerra em 14/4/2024 e deve ser observada por todos os participantes ativos no Open Finance.

Marcos de DCM a serem cumpridos por participantes relevantes

Art. 4º Em seus papéis de iniciadora/receptora, as instituições e os conglomerados relacionados nos arts. 8º e 9º devem respeitar os marcos estabelecidos no art. 5º para realização de DCM com as principais marcas das Instituições relacionadas no art. 10.

I – Todas as Instituições listadas no art. 10 devem ser objeto de DCM que integre as métricas do art. 5º. No entanto, cada iniciadora/receptora poderá usar critério próprio para identificar as principais marcas das Instituições detentoras/transmissoras. Contudo, marcas com DCR (Dynamic Client Registration), que representa o primeiro registro bilateral, ocorrido em 2024 devem ser incluídas no cronograma.

Art. 5º O processo de DCM pelos participantes listados nos arts. 8º e 9º deverá seguir o seguinte cronograma:

Data

Descrição

26/3/2024

Concluir com êxito 10% dos DCMs previstos no art. 4º.

27/3/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 26/3/2023.

1/04/2024

Concluir com êxito 30% dos DCMs previstos no art. 4º.

2/4/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 1/4/2024

4/4/2024

Concluir com êxito 70% dos DCMs previstos no art. 4º.

5/4/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 4/4/2024

9/4/2024

Concluir com êxito 95% dos DCMs previstos no art. 4º.

10/4/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 9/4/2024

11/4/2024

Concluir com êxito 100% dos DCMs previstos no art. 4º.

12/4/2024

Realizar testes comprovatórios de 100% dos DCMs previstos no art. 4º.

 

Art. 6º  Para a realização de testes comprobatórios, após cada DCM realizado com sucesso:

I – Caso a iniciadora tenha condições técnicas, deverá validar se a jornada continua operacional e se é possível realizar uma iniciação de pagamento com sucesso;

II – Caso a receptora tenha condições técnicas, deverá validar se a jornada continua operacional;

III – A receptora deverá validar se é possível consumir dados de consentimentos ativos;

IV – Evidências desses testes devem ser mantidas à disposição do Banco Central do Brasil.

Art. 7º  Caso seja realizado um novo DCM com perfil antigo para marca já computada como sucesso nos marcos estabelecidos no art. 5º, a marca deve ser desconsiderada nos marcos seguintes, até que volte a ser realizado DCM com o novo perfil de segurança.

Art. 8º  As iniciadoras e/ou receptoras que devem respeitar os marcos estabelecidos no art. 5º são os conglomerados e instituições listadas abaixo:

I - Banco do Brasil;

II – Bradesco;

III – Itaú;

IV - Mercado Pago;

V - Nu Pagamentos;

VI – PicPay;

VII – Santander;

VIII - U4C.

Art. 9º  Se, ao final de fevereiro de 2024, houver outras Instituições relevantes (95% do estoque dos consentimentos ativos para compartilhamento de dados e/ou 95% das transações iniciadas) também estarão sujeitas a esse cronograma e serão individualmente contatadas pela Supervisão do Banco Central, até 11/03/2024.

Art. 10.  As detentoras e/ou transmissoras que devem ser consideradas para fins do estabelecido no art. 4º são:

I - Banco do Brasil;

II – Bradesco;

III – CAIXA;

IV - C6;

V – Itaú;

VI - Mercado Pago;

VII - Nu Pagamentos;

VIII – PicPay;

IX – Santander.

Art. 11.  A relação de detentoras/transmissoras não será complementada com outras instituições.

        Metas de atendimento de tickets

Art. 12. No período de 25/03/2024 a 14/04/2024, devem ser formalizados no service desk tickets relativos a:

I - Incidentes nos DCR/DCMs;

II - Incidentes com suspeita de que sejam desdobramentos dos DCR/DCMs. São exemplos de cenários possíveis de enquadramento nesse item erros generalizados de token inválido e escopo inválido que não ocorriam antes dos referidos DCR/DCMs;

Art. 13. Os tickets relacionados no art. 12:

I – Referentes a DCMs que integrem os marcos do art. 4º devem ser classificados na categoria mais adequada, mas reclassificados para indisponibilidade, com meta de atendimento de incidentes com indisponibilidade, nos termos da IN BCB 359, de 3 de março de 2023;

II - Não enquadráveis nos marcos do art. 4º devem ser classificados na categoria mais adequada, mas reclassificados para degradação de qualidade de serviço, com meta de atendimento de incidentes que não causem indisponibilidade de serviços com tipo de incidente degradação de qualidade de serviço nos termos da IN BCB 359/2023;

III - Deverão ter as solicitações de reclassificação para tipos de incidente com meta de atendimento com prazo máximo superior ao estabelecido nesta Instrução Normativa negadas;

IV - Se a instituição que abriu o ticket identificar que a causa do erro está na implementação sob sua responsabilidade ou na eventualidade de decisão de implementação de solução de contorno na implementação sob sua responsabilidade, o ticket deve ser atualizado e encerrado no mesmo dia.

Art. 14.  Esta Instrução Normativa entra em vigor em 01 de fevereiro de 2024.

 

                        NOTA TÉCNICA

 

Fundamenta proposta de divulgação de regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance.

A presente Nota Técnica fundamenta proposta de edição de instrução normativa, que estabelece regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance, conforme previsto nos artigos 46, inciso II e 51, incisos IX e XI, ambos da Resolução Conjunta nº 1, de 04 de Maio de 2020.

2.                     Em atendimento ao previsto no art. 5º da Lei nº 13.874, de 20 de setembro de 2019, o Decreto nº 10.411, de 30 de junho de 2020, determina que as propostas de atos normativos de interesse geral de agentes econômicos formuladas por órgãos e entidades da administração pública federal direta, autárquica e fundacional, bem como por colegiados por meio do órgão ou da entidade encarregada de lhe prestar apoio administrativo, sejam precedidas de Análise de Impacto Regulatório (AIR).

3.                     No entanto, vale destacar que a proposta de divulgação de regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance não causa impactos significativos para o conjunto e instituições participantes do Open Finance por tratar-se da definição de regras e pontos de controle a calendário já estabelecido. Nesse sentido, de acordo com o art. 4º, inciso III, do referido Decreto, o ato normativo ora proposto fica dispensado de elaboração de AIR por ser considerado de baixo impacto.

 

À consideração de V.Sa.

 

             Rodrigo Monteiro

Chefe Adjunto do Departamento de Supervisão de

 Cooperativas e de Instituições Não Bancárias

 

           Ricardo Seviere Zeni

     Chefe Adjunto do Departamento de

          Supervisão Bancária

 

De acordo.

 

     Harold Paquete Espínola Filho

  Chefe do Departamento de Supervisão de

Cooperativas e de Instituições Não Bancárias

 

             Belline Santana

         Chefe do Departamento de

           Supervisão Bancária

 

 

                                  

 

                           

 

Perguntas e respostas

O que é DCM no Open Finance?
DCM, ou Dynamic Client Management, é um processo bilateral onde as instituições informam e reconhecem os padrões de segurança e interoperabilidade utilizados, sendo crítico para a interoperabilidade do Open Finance.
Quais são as datas importantes para a conclusão dos DCMs?
As datas importantes para a conclusão dos DCMs são:
  • 26/3/2024: Concluir 10% dos DCMs.
  • 1/4/2024: Concluir 30% dos DCMs.
  • 4/4/2024: Concluir 70% dos DCMs.
  • 9/4/2024: Concluir 95% dos DCMs.
  • 11/4/2024: Concluir 100% dos DCMs.
Qual é a importância do DCM no Open Finance?
O DCM é essencial para garantir a interoperabilidade entre as instituições participantes do Open Finance, assegurando que os padrões de segurança e comunicação sejam reconhecidos e aplicados corretamente.
O que é DCR no contexto do Open Finance?
DCR, ou Dynamic Client Registration, é o primeiro registro bilateral entre instituições, necessário para iniciar o processo de DCM.
O que é Open Finance?
Open Finance é um sistema que permite o compartilhamento de dados financeiros entre diferentes instituições, promovendo maior interoperabilidade e segurança nas transações financeiras.
Quais são as etapas para a realização de testes comprobatórios após cada DCM?
As etapas para a realização de testes comprobatórios incluem:
  • A iniciadora deve validar se a jornada continua operacional e se é possível realizar uma iniciação de pagamento com sucesso.
  • A receptora deve validar se a jornada continua operacional.
  • A receptora deve validar se é possível consumir dados de consentimentos ativos.
  • Manter evidências dos testes à disposição do Banco Central do Brasil.
Quais instituições devem respeitar os marcos estabelecidos para os DCMs?
As instituições que devem respeitar os marcos estabelecidos para os DCMs incluem Banco do Brasil, Bradesco, Itaú, Mercado Pago, Nu Pagamentos, PicPay, Santander e U4C.
O que deve ser feito se um novo DCM for realizado com perfil antigo?
Se um novo DCM for realizado com perfil antigo, a marca deve ser desconsiderada nos marcos seguintes até que um DCM com o novo perfil de segurança seja realizado.
Quais são as metas de atendimento de tickets relacionadas aos DCMs?
As metas de atendimento de tickets relacionadas aos DCMs incluem:
  • Classificar tickets referentes a DCMs na categoria mais adequada e reclassificar para indisponibilidade, conforme a IN BCB 359/2023.
  • Classificar tickets não enquadráveis nos marcos do art. 4º para degradação de qualidade de serviço.
  • Negar solicitações de reclassificação para tipos de incidente com prazo superior ao estabelecido.
  • Atualizar e encerrar tickets no mesmo dia se a causa do erro for identificada na implementação sob responsabilidade da instituição que abriu o ticket.
O que são APIs no contexto do Open Finance?
APIs, ou Applications Programming Interface, são interfaces de programação que permitem a comunicação entre diferentes sistemas, facilitando o compartilhamento de dados e serviços no contexto do Open Finance.
Quando entra em vigor a Instrução Normativa mencionada?
A Instrução Normativa entra em vigor em 01 de fevereiro de 2024.