Divulga a versão 3.7 do Manual de Segurança do Pix com atualizações em requisitos para Pix por aproximação, certificados digitais e dados de auditoria.
O Banco Central atualizou o Manual de Segurança do Pix para a versão 3.7, trazendo novas diretrizes para os participantes.
🆕 Pix por Aproximação: Introduzida a seção 4.4 com requisitos de segurança obrigatórios para esta modalidade.
🔑 Certificados Digitais: A seção 5.5 foi alterada, incluindo as modalidades de desativação "programada" ou "decorrente de incidente de segurança".
🛡️ Controle de Consultas: A seção 6.6 agora exige o uso do algoritmo de Token Bucket para consultas à base interna de chaves.
✍️ Auditoria e Logs: A seção 7 foi revisada, definindo prazos de retenção para dados de auditoria e obrigando a retenção de logs de APIs. Inclui a nova seção 7.4 sobre Dados de APIs do Participante.
Esta normativa entra em vigor em 05 de junho de 2025 e revoga a Instrução Normativa BCB nº 449/2024.
Esta Instrução Normativa divulga a versão 3.7 do Manual de Segurança do Pix, documento que integra o Regulamento do Pix. Esta nova versão atualiza e substitui a versão 3.6, que havia sido divulgada pela Instrução Normativa BCB nº 449, de 12 de janeiro de 2024, agora revogada.
As principais alterações introduzidas pela versão 3.7 do Manual de Segurança do Pix são:
Pix por Aproximação: Foi incluída a nova seção 4.4, que estabelece requisitos obrigatórios de segurança específicos para as transações realizadas na modalidade Pix por aproximação.
Desativação de Certificados Digitais: A seção 5.5, referente à desativação de certificados, foi modificada. Foram introduzidas novas modalidades para a desativação: "programada" ou "decorrente de incidente de segurança", oferecendo maior clareza e direcionamento para os participantes em diferentes cenários.
Consultas à Base Interna de Chaves: A seção 6.6 foi alterada para definir o algoritmo de Token Bucket como de uso obrigatório para o controle de consultas à base interna de chaves Pix dos participantes. Esta medida visa aprimorar a segurança e a performance no acesso a essas informações.
Dados de Auditoria e Logs de APIs: A seção 7, que trata de Dados de Auditoria, passou por atualizações significativas. Foram definidos prazos para a retenção desses dados e instituída a obrigatoriedade de retenção de logs de APIs (Application Programming Interfaces). Adicionalmente, foi criada a seção 7.4, intitulada "Dados de APIs do Participante", detalhando as exigências para esses registros.
Esta Instrução Normativa entra em vigor na data de sua publicação, 05 de junho de 2025.
INSTRUÇÃO NORMATIVA BCB Nº 633, DE 5 de JUNHO de 2025
Divulga a versão 3.7
do Manual de Segurança do Pix, que compõe o Regulamento do Pix.
O Chefe do Departamento de
Competição e de Estrutura do Mercado Financeiro (Decem), no uso das atribuições
que lhe conferem os arts. 23, inciso I, alínea “a”, e 94, caput, inciso
IX, do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº
340, de 21 de setembro de 2023, e tendo em vista o disposto no art. 2º, caput,
inciso VI, do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020,
R E S O L V E :
Art. 1º Esta Instrução Normativa divulga a versão 3.7 do Manual
de Segurança do Pix, que compõe o Regulamento do Pix, conforme art. 2º do
Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020.
Art. 2º Fica revogada a Instrução
Normativa BCB nº 449, de 12 de janeiro de 2024.
Art. 3º
Esta Instrução Normativa entra em vigor na data de sua publicação.
Ricardo Teixeira Leite Mourão Chefe do Departamento de Competição e
de Estrutura do Mercado Financeiro
ANEXO À INSTRUÇÃO NORMATIVA BCB Nº 633, DE 5 DE JUNHO DE 2025
Manual de Segurança do Pix Versão 3.7
Histórico de revisão
Data
Versão
Descrição das alterações
16/1/2020
1.0
Versão inicial.
24/3/2020
2.0
·Alteração do nome do Ecossistema de
Pagamentos Instantâneos para PIX;
·Atualização e inclusão de
referências;
·Alteração da seção 1.2 e subseções
para incluir o processo de assinatura digital no DICT;
·Detalhamento dos processos de
ativação e desativação de certificados digitais do BC e dos participantes
(seções 1.3.2 a 1.3.4)
·Inclusão da seção 1.3.5: Verificação
da revogação de certificados digitais;
·Inclusão da seção 1.4: Segurança de QR
Codes dinâmicos.
12/8/2020
3.0
·Renumeração e
reordenação das seções do Manual;
·Inclusão da
seção 6: “Logs de auditoria”;
·Aprimoramento da
seção 4: “Segurança de QR Codes dinâmicos”;
·Alterações na
seção 5: “Certificados digitais”, incluindo:
oDetalhamento de
cada tipo de certificado digital utilizado no Pix;
oMaior clareza
das regras para envio de certificados;
oAprimoramentos
nas seções de ativação, desativação e verificação de revogação de
certificados.
·Alteração no
exemplo de mensagem pacs.008 na seção 3.2;
·Atualização de
referências;
·Correção de
pequenos erros no documento.
6/10/2020
3.1
·Aprimoramentos
na seção 5: “Certificados digitais”, em especial no que tange aos
certificados para sites/domínios de QR Codes dinâmicos;
·Pequenas
alterações e correções no documento.
4/2/2021
3.2
·Aprimoramentos
nas seções 4.2 (“Definições do padrão JWS”) e 4.3 (“Validações a serem feitas
pelos aplicativos”);
·Atualização de
referências.
5/7/2021
3.3
·Criação da nova
seção 6, intitulada “Implementação segura de aplicativos, APIs e
outros sistemas”.
29/10/2021
3.4
·Alteração da
seção 5 “Certificados digitais” para prever a transição para o novo padrão do
certificado de autenticação e criptografia da conexão utilizado pelo BC e
mudança no procedimento de desativação do certificado dos participantes.
·Ajustes de
redação para maior clareza.
16/11/2022
3.5
·Ajustes na seção
de certificados digitais – itens 5.1, 5.4.3, 5.4.4 e 5.5.
·Ajustes na seção
6 – alteração dos itens 1 e 5, inclusão do item 7 e outras pequenas
alterações.
1/2/2024
3.6
·Inclusão (seção
5.2) de prazo regulamentar para atualização de certificados digitais.
·Ajustes de
redação para enfatizar a obrigatoriedade da adequada guarda de chaves
criptográficas privadas e de boas práticas de gestão de certificados e chaves
(seção 5.2 e 5.3).
·Ajustes de
redação para maior clareza.
05/06/2025
3.7
·Inclusão da
seção 4.4 com requisitos obrigatórios para a modalidade Pix por aproximação.
·Alteração da
seção 5.5, sobre desativação de certificados, e inclusão das modalidades de
desativação “programada” ou “decorrente de incidente de segurança”
·Alteração da
seção 6.6, definindo o algoritmo de Token Bucket como obrigatório para
consultas à base interna de chaves;
·Alteração da
seção 7 – Dados de auditoria, para definição de prazos de retenção e inclusão
da obrigação de retenção de logs de APIs;
·Inclusão da
Seção 7.4: Dados de APIS do Participante
NOTA
O
Decreto nº 10.411, de 30 de junho de 2020, prevê a obrigatoriedade da
realização de análise de impacto regulatório (AIR) para a edição de atos
normativos de interesse geral produzidos pelos órgãos e entidades da
administração pública federal direta e indireta.
Todavia,
consoante se definiu no parágrafo 8 do Voto 280/2021–BCB, de 10 de novembro de
2021, o Regulamento do Pix, inclusive os demais documentos que o integram ou
que o detalham e o complementam, não se caracteriza como ato regulatório de
força cogente, ostentando, em verdade, natureza eminentemente contratual. Assim,
modificações promovidas no referido regulamento e nos demais documentos que o
integram ou que o detalham e o complementam não se sujeitam à produção prévia
de AIR.
Ricardo Teixeira Leite Mourão Chefe do Departamento de Competição e
de Estrutura do Mercado Financeiro
Perguntas e respostas
O que é o padrão JWS mencionado no histórico de revisão do Manual de Segurança do Pix?
A versão 3.2 do Manual de Segurança do Pix, de 4 de fevereiro de 2021, incluiu aprimoramentos nas seções 4.2 (“Definições do padrão JWS”) e 4.3 (“Validações a serem feitas pelos aplicativos”). O conteúdo fornecido não detalha o que é o padrão JWS, apenas cita sua menção no manual em relação a definições e validações.
Qual normativa foi revogada com a publicação da Instrução Normativa BCB Nº 633/2025?
A Instrução Normativa BCB nº 449, de 12 de janeiro de 2024, foi revogada pela Instrução Normativa BCB Nº 633, de 05 de junho de 2025.
Quais foram as principais modificações na versão 3.0 do Manual de Segurança do Pix, de 12 de agosto de 2020?
A versão 3.0 do Manual de Segurança do Pix, datada de 12 de agosto de 2020, trouxe as seguintes modificações principais: renumeração e reordenação das seções do Manual; inclusão da seção 6, intitulada “Logs de auditoria”; aprimoramento da seção 4, sobre “Segurança de QR Codes dinâmicos”; alterações na seção 5, “Certificados digitais”, que passaram a incluir o detalhamento de cada tipo de certificado digital utilizado no Pix, maior clareza nas regras para envio de certificados, e aprimoramentos nas seções de ativação, desativação e verificação de revogação de certificados. Adicionalmente, houve alteração no exemplo de mensagem pacs.008 na seção 3.2, atualização de referências e correção de pequenos erros no documento.
O Regulamento do Pix está sujeito à Análise de Impacto Regulatório (AIR)?
Não, o Regulamento do Pix, assim como os documentos que o integram, detalham ou complementam, não se sujeita à Análise de Impacto Regulatório (AIR).Conforme definido no parágrafo 8 do Voto 280/2021–BCB, de 10 de novembro de 2021, o Regulamento do Pix possui natureza eminentemente contratual e não se caracteriza como ato regulatório de força cogente. O Decreto nº 10.411, de 30 de junho de 2020, prevê a obrigatoriedade da AIR para atos normativos de interesse geral, mas esta regra não se aplica ao Regulamento do Pix devido à sua natureza contratual.
O que estabelece a Instrução Normativa BCB Nº 633, de 05 de junho de 2025?
A Instrução Normativa BCB Nº 633, de 05 de junho de 2025, divulgou a versão 3.7 do Manual de Segurança do Pix.Este manual é parte integrante do Regulamento do Pix, conforme o art. 2º do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020.
O que mudou em relação aos certificados digitais na versão 3.4 do Manual de Segurança do Pix?
A versão 3.4 do Manual de Segurança do Pix, de 29 de outubro de 2021, alterou a seção 5, "Certificados digitais", para prever a transição para um novo padrão do certificado de autenticação e criptografia da conexão utilizado pelo Banco Central. Também houve uma mudança no procedimento de desativação do certificado dos participantes e ajustes de redação para maior clareza.
Quando a Instrução Normativa BCB Nº 633, que divulgou a versão 3.7 do Manual de Segurança do Pix, entrou em vigor?
A Instrução Normativa BCB Nº 633 entrou em vigor na data de sua publicação, em 05 de junho de 2025.
O que é o Decem e quem o chefiava na data de publicação da Instrução Normativa BCB Nº 633/2025?
Decem é a sigla para Departamento de Competição e de Estrutura do Mercado Financeiro, uma unidade do Banco Central do Brasil.Em 05 de junho de 2025, data de publicação da Instrução Normativa BCB Nº 633, o Chefe do Decem era Ricardo Teixeira Leite Mourão.
Onde está disponível o Manual de Segurança do Pix, versão 3.7?
Que tipo de requisitos foram introduzidos para a modalidade Pix por aproximação na versão 3.7 do Manual de Segurança do Pix?
A versão 3.7 do Manual de Segurança do Pix, de 05 de junho de 2025, incluiu a seção 4.4, que estabelece requisitos obrigatórios para a modalidade Pix por aproximação. O conteúdo fornecido não detalha quais são esses requisitos obrigatórios específicos, apenas menciona sua inclusão no manual.
Quais são as modalidades de desativação de certificados digitais introduzidas na versão 3.7 do Manual de Segurança do Pix?
A versão 3.7 do Manual de Segurança do Pix, de 05 de junho de 2025, alterou a seção 5.5, sobre desativação de certificados, e incluiu as modalidades de desativação “programada” ou “decorrente de incidente de segurança”.
Qual o embasamento legal para a atuação do Chefe do Decem na emissão da Instrução Normativa BCB Nº 633/2025?
O Chefe do Departamento de Competição e de Estrutura do Mercado Financeiro (Decem) emitiu a Instrução Normativa BCB Nº 633, de 05 de junho de 2025, no uso das atribuições que lhe conferem os arts. 23, inciso I, alínea “a”, e 94, caput, inciso IX, do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de 21 de setembro de 2023.Adicionalmente, a emissão considerou o disposto no art. 2º, caput, inciso VI, do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020.
Qual foi a primeira versão do Manual de Segurança do Pix e quando foi lançada?
A versão inicial do Manual de Segurança do Pix foi a 1.0. Ela foi lançada em 16 de janeiro de 2020, conforme consta no histórico de revisão do manual.
O que são <em>QR Codes</em> dinâmicos no contexto das atualizações do Manual de Segurança do Pix?
As atualizações do Manual de Segurança do Pix, como as versões 2.0 (de 24 de março de 2020) e 3.0 (de 12 de agosto de 2020), mencionam aprimoramentos e inclusões de seções sobre a "Segurança de QR Codes dinâmicos". Contudo, o conteúdo apresentado não define especificamente o que são QR Codes dinâmicos, apenas indica que sua segurança é um aspecto abordado no manual.
O que é o DICT conforme mencionado no histórico de revisão do Manual de Segurança do Pix?
O histórico de revisão do Manual de Segurança do Pix menciona o DICT em relação ao "processo de assinatura digital no DICT" na versão 2.0, de 24 de março de 2020. No entanto, o conteúdo fornecido não apresenta uma definição ou explicação detalhada do que é o DICT.
Quem é o responsável pela emissão da Instrução Normativa BCB Nº 633/2025?
A Instrução Normativa BCB Nº 633, de 05 de junho de 2025, foi emitida pelo Chefe do Departamento de Competição e de Estrutura do Mercado Financeiro (Decem) do Banco Central do Brasil.
O que é o algoritmo de <em>Token Bucket</em> e qual sua relevância segundo a versão 3.7 do Manual de Segurança do Pix?
A versão 3.7 do Manual de Segurança do Pix, de 05 de junho de 2025, estabeleceu o algoritmo de Token Bucket como obrigatório para consultas à base interna de chaves.O conteúdo fornecido não explica o funcionamento técnico do algoritmo de Token Bucket, mas destaca sua obrigatoriedade para essa finalidade específica no âmbito da segurança do Pix.
Quais mudanças relacionadas a logs e dados de auditoria foram implementadas na versão 3.7 do Manual de Segurança do Pix?
A versão 3.7 do Manual de Segurança do Pix, de 05 de junho de 2025, alterou a seção 7, referente a "Dados de auditoria", para definir prazos de retenção desses dados. Além disso, incluiu a obrigação de retenção de logs de APIs e adicionou a Seção 7.4, sobre "Dados de APIs do Participante".
Qual a importância da guarda de chaves criptográficas privadas conforme mencionado nas atualizações do Manual de Segurança do Pix?
A versão 3.6 do Manual de Segurança do Pix, de 1º de fevereiro de 2024, realizou ajustes de redação para enfatizar a obrigatoriedade da adequada guarda de chaves criptográficas privadas e de boas práticas de gestão de certificados e chaves, conforme indicado nas seções 5.2 e 5.3 do referido manual.
O que é o Manual de Segurança do Pix?
O Manual de Segurança do Pix é um documento que compõe o Regulamento do Pix, conforme estabelecido no art. 2º do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020.Ele é divulgado e atualizado por meio de Instruções Normativas do Banco Central do Brasil, como a Instrução Normativa BCB Nº 633, que em 05 de junho de 2025 divulgou sua versão 3.7.
Que tipo de informação é encontrada no histórico de revisão do Manual de Segurança do Pix?
O histórico de revisão do Manual de Segurança do Pix detalha, para cada versão do manual, a data de sua publicação, o número da versão e uma descrição das alterações realizadas em relação à versão anterior. Este histórico abrange desde a versão 1.0, de 16 de janeiro de 2020, até a versão 3.7, de 05 de junho de 2025, conforme apresentado.
O que foi alterado no Manual de Segurança do Pix na versão 2.0, de 24 de março de 2020?
Na versão 2.0 do Manual de Segurança do Pix, de 24 de março de 2020, as principais alterações incluíram: a mudança do nome do Ecossistema de Pagamentos Instantâneos para PIX; a atualização e inclusão de referências; a alteração da seção 1.2 e subseções para incorporar o processo de assinatura digital no DICT; o detalhamento dos processos de ativação e desativação de certificados digitais do Banco Central e dos participantes (seções 1.3.2 a 1.3.4); a inclusão da seção 1.3.5, referente à verificação da revogação de certificados digitais; e a inclusão da seção 1.4, sobre a segurança de QR Codes dinâmicos.
Quais foram as principais alterações na versão 3.7 do Manual de Segurança do Pix, divulgada em 05 de junho de 2025?
A versão 3.7 do Manual de Segurança do Pix, divulgada em 05 de junho de 2025, introduziu as seguintes alterações principais: inclusão da seção 4.4, com requisitos obrigatórios para a modalidade Pix por aproximação; alteração da seção 5.5, referente à desativação de certificados, incluindo as modalidades de desativação “programada” ou “decorrente de incidente de segurança”; alteração da seção 6.6, definindo o algoritmo de Token Bucket como obrigatório para consultas à base interna de chaves; alteração da seção 7 (Dados de auditoria), para definir prazos de retenção e incluir a obrigação de retenção de logs de APIs; e inclusão da Seção 7.4: Dados de APIs do Participante.
Seu plano atingiu o limite de exportações deste mês. Para continuar exportando listas regulatórias, veja opções de upgrade ou aguarde a renovação do ciclo.
Você atingiu o limite de buscas sem login. Crie uma conta gratuita para continuar pesquisando normas, notícias, consultas públicas e outros conteúdos da Okai.
