Quais são as exigências de segurança para certificados digitais para instituições que utilizam um PSTI para processar Pix?

A instituição deve atestar que não compartilha suas chaves privadas com o Provedor de Serviços de Tecnologia da Informação (PSTI), nem as armazena no ambiente do provedor. As chaves são relativas aos certificados digitais cadastrados no Banco Central do Brasil e utilizadas para assinar as mensagens.

Como uma instituição participante do Pix pode solicitar a dispensa temporária do limite de R$15.000,00?

Para obter a dispensa por um prazo de noventa dias, a instituição autorizada a funcionar pelo Banco Central do Brasil deve protocolizar uma solicitação formal. O pedido deve ser instruído com um documento que demonstre a constituição de uma garantia financeira, descreva as medidas de segurança da informação adotadas e seja acompanhado de um relatório de asseguração razoável, emitido por uma firma de auditoria independente.

A dispensa temporária do limite de Pix pode ser prorrogada?

Sim, a dispensa pode ser prorrogada por sucessivos períodos de, no máximo, noventa dias. A prorrogação é condicionada a que a instituição não tenha apresentado deficiências ou falhas operacionais graves durante os períodos de dispensa anteriores.

Que medidas de gestão de fraudes são necessárias para obter a dispensa do limite de Pix ao usar um PSTI?

Para obter a dispensa, a instituição deve implementar uma gestão de fraudes que inclua a validação da integridade das transações antes de sua assinatura, garantindo que as informações não foram geradas ou manipuladas de forma fraudulenta.

Como é definida a "sobra de capital" para a garantia da dispensa do limite de Pix?

A definição de sobra de capital, utilizada como garantia, varia conforme o segmento da instituição, sempre apurada nos termos da regulamentação vigente.

Quais controles de segurança adicionais são exigidos de uma instituição que usa um PSTI apenas para conectividade com a RSFN?

Quando o PSTI é utilizado apenas para o serviço de conectividade com a RSFN, a instituição deve implementar uma série de controles de segurança adicionais. Entre eles estão mecanismos de criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações e proteção contra softwares maliciosos.

Quem é o responsável por assinar o pedido de dispensa do limite de Pix na instituição?

O pedido de dispensa deve ser assinado pelo Diretor estatutário responsável pela política de segurança cibernética, conforme designado pela instituição. Este diretor se compromete com a veracidade das informações apresentadas ao Banco Central do Brasil, sujeitando-se às sanções previstas na Lei nº 13.506, de 13 de novembro de 2017.

Instrução Normativa BCB N° 667 | Banco Central

Q: Em que circunstâncias a dispensa temporária do limite de Pix pode ser revogada?

A dispensa temporária do limite de valor do Pix pode ser revogada a qualquer momento caso a instituição apresente deficiências ou falhas operacionais graves.

Q: O que é o relatório de asseguração razoável exigido para a dispensa do limite de Pix?

É um relatório elaborado por uma firma de auditoria independente, registrada na Comissão de Valores Mobiliários (CVM), que deve possuir capacidade técnica compatível para o trabalho.

Q: Qual é a garantia financeira exigida para solicitar a dispensa temporária do limite de Pix?

A instituição solicitante deve manter, a título de garantia, uma sobra de capital de, no mínimo, 100% sobre o volume diário máximo de transferências interbancárias realizadas de sua Conta PI. O período de referência para o cálculo desse volume é de 1º de agosto de 2025 a 29 de agosto de 2025.

Q: O que é a dispensa temporária do limite de emissão de Pix para instituições que utilizam um PSTI?

É uma autorização temporária que permite a instituições financeiras, que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio de um Provedor de Serviços de Tecnologia da Informação (PSTI), emitirem transações Pix com valor superior a R$15.000,00.

Esta Instrução Normativa estabelece os critérios para que instituições participantes do Pix, que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio de um Provedor de Serviços de Tecnologia da Informação (PSTI), possam solicitar uma dispensa temporária do limite de emissão para transações de valor superior a R$15.000,00.

A dispensa é válida por um período de 90 dias, podendo ser prorrogada, mas sua aplicação é restrita a dias úteis (de segunda a sexta-feira), no horário das 6h30 às 18h30. A autorização não é automática e depende de uma análise e comunicação formal por parte dos departamentos Deinf, Degef e Deban do Banco Central.

Para obter a dispensa, a instituição deve protocolar uma solicitação formal ao BCB, atendendo a três requisitos principais:

Garantia Financeira: A instituição deve manter uma sobra de capital de, no mínimo, 100% sobre o volume diário máximo de transferências interbancárias realizadas via Conta PI no período de 1º a 29 de agosto de 2025. A norma define como essa sobra de capital deve ser calculada para instituições dos segmentos S1 a S5 e para instituições tipo 2. É crucial notar que esta exigência é cumulativa com a garantia solicitada pela Instrução Normativa BCB nº 666/2025 para a dispensa de limites de TED.
Controles de Segurança da Informação: A instituição deve atestar a implementação de um conjunto rigoroso de controles de segurança, que variam conforme a utilização do PSTI. Os principais pontos incluem:

Gestão de Chaves e Certificados: Não compartilhar chaves privadas com o PSTI, revogar certificados antigos e utilizar certificados digitais distintos para diferentes ambientes e finalidades (assinatura e estabelecimento de canais).
Gestão de Fraudes: Validar a integridade das transações antes da assinatura e manter um monitoramento contínuo (24/7) para identificar transações atípicas em tempo real, com base em volume, valor e frequência.
Controle de Acesso: Realizar revisões periódicas de permissões, especialmente de colaboradores terceirizados.
Controles Adicionais (para uso de PSTI apenas para conectividade): A lista se estende para incluir criptografia, prevenção de intrusão, rastreabilidade de transações (trilhas de auditoria), gestão de vulnerabilidades (testes de intrusão periódicos), segregação de ambientes (isolamento físico e lógico do ambiente Pix) e políticas robustas de proteção de rede.

Auditoria Independente: A implementação de todos os controles de segurança mencionados deve ser confirmada por um relatório de asseguração razoável, emitido por uma firma de auditoria independente registrada na Comissão de Valores Mobiliários (CVM).

O pedido de dispensa deve ser assinado pelo Diretor estatutário responsável pela política de segurança cibernética. A dispensa pode ser revogada a qualquer momento caso a instituição apresente falhas operacionais graves ou deixe de cumprir os requisitos de capital e garantia.

INSTRUÇÃO NORMATIVA BCB Nº 667, DE 22 DE SETEMBRO DE 2025

Disciplina a dispensa da observância do limite de emissão de Pix de valor superior a R$15.000,00 (quinze mil reais) por instituição que se conecta à Rede do Sistema Financeiro Nacional – RSFN por meio de Provedor de Serviços de Tecnologia da Informação – PSTI.

O Chefe do Departamento de Tecnologia da Informação – Deinf, o Chefe do Departamento de Gestão Estratégica e Supervisão Especializada – Degef e o Chefe do Departamento de Operações Bancárias e de Sistema de Pagamentos – Deban, no uso das suas atribuições, tendo em vista o disposto no art. 23, inciso I, alínea “a”, no art. 70, inciso I, alínea “a”, e no art. 112, inciso IV, alíneas “a” e “b”, todos do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de 21 de setembro de 2023, e considerando a previsão do art. 37, § 6º, inciso II, do Regulamento Anexo à Resolução BCB nº 1, de 12 de agosto de 2020,

R E S O L V E M :

Art. 1º Esta Instrução Normativa disciplina a dispensa temporária da observância do limite de emissão de Pix de valor superior a R$15.000,00 (quinze mil reais) por instituição que se conecta à Rede do Sistema Financeiro Nacional – RSFN por meio de Provedor de Serviços de Tecnologia da Informação – PSTI.

Parágrafo único. A dispensa de que trata o caput só será aplicada em dias de semana, de segunda a sexta-feira, no período das 6h30 às 18h30.

Art. 2º Para a obtenção de dispensa, pelo prazo de noventa dias, do limite máximo de que trata o art. 1º, a instituição autorizada a funcionar pelo Banco Central do Brasil e que seja participante do Pix deve protocolizar solicitação instruída com documento formal que demonstre a constituição da garantia de que trata o art. 3º e descreva as medidas adotadas para a implementação dos controles de segurança da informação descritos nos arts. 4º e 5º, devendo ainda ser acompanhado do relatório de asseguração razoável de que trata o art. 6º.

Parágrafo único. A dispensa temporária do que trata o caput só produzirá efeitos a partir da comunicação formal ao participante da decisão conjunta do Departamento de Operações Bancárias e de Sistema de Pagamentos (Deban), do Departamento de Tecnologia da Informação (Deinf) e do Departamento de Gestão Estratégica e Supervisão Especializada (Degef) do Banco Central do Brasil, após análise da documentação apresentada pela instituição.

Art. 3º A instituição solicitante, a título de garantia, deverá manter, no mínimo, sobra de capital no montante de 100% (cem por cento) sobre o volume diário máximo de transferências interbancárias realizadas de sua Conta PI de que trata o art. 2º, inciso VI, do Regulamento Anexo à Resolução BCB nº 195, de 3 de março de 2022, no período compreendido entre 1º de agosto de 2025 e 29 de agosto de 2025.

§ 1º A sobra de capital, cujo valor, para fins da garantia de que trata esta Instrução Normativa, corresponderá, no mínimo ao montante previsto no caput, é definida como:

I - para os conglomerados e instituições tipo 1 e tipo 3 pertencentes aos segmentos S1 a S4, o menor excedente de capital em relação aos requerimentos de mínimos de Capital Principal, Nível I e Patrimônio de Referência, apurados nos termos da regulamentação vigente;

II - para os conglomerados e instituições tipo 1 e tipo 3 pertencentes ao segmento S5, o excedente de capital em relação ao requerimento de mínimo de Patrimônio de Referência S5 (PRS5), apurado nos termos da regulamentação vigente; e

III - para os conglomerados e instituições tipo 2, o excedente de capital em relação ao requerimento de mínimo de Patrimônio de Referência IP (PRIP), apurado nos termos da regulamentação vigente.

§ 2º A exigência a que se refere o caput será cumulativa com a garantia apresentada com base na Instrução Normativa BCB nº 666, de 22 de setembro de 2025.

Art. 4º Para o caso em que são utilizados serviços de processamento de dados relativos à emissão de Pix e de conectividade para acesso à RSFN providos por PSTI, a instituição deve atestar que:

I - não compartilha com o PSTI, ou armazena no ambiente desse provedor, as chaves privadas, relativas aos certificados digitais cadastrados no Banco Central do Brasil, que são utilizadas para a assinatura das mensagens;

II - os certificados digitais, relativos às chaves privadas utilizadas para a assinatura das mensagens que estivessem no ambiente do PSTI ou às quais o PSTI tivesse acesso, foram revogados pela respectiva autoridade certificadora e desativados no Pix;

III - utiliza certificados digitais distintos para ambientes diferentes;

IV - adota certificados digitais separados para assinatura das mensagens e para estabelecimento de canais no Pix;

V - implementa revisão periódica e tempestiva das permissões de acesso, em especial, de colaboradores terceirizados com acesso ao ambiente computacional da instituição e à operação de reserva;

VI - em relação à gestão de fraudes:

a) valida a integridade das transações antes de sua assinatura, assegurando que as informações não tenham sido fraudulentamente geradas, corrompidas ou manipuladas durante o processo de geração da mensagem; e

b) realiza monitoramento em tempo integral, vinte e quatro horas por dia, sete dias por semana, para identificação em tempo real, com base em padrões históricos e comportamentais, de transações atípicas ou fraudulentas, avaliando desvios em relação aos parâmetros esperados no que se refere, inclusive:

1. aos valores transacionados;

2. ao volume de transações; e

3. à quantidade de transações por unidade de tempo; e

VII - possui mecanismos para a interrupção do processamento de transações em caso de suspeita de grave comprometimento de seus sistemas ou dos sistemas do PSTI contratado.

Art. 5º Para os casos em que é utilizado apenas o serviço de conectividade provido por PSTI para o acesso à RSFN, além das exigências previstas no art. 4º, a instituição deve atestar que:

I - implementa mecanismos de criptografia, de prevenção e detecção de intrusão, de prevenção de vazamentos de informações e de proteção contra softwares maliciosos;

II - implementa mecanismos de rastreabilidade de transações que contemplem, no mínimo:

a) trilhas de auditoria do processamento fim-a-fim dos dados e das informações, incluindo a definição e a geração de logs que possibilitem identificar falhas de processamento ou comportamento atípicos, bem como subsidiar análises;

b) definição de tempo de retenção de informações de acordo com o tipo de processamento realizado; e

c) retenção segura das trilhas de auditoria;

III - implementa gestão de cópias de segurança dos dados e das informações;

IV - realiza avaliação e a correção de vulnerabilidades que contemplem no mínimo:

a) testes e análises periódicas para detecção de vulnerabilidades em sistemas de informação;

b) varreduras físicas periódicas do ambiente tecnológico que possibilitem identificar dispositivos indevidamente conectados à rede corporativa que possam estabelecer conexão com ativos de tecnologia externos;

c) análises periódicas do ambiente tecnológico com o objetivo de identificar vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia; e

d) testes de intrusão periódicos;

V - implementa política de controle de acesso que contemple, no mínimo:

a) mecanismos para limitar o acesso à rede corporativa a usuários e dispositivos autorizados;

b) revisão periódica e tempestiva das permissões de acesso, em especial, de colaboradores terceirizados com acesso ao ambiente computacional da instituição;

c) estabelecimento de múltiplos fatores de autenticação para acesso à rede corporativa a partir de ambientes externos; e

d) acesso administrativo com o uso de múltiplos fatores de autenticação, para os ambientes internos de processamento da Pix;

VI - possui processo de avaliação e aplicação regular das correções de segurança;

VII - implanta mecanismos de proteção da rede que contemplem, no mínimo:

a) estabelecimento de regras de firewall, assim como o monitoramento de conexões, evitando-se tentativas de conexão com sistemas críticos provenientes de ativos de tecnologia localizados fora da rede corporativa da instituição;

b) definição de critérios para o estabelecimento e o monitoramento de conexões com ambientes externos, em especial em horário noturno ou não convencional;

c) mecanismos para identificar e prevenir conexões indevidas a ambientes externos a partir do ambiente computacional da instituição; e

d) implementação e manutenção de processos e ferramentas para identificação, análise e tratamento de eventos atípicos no ambiente, a exemplo da abertura de virtual private networks - VPN e de tentativas de acesso privilegiado, especialmente em horário noturno ou não convencional, assim como análise da implantação de controles mais robustos que mitiguem riscos de acessos indevidos nessas ocasiões;

VIII - segrega os ambientes computacionais, limitando o acesso ao ambiente de produção e aos recursos computacionais críticos;

IX - isola física e logicamente do ambiente de processamento de Pix dos demais sistemas, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de nuvem pública;

X - realiza a gestão de certificados digitais que contemple, no mínimo:

a) o monitoramento do uso de certificados digitais e controles para a guarda dessas informações; e

b) a validação de certificados revogados junto às autoridades certificadoras; e

XI - implementa política de gestão de fraudes, com adoção das seguintes medidas:

a) estabelecimento de canal para reporte de indícios de fraudes; e

b) estabelecimento de sistema de identificação em tempo de transações atípicas ou fraudulentas, avaliando desvios em relação aos parâmetros esperados.

Art. 6º O preenchimento dos requisitos de que tratam os arts. 4º e 5º deverá ser atestado por relatório de asseguração razoável elaborado por firma de auditoria independente registrada na Comissão de Valores Mobiliários – CVM, o qual deverá ser apresentado ao Banco Central do Brasil para a protocolização do pedido de que trata o art. 2º.

§ 1º A firma de auditoria independente contratada pela instituição deverá possuir capacidade técnica, administrativa e operacional compatível com o desempenho dos trabalhos de asseguração razoável previstos nesta Instrução Normativa.

§ 2º O Banco Central do Brasil poderá indeferir o pedido de dispensa temporária ou adotar a providência de que trata o art. 9º se detectar, a qualquer tempo, que a firma de auditoria contratada não atende aos requisitos do § 1º e às normas e aos procedimentos de auditoria determinados pela CVM e pelo Conselho Federal de Contabilidade.

Art. 7º O pedido de que trata o art. 2º deverá ser assinado por Diretor estatutário responsável pela política de segurança cibernética, designado pela instituição conforme regulamentação em vigor, que se comprometerá pela veracidade das informações apresentadas ao Banco Central do Brasil, sujeitando-se às medidas previstas na Lei nº 13.506, de 13 de novembro de 2017.

Art. 8º A dispensa temporária de que trata o art. 1º poderá ser prorrogada por sucessivos períodos de, no máximo, noventa dias, até que a instituição atenda as exigências previstas no art. 37, § 4º do Regulamento Anexo à Resolução BCB nº 1, de 12 de agosto de 2020, e desde que não tenha apresentado deficiências ou falhas operacionais graves durante os períodos de dispensa anteriores.

Art. 9º A dispensa temporária de que trata o art. 1º poderá ser revogada, a qualquer tempo, caso a instituição:

I - apresente deficiências ou falhas operacionais graves;

II - mantenha informações desatualizadas sobre seu capital; ou

III - não observe o disposto nos art. 3º.

Art. 10. Ao protocolizar as informações e os documentos requeridos nesta Instrução Normativa, as instituições deverão selecionar, no Protocolo Digital do Banco Central do Brasil, o assunto “Documentos para avaliação de dispensa dos limites estabelecidos – Pix – PSTI ” para destinação ao Degef.

Art. 11. Esta Instrução Normativa entra em vigor na data de sua publicação.

CAIO MOREIRA FERNANDES

Chefe do Deinf

ARISTIDES ANDRADE CAVALCANTE NETO

Chefe do Degef

FABIO MARTINS TRAJANO DE ARRUDA

Chefe do Deban

Instrução Normativa BCB N° 667

Registros selecionados

Resumo

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes