CARTA-CIRCULAR N. 003426
------------------------
Estabelece os requisitos para pres-
tação de serviços de tecnologia no
âmbito do Sistema de Pagamentos
Brasileiro - SPB.
Esclarecemos que os Provedores de Serviços de Tecnologia da
Informação - PSTI são entidades que podem prestar serviços de tecno-
logia no âmbito do SPB para instituições detentoras de conta Reservas
Bancárias ou de Conta de Liquidação, exceto para câmaras e prestado-
res de serviço de compensação e de liquidação sistemicamente impor-
tantes, nos termos desta carta-circular.
2. O serviço de tecnologia prestado por PSTI compreende o en-
caminhamento das mensagens originadas das instituições por ele servi-
das ou a elas destinadas, observado que:
I - uma instituição somente pode ser PSTI para instituições
do conglomerado a que pertencer; e
II - os provedores da RSFN não podem ser PSTI.
3. A prestação de serviços pelo PSTI deve observar o disposto
nos documentos Catálogo de Mensagens e de Arquivos da RSFN, Manual
Técnico da RSFN e Manual de Segurança da RSFN, de que trata a Circu-
lar nº 3.424, de 12 de dezembro de 2008, disponíveis na página do
Banco Central do Brasil na internet (www.bcb.gov.br) e na página da
Rede do Sistema Financeiro Nacional RSFN (www.bcb.rsfn.net.br).
4. As formas de aglutinação de instituições para efeito de
compartilhamento de serviços prestados por um PSTI compreendem:
I - Aglomerado: conjunto de instituições detentoras de con-
ta Reservas Bancárias ou de Conta de Liquidação não participantes de
um mesmo conglomerado financeiro;
II - Conglomerado: conjunto de instituições detentoras de
conta Reservas Bancárias ou de Conta de Liquidação com controlador
comum, direto ou indireto, das quais uma presta os serviços típicos
de PSTI às demais, mesmo que qualquer das demais seja participante do
Sistema de Transferência de Reservas - STR; ou
III - Contingência: conjunto de instituições detentoras de
conta Reservas Bancárias ou de Conta de Liquidação e não integrantes
de um mesmo conglomerado financeiro, que utiliza os serviços de um
PSTI, exclusivamente em situação de contingência.
5. A contratação dos serviços de PSTI por instituição detento-
ra de conta Reservas Bancárias ou de Conta de Liquidação deverá ser
previamente aprovada pelo Banco Central do Brasil, nos termos de re-
gulamentação específica, esclarecido que uma instituição somente po-
de contratar os serviços de um único PSTI.
6. O pedido de autorização para funcionar como PSTI deverá
conter o Plano de Negócios da entidade e a descrição do projeto de
implementação dos requisitos tecnológicos estabelecidos nesta carta-
circular, formalizado mediante expediente encaminhado ao Departamento
de Tecnologia da Informação - Deinf.
7. A autorização referida no item precedente será revogada ca-
so a entidade credenciada como PSTI não preste, por um ano ininter-
rupto, serviços de tecnologia da informação no âmbito do SPB para pe-
lo menos um participante do STR, no ambiente de produção.
8. Na prestação dos serviços, o PSTI deve:
I - manter inalterado o conteúdo das mensagens por ele cur-
sadas;
II - assegurar e preservar o sigilo das informações proces-
sadas por seu intermédio;
III - oferecer igual nível de serviços às instituições que
utilizem seus serviços;
IV - ter disponível, para supervisão pelo Banco Central do
Brasil, os programas-fonte de seus programas de acesso ao STR, os
diagramas de conexão ao STR e os diagramas de programas, de máquinas
e de telecomunicações, envolvendo a instituição e o PSTI, caso os a-
plicativos sejam providos aos aglomerados;
V - possuir, no mínimo, uma ligação a cada um dos provedo-
res de comunicações da RSFN, em cada um de seus Centros de Serviços
de Informática - CSI;
VI - possuir, para cada Aglomerado ou Conglomerado, elemen-
tos computacionais independentes, assim definidos todas as máquinas,
os programas e as aplicações necessários para cursar as mensagens das
instituições;
VII - possuir, no mínimo, dois CSI independentes e interli-
gados, de modo a oferecer funcionamento ininterrupto, observado o in-
dice de 99,8% de disponibilidade.
9. Na prestação dos serviços de Contingência, adicionalmente
ao previsto nos incisos de I a VI do item 8, o PSTI deve:
I - garantir o sigilo das informações processadas, caso os
aplicativos sejam por ele providos e as instituições compartilharem
os servidores de aplicação e infra-estrutura;
II - prover elementos computacionais independentes para ca-
da instituição, assim definidos todas as máquinas e a infra-estrutura
necessárias à aplicação, caso os aplicativos sejam providos pelas ins
tituições.
10. A instituição participante de Aglomerado, conforme definido
no inciso I do item 4, deve:
I - zelar pela guarda e integridade de sua chave criptográ-
fica secreta para assinatura digital, que não pode, em nenhuma hipó-
tese, estar localizada nas máquinas servidoras do PSTI;
II - possuir máquinas e programas apropriados para prepa-
rar, assinar digitalmente, cifrar e encaminhar suas mensagens;
III - possuir máquinas e programas apropriados para rece-
ber, conferir a assinatura digital, decifrar e processar as mensagens
que lhe forem encaminhadas;
IV - possuir, no mínimo, uma ligação a cada um dos provedo-
res de comunicações da RSFN, para comunicação com o PSTI a que esteja
ligada; e
V - ter disponível, para supervisão pelo Banco Central do
Brasil, os programas-fonte de seus programas de acesso ao STR, os
diagramas de conexão ao STR e os diagramas de programas, de máquinas
e de telecomunicações, envolvendo a própria instituição e o PSTI.
11. No caso de Conglomerado, conforme definido no inciso II do
item 4:
I - os serviços de processamento de dados das instituições
participantes devem ser executados em um único CSI;
II - o PSTI do Conglomerado, se utilizar CSI de terceiros,
estará sujeito às condições previstas para Aglomerado; e
III - cada instituição participante deve possuir seu pró-
prio certificado digital e suas mensagens devem ser assinadas com as
chaves privadas relativas ao seu certificado.
12. A instituição contratante dos serviços de um PSTI que, por
qualquer motivo, não puder encaminhar as mensagens relativas à movi-
mentação de sua conta Reservas Bancárias ou Conta de Liquidação deve
utilizar o serviço de inserção de mensagens em regime de contingência
disponibilizado pelo Banco Central do Brasil.
13. São admitidas a hospedagem de máquinas e de aplicativos e
a utilização de centros de processamento comerciais especializados,
desde que observados todos os critérios definidos nesta carta-circu-
lar, para as instituições participantes e para os PSTI.
14. É vedado o trânsito, entre as partes, das chaves criptográ-
ficas privadas utilizadas ou de mensagens "em claro".
15. Somente por meio da RSFN é permitida a troca de informações
entre o PSTI e as instituições detentoras de conta Reservas Bancárias
que dele se utilizam e entre o PSTI e os demais participantes do STR.
16. Admite-se a troca de informações por meio de rede dedicada,
homologada pelo Banco Central do Brasil, entre o PSTI e as institui-
ções detentoras de Conta de Liquidação que dele se utilizam, ressal-
vado que a troca de informações entre o PSTI e os demais participan-
tes do STR deve ocorrer por meio da RSFN, mantidos os demais requisi-
tos estabelecidos nesta carta-circular, inclusive no que se refere à
guarda das assinaturas digitais e demais elementos de segurança.
17. Fica revogada a Carta-Circular nº 3.189, de 10 de maio de
2005.
18. Esta carta-circular entra em vigor na data de sua publica-
ção.
Brasília, 30 de dezembro de 2009.
Departamento de Operações Bancárias Departamento de Tecnologia da
e de Sistema de Pagamentos Informação
Radjalma Costa Marcelo José Oliveira Yared
Chefe de Unidade, substituto Chefe de Unidade, substituto