INSTRUÇÃO NORMATIVA BCB
Nº 36, DE 29 DE OUTUBRO DE 2020
Documento
normativo revogado pela Instrução Normativa BCB nº 98, de 14/4/2021.
Divulga a
versão 1.0 do Manual de Serviços Prestados pela Estrutura Responsável pela
Governança do Open Banking.
Os Chefes do Departamento de Regulação
do Sistema Financeiro (Denor) e de Tecnologia da Informação (Deinf), no uso das
atribuições que lhe conferem os arts. 23, inciso I, alínea "a", 62,
inciso IV, do Regimento Interno do Banco Central do Brasil, anexo à Portaria nº
84.287, de 27 de fevereiro de 2015, com base no art. 3º, inciso III, da
Resolução BCB nº 32, de 29 de outubro de 2020,
R E S O L V E M :
Art. 1º Esta Instrução Normativa
divulga a versão 1.0 do Manual de Serviços Prestados pela Estrutura Responsável
pela Governança do Open Banking, de observância obrigatória por parte
das instituições participantes, conforme Anexo.
Parágrafo único. O manual de que
trata o caput, em sua versão mais recente, estará acessível na página do
Open Banking no sítio eletrônico do Banco Central do Brasil na internet.
Art. 2º Esta Instrução Normativa
entra em vigor na data de sua publicação.
João
André Calvino Marques Pereira Haroldo
Jayme Martins Froes Cruz
Chefe
do Departamento de Chefe
do Departamento de
Regulação do Sistema Financeiro Tecnologia
da Informação
ANEXO À INSTRUÇÃO NORMATIVA BCB Nº 36,
DE 29 DE OUTUBRO DE 2020
Manual de Serviços Prestados pela
Estrutura Responsável pela
Governança do Open Banking Versão 1.0
|
Data
|
Versão
|
Descrição das alterações
|
|
29/10/2020
|
1.0
|
Versão
inicial.
|
Este
manual estabelece os principais requisitos técnicos para a prestação de
serviços por parte da estrutura responsável pela governança do processo de
implementação no País do Open Banking, em função das determinações
constantes da regulamentação vigente.
Termos de
Uso
Este
manual detalha os requisitos técnicos para a implementação dos elementos
necessários à operacionalização do Open Banking, complementando a
regulamentação vigente sobre o tema.
O
manual será revisto e atualizado periodicamente a fim de preservar a
compatibilidade com a regulamentação, bem como para incorporar os
aprimoramentos decorrentes da evolução do Open Banking e da tecnologia.
Informações
mais detalhadas e exemplos da aplicação deste manual poderão ser encontrados
nos guias e tutoriais disponíveis no Portal do Open Banking no Brasil,
na Área do Desenvolvedor.
Sugestões,
críticas ou pedidos de esclarecimento de dúvidas relativas ao conteúdo deste
documento podem ser enviados ao Banco Central do Brasil por meio dos canais
institucionais dessa autarquia.
Estas
especificações baseiam-se, referenciam, e complementam, quando aplicável, os
seguintes documentos:
1. Introdução
O
funcionamento do Open Banking de forma satisfatória pressupõe o
provimento de alguns serviços fundamentais. No modelo adotado no País, definido
pela Resolução Conjunta nº 1 e pela Resolução BCB nº 32, ambas de 2020, essa
incumbência ficou a cargo da estrutura responsável pela governança, nos termos
da Circular nº 4.032, de 23 de junho de 2020.
O
diretório é o primeiro elemento essencial para a infraestrutura do Open
Banking. Ele congrega uma série de funcionalidades críticas, como o
gerenciamento de credenciais dos participantes e o monitoramento das APIs.
Os
canais de suporte ao diretório e de encaminhamento de demandas às instituições
participantes também são importantes para o atendimento das necessidades de
apoio técnico na operacionalização do Open Banking, inclusive no que se
refere aos aspectos compartilhados da infraestrutura. Eles constituem um ponto
focal para recepção e encaminhamento das demandas aos participantes, com o
acompanhamento das demandas até a sua resolução.
Outro
serviço disponibilizado com o propósito de promover a comunicação não somente
entre os participantes do Open Banking, mas com o público em geral, é a
manutenção do Portal do Open Banking no Brasil. Nesse portal, tanto o
cidadão poderá esclarecer suas dúvidas em relação aos serviços e à tecnologia
como o desenvolvedor conseguirá buscar informações de cunho
técnico-operacional, além de interagir com seus pares em um ambiente
especialmente desenvolvido para essa finalidade.
Esses
são alguns dos serviços a serem prestados pela estrutura inicial de governança
com o objetivo de viabilizar o Open Banking no País. Naturalmente,
haverá uma evolução das necessidades inerentes a essa tecnologia, ainda
distante de sua maturidade. Assim, a finalidade deste manual é estabelecer
parte dos requisitos mínimos dos serviços essenciais sem a pretensão de ser
exaustivo, deixando uma margem para decisão e atuação do mercado nos pontos não
cobertos pelo documento, mas necessários para o sucesso da implementação do Open
Banking.
O
Diretório de Participantes do Open Banking é o ambiente no qual uma
instituição autorizada a funcionar pelo Banco Central formaliza sua
participação no ecossistema, realizando sua integração para dar início
ao compartilhamento de dados, iniciação de transação de pagamento e/ou
encaminhamento de proposta de operação de crédito com as demais instituições
participantes, por meio de APIs.
O
Diretório de Participantes deverá implementar as seguintes funcionalidades:
I
- gerenciamento de identidades e acessos: a capacidade de emitir e gerenciar
registros de identidade para organizações e pessoas físicas que interagem com o
Diretório do Open Banking;
II
- gerenciamento de identidade e autorização de aplicações: identificação e
autorização das aplicações dos Participantes; e
III
- gerenciamento de informações do diretório: a capacidade de atualizar e
encontrar as informações mantidas no diretório, por meio de APIs e/ou de uma
interface de usuário web.
A
funcionalidade "Gerenciamento de Identidades e Acessos" deverá
abranger todos os processos de negócio executados desde o primeiro contato do
usuário com a página inicial do Open Banking até o final de sua
inscrição como Participante do Diretório.
O
Diretório deverá permitir que representantes de instituições possam
cadastrá-las como participantes no ecossistema, coletando as informações que
permitam sua participação plena e de acordo com as respectivas modalidades de
participação.
O
processo de cadastramento deverá estar detalhado no Portal do Open Banking
no Brasil mantido pela estrutura responsável pela governança do Open Banking.
A
funcionalidade "Gerenciamento de Identidade e Autorização de Aplicações"
deverá abranger os processos de negócio envolvidos com a identificação e
autorização de participação de aplicações no ecossistema, permitindo um consumo
seguro de informações.
Esse
processo deverá estar detalhado no Portal do Open Banking no Brasil
mantido pela estrutura responsável pela governança do Open Banking.
O
Diretório deverá prover funcionalidades que possibilitem a listagem dos participantes,
a consulta e alteração dos seus dados, de seus representantes e de seus contatos,
bem como o histórico das modificações realizadas. Essas alterações serão
passíveis de notificação aos participantes.
Além
disso, o Diretório também deverá armazenar e disponibilizar seus indicadores de
desempenho e disponibilidade, bem como os dos participantes.
O
Diretório deverá também prover funcionalidade para a revogação de certificado e
de participante, conforme a regulamentação vigente.
Os
processos envolvidos nessas funcionalidades deverão estar detalhados no Portal
do Open Banking no Brasil mantido pela estrutura responsável pela
governança do Open Banking.
Para
a primeira fase do Open Banking, o Diretório deverá observar o seguinte
nível mínimo de serviço:
Disponibilidade:
I
- 24 horas por dia, 7 dias por semana;
II
- 95% a cada 24 horas; e
III
- 99,5% a cada 3 meses.
Desempenho das APIs: tempo de resposta de percentil 95 em no máximo:
I
- 1000ms para alta prioridade;
II
- 1500ms para média prioridade; e
III
- 4000ms para admin.
Há
perspectiva de elevação dos níveis mínimos de serviço para as fases seguintes
de implementação do Open Banking, de forma a harmonizá-los com os dos
sistemas de pagamentos críticos.
O
Diretório deverá armazenar e disponibilizar os dados estatísticos de desempenho
e disponibilidade do Open Banking, com frequência mínima que permita
aferir o atendimento dos acordos de nível de serviço:
I
- das APIs dos Participantes; e
II
- dos elementos da infraestrutura compartilhada
O Service
Desk é o ambiente no qual o ecossistema de Open Banking no País
requisita e mantém, de forma centralizada, os tickets de suporte técnico relacionados ao Diretório de Participantes,
às suas APIs e aos dados e serviços compartilhados entre os participantes.
Nesse
ambiente deverão ser oferecidas quatro funcionalidades básicas:
I - solução
de dúvidas gerais;
II - suporte
na emissão de tickets;
III - suporte
a notificações; e
IV - suporte
aos serviços prestados pela estrutura responsável pela governança.
Deverão
ser providas duas áreas para solução de dúvidas técnicas relacionadas ao Open
Banking, a saber: perguntas frequentes (FAQ) e um canal de atendimento, que
poderá ser implementado com atendimento de forma automatizada, sem intervenção
humana.
Nesta
área deverão ser encontradas as respostas para os questionamentos mais
frequentes relacionados ao suporte técnico, ao Diretório, às APIs e aos dados e
serviços compartilhados entre as instituições participantes, de modo que
algumas dúvidas possam ser sanadas de maneira rápida e independente.
O
conteúdo inicial deste ambiente precisará ser discutido e elaborado pela
estrutura responsável pela governança do Open Banking e deverá ser
reavaliado a cada lançamento de versão major das APIs, de forma a
atender seu objetivo de esclarecer dúvidas frequentes do público.
Deverá
ser disponibilizado canal de atendimento para suporte técnico, que poderá ser
implementado com atendimento de forma automatizada, sem intervenção humana. Nesse
canal, poderão ser obtidas respostas para dúvidas de menor complexidade.
As
respostas deverão ser classificadas conforme o grau de sensibilidade, devendo a
informação fornecida ser de acordo com o perfil do demandante, que poderá ser
desde uma instituição participante até um cidadão interessado em tecnologia.
Caso
não seja possível atender às necessidades do demandante por meio do canal
automatizado, deverá ser oferecida a possibilidade de abertura de ticket.
O
Service Desk deverá suportar pelo menos dois tipos de tickets:
I
- requisições: pedidos de informações ou sugestões de melhorias; e
II
- incidentes: comunicação de falhas em algum serviço.
Deverá
ser implementada uma sistemática que permita a definição dos estados de
atendimento dos tickets, bem como as transições entre os estados, de
forma a permitir a adoção de ações adequadas ao seu tratamento, a exemplo de:
triagem, enfileiramento, atribuição, resposta, avaliação e devolução. Essa
sistemática deverá estar detalhada no Portal do Open Banking no Brasil
mantido pela estrutura responsável pela governança do Open Banking.
O
Service Desk deverá permitir a abertura de tickets via canal de
atendimento, ou adicionalmente, no caso de uma instituição participante, por
meio de API específica.
Na
abertura de um ticket deverá ser gerado um número de protocolo, que deverá
ser informado ao demandante. Nesse momento, começará a contar prazo para
atendimento da demanda, conforme acordo de nível de serviço especificado no
item 0.
As
regras de classificação de criticidade deverão ser aplicadas às informações do ticket
e o resultado deverá estar associado ao mesmo antes do direcionamento às
instituições participantes. Essas regras estão definidas na seção 3.2.2.5.
Toda
atualização que ocasione uma mudança do estado de atendimento ou do conteúdo do
ticket deverá ser devidamente registrada e armazenada para acesso futuro
e para fins de verificação ou auditoria, observados os prazos de armazenamento
previstos na regulamentação vigente.
As
metas para atendimento dos tickets que se referem às requisições devem
ser as seguintes:
|
Tipo de requisição
|
Criticidade
|
Prazo máximo
|
|
Solicitações
de Informações
|
1
|
120 horas
|
|
Sugestões
de Melhorias
|
2
|
240 horas
|
As metas para
atendimento dos tickets relacionados a incidentes devem ser as
seguintes:
|
Criticidade
|
Incidente afeta
|
Prazo máximo
|
|
1
|
APIs de alta prioridade
Serviços relacionados à
identidade/segurança
Service Desk
|
1 hora
|
|
2
|
APIs de média prioridade
Área do consumidor
Área do desenvolvedor
|
2 horas
|
|
3
|
APIs admin
Serviços do Diretório não
relacionados à identidade/segurança
|
8 horas
|
|
4
|
Demais elementos
|
24 horas
|
Os prazos se
referem ao tempo total de atendimento, desde a geração do protocolo até o
encerramento do ticket, englobando o tempo dispendido no Service Desk
e nos participantes demandados, sendo vedada a suspensão do tempo de sua
contagem.
Toda
atualização no ticket (conteúdo e/ou estado de atendimento) deverá ser
notificada ao demandante. Os participantes demandados também poderão receber
notificações.
O
Service Desk deverá prover funcionalidade para notificação e divulgação
de informações relevantes para as instituições participantes e demais
interessados.
O
processo envolverá o reporte, inserção em quadro de notícias e o envio de
informações às instituições participantes.
As
seguintes informações deverão ser reportadas:
I
- problemas nas implementações das APIs;
II
- atualizações em tempo real sobre indisponibilidade de APIs;
III
- notificações sobre indisponibilidades programadas; e
IV
- notificações sobre reestabelecimento de serviços.
Também
deverão ser reportadas as seguintes mudanças técnicas:
I
- atualizações nas implementações das APIs;
II
- atualizações de políticas de segurança e/ou participantes;
III
- atualizações no Diretório; e
IV
- atualizações nas definições de APIs.
O
detalhamento das informações e as formas de notificação deverão estar previstos
no Portal do Open Banking no Brasil mantido pela estrutura responsável
pela governança do Open Banking.
O
Service Desk deverá prover suporte aos seguintes tópicos relacionados
aos serviços prestados pela Estrutura Responsável pela Governança do Open
Banking:
I
- registro dos participantes no diretório;
II
- acesso ao diretório;
III
- atualizações do diretório; e
IV - consultas,
problemas técnicos e reclamações quanto aos serviços prestados pela estrutura
responsável pela governança do Open Banking.
O
Service Desk deverá observar o seguinte nível mínimo de serviço:
Disponibilidade:
I
- 24 horas por dia, 7 dias por semana;
II
- 95% a cada 24 horas; e
III
- 99,5% a cada 3 meses.
Desempenho das APIs: tempo de resposta de percentil 95 em no máximo:
I
- 1000ms para alta prioridade;
II
- 1500ms para média prioridade; e
III
- 4000ms para admin.
Há
perspectiva de elevação dos níveis mínimos de serviço para as fases seguintes
de implementação do Open Banking, de forma a harmonizá-los com os dos
sistemas de pagamentos críticos.
Deverá
ser disponibilizada uma Área do Desenvolvedor. Este será um ambiente aberto,
partindo de um escopo inicial de informações e evoluindo ao longo do tempo em
linha com o desenvolvimento do Open Banking.
O
conteúdo a seguir deverá ser disponibilizado de forma obrigatória:
I
- especificações de APIs de canais de atendimento e de produtos e Serviços das
Instituições;
II
- especificações de APIs de dados cadastrais e transacionais de clientes;
III
- especificações de API de iniciação de transação de pagamentos;
IV
- especificações de APIs do Diretório e do Service Desk;
V
- especificações de APIs de relatórios e métricas;
VI
- especificações de registro;
VII
- perfil de segurança;
VIII
- problemas conhecidos da especificação;
IX
- diretrizes operacionais;
X
- diretrizes de experiência do cliente;
XI
- diretrizes técnicas do diretório;
XII
- calendário;
XIII
- guias de Implementação;
XIV
- tempo de Indisponibilidade das APIs;
XV
- problemas;
XVI
- perguntas frequentes (FAQ);
XVII
- histórico de especificações; e
XVIII
- histórico de alterações.
Se
algum item ainda estiver pendente de especificação, a informação "a ser
publicada" deverá ser prestada.
Deverá
ser disponibilizada uma Área do Cidadão, um ambiente aberto, partindo de um
escopo inicial de informações e evoluindo ao longo do tempo em linha com o
desenvolvimento do Open Banking.
O
conteúdo a seguir deverá ser disponibilizado de forma obrigatória:
I
- o que é o Open Banking? - explicação sobre o ecossistema do Open
Banking, incluindo sua origem, benefícios e aplicações, além do seu modo de
funcionamento;
II
- perguntas frequentes (FAQ) - resposta as dúvidas recorrentes dos cidadãos, em
especial quanto a forma de participação nesse ecossistema e canais para apresentação
de demandas;
III
- instituições participantes - mecanismo de busca de instituições participantes
no ecossistema do Open Banking e que provêm serviços no ambiente de
produção;
IV
- insights - vídeos informativos e educativos sobre o tema, com visões
de diferentes participantes;
V
- notícias - informações de interesse do cidadão;
VI
- eventos - lista informativa de eventos sobre Open Banking, a exemplo
de fóruns, conferências, painéis de discussão e eventos de networking; e
VII
- glossário - principais termos utilizados no contexto do Open Banking,
com vistas a facilitar o entendimento de consumidores.
Brasília, 29 de outubro de 2020.
