INSTRUÇÃO
NORMATIVA BCB Nº 359, DE 3 DE MARÇO DE 2023
Documento
normativo revogado pela Instrução Normativa BCB nº 588, de 31/1/2025.
Divulga
a versão 3.0 do Manual de Serviços Prestados pela Estrutura Responsável pela
Governança do Open Finance.
Os Chefes do
Departamento de Regulação do Sistema Financeiro (Denor), do Departamento de Supervisão de Cooperativas e de
Instituições Não Bancárias (Desuc), do Departamento de Supervisão Bancária
(Desup) e do Departamento de Tecnologia da Informação (Deinf), no uso das
atribuições que lhe conferem os arts. 23, inciso I, alínea "a", 62,
inciso IV, e 116, inciso I, alínea “b”, do Regimento Interno do Banco Central
do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, com base no
art. 3º, inciso III, da Resolução BCB nº 32, de 29 de outubro de 2020,
R E S O L V E M :
Art. 1º Esta
Instrução Normativa divulga a versão 3.0 do Manual de Serviços Prestados pela
Estrutura Responsável pela Governança do Open Finance, de observância
obrigatória por parte das instituições participantes, conforme Anexo.
Parágrafo único. O
manual de que trata o caput, em sua versão mais recente, estará
acessível na página do Open Finance no sítio eletrônico do Banco Central
do Brasil na internet e no Portal do Open Finance no Brasil,
mantido pela Estrutura Responsável pela Governança do Open Finance de
que trata o art. 44, § 1º, da Resolução Conjunta nº 1, de 4 de maio de 2020.
Art. 2º Fica
revogada a Instrução Normativa BCB nº 133, de 22 de julho de 2021.
Art. 3º Esta
Instrução Normativa entra em vigor em 1º de abril de 2023.
João André Calvino Marques Pereira Harold Paquete Espínola Filho
Chefe do Departamento de Regulação Chefe do Departamento
de Supervisão
do Sistema Financeiro de
Cooperativas e de Instituições Não
Bancárias
Belline Santana Haroldo
Jayme Martins Froes Cruz
Chefe do Departamento Chefe
do Departamento de Tecnologia
de Supervisão Bancária da
Informação
ANEXO À INSTRUÇÃO
NORMATIVA BCB Nº 359, DE 3 DE MARÇO DE 2023
Manual de Serviços
Prestados pela Estrutura Responsável pela Governança do Open Finance Versão 3.0
|
Data
|
Versão
|
Descrição
das alterações
|
|
03/03/2023
|
3.0
|
Desvinculação do Serviço de Monitoramento do
Diretório de Participantes, com exclusão do item 2.6, e criação da seção 8
sobre o Monitoramento dos Serviços de Tecnologia do Open Finance.
|
|
Maior detalhamento sobre abertura de tickets
no Service Desk, com alteração no item 3.2.2.2.
|
|
Criação de novos tipos de incidentes em
relação às metas de atendimento de incidentes sem indisponibilidade, com
alterações no item 3.2.2.5.2.
|
|
Criação da seção 7 sobre Validação do
Ambiente de Produção.
|
|
Adequação de várias seções ao estágio atual
do Open Finance.
|
|
Aprimoramentos na redação do texto, sem
alteração de mérito.
|
|
Substituição das expressões Open Banking
por Open Finance, conforme alteração promovida pela Resolução Conjunta
nº 4, de 24 de março de 2022, na Resolução Conjunta nº 1, de 2020.
|
Termos
de Uso
Este manual detalha os requisitos técnicos
para a implementação dos elementos necessários à operacionalização do Open
Finance, complementando a regulamentação vigente sobre o tema.
O manual será revisto e atualizado
periodicamente a fim de preservar a compatibilidade com a regulamentação, bem
como para incorporar os aprimoramentos decorrentes da evolução do Open
Finance e da tecnologia.
Informações mais detalhadas e exemplos da
aplicação deste manual poderão ser encontrados nos guias e tutoriais
disponíveis no Portal do Open Finance no Brasil, na Área do
Desenvolvedor.
Sugestões, críticas ou pedidos de
esclarecimento de dúvidas relativas ao conteúdo deste documento podem ser
enviados ao Banco Central do Brasil por meio dos canais institucionais dessa
autarquia.
Referências
Estas
especificações baseiam-se, referenciam e complementam, quando aplicável, os
seguintes documentos:
|
Referência
|
Origem
|
|
Resolução
Conjunta nº 1, de 2020
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20Conjunta&numero=1
|
|
Resolução
BCB nº 32, de 2020
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=32
|
|
Circular
nº 4.032, de 2020
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Circular&numero=4032
|
1. Introdução
O funcionamento do Open Finance
pressupõe o provimento de alguns serviços fundamentais. No modelo adotado no País,
definido pela Resolução Conjunta nº 1, de 4 de maio de 2020, do Conselho
Monetário Nacional e do Banco Central do Brasil, e pela Resolução BCB nº 32, de
29 de outubro de 2020, essa incumbência ficou a cargo da Estrutura Responsável
pela Governança do Open Finance, nos termos da Circular nº 4.032, de 23
de junho de 2020.
O Diretório de Participantes é o primeiro
elemento essencial para a infraestrutura do Open Finance. Ele congrega
uma série de funcionalidades críticas, como o gerenciamento de credenciais dos
participantes.
A Estrutura Responsável pela Governança deve
acompanhar os níveis de serviço de tecnologia dos participantes e da
infraestrutura compartilhada definidos em regulação.
Os canais de suporte aos serviços providos
pela Estrutura Responsável pela Governança do Open Finance e de
encaminhamento de demandas às instituições participantes também são importantes
para o atendimento das necessidades de apoio técnico na operacionalização do Open
Finance. Eles constituem pontos focais para recepção e encaminhamento das
demandas aos participantes, com o acompanhamento das demandas até a sua
resolução.
Outro elemento importante para o
funcionamento do Open Finance é a plataforma de resolução de disputas. Tal
plataforma integra o mecanismo para resolução de disputas de que trata o art. 44,
inciso IV, da Resolução Conjunta nº 1, de 2020. O acesso das
instituições participantes aos recursos da referida plataforma deve observar
a confidencialidade, a integridade, a disponibilidade dos dados e sistemas de
informação utilizados, bem como a legislação e a regulamentação vigentes.
Com o propósito de promover a comunicação não
somente entre os participantes do Open Finance, mas com o público em
geral, a Estrutura Responsável pela Governança do Open Finance deve
disponibilizar o Portal do Open Finance no Brasil. Nesse portal, o
cidadão poderá esclarecer suas dúvidas em relação aos serviços e à tecnologia;
o desenvolvedor conseguirá informações de cunho técnico-operacional e as
instituições participantes poderão obter informações sobre o ambiente.
A Estrutura Responsável pela Governança do Open
Finance deve, ainda, disponibilizar ambiente de teste (Sandbox) de application
programming interfaces (APIs), com o objetivo de proporcionar estrutura de
apoio ao desenvolvimento e testes por parte das instituições participantes, e
um serviço de validação em produção com vistas a checar a conformidade e o
registro de APIs das instituições participantes e garantir que os ambientes
produtivos das instituições participantes estejam aderentes às suas respectivas
certificações.
Convém ressaltar que diversos dos serviços supramencionados,
tais como o Diretório de Participantes, ambientes de teste de APIs e de
monitoramento de serviços de tecnologia, e ferramentas de validação em
produção, constituem-se em elementos do papel de monitoramento dos
participantes atribuído à Estrutura Responsável pela Governança do Open
Finance, conforme o art. 44, inciso VIII, da Resolução Conjunta nº 1, de
2020. Cumpre mencionar que, no entanto, tal papel não se limita aos serviços
descritos neste manual.
Nesse sentido, esses são apenas alguns dos
serviços prestados pela Estrutura Responsável pela Governança do Open
Finance com o objetivo de viabilizar o Open Finance no País.
Naturalmente, haverá uma evolução das necessidades inerentes a essa iniciativa.
Assim, a finalidade deste manual é estabelecer parte dos requisitos mínimos dos
serviços essenciais sem a pretensão de ser exaustivo, deixando uma margem para
decisão e atuação das instituições nos pontos não cobertos pelo documento, mas necessários
para o sucesso da implementação do Open Finance.
2. Diretório de
Participantes
O Diretório de Participantes é o ambiente no
qual uma instituição autorizada a funcionar pelo Banco Central do Brasil registra
e formaliza sua participação no ambiente do Open Finance, realizando
sua integração para dar início ao compartilhamento de dados, iniciação de
transação de pagamento e/ou encaminhamento de proposta de operação de crédito
com as demais instituições participantes, por meio de APIs.
O Diretório de Participantes deve implementar
as seguintes funcionalidades:
I - gerenciamento de identidades e acessos: a
emissão e o gerenciamento de registros de identidade para organizações e
pessoas naturais que interagem com o Diretório;
II - gerenciamento de identidade e autorização
de aplicações: identificação e autorização das aplicações das instituições participantes;
e
III - gerenciamento de informações do Diretório:
a capacidade de atualizar e encontrar as informações mantidas no Diretório, por
meio de APIs, arquivos e/ou de uma interface de usuário web.
2.1
Gerenciamento de Identidades e Acessos
A funcionalidade "Gerenciamento de
Identidades e Acessos" abrange todos os processos de negócio executados
desde o primeiro contato do representante da instituição com a página inicial
do Open Finance até o final de sua inscrição como participante do Diretório
de Participantes.
O Diretório de Participantes deve permitir
que representantes das instituições possam cadastrá-las como participantes no Open
Finance, coletando as informações necessárias para a sua participação plena,
de acordo com as respectivas modalidades de participação.
O Diretório de Participantes deve também
dispor de funcionalidade para a revogação de certificado de participante,
conforme a regulamentação vigente.
O processo de cadastramento deve estar
detalhado no Portal do Open Finance no Brasil mantido pela Estrutura Responsável
pela Governança do Open Finance.
2.2
Gerenciamento de Identidade e Autorização de Aplicações
A funcionalidade "Gerenciamento de
Identidade e Autorização de Aplicações" abrange os processos de negócio
envolvidos com a identificação e autorização de participação de aplicações no Open
Finance, permitindo um consumo seguro de informações.
Esse processo deve estar detalhado no Portal
do Open Finance no Brasil mantido pela Estrutura Responsável pela Governança
do Open Finance.
2.3
Gerenciamento de Informações do Diretório
O Diretório de Participantes deve dispor de
funcionalidades que possibilitem a listagem dos participantes, a consulta e
alteração dos seus dados, de seus representantes e de seus contatos, bem como o
histórico das modificações realizadas. Essas alterações devem ser passíveis de
notificação aos participantes.
Em relação às APIs de dados acessíveis ao
público relativos aos canais de atendimento e aos produtos e serviços
disponíveis para contratação na instituição participante, ora definidos pelo
Manual de Escopo de Dados, o Diretório de Participantes deve prover consultas, por meio de API ou
arquivos, que
permitam identificar os participantes que implementam uma determinada API ou endpoint,
bem como listar as APIs e endpoints implementados por um participante.
Em relação às demais APIs daquele manual, deve ser provida API que implemente
consultas análogas, nesse caso restritas às instituições participantes do Open
Finance.
Os processos envolvidos nessas
funcionalidades devem estar detalhados no Portal do Open Finance no Brasil.
2.4 Testes de Conformidade e Registro de APIs
A Estrutura Responsável pela Governança do Open
Finance é responsável pelo processo de validação de conformidade de APIs
dos participantes. O escopo mínimo dos testes deve abranger aspectos funcionais
e não funcionais; os primeiros visam a avaliar se as implementações estão
aderentes às especificações das APIs; os últimos objetivam avaliar se os
requisitos não funcionais das APIs, em particular, segurança, estão sendo
atendidos por suas implementações.
A execução dos testes de conformidade é
realizada em ambiente disponibilizado pela Estrutura Responsável pela
Governança do Open Finance, que também se encarrega da certificação dos
resultados.
Uma implementação de versão de API do Open
Finance só poderá ser registrada no ambiente produtivo do Diretório de
Participantes caso tenha sido certificada nos testes de conformidade.
A Estrutura Responsável pela Governança do Open
Finance deve estabelecer uma política de recertificações a ser seguida
pelas instituições participantes.
Deverão ser disponibilizados em área pública
do Portal do Open Finance no Brasil os resultados dos testes de
conformidade de APIs já realizados.
2.5
Acordos de Nível de Serviço (SLAs) do Diretório de Participantes
O Diretório de Participantes deverá observar
o seguinte nível mínimo de serviço:
Disponibilidade:
I - 24 horas por dia, 7 dias por semana;
II - 95% a cada 24 horas; e
III - 99,5% a cada 3 meses.
Desempenho das APIs:
Tempo de resposta de percentil 95 em, no
máximo, 1500ms.
3. Service Desk
O
Service Desk é o ambiente do Open Finance no qual são requisitados
e mantidos, de forma centralizada, os tickets de suporte
técnico relacionados ao Diretório de Participantes, às suas APIs e aos dados e
serviços compartilhados entre os participantes.
Nesse
ambiente, devem ser disponibilizadas quatro funcionalidades básicas:
I
- solução de dúvidas gerais;
II
- suporte na emissão de tickets;
III
- suporte a notificações; e
IV
- suporte aos serviços prestados pela Estrutura Responsável pela Governança do Open
Finance.
3.1
Solução de dúvidas gerais
Devem ser providas duas áreas para solução de
dúvidas técnicas relacionadas ao Open Finance, a saber: perguntas
frequentes sobre assuntos técnicos (FAQ) e um canal de atendimento, que poderá
ser implementado com atendimento de forma automatizada, sem intervenção humana.
3.1.1
Perguntas frequentes
Nesta área, deverão ser encontradas as
respostas para os questionamentos mais frequentes relacionados ao suporte
técnico, ao Diretório de Participantes, às APIs, aos dados e serviços
compartilhados entre as instituições participantes e aos processos deste
compartilhamento, de modo que algumas dúvidas possam ser sanadas de maneira
rápida e independente.
O conteúdo dessa seção deverá ser reavaliado
ao menos a cada lançamento de versão major das APIs, de forma a
atender seu objetivo de esclarecer dúvidas frequentes do público.
3.1.2
Canal de atendimento
Deve ser disponibilizado canal de atendimento
para suporte técnico, que pode ser implementado com atendimento de forma
automatizada, sem intervenção humana. Nesse canal, poderão ser obtidas
respostas para dúvidas de menor complexidade.
As respostas devem ser classificadas conforme
o grau de sensibilidade, devendo ser fornecidas com observância do perfil do
demandante.
Caso não seja possível atender às necessidades
do demandante por meio do canal automatizado, deverá ser oferecida a
possibilidade de abertura de ticket.
3.2
Suporte na abertura de tickets
3.2.1
Tipos de tickets
O Service Desk deve suportar pelo
menos dois tipos de tickets:
I - requisições: pedidos de informações ou
sugestões de melhorias; e
II - incidentes: comunicação de falhas ou
degradação de qualidade em algum serviço.
3.2.2
Gerenciamento de tickets
3.2.2.1
Princípios para o gerenciamento
de tickets
Deve ser implementada sistemática que permita
a definição dos estados de atendimento dos tickets, bem como as
transições entre os estados, de forma a permitir a adoção de ações adequadas ao
seu tratamento, a exemplo de: triagem, enfileiramento, atribuição, resposta,
avaliação e devolução. Essa sistemática deve estar detalhada no Portal do Open
Finance no Brasil mantido pela Estrutura Responsável pela Governança do Open
Finance.
3.2.2.2
Abertura de tickets
O Service Desk deve permitir a
abertura de tickets, via canal de atendimento, por:
I - instituições participantes;
II - desenvolvedores; e
III - cidadãos.
Para o atendimento a dúvidas e a requisições
de cidadãos, o Service Desk deverá prover um ambiente com interface
amigável e intuitiva e adaptado ao público em geral, de forma que as pessoas
interessadas possam endereçar suas demandas à Estrutura Responsável pela
Governança do Open Finance sem a necessidade de conhecimento técnico
específico.
No caso de recepção de demandas de cidadãos
que envolvam reclamações contra instituições participantes, o demandante deve
ser orientado a procurar primeiramente a instituição envolvida e, caso não
consigam resolver o problema, registrem a reclamação no Banco Central do
Brasil.
Adicionalmente, no caso de uma instituição participante,
deve ser possível a abertura de tickets por meio de API específica.
Na abertura de um ticket, deverá ser
gerado um número de protocolo, que deve ser informado ao demandante. Nesse
momento, começará a contar prazo para atendimento da demanda, conforme acordo
de nível de serviço especificado no item 3.2.2.5.
3.2.2.3
Classificação do prazo máximo de
resolução do ticket
O prazo máximo de resolução do ticket deve
estar associado ao mesmo antes do direcionamento às instituições participantes.
Esses prazos estão definidos no item 3.2.2.5.
3.2.2.4
Trilha de auditoria do ticket
Toda atualização que gerar uma mudança do
estado de atendimento ou do conteúdo do ticket deve ser devidamente
registrada e armazenada para acesso futuro e para fins de verificação ou auditoria,
observados os prazos de armazenamento previstos na regulamentação vigente.
3.2.2.5 SLAs para atendimento dos tickets
3.2.2.5.1 Metas de atendimento de requisições
As metas para atendimento dos tickets por
tipo de requisições são:
|
Tipo de
requisição
|
Prazo
máximo
|
Esclarecimentos
adicionais
|
|
Solicitações
de informações
|
5
dias úteis
|
O
prazo se refere ao fornecimento das informações solicitadas, ou à indicação
do canal adequado para a obtenção das informações.
|
|
Sugestões
de melhorias
|
10
dias úteis
|
O
prazo se refere ao fornecimento de resultado de análise preliminar da
proposta, também informando prazo estimado de implementação, caso aplicável.
|
3.2.2.5.2
Metas de atendimento de incidentes sem indisponibilidade
As metas para atendimento dos tickets
relacionados a incidentes que não causem indisponibilidade de serviços são:
|
Tipo de
incidente
|
Prazo
máximo
|
Esclarecimentos
adicionais
|
|
Degradação
de qualidade de serviço
|
2
dias úteis
|
O
prazo se refere à implantação de correção ou de solução de contorno (análise
e solução) para reparar falhas que degradem algum serviço sem causar sua
interrupção.
|
|
Erros de desconformidade de certificação
|
5 dias úteis
|
O prazo se refere à implantação de correção ou de solução de
contorno (análise e solução) para reparar falhas que, sem causar interrupção
dos serviços, produzam resultados divergentes dos obtidos durante o processo
de certificação.
|
|
Erros de desconformidade de implementação
|
10 dias úteis
|
O prazo se refere à implantação de correção ou de solução de
contorno (análise e solução) para reparar falhas que, sem causar interrupção
dos serviços, produzam resultados divergentes da especificação.
|
|
Somente poderão ser enquadrados neste erro os casos em que a
implementação for divergente da especificação e não for demonstrada
inconsistência técnica na referida especificação.
|
|
Demais erros
|
Análise: 5 dias úteis
Correção/solução
de contorno: 45 dias corridos
|
O prazo de análise se refere
à avaliação preliminar em relação ao caso apresentado, também informando
prazo estimado para correção, de acordo com o esforço esperado para a
correção e os impactos para o cidadão.
|
|
O prazo de correção ou de
solução de contorno (análise e solução) se refere à implantação de correção
ou de solução de contorno visando reparar demais erros sem causar interrupção
dos serviços.
|
|
Os incidentes deste tipo
deverão ser avaliados pela Estrutura Responsável pela Governança do Open
Finance, cabendo consideração sobre a possibilidade de cobertura do
problema pelos testes de certificação.
|
Em relação aos incidentes “Erros de desconformidade
de implementação” e “Demais erros”, o Banco Central do Brasil poderá
estabelecer prazos diferenciados para sua correção em virtude de análise quanto
ao esforço requerido e ao impacto para o cidadão.
3.2.2.5.3 Metas de atendimento de incidentes com
indisponibilidade
As metas para atendimento dos tickets
relacionados a incidentes que causem indisponibilidade de serviços devem ser
estipuladas pela Estrutura Responsável pela Governança do Open Finance, garantindo
o atendimento dos seus respectivos SLAs de disponibilidade. Uma vez
reestabelecido o serviço, o ticket relativo ao incidente deve ser
fechado em até 1 dia útil.
3.2.2.6 Contagem de prazo dos tickets
Os prazos se referem ao tempo total de
atendimento, desde a geração do protocolo até o encerramento do ticket,
englobando o tempo dispendido no Service Desk e nos participantes
demandados. Caso haja necessidade de complementação de informações essenciais
em relação aos tickets, a contagem de prazo fica suspensa até que as
referidas informações sejam prestadas.
3.2.2.7
Notificação de atualização dos tickets
Toda atualização no ticket (conteúdo
e/ou estado de atendimento) deverá ser notificada ao demandante. Os
participantes demandados também poderão receber notificações.
3.3
Suporte a notificações
O Service Desk deve dispor de
funcionalidade para notificação e divulgação de informações relevantes para as instituições
participantes e demais interessados.
O processo envolve o reporte, a inserção em
quadro de notícias e o envio de informações às instituições participantes.
3.3.1
Tipos de notificações
As seguintes informações devem ser
reportadas:
I - problemas nas implementações das APIs;
II - atualizações tempestivas sobre
indisponibilidade de APIs;
III - atualizações tempestivas sobre
degradação de qualidade de serviços;
IV - notificações sobre indisponibilidades
programadas; e
V - notificações sobre reestabelecimento de
serviços.
Também devem ser reportadas as seguintes
mudanças técnicas:
I - atualizações nas implementações das APIs;
II - atualizações de políticas de segurança
e/ou participantes;
III - atualizações no Diretório de
Participantes; e
IV - atualizações nas definições de APIs.
O detalhamento das informações e das formas
de notificação deve estar previsto no Portal do Open Finance no Brasil.
3.4
Suporte aos serviços prestados pela Estrutura Responsável pela Governança do Open Finance
O Service Desk deve prover suporte aos
seguintes tópicos relacionados aos serviços prestados pela Estrutura
Responsável pela Governança do Open Finance:
I - registro dos participantes no Diretório
de Participantes;
II - acesso ao Diretório de Participantes;
III - atualizações do Diretório de
Participantes; e
IV
- consultas, reporte de problemas e reclamações quanto aos serviços prestados
pela Estrutura Responsável pela Governança do Open Finance.
3.5
SLAs do Service Desk
O Service Desk deve observar o
seguinte nível mínimo de serviço:
Disponibilidade:
I - 24 horas por dia, 7 dias por semana;
II - 95% a cada 24 horas; e
III - 99,5% a cada 3 meses.
Desempenho das APIs:
Tempo de resposta de percentil 95 em, no
máximo, 1500ms.
4.
Plataforma de Resolução de Disputas
A plataforma de resolução de disputas é
ambiente que integra o mecanismo para resolução de disputas de que trata o art. 44,
inciso IV, da Resolução Conjunta nº 1, de 2020. Complementarmente ao disposto neste
manual, a plataforma de resolução de disputas deve ser desenvolvida de acordo
com os padrões técnicos e outras questões operacionais definidas em documentos
elaborados pela Estrutura Responsável pela Governança do Open Finance.
4.1 SLAs da Plataforma de Resolução de
Disputas
A Plataforma de Resolução de Disputas deverá
observar o seguinte nível mínimo de serviço:
Disponibilidade:
I - 24 horas por dia, 7 dias por
semana;
II - 95% a cada 24 horas; e
III - 99,5% a cada 3 meses.
5.
Portal do Open Finance no Brasil
5.1
Diretrizes do Portal do Open Finance no Brasil
5.1.1 Acessibilidade e diversidade
Todas as áreas a serem disponibilizadas no
Portal do Open Finance no Brasil devem garantir acessibilidade e atender
ao padrão Web Content Accessibility Guidelines (WCAG) e todo o conteúdo
informativo deve levar em consideração a diversidade regional do país
(rural/urbano, capital/interior), bem como a diversidade na população
brasileira relativa a raça, gênero, faixa etária e deficiência.
5.1.2 Linguagem e tempestividade
A linguagem utilizada nas diferentes áreas do
Portal deve ser adequada aos perfis de público que as visitam. O conteúdo deve
ser disponibilizado de forma clara, acessível, transparente e atualizado de
maneira tempestiva, refletindo adequadamente o cenário do Open Finance
naquele momento e provendo as informações necessárias para entendê-lo e
utilizá-lo. Em especial na área do cidadão, deve haver ênfase na aplicação
visual, com vídeos, imagens, gráficos e infográficos que facilitem a
compreensão das pessoas.
5.1.3 Segurança, sigilo e proteção de dados
O Portal deve prover um ambiente seguro de
navegação, livre de malwares ou de meios para instalação de
vulnerabilidades que possibilitem obter vantagem ilícita. Deve ser assegurado
que o tratamento de dados, inclusive eventuais requisições de dados às pessoas
visitantes, esteja em conformidade com a legislação vigente, em particular com
as disposições da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção
de Dados).
5.2 Área do Desenvolvedor
A Área do Desenvolvedor deve ser um ambiente
aberto, que evolua ao longo do tempo, em linha com o desenvolvimento do Open
Finance.
O conteúdo a seguir deve ser disponibilizado
de forma obrigatória:
I - especificações de APIs de canais de
atendimento e de produtos e serviços das instituições;
II - especificações de APIs de dados
cadastrais e transacionais de clientes;
III - especificações de API de iniciação de
transação de pagamentos;
IV - especificações de API de encaminhamento
de proposta de operação de crédito;
V - especificações de APIs do Diretório de
Participantes e do Service Desk;
VI - especificações de APIs de relatórios e métricas;
VII - especificações de registro;
VIII - perfil de segurança;
IX - especificações do ambiente de Sandbox,
incluindo tutoriais relacionados;
X - especificações dos testes de conformidade
e documentação das políticas de recertificação e de validação do ambiente de
produção;
XI - problemas conhecidos da especificação;
XII - diretrizes operacionais;
XIII - diretrizes de experiência do cliente;
XIV - diretrizes técnicas do Diretório de
Participantes;
XV - calendário;
XVI - guias de implementação dos
participantes;
XVII - problemas;
XVIII - perguntas frequentes (FAQ);
XIX - histórico de especificações; e
XX - histórico de alterações.
Se algum item ainda estiver pendente de
especificação, a informação "a ser publicada" deve ser prestada.
As especificações de APIs devem observar o
cronograma de implementação do Open Finance estabelecido na regulamentação
vigente.
5.3 Área do Cidadão
A Área do Cidadão deve ser um ambiente
aberto, com foco na experiência do cidadão, com uso de linguagem adequada ao
tema e de fácil compreensão, que evolua ao longo do tempo, em consonância com o
desenvolvimento do Open Finance.
O conteúdo a seguir deve ser disponibilizado
de forma obrigatória:
I - o que é o Open Finance?:
explicação sobre o ambiente do Open Finance, incluindo sua origem, benefícios
e aplicações, além do seu modo de funcionamento;
II - Estrutura Responsável pela Governança do
Open Finance: explicação sobre a Estrutura de Governança, com
esclarecimento sobre o processo de formação, suas diferentes instâncias (nível
estratégico, técnico e administrativo), composição, papéis e responsabilidades,
bem como sobre a função do Banco Central do Brasil nesses aspectos;
III - jornada do cliente: material em formato
visual (infográfico ou, preferencialmente, vídeo) que esclareça as pessoas
sobre todos os passos para compartilhamento de dados, incluindo as etapas de
consentimento, autenticação e confirmação; para iniciação de pagamentos e para
encaminhamento de proposta de operação de crédito. O conteúdo deve explicar os
termos utilizados durante a jornada e os campos de preenchimento requeridos,
bem como abordar a jornada relativa à pessoa natural e à pessoa jurídica;
IV - segurança: infraestrutura de segurança
do Open Finance, incluindo as responsabilidades das instituições
participantes, alertas de segurança, cuidados a serem tomados para prevenção de
fraudes e orientações caso a pessoa seja vítima de alguma fraude;
V - perguntas frequentes do cidadão (FAQ): resposta
às dúvidas recorrentes dos cidadãos, em especial quanto ao objeto do Open
Finance, as instituições participantes, a jornada do cliente, os direitos
dos usuários, a segurança das transações e os canais para apresentação de
demandas;
VI - orientações para encaminhamento de
demandas: além de constar na FAQ, devem ser disponibilizadas, em área visível
no portal, orientações que esclareçam o cidadão a quem recorrer em casos de
dúvidas sobre o Open Finance ou de reclamação sobre as instituições
participantes. Essas orientações devem abranger, inclusive, os casos em que a
demanda é referente às entidades envolvidas no compartilhamento;
VII - mecanismo de busca de instituições participantes
do Open Finance, que atenda as seguintes condições:
a)
o
mecanismo de busca deve, obrigatoriamente, propiciar a pesquisa por, no mínimo,
nome da instituição, tipo de instituição, marca e modalidade de participação no
Open Finance; e
b) a lista de participantes deve ser extraída
do Diretório de Participantes mantido pela Estrutura Responsável pela
Governança do Open Finance e ser mantida permanentemente atualizada;
VIII - notícias: informações de interesse do
cidadão;
IX - eventos: lista informativa de eventos sobre
Open Finance, a exemplo de fóruns, conferências, painéis de discussão e
eventos de networking; e
X - glossário: principais termos utilizados
no contexto do Open Finance, com vistas a facilitar o entendimento de
consumidores.
Adicionalmente, deve ser previsto conteúdo
específico para pessoas jurídicas, com esclarecimentos sobre como o Open
Finance pode contribuir para as empresas, especialmente as de menor porte,
incluindo possíveis casos de uso, bem como vídeos e infográficos explicativos.
5.4 Área do Participante
Deve ser disponibilizada Área do Participante
com informações voltadas a tópicos de interesse das instituições que participam
ou pretendam participar do Open Finance. À semelhança da Área do
Cidadão, esse também deve ser um ambiente aberto, que evolua ao longo do tempo.
Podem ser disponibilizadas áreas de acesso restrito aos participantes do Open
Finance.
Para essa área, os tópicos a serem cobertos
de forma obrigatória estão discriminados a seguir:
I - participação no Open Finance: esclarecimentos
gerais sobre escopo de participação e quais são as instituições obrigatórias e
voluntárias;
II - parcerias: explicação sobre as formas de
participação de instituições não supervisionadas pelo Banco Central do Brasil e
responsabilidades envolvidas;
III - implementação: descrição das fases do Open
Finance, explicitando cronograma futuro de implementações estabelecidas em
regulação;
IV - registro no Open Finance: esclarecimentos
gerais e tutorial para registro no Diretório de Participantes, incluindo forma
de acesso;
V - Service Desk: informações gerais,
funcionamento, SLAs previstos, tipos de demandas recepcionadas, orientações
para cadastro e forma de acesso;
VI - mecanismos de resolução de disputas: orientações
sobre o processo de resolução de disputas envolvendo instituições participantes;
VII - custeio da Estrutura Responsável pela Governança
do Open Finance: explicações sobre base de cálculo, responsabilidades
das partes envolvidas e como efetuar o pagamento;
VIII - regulamentação do Open Finance:
informações sobre os atos normativos vigentes, bem como documentos associados,
podendo haver link diretamente para a página do Banco Central do Brasil sobre
o tema;
IX - escopo de dados: explicação sobre o
escopo de dados a ser compartilhado em cada uma das fases de implementação do Open
Finance e acesso ao dicionário de dados; e
X - perguntas frequentes das instituições
participantes: esclarecimentos das principais dúvidas sobre participação no Open
Finance.
5.5 SLAs do Portal do Open Finance
O Portal do Open Finance deve observar
o seguinte nível mínimo de serviço:
Disponibilidade:
I - 24 horas por dia, 7 dias por semana;
II - 90% a cada 24 horas; e
III - 99,5% a cada 3
meses.
6. Sandbox
A Estrutura Responsável pela Governança do Open
Finance deve disponibilizar uma estrutura, doravante denominada Sandbox,
que permita aos participantes, no mínimo:
I - submeter, ainda em tempo de
desenvolvimento, suas implementações das APIs do Open Finance a testes
automatizados funcionais e não funcionais; e
II - acessar implementações de exemplo das
APIs do Open Finance, inclusive ao menos uma que simule uma Instituição
Participante de Referência, com implementação completa de cada API.
O Portal do Open Finance deve publicar
tutoriais apresentando de maneira completa, detalhada, passo a passo e, quando
aplicável, por meio de trechos de código e/ou capturas de tela, como os
participantes devem interagir com o Sandbox para, entre outras coisas,
executar os testes automatizados e acessar as implementações de exemplo
mencionadas anteriormente. Qualquer outra funcionalidade oferecida pelo Sandbox
deve estar acompanhada do respectivo tutorial de uso.
6.1 SLAs do Sandbox
O Sandbox deve observar o seguinte
nível mínimo de serviço:
Disponibilidade:
I - 95%, das 8h às 20h em dias úteis, no fuso
do Distrito Federal, conforme definido no art. 2º, alínea "b", do
Decreto nº 2.784, de 18 de junho de 1913, com alterações posteriores; e
II - 80% nos demais horários.
7.
Validação do Ambiente de Produção
A Estrutura Responsável pela Governança do Open
Finance deve prover mecanismo de validação de forma a garantir que os
ambientes de produção das instituições participantes estejam aderentes às suas
respectivas certificações.
A política desse mecanismo de validação deve
ser estabelecida pela Estrutura Responsável pela Governança do Open Finance
e ser seguida pelas instituições participantes.
8.
Monitoramento dos Serviços de Tecnologia do Open Finance
A Estrutura Responsável pela Governança do Open
Finance deve prover os meios para armazenar e disponibilizar dados
estatísticos do cumprimento dos níveis de serviço de tecnologia dos
participantes e da infraestrutura compartilhada definidos em regulação, bem
como disponibilizar os seus indicadores de desempenho e de disponibilidade.
As instituições participantes do Open
Finance devem disponibilizar dados de qualidade e com detalhamento
suficiente, de forma a permitir que a Estrutura Responsável pela Governança do Open
Finance implemente as funcionalidades dispostas nesta seção.
Em relação aos dados individualizados e
nominais das instituições participantes, devem constar, no mínimo, informações
acerca da quantidade de chamadas por API e por endpoint, contemplando
seu histórico; do percentual de sucesso das chamadas, bem como de seus erros,
por status code; da quantidade de consentimentos ativos total e por
clientes únicos, pessoas natural e jurídica, incluindo visões por transmissor
ou detentor (conforme o caso) e por receptor ou iniciador (conforme o caso),
contemplando seu histórico; e das taxas de conversão do consentimento com
detalhamento de cada etapa de sua geração, incluindo visões por transmissor ou detentor
e por receptor ou iniciador.
Os dados devem ser informados com frequência
mínima que permita aferir o atendimento dos acordos de nível de serviço:
I - das APIs dos Participantes; e
II - dos elementos da infraestrutura
compartilhada.
Os dados informados pelas instituições
participantes são declaratórios e de responsabilidade de cada instituição
individualmente.
Esses dados estatísticos devem ser também
disponibilizados em área pública do Portal do Open Finance no Brasil na
forma de um dashboard de fácil visualização, que permita a apreensão
desse desempenho pelo público em geral de maneira rápida e clara.
O dashboard deve propiciar a
visualização dos dados em, no mínimo, dois níveis diferentes:
I - visão consolidada: com as médias dos
indicadores mais importantes, prevendo destaque para os melhores e piores
desempenhos do mês em termos de disponibilidade; e
II - visão customizada/comparativa: com a
possibilidade de ordenação por valor (crescente e decrescente), busca e seleção
de múltiplos parâmetros pelo usuário, como nome da instituição participante, endpoint,
período, entre outros.
Em ambas as visualizações, deve ser previsto
no dashboard recurso gráfico/visual, como uso de ícones ou símbolos, que
permita aferir o desempenho do indicador em relação ao mínimo regulatório
exigido. As visualizações devem permitir ao público geral identificar
nominalmente o desempenho de cada uma das instituições participantes.
Dada a amplitude do escopo de participantes
do Open Finance, eventuais gráficos que listem todas as instituições
participantes devem prover ferramenta de busca que auxilie o usuário a
localizar no gráfico uma instituição específica, caso desejado.
Os resultados devem ser passíveis de download
para diferentes formatos.
As métricas, unidades de medida e definições
utilizadas devem ficar claras para o usuário, bem como eventuais limitações,
exclusões ou alterações referentes à base de cálculo.
O monitoramento dos serviços de tecnologia do
Open Finance pode coletar e armazenar outras métricas relevantes visando
a garantir o bom funcionamento do ecossistema. Estão vedados a coleta e o
armazenamento de dados dos clientes, ainda que anonimizados ou pseudonimizados.
Brasília, 3 de março de
2023.
NOTA
270/2023-BCB/DENOR, DE 1º de março de 2023
Fundamenta
proposta de edição de instrução normativa que estabelece a versão 3.0 do Manual
de Serviços Prestados pela Estrutura Responsável pela Governança do Open
Finance.
Senhores Chefes do
Denor, do Desuc, do Desup e do Deinf,
A presente Nota
fundamenta proposta de edição de instrução normativa pelo Departamento de
Regulação do Sistema Financeiro (Denor), pelo Departamento de Supervisão de
Cooperativas e de Instituições Não Bancárias (Desuc), pelo Departamento de
Supervisão Bancária (Desup) e pelo Departamento de Tecnologia da Informação (Deinf),
no uso da atribuição que lhes confere o art. 23, inciso I, alínea
"a", do Regimento Interno do Banco Central do Brasil, anexo à
Portaria nº 84.287, de 27 de fevereiro de 2015, e observado o inciso IX do art.
51 da Resolução Conjunta nº 1, de 4 de maio de 2020.
2. A respeito, a proposta
trata de edição de instrução normativa que estabelece a versão 3.0 do Manual de
Serviços Prestados pela Estrutura Responsável pela Governança do Open
Finance, revogando a Instrução Normativa BCB nº 133, de 22 de julho de
2021, que divulga a versão 2.1 do Manual de Serviços Prestados pela Estrutura
Responsável pela Governança do Open Finance.
3. As alterações
referem-se à substituição da expressão Open Banking por Open Finance,
conforme mudanças realizadas pela Resolução Conjunta nº 4, de 24 de março de
2022; à criação de
novos
tipos de incidentes em relação às metas de atendimento de incidentes sem
indisponibilidade; à adequação de seções ao estágio atual do Open Finance;
ao maior detalhamento sobre a abertura de tickets no Service Desk;
à criação de seções sobre verificação do ambiente de produção e sobre
monitoramento de serviços de tecnologia do Open Finance, considerando
atualizações realizadas nas atribuições do Diretório de Participantes pela
Resolução BCB nº 294, de 23 de fevereiro de 2023, que alterou a Resolução BCB
nº 32, de 29 de outubro de 2020.
4. Por fim, em atendimento
ao previsto no art. 5º da Lei nº 13.874, de 20 de setembro de 2019, o Decreto
nº 10.411, de 30 de junho de 2020, determina que as propostas de atos
normativos de interesse geral de agentes econômicos formuladas por órgãos e
entidades da administração pública federal direta, autárquica e fundacional,
bem como por colegiados por meio do órgão ou da entidade encarregada de lhe
prestar apoio administrativo, sejam precedidas de Análise de Impacto
Regulatório (AIR).
5. No entanto, vale
destacar que as alterações e esclarecimentos propostos não impactam, de forma
significativa, o Open Finance, já que se referem a ferramentas criadas
pela estrutura de governança, simples mudança de atribuição do diretório de
participantes para a própria estrutura de governança e flexibilização de alguns
requisitos do acordo de nível de serviço. Nesse sentido, de acordo com o art.
4º, incisos III e VII, do referido Decreto, o ato normativo ora proposto fica
dispensado de elaboração de AIR por ser considerado de baixo impacto ou por
reduzir exigências regulatórias.
À consideração de
V.Sa.
Mardilson Fernandes Queiroz Rodrigo
Monteiro
Consultor do Denor Chefe
Adjunto do Desuc
Ricardo Seviere Zeni Aristides
Andrade Cavalcante Neto
Chefe Adjunto do Desup Chefe
Adjunto do Deinf
De acordo.
João André Calvino Marques Pereira Harold
Paquete Espínola Filho
Chefe do Denor Chefe
do Desuc
Belline Santana Haroldo
Jayme Martins Froes Cruz
Chefe do Desup Chefe
do Deinf
