O que é o Protocolo Digital do Banco Central do Brasil?

O Protocolo Digital do Banco Central do Brasil é um sistema utilizado para o envio de informações e documentos ao Banco Central, garantindo a segurança e a integridade dos dados transmitidos.

O que é a Análise de Impacto Regulatório (AIR)?

A Análise de Impacto Regulatório (AIR) é um processo obrigatório para a edição de atos normativos de interesse geral, que visa avaliar os impactos das regulamentações propostas. No entanto, o Regulamento do Pix e seus documentos complementares não se caracterizam como atos regulatórios de força cogente e, portanto, não se sujeitam à produção prévia de AIR.

O DICT (Diretório de Identificadores de Contas Transacionais) é um sistema que armazena informações sobre as contas transacionais utilizadas no Pix, facilitando a identificação e a autenticação das transações.

Quais são os requisitos para instituições que pretendem atuar exclusivamente como iniciadores no Pix?

Essas instituições devem enviar ao Decem um formulário de adesão ao Pix, um formulário de produtos e serviços que ofertará, e um questionário de autoavaliação em segurança, conforme modelos disponíveis nos anexos IX, X ou XI da Instrução Normativa, dependendo do tipo de acesso ao DICT.

Quais são os logs de auditoria que devem ser mantidos pelos participantes do Pix?

Os logs de auditoria devem registrar todas as atividades relacionadas ao Pix, incluindo transações, acessos e alterações nos sistemas, para garantir a rastreabilidade e a segurança das operações.

O que acontece se uma instituição for reprovada na etapa homologatória do processo de adesão ao Pix?

A instituição será considerada reprovada se não atender aos requisitos de verificação de aderência das soluções aos usuários finais, desistir do processo de adesão, ou indicar participantes não habilitados ou não aprovados nos testes formais de homologação.

O que é o Regulamento do Pix?

O Regulamento do Pix é um conjunto de normas que estabelece as regras, condições e procedimentos para a operação do sistema de pagamentos instantâneos Pix, incluindo requisitos de segurança, adesão de participantes e funcionamento do DICT e SPI.

Quais são os requisitos de segurança para instituições que pretendem acessar o DICT de forma indireta?

As instituições devem preencher um questionário de autoavaliação em segurança, conforme modelo disponível no Anexo VII da Instrução Normativa, e implementar mecanismos de segurança desde o início da operação restrita.

Quais são os requisitos de segurança para a implementação de aplicativos, APIs e outros sistemas relacionados ao Pix?

Os requisitos incluem a utilização de mecanismos de criptografia, autenticação forte do software cliente, prevenção de ataques man-in-the-middle, proteção contra engenharia reversa e descompilação, e implementação de segurança majoritariamente na parte servidora.

O SPI (Sistema de Pagamentos Instantâneos) é a infraestrutura centralizada que processa as transações do Pix, permitindo a liquidação instantânea dos pagamentos.

Quais documentos são necessários para instituições que não possuam autorização do Banco Central do Brasil e que pretendam atuar no Pix?

Essas instituições precisam enviar ao Decem os seguintes documentos: formulário de adesão ao Pix, formulário de produtos e serviços que ofertará, questionário de autoavaliação em segurança, contrato firmado com participante responsável, e declaração de integralização do capital mínimo requerido.

Quais são os requisitos de segurança para instituições que pretendem acessar o DICT de forma direta?

As instituições devem preencher um questionário de autoavaliação em segurança, conforme modelo disponível no Anexo VI da Instrução Normativa, e implementar mecanismos de segurança desde o início da operação restrita.

Quais são as obrigações das instituições participantes do Pix em relação à manutenção de informações e documentos?

As instituições devem manter atualizadas as informações e documentos apresentados durante o processo de adesão e enquanto forem participantes do Pix. Devem também armazenar evidências de atendimento aos itens do questionário de autoavaliação em segurança por um período mínimo de cinco anos.

Quais são os requisitos para instituições que pretendem atuar na modalidade iniciador e sem acesso ao DICT?

Essas instituições devem preencher um questionário de autoavaliação em segurança, conforme modelo disponível no Anexo XI da Instrução Normativa, e implementar mecanismos de segurança desde o início da operação restrita.

Quais documentos são necessários para instituições que possuam autorização do Banco Central do Brasil e que pretendam atuar como provedores de conta transacional?

As instituições precisam enviar ao Decem os seguintes documentos: formulário de adesão ao Pix, formulário de produtos e serviços que ofertará, e questionário de autoavaliação em segurança, conforme modelos disponíveis nos anexos da Instrução Normativa.

O que é o Manual de Segurança do Pix?

O Manual de Segurança do Pix é um documento que dispõe sobre as regras e especificações de segurança que devem ser observadas por todos os participantes do Pix, incluindo comunicação segura, assinatura digital, segurança de QR Codes dinâmicos, certificados digitais, e implementação segura de aplicativos e APIs.

Quais são os aspectos de segurança abordados no questionário de autoavaliação em segurança para instituições que pretendem atuar na modalidade provedor de conta transacional?

O questionário aborda aspectos como comunicação segura, assinatura digital, segurança de QR Codes dinâmicos, certificados digitais, implementação segura de aplicativos e APIs, logs de auditoria, e mecanismos de prevenção a ataques de leitura.

Quais são os mecanismos de prevenção a ataques de leitura no Pix?

Os mecanismos incluem a implementação de políticas internas de limitação de consultas, verificação de autenticidade do usuário solicitante, identificação e tratamento de consultas excessivas, e estabelecimento de planos de ação para casos suspeitos de ataque de leitura.

O que é a Instrução Normativa BCB nº 291?

A Instrução Normativa BCB nº 291, de 29 de julho de 2022, é um conjunto de diretrizes emitidas pelo Banco Central do Brasil que regulamenta a adesão de instituições ao sistema Pix, incluindo requisitos de segurança e procedimentos operacionais.

O que é o Open Finance?

O Open Finance é um sistema que permite o compartilhamento de dados financeiros entre diferentes instituições, promovendo a concorrência e a inovação no setor financeiro. Participantes do Open Finance podem atuar como iniciadores de transações de pagamento no Pix.

Instrução Normativa BCB N° 373 | Banco Central

Resolução Nº 222

INSTRUÇÃO NORMATIVA BCB Nº 373, DE 25 DE ABRIL DE 2023

Altera a Instrução Normativa BCB nº 291, de 29 de julho de 2022, que estabelece os procedimentos necessários para a adesão ao Pix, para ajustar dispositivos referentes à etapa cadastral e à etapa homologatória; para inserir anexos referentes ao questionário de autoavaliação em segurança; bem como para estabelecer disposições transitórias relacionadas ao envio do mencionado questionário.

O Chefe do Departamento de Competição e de Estrutura do Mercado Financeiro (Decem), no uso da atribuição que confere o art. 97-A, inciso X, alínea “b”, do Regimento Interno do Banco Central do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, e tendo em conta o disposto no § 3º do art. 25 do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020,

R E S O L V E :

Art. 1º A Instrução Normativa BCB nº 291, de 29 de julho de 2022, passa a vigorar com as seguintes alterações:

“Art. 2º Para instituições que possuam autorização para funcionamento emitida pelo Banco Central do Brasil e que pretendam atuar como provedores de conta transacional, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:

I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo I desta Instrução Normativa;

II - formulário de produtos e serviços que ofertará, conforme modelo disponível no Anexo I da Instrução Normativa BCB nº 290, de 29 de julho de 2022; e

III - questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética:

a) conforme modelo disponível no Anexo VI desta Instrução Normativa, caso pretenda acessar de forma direta o DICT e ser participante direto do SPI; ou

b) conforme modelo disponível no Anexo VII desta Instrução Normativa, caso pretenda acessar de forma indireta o DICT e ser participante indireto do SPI.

....................................................................................................................” (NR)

“Art. 3º Para instituições que possuam autorização para funcionamento emitida pelo Banco Central do Brasil e que pretendam atuar exclusivamente como liquidantes especiais, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:

I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo II desta Instrução Normativa; e

II - questionário de autoavaliação em segurança, conforme modelo disponível no Anexo VIII desta Instrução Normativa, devidamente assinado por diretor responsável pela política de segurança cibernética.

................................................................................................................” (NR)

“Art. 4º Para instituições que não possuam autorização para funcionamento emitida pelo Banco Central do Brasil, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:

I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo III desta Instrução Normativa;

II - formulário de produtos e serviços que ofertará, conforme modelo disponível no Anexo II da Instrução Normativa BCB nº 290, de 29 de julho de 2022;

III - questionário de autoavaliação em segurança, conforme modelo disponível no Anexo VII desta Instrução Normativa, devidamente assinado por diretor responsável pela política de segurança cibernética;

IV - contrato firmado com participante responsável, nos termos do Regulamento do Pix; e

V - declaração firmada pelo participante responsável de que, nos termos do Regulamento do Pix, a instituição contratante integralizou o montante de capital mínimo requerido.

................................................................................................................” (NR)

“Art. 5º Para instituições que possuam autorização para funcionamento emitida pelo Banco Central do Brasil e que pretendam atuar exclusivamente como iniciadores, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:

I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo IV desta Instrução Normativa;

II - formulário de produtos e serviços que ofertará, conforme modelo disponível no Anexo III da Instrução Normativa BCB nº 290, de 2022; e

III - questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética:

a) conforme modelo disponível no Anexo IX desta Instrução Normativa, caso pretenda acessar de forma direta o DICT;

b) conforme modelo disponível no Anexo X desta Instrução Normativa, caso pretenda acessar de forma indireta o DICT; ou

c) conforme modelo disponível no Anexo XI desta Instrução Normativa, caso pretenda não acessar o DICT.

................................................................................................................” (NR)

“Art. 7º À exceção das informações relativas ao número, à modalidade de contas ativas de clientes e às evidências que demonstram o atendimento aos itens constantes do questionário de autoavaliação em segurança, as demais informações e documentos apresentados no âmbito da etapa cadastral devem ser mantidos atualizados perante o Banco Central do Brasil durante o processo de adesão e enquanto a instituição for participante do Pix.

§ 1º As informações e os documentos de que trata este Capítulo, inclusive eventuais alterações em informações e documentos já enviados, devem ser encaminhados ao Decem exclusivamente por meio do Protocolo Digital do Banco Central do Brasil (Protocolo Digital), observando-se as orientações constantes no Anexo V desta Instrução Normativa.

§ 2º Os participantes do Pix devem armazenar as evidências que demonstrem o atendimento aos itens constantes do questionário de autoavaliação em segurança pelo período mínimo de 5 (cinco) anos e, quando solicitados, encaminhá-las ao Banco Central do Brasil de acordo com o formato e os prazos definidos.

§ 3º O período mínimo de que trata o § 2º será contado a partir do envio, ao Banco Central do Brasil, das informações contidas no questionário de autoavaliação em segurança.” (NR)

"Art. 10. ...........................................................................................................

.........................................................................................................................

§ 3º Até o término da etapa homologatória, a instituição em processo de adesão deverá cadastrar no Sistema de Informações sobre Entidades de Interesse do Banco Central (Unicad):

I - diretor responsável por questões relacionadas à participação no Pix; e

II - diretor responsável pela política de segurança cibernética.

.........................................................................................................................

§ 8º Será considerada reprovada na etapa homologatória a instituição:

.........................................................................................................................

III - reprovada na etapa de verificação de aderência das soluções aos usuários finais, de que trata o art. 17;

IV - desistente do processo de adesão ao Pix;

V - que pretenda acessar o DICT de forma indireta e que tenha indicado participante direto não habilitado à prestação de serviços no DICT, de que trata o art. 14, até o término do prazo de que trata o caput, ressalvada eventual prorrogação de que trata o § 4º; ou

VI - que pretenda ser participante indireta do SPI e que tenha indicado participante direto não aprovado nos testes formais de homologação, de que trata o art. 11, até o término do prazo de que trata o caput, ressalvada eventual prorrogação de que trata o § 4º.” (NR)

“Art. 26. Participantes iniciadores e participantes provedores de conta transacional que sejam participantes do Open Finance, nos termos dispostos em regulamentação específica, devem ser aprovados nos testes formais de validação da prestação de serviço de iniciação de transação de pagamento, nos termos da Instrução Normativa BCB nº 290, de 2022.” (NR)

“Art. 27. ..........................................................................................................

I - o provedor de conta transacional que não seja participante do Open Finance como instituição detentora de conta, nos termos dispostos em regulamentação específica; e

.........................................................................................................................

§ 1º O provedor de conta transacional que não seja participante do Open Finance como instituição detentora de conta, nos termos dispostos em regulamentação específica, deverá ser aprovado na validação da prestação de serviço de iniciação de transação de pagamento, caso passe a ser participante do Open Finance como instituição detentora de conta.

§ 2º O liquidante especial que seja participante do Open Finance como instituição detentora de conta, nos termos dispostos em regulamentação específica, deverá ser aprovado na validação da prestação de serviço de iniciação de transação de pagamento, caso deseje alterar sua modalidade de participação para provedor de conta transacional.” (NR)

“Art. 37-B. As instituições que impetraram pedido de adesão ao Pix até 30 de abril de 2023, e que estejam aguardando a análise do pleito, deverão enviar ao Decem, pelo Protocolo Digital e até o término da eventual etapa cadastral, o questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética.

Parágrafo único. A aprovação das instituições de que trata o caput na etapa cadastral do processo de adesão ao Pix fica condicionada, além dos requisitos constantes do Capítulo I, à aprovação do Decem quanto ao questionário de autoavaliação em segurança.” (NR)

“Art. 37-C. As instituições que impetraram pedido de adesão ao Pix até 30 de abril de 2023, e que estejam em etapa cadastral, deverão enviar ao Decem, pelo Protocolo Digital e até o término da eventual etapa homologatória, o questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética.

Parágrafo único. A aprovação das instituições de que trata o caput na eventual etapa homologatória do processo de adesão ao Pix fica condicionada, além dos requisitos constantes do Capítulo II, à aprovação do Decem quanto ao questionário de autoavaliação em segurança.” (NR)

“Art.37-D. As instituições que impetraram pedido de adesão ao Pix até 30 de abril de 2023, e que estejam em etapa homologatória, deverão enviar ao Decem, pelo Protocolo Digital e até o término dessa etapa o questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética.

Parágrafo único. A aprovação das instituições de que trata o caput na etapa homologatória do processo de adesão Pix fica condicionada, além dos requisitos constantes do Capítulo II, à aprovação do Decem quanto ao questionário de autoavaliação em segurança.” (NR)

“Art. 37-E. No âmbito do processo de adesão ao Pix, as instituições que tenham concluído a etapa homologatória até 30 de abril de 2023 estão dispensadas do envio do questionário de autoavaliação em segurança.” (NR)

“Anexo VI - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade provedor de conta transacional, acessar de forma direta o DICT e ser participante direto do SPI

O questionário aborda aspectos de segurança relacionados ao Pix.

A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.

O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.

Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.

I	Comunicação segura
	A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura
I (a)	A solução prevista considera a observação, desde o primeiro momento da instituição na fase de operação restrita, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix? (Sim/Não)
II	Assinatura Digital
	A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI) e no Diretório de Identificadores de Contas Transacionais (DICT).
II (a)	A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix? (Sim/Não)
III	Segurança de QR Codes dinâmicos
	*A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança de QR Codes* dinâmicos gerados pelo recebedor.**
III (a)	A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos nos itens 4.1 e 4.2 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos)
III (b)	A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos)
IV	Certificados digitais
	A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação de revogação desses certificados.
IV (a)	A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix? (Sim/Não)
V	Implementação segura de aplicativos, APIs e outros sistemas
	A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
V (a)	A solução prevista contempla a utilização, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de criptografia na comunicação entre os sistemas e APIs relacionados ao Pix e seus respectivos aplicativos ou softwares clientes? (Sim/Não)
V (b)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de autenticação forte do software cliente nas APIs e sistemas relacionados ao Pix? (Sim/Não)
V (c)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que as APIs e outros sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle? (Sim/Não)
V (d)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que o software cliente se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação? (Sim/Não)
V (e)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ou softwares clientes? (Sim/Não)
V (f)	A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento de operação da instituição na fase de operação restrita, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo? (Sim/Não)
V (g)	A solução prevista contempla o fornecimento, desde o primeiro momento de operação da instituição na fase de operação restrita, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não)
V (h)	A solução prevista contempla a implementação de controles, desde o primeiro momento de operação da instituição na fase de operação restrita, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos e softwares clientes? (Sim/Não)
V (i)	A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizando QR Code diretamente no sistema ou API, ao invés da utilização de filtros no software cliente, desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não)
V (j)	A solução prevista contempla a implementação em seu site web, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização do site para iniciação de um Pix)
VI	Logs de Auditoria
	A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
VI (a)	A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não)
VII	Mecanismos de prevenção a ataques de leitura
	A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura.
VII (a)	A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não)
VII (b)	Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não)
VII (c)	A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não)
VII (d)	Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não)
VII (e)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não)
VII (f)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de política interna de limitação de consultas? (Sim/Não)
VII (g)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não)
VII (h)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não)
VII (i)	A instituição estabelecerá, desde o primeiro momento de operação da instituição na fase de operação restrita, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não)

Declaramos ciência de que:

(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e

(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.

______________________________________________________

Nome

(diretor responsável pela política de segurança cibernética)” (NR)

“Anexo VII - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade provedor de conta transacional, acessar de forma indireta o DICT e ser participante indireto do SPI

O questionário aborda aspectos de segurança relacionados ao Pix.

I	Segurança de QR Codes dinâmicos
	*A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança de QR Codes* dinâmicos gerados pelo recebedor.**
I (a)	A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos nos itens 4.1 e 4.2 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos)
I (b)	A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos)
II	Implementação segura de aplicativos, APIs e outros sistemas
	A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
II (a)	A solução prevista contempla a utilização, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de criptografia na comunicação entre os sistemas e APIs relacionados ao Pix e seus respectivos aplicativos ou softwares clientes? (Sim/Não)
II (b)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de autenticação forte do software cliente nas APIs e sistemas relacionados ao Pix? (Sim/Não)
II (c)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que as APIs e outros sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle? (Sim/Não)
II (d)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que o software cliente se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação? (Sim/Não)
II (e)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ou softwares clientes? (Sim/Não)
II (f)	A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento de operação da instituição na fase de operação restrita, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo? (Sim/Não)
II (g)	A solução prevista contempla o fornecimento, desde o primeiro momento de operação da instituição na fase de operação restrita, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não)
II (h)	A solução prevista contempla a implementação de controles, desde o primeiro momento de operação da instituição na fase de operação restrita, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos e softwares clientes? (Sim/Não)
II (i)	A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizando QR Code diretamente no sistema ou API, ao invés da utilização de filtros no software cliente, desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não)
II (j)	A solução prevista contempla a implementação em seu site web, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização do site para iniciação de um Pix)
III	Logs de Auditoria
	A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
III (a)	A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não)
IV	Mecanismos de prevenção a ataques de leitura
	A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura.
IV (a)	A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não)
IV (b)	Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não)
IV (c)	A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não)
IV (d)	Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não)
IV (e)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não)
IV (f)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de política interna de limitação de consultas? (Sim/Não)
IV (g)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não)
IV (h)	A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não)
IV (i)	A instituição estabelecerá, desde o primeiro momento de operação da instituição na fase de operação restrita, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não)

Declaramos ciência de que:

(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e

(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.

______________________________________________________

Nome

(diretor responsável pela política de segurança cibernética)” (NR)

“Anexo VIII - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade liquidante especial

O questionário aborda aspectos de segurança relacionados ao Pix.

I	Comunicação segura
	A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura
I (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix? (Sim/Não)
II	Assinatura Digital
	A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI) e no Diretório de Identificadores de Contas Transacionais (DICT).
II (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix? (Sim/Não)
III	Certificados digitais
	A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação de revogação desses certificados.
III (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix? (Sim/Não)
IV	Implementação segura de aplicativos, APIs e outros sistemas
	A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
IV (a)	A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas e APIs relacionados ao Pix e seus respectivos aplicativos ou softwares clientes? (Sim/Não)
IV (b)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte do software cliente nas APIs e sistemas relacionados ao Pix? (Sim/Não)
IV (c)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que as APIs e outros sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle? (Sim/Não)
IV (d)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que o software cliente se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação? (Sim/Não)
IV (e)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ou softwares clientes? (Sim/Não)
IV (f)	A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo? (Sim/Não)
IV (g)	A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não)
V	Logs de Auditoria
	A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
V (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não)
VI	Mecanismos de prevenção a ataques de leitura
	A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura.
VI (a)	A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento da instituição em operação plena? (Sim/Não)
VI (b)	Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não)
VI (c)	A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena? (Sim/Não)
VI (d)	Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não)
VII (e)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas? (Sim/Não)
VII (f)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não)
VII (g)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não)
VII (h)	A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não)

Declaramos ciência de que:

(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e

(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.

______________________________________________________

Nome

(diretor responsável pela política de segurança cibernética)” (NR)

“Anexo IX - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade iniciador e acessar de forma direta o DICT

O questionário aborda aspectos de segurança relacionados ao Pix.

I	Comunicação segura
	A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura
I (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix? (Sim/Não)
II	Assinatura Digital
	A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI) e no Diretório de Identificadores de Contas Transacionais (DICT).
II (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix? (Sim/Não)
III	Segurança de QR Codes dinâmicos
	*A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança de QR Codes* dinâmicos gerados pelo recebedor.**
III (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos)
IV	Certificados digitais
	A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação de revogação desses certificados.
IV (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix? (Sim/Não)
V	Implementação segura de aplicativos, APIs e outros sistemas
	A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
V (a)	A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas e APIs relacionados ao Pix e seus respectivos aplicativos ou softwares clientes? (Sim/Não)
V (b)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte do software cliente nas APIs e sistemas relacionados ao Pix? (Sim/Não)
V (c)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que as APIs e outros sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle? (Sim/Não)
V (d)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que o software cliente se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação? (Sim/Não)
V (e)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ou softwares clientes? (Sim/Não)
V (f)	A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo? (Sim/Não)
V (g)	A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não)
V (h)	A solução prevista contempla a implementação de controles, desde o primeiro momento da instituição em operação plena, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos e softwares clientes? (Sim/Não)
V (i)	A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizando QR Code diretamente no sistema ou API, ao invés da utilização de filtros no software cliente, desde o primeiro momento da instituição em operação plena? (Sim/Não)
V (j)	A solução prevista contempla a implementação em seu site web, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização do site para iniciação de um Pix)
VI	Logs de Auditoria
	A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
VI (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não)
VII	Mecanismos de prevenção a ataques de leitura
	A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura.
VII (a)	A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena? (Sim/Não)
VII (b)	Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não)
VII (c)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não)
VII (d)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas? (Sim/Não)
VII (e)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não)
VII (f)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não)
VII (g)	A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não)

Declaramos ciência de que:

(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e

(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.

______________________________________________________

Nome

(diretor responsável pela política de segurança cibernética)” (NR)

“Anexo X - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade iniciador e acessar de forma indireta o DICT

O questionário aborda aspectos de segurança relacionados ao Pix.

I	Segurança de QR Codes dinâmicos
	*A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança de QR Codes* dinâmicos gerados pelo recebedor.**
I (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos)
II	Implementação segura de aplicativos, APIs e outros sistemas
	A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
II (a)	A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas e APIs relacionados ao Pix e seus respectivos aplicativos ou softwares clientes? (Sim/Não)
II (b)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte do software cliente nas APIs e sistemas relacionados ao Pix? (Sim/Não)
II (c)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que as APIs e outros sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle? (Sim/Não)
II (d)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que o software cliente se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação? (Sim/Não)
II (e)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ou softwares clientes? (Sim/Não)
II (f)	A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo? (Sim/Não)
II (g)	A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não)
II (h)	A solução prevista contempla a implementação de controles, desde o primeiro momento da instituição em operação plena, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos e softwares clientes? (Sim/Não)
II (i)	A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizando QR Code diretamente no sistema ou API, ao invés da utilização de filtros no software cliente, desde o primeiro momento da instituição em operação plena? (Sim/Não)
II (j)	A solução prevista contempla a implementação em seu site web, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização do site para iniciação de um Pix)
III	Logs de Auditoria
	A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
III (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não)
IV	Mecanismos de prevenção a ataques de leitura
	A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura.
IV (a)	A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena? (Sim/Não)
IV (b)	Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não)
IV (c)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não)
IV (d)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas? (Sim/Não)
IV (e)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não)
IV (f)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não)
IV (g)	A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não)

Declaramos ciência de que:

(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e

(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.

______________________________________________________

Nome

(diretor responsável pela política de segurança cibernética)” (NR)

“Anexo XI - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade iniciador e sem acesso ao DICT

O questionário aborda aspectos de segurança relacionados ao Pix.

I	Implementação segura de aplicativos, APIs e outros sistemas
	A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
I (a)	A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas e APIs relacionados ao Pix e seus respectivos aplicativos ou softwares clientes? (Sim/Não)
I (b)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte do software cliente nas APIs e sistemas relacionados ao Pix? (Sim/Não)
I (c)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que as APIs e outros sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle? (Sim/Não)
I (d)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que o software cliente se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação? (Sim/Não)
I (e)	A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ou softwares clientes? (Sim/Não)
I (f)	A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo? (Sim/Não)
I (g)	A solução prevista contempla a implementação em seu site web, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização do site para iniciação de um Pix)
II	Logs de Auditoria
	A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
II (a)	A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não)

Declaramos ciência de que:

(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e

(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.

______________________________________________________

Nome

(diretor responsável pela política de segurança cibernética)” (NR)

Art. 2º O Anexo I à Instrução Normativa BCB nº 291, de 29 de julho de 2022, passa a vigorar com a seguinte redação:

“Anexo I - Formulário de adesão ao Pix e de atualização cadastral para instituições que tenham autorização para funcionamento do Banco Central do Brasil e que pretendam atuar na modalidade provedor de conta transacional

I	Motivo da apresentação	( ) Pedido de adesão ( ) Atualização cadastral de participante em operação, nos termos dispostos no art. 7º ( ) Atualização cadastral de instituição em adesão ao Pix, nos termos dispostos no art. 7º
II	Instituição elegível para regime de transição de que trata a Seção IX do Capítulo XXII do Regulamento do Pix (Sim/Não)
III	Inscrição no CNPJ
IV	Oferta serviço de iniciação no âmbito do Open Finance (Sim/Não)
V	Participante do Open Finance como instituição detentora de conta	( ) Sim¹ ( ) Não, a instituição está dispensada² ( ) A instituição está pleiteando ou pleiteará dispensa de participação do Open Finance³
VI	Facilita serviço de saque (Pix Saque e Pix Troco) (Sim/Não)
VII	Tipo de acesso ao DICT (direto ou indireto) Obs: O acesso direto ao DICT é obrigatório ao participante direto no SPI.
VIII	Tipo de participação no SPI (direta ou indireta) Obs: Se indireta, informar código ISPB do participante liquidante no SPI:
IX	Se participante direto no SPI, informar forma de conexão à RSFN (direta ou por meio de PSTI) Se por meio de PSTI, indicar o nome e o CNPJ do PSTI: - Nome do PSTI: - CNPJ do PSTI:
X	Número de contas ativas de clientes no momento do pedido de adesão, nas seguintes modalidades:
X (a)	Contas de depósito à vista
X (b)	Contas de depósito de poupança
X (c)	Contas de pagamento pré-pagas
XI	Oferta contas transacionais a usuários finais:	( ) pessoas jurídicas ( ) pessoas naturais
XII	Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao Pix	Nome: CPF:
XIII	Telefone da instituição para assuntos relacionados ao Pix
XIV	Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao Pix Obs: Informar preferencialmente e-mail institucional acessível a mais de um usuário
XV	Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao SPI	Nome: CPF:
XVI	Telefone da instituição para assuntos relacionados ao SPI
XVII	Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao SPI

¹A participação no Open Finance como detentor de conta é obrigatória a todas as instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, nos termos dispostos em regulamentação específica.

²A comprovação de dispensa de participação no Open Finance deverá ser enviada ao Decem por ocasião da apresentação do pedido de adesão ou durante o prazo de que trata o art. 8º, caput.

³A dispensa de participação no Open Finance é obtida nos termos dispostos em regulamentação específica, e deverá ser apresentada ao Decem até o término da etapa homologatória do processo de adesão ao Pix. Caso contrário, a instituição deverá submeter-se aos testes de que trata o art. 26.

Declaramos ciência de que:

(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e

(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.

______________________________________________________

Nome e Cargo” (NR)

Art. 3º Ficam revogados os seguintes dispositivos da Instrução Normativa BCB nº 291, de 29 de julho de 2022:

I - o § 1º do art. 4º; e

II - o parágrafo único do art. 7º.

Art. 4º Esta Instrução Normativa entra em vigor em 2 de maio de 2023.

Carlos Eduardo de Andrade Brandt Silva

NOTA

O Decreto nº 10.411, de 30 de junho de 2020, prevê a obrigatoriedade da realização de análise de impacto regulatório (AIR) para a edição de atos normativos de interesse geral produzidos pelos órgãos e entidades da administração pública federal direta e indireta.

Todavia, consoante se definiu no parágrafo 8 do Voto 280/2021–BCB, de 10 de novembro de 2021, o Regulamento do Pix, inclusive os demais documentos que o integram ou que o detalham e o complementam, não se caracterizam como ato regulatório de força cogente, ostentando, em verdade, natureza eminentemente contratual. Assim, modificações promovidas no referido regulamento e nos demais documentos que o integram ou que o detalham e o complementam não se sujeitam à produção prévia de AIR.

Carlos Eduardo de Andrade Brandt Silva
Chefe do Departamento de Competição e de Estrutura do Mercado Financeiro, substituto

Instrução Normativa BCB N° 373

Registros selecionados

Resumo

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes

Instrução Normativa BCB N° 373 💳 🔒 📋

Registros selecionados

Resumo

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Instrução Normativa BCB N° 373