Quais são os requisitos para a terceirização de serviços de TI relacionados a serviços de pagamento?

O contrato de prestação de serviços deve estipular que o contratado atenda às disposições de segurança e sigilo de dados, que a contratante tenha acesso aos dados e informações sobre os serviços prestados, e que o Banco Central do Brasil tenha acesso aos termos firmados, documentação e informações referentes aos serviços prestados, e às dependências do contratado.

O que é contraparte?

Contraparte é qualquer uma das partes envolvidas em uma transação financeira, como o tomador de recursos, o garantidor, o emissor de título ou valor mobiliário adquirido, o usuário final perante o emissor de instrumento de pagamento pós-pago, o emissor perante o credenciador de instrumento de pagamento e a instituição devedora de outra instituição decorrente de acordo de interoperabilidade entre diferentes arranjos de pagamento.

Quais são as responsabilidades das instituições em relação à segurança de dados?

As instituições devem assegurar a integridade, segurança e disponibilidade dos dados armazenados, processados ou transmitidos, além de adotar mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação para reduzir a vulnerabilidade a ataques digitais.

O que é a Resolução nº 4.557?

A Resolução nº 4.557, de 23 de fevereiro de 2017, estabelece diretrizes para a gestão de riscos e a estrutura de capital das instituições financeiras no Brasil.

Resolução CMN N° 5.076 | Banco Central

Q: Quando a Resolução mencionada entra em vigor?

A Resolução entra em vigor em 1º de julho de 2023.

Q: Quais são as falhas mencionadas no § 2º do Art. 32?

As falhas mencionadas incluem falhas na proteção e segurança de dados sensíveis, na identificação e autenticação do usuário final, na autorização das transações de pagamento e na iniciação de transação de pagamento.

Q: Quais são os mecanismos de monitoramento e controle de falhas na iniciação de transações de pagamento?

Os mecanismos devem incluir a segregação de eventos como iniciação de transação de pagamento não autorizada, não execução de iniciação de transação de pagamento, execução incorreta de iniciação de transação de pagamento e atraso na iniciação de transação de pagamento.

Q: Quais são as práticas inadequadas mencionadas no Art. 32 e Art. 22?

As práticas inadequadas incluem aquelas relativas a usuários finais, clientes, produtos e serviços, situações que acarretem a interrupção das atividades das instituições ou a descontinuidade dos serviços prestados, incluindo o de pagamento, e falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades das instituições, incluindo aquelas relacionadas aos arranjos de pagamento.

Q: O que é risco de liquidez?

Risco de liquidez é a possibilidade de a instituição não ser capaz de honrar eficientemente suas obrigações esperadas e inesperadas, correntes e futuras, sem afetar suas operações diárias e sem incorrer em perdas significativas, ou não ser capaz de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário.

Esta resolução atualiza as estruturas de gerenciamento de riscos, tanto a padrão (Resolução nº 4.557/2017) quanto a simplificada (Resolução nº 4.606/2017), para incorporar de forma explícita os riscos associados às atividades de pagamento. As novas regras entraram em vigor em 1º de julho de 2023.

As principais alterações se concentram em três categorias de risco. A mais extensa delas é o Risco Operacional, que agora exige uma estrutura de gerenciamento mais robusta para serviços de pagamento. A norma define falhas específicas a serem monitoradas, como problemas na proteção de dados sensíveis, na autenticação de usuários e na autorização de transações. As instituições devem implementar mecanismos de segurança de dados e redes, processos para rastreabilidade de transações, ferramentas de prevenção a fraudes com bloqueio de operações suspeitas, filtros para transações de alto risco e comunicação clara com o usuário sobre o status de suas operações. O gerenciamento do risco de subcredenciadores e o monitoramento detalhado de falhas na iniciação de pagamentos (transações não autorizadas, não executadas, incorretas ou com atraso) também se tornaram mandatórios.

No que tange ao Risco de Liquidez, a resolução estabelece novas exigências, principalmente para emissores de moeda eletrônica. O risco agora inclui explicitamente a incapacidade de converter moeda eletrônica em dinheiro a pedido do usuário. Instituições que operam com pagamentos sob o regime simplificado (Res. 4.606) também passam a precisar de uma estrutura formal para este risco, com gestão intradia. Uma nova obrigação de transparência foi criada: emissores de moeda eletrônica devem publicar um relatório anual de acesso público sobre sua estrutura de gerenciamento de risco de liquidez.

Por fim, para o Risco de Crédito, o conceito de "contraparte" foi expandido para incluir novos agentes do ecossistema de pagamentos, como o usuário final de um instrumento pós-pago, o emissor perante o credenciador e instituições devedoras em acordos de interoperabilidade. Essa mudança amplia o escopo da análise de crédito que as instituições devem realizar.

Para serviços de TI terceirizados, a norma reforça que os contratos devem garantir que o fornecedor cumpra essas exigências e permita acesso irrestrito de informações à instituição contratante e ao Banco Central do Brasil.

RESOLUÇÃO CMN Nº 5.076, DE 18 DE MAIO DE 2023

Altera a Resolução nº 4.557, de 23 de fevereiro de 2017, e a Resolução nº 4.606, de 19 de outubro de 2017.

O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 18 de maio de 2023, com base no art. 4º, incisos VIII e XI, da referida Lei, no art. 20, § 1º, da Lei nº 4.864, de 29 de novembro de 1965, nos arts. 7º e 23 da Lei nº 6.099, de 12 de setembro de 1974, e nos arts. 1º, § 1º, e 12 da Lei Complementar nº 130, de 17 de abril de 2009,

R E S O L V E U :

Art. 1º A Resolução nº 4.557, de 23 de fevereiro de 2017, passa a vigorar com as seguintes alterações:

“Art. 21. ..........................................................................................................

.........................................................................................................................

§ 1º .................................................................................................................

I - contraparte:

a) o tomador de recursos;

b) o garantidor;

c) o emissor de título ou valor mobiliário adquirido;

d) o usuário final perante o emissor de instrumento de pagamento pós-pago;

e) o emissor perante o credenciador de instrumento de pagamento; e

f) a instituição devedora de outra instituição decorrente de acordo de interoperabilidade entre diferentes arranjos de pagamento; e

................................................................................................................” (NR)

“Art. 32. ..........................................................................................................

.........................................................................................................................

§ 2º .................................................................................................................

.........................................................................................................................

IV - práticas inadequadas relativas a usuários finais, clientes, produtos e serviços;

.........................................................................................................................

VI - situações que acarretem a interrupção das atividades da instituição ou a descontinuidade dos serviços prestados, incluindo o de pagamentos;

.........................................................................................................................

VIII - falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades da instituição, incluindo aquelas relacionadas aos arranjos de pagamento.

§ 3º Para as atividades de pagamento, as falhas mencionadas no § 2º incluem:

I - falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;

II - falhas na identificação e autenticação do usuário final em transação de pagamento;

III - falhas na autorização das transações de pagamento; e

IV - falhas na iniciação de transação de pagamento.” (NR)

“Art. 33. ..........................................................................................................

.........................................................................................................................

IV - ...................................................................................................................

a) assegurem integridade, segurança e disponibilidade dos dados armazenados, processados ou transmitidos e dos sistemas de informação utilizados;

b) contenham mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques digitais;

c) adotem procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;

d) monitorem as falhas na segurança dos dados e as reclamações dos usuários finais a esse respeito; e

e) sejam adequados às necessidades e às mudanças do modelo de negócio, tanto em circunstâncias normais quanto em períodos de estresse;

.........................................................................................................................

VI - realização periódica de análises de cenários com o objetivo de estimar a exposição da instituição a eventos de risco operacional raros e de alta severidade;

VII - revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;

VIII - elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;

IX - realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;

X - segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção.

§ 1º No caso de terceirização de serviços de TI, incluindo os relacionados com a segurança dos serviços de pagamento oferecidos, o respectivo contrato de prestação de serviços deve estipular que:

I - o contratado deverá atender ao disposto nos incisos IV, VII, VIII, IX e X do caput e ao disposto no § 3º;

II - a contratante terá acesso aos dados e às informações sobre os serviços prestados;

III - o Banco Central do Brasil terá acesso a:

a) termos firmados;

b) documentação e informações referentes aos serviços prestados; e

c) dependências do contratado.

.........................................................................................................................

§ 3º Para as atividades de pagamentos, a estrutura de que trata o caput deve prever adicionalmente:

I - identificação adequada do usuário final;

II - processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas;

III - mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva;

IV - avaliações e filtros específicos para identificar transações consideradas de alto risco;

V - notificação ao usuário final acerca de eventual não execução de uma transação;

VI - mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente;

VII - identificação, avaliação, gerenciamento, monitoramento e mitigação do risco decorrente da participação de subcredenciador no processo de liquidação das transações de pagamento, no caso de instituição credenciadora; e

VIII - mecanismos de monitoramento e controle de falhas na iniciação de transações de pagamento, segregando, no mínimo, os seguintes eventos:

a) iniciação de transação de pagamento não autorizada;

b) não execução de iniciação de transação de pagamento;

c) execução incorreta de iniciação de transação de pagamento; e

d) atraso na iniciação de transação de pagamento.” (NR)

“Art. 37. ..........................................................................................................

.........................................................................................................................

Parágrafo único. A definição de que trata o inciso I do caput inclui a possibilidade de a instituição emissora de moeda eletrônica não ser capaz de convertê-la em moeda física ou escritural no momento da solicitação do usuário.” (NR)

Art. 2º A Resolução nº 4.606, de 19 de outubro de 2017, passa a vigorar com as seguintes alterações:

“Art. 20. ..........................................................................................................

.........................................................................................................................

Parágrafo único. A instituição optante pela metodologia simplificada de que trata esta Resolução que realize atividades de pagamento ou que tenha subsidiária que realize atividade de pagamentos deve implementar estrutura de gerenciamento do risco de liquidez conforme o disposto na Seção II-A.” (NR)

“Art. 21. ..........................................................................................................

.........................................................................................................................

VI - plano para enfrentar situações de escassez de ativos líquidos, indicando as responsabilidades, as estratégias, os procedimentos e as fontes alternativas de recursos que assegurem a manutenção de estoque adequado de ativos líquidos que possam ser prontamente convertidos em caixa sem perda relevante de valor;

................................................................................................................” (NR)

“Art. 22. ..........................................................................................................

.........................................................................................................................

§ 2º .................................................................................................................

.........................................................................................................................

IV - práticas inadequadas relativas a usuários finais, clientes, produtos e serviços;

.........................................................................................................................

VI - situações que acarretem a interrupção das atividades das instituições ou a descontinuidade dos serviços prestados, incluindo o de pagamento;

.........................................................................................................................

VIII - falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades das instituições, incluindo aquelas relacionadas aos arranjos de pagamento.

§ 3º Para as atividades de pagamento, as falhas mencionadas no § 2º incluem:

II - falhas na identificação e autenticação do usuário final em transação de pagamento;

III - falhas na autorização das transações de pagamento; e

IV - falhas na iniciação de transação de pagamento.” (NR)

“Art. 23. ..........................................................................................................

.........................................................................................................................

§ 1º .................................................................................................................

.........................................................................................................................

II - .....................................................................................................................

.........................................................................................................................

c) dependências do contratado;

.........................................................................................................................

IV - o contratado deverá atender ao disposto no inciso IV do caput; e

V - no caso de terceirização de serviços de TI relacionados a serviços de pagamento, o contratado também deverá atender ao disposto no § 3º.

.........................................................................................................................

§ 3º Para a instituição optante pela metodologia simplificada de que trata esta Resolução que realize atividades de pagamento ou que tenha subsidiária que realize atividade de pagamentos, a estrutura de que trata o caput deve prever adicionalmente para as atividades de pagamento:

I - mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos;

II - mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;

III - procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;

IV - monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito;

V - revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;

VI - elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;

VII - realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;

VIII - segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;

IX - identificação adequada do usuário final;

X - mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento;

XI - processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas;

XII - mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva;

XIII - avaliações e filtros específicos para identificar transações consideradas de alto risco;

XIV - notificação ao usuário final acerca de eventual não execução de uma transação;

XV - mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente;

XVI - identificação, avaliação, gerenciamento, monitoramento e mitigação do risco decorrente da participação de subcredenciador no processo de liquidação das transações de pagamento, no caso de instituição credenciadora; e

XVII - mecanismos de monitoramento e controle de falhas na iniciação de transações de pagamento, segregando, no mínimo, os seguintes eventos:

a) iniciação de transação de pagamento não autorizada;

b) não execução de iniciação de transação de pagamento;

c) execução incorreta de iniciação de transação de pagamento; e

d) atraso na iniciação de transação de pagamento.” (NR)

“Seção II-A

Do Gerenciamento do Risco de Liquidez

Art. 24-A. Para fins desta Resolução, define-se o risco de liquidez como a possibilidade de a instituição:

I - não ser capaz de honrar eficientemente suas obrigações esperadas e inesperadas, correntes e futuras sem afetar suas operações diárias e sem incorrer em perdas significativas; ou

II - não ser capaz de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário.

Art. 24-B. A estrutura simplificada de gerenciamento contínuo de riscos, de que trata o art. 21, deve prever, adicionalmente, para o risco de liquidez processos para identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive intradia.

Art. 24-C. A instituição emissora de moeda eletrônica deve descrever as principais caraterísticas de sua estrutura de gerenciamento do risco de liquidez em relatório de acesso público, com periodicidade mínima anual.

Parágrafo único. A instituição deve divulgar, em conjunto com suas demonstrações contábeis publicadas, o endereço do sítio da instituição na internet onde se encontra o relatório mencionado no caput.” (NR)

“Art. 25. ..........................................................................................................

.........................................................................................................................

III - vantagens concedidas na reestruturação de instrumentos financeiros, conforme definido no § 1º, inciso II;

.........................................................................................................................

§ 1º .................................................................................................................

I - contraparte:

a) o tomador de recursos;

b) o garantidor;

c) o emissor de título ou valor mobiliário adquirido;

d) o usuário final perante o emissor de instrumento de pagamento pós-pago;

e) o emissor perante o credenciador de instrumento de pagamento; e

f) a instituição devedora de outra instituição decorrente de acordo de interoperabilidade entre diferentes arranjos de pagamento; e

................................................................................................................” (NR)

Art. 3º Esta Resolução entra em vigor em 1º de julho de 2023.

Roberto de Oliveira Campos Neto
Presidente do Banco Central do Brasil

Resolução CMN N° 5.076

Registros selecionados

Resumo

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes

Resolução CMN N° 5.076 🏦 🔐 💳

Registros selecionados

Resumo

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Resolução CMN N° 5.076