Carta-Circular BACEN nº 3.012 de 19/04/2002
Norma Federal
Estabelece os requisitos para prestação de serviços de tecnologia no âmbito do Sistema de Pagamentos Brasileiro.
Notas:
1) Revogada pela Carta-Circular BACEN nº 3.189, de 10.05.2005, DOU 12.05.2005 .
2) Assim dispunha a Carta-Circular revogada:
"Esclarecemos que os Provedores de Serviços de Tecnologia da Informação - PSTI podem prestar serviços para uma ou mais instituições financeiras detentoras de conta Reservas Bancárias, desde que observados os requisitos e as definições referentes à topologia "n x 2", estabelecidos nesta Carta-Circular, bem como o disposto nos documentos Catálogo de Mensagens do Sistema de Pagamentos Brasileiro, Manual Técnico da Rede do Sistema Financeiro Nacional e Manual de Segurança de mensagens do Sistema de Pagamentos Brasileiro, instituídos pela Circular nº 3.104, de 28 de março de 2002 e disponíveis na página do Banco Central do Brasil na Internet (www.bcb.gov.br) e na página da Rede do Sistema Financeiro Nacional - RSFN (www.bcb.rsfn.net.br);
2. Considera-se PSTI a entidade que proporciona o encaminhamento das mensagens originadas das instituições financeiras por ela servidas ou a elas destinadas, observado que:
I - uma instituição financeira somente pode ser PSTI para instituições do conglomerado a que pertencer; e
II - os provedores da RSFN não podem ser PSTI.
3. Define-se "n x 2" (n variando de 1 a 8) a topologia em que "n" significa o número máximo de instituições que podem compartilhar, de forma independente de outros grupos de até oito instituições, os serviços do PSTI e "2" o número mínimo de Centros de Serviços de Informática - CSI possuídos pelo PSTI e utilizados na prestação desses serviços;
4. A topologia "n x 2" pode ter as seguintes formas de aglutinação:
I - AGLOMERADO BANCÁRIO: conjunto de, no máximo, oito instituições financeiras detentoras de conta Reservas Bancárias não participantes de um mesmo conglomerado financeiro, compartilhando os serviços de um PSTI de forma independente de outros aglomerados bancários;
II - CONGLOMERADO: conjunto de até oito instituições financeiras detentoras de conta Reservas Bancarias com controlador comum, direto ou indireto, das quais uma presta os serviços típicos de PSTI, mesmo que qualquer das demais seja participante do Sistema de Transferência de Reservas - STR; ou
III - CONTINGÊNCIA: conjunto de, no máximo, oito instituições financeiras detentoras de conta Reservas Bancárias não participantes de um mesmo conglomerado financeiro, compartilhando os serviços de um PSTI, apenas em situação de contingência, de forma independente de outros aglomerados bancários.
5. Na prestação dos serviços para AGLOMERADOS e CONGLOMERADOS, o PSTI deve:
I - manter inalterado o conteúdo das mensagens por ele cursadas;
II - assegurar e preservar o sigilo das informações processadas por seu intermédio;
III - oferecer nível de serviços indiferenciado às instituições financeiras participantes de um aglomerado ou conglomerado;
IV - possuir, no mínimo:
a) dois CSI independentes e interligados, de modo a oferecer funcionamento ininterrupto, observado o índice de 99,8% de operacionalidade; e
b) uma ligação a cada um dos provedores de comunicações da RSFN, em cada um de seus CSI;
V - possuir, para cada aglomerado ou conglomerado, elementos computacionais independentes, definindo-se como elementos computacionais todas as máquinas, programas e aplicações necessários para cursar as mensagens das instituições financeiras participantes do aglomerado ou conglomerado;
VI - ter disponível, para supervisão pelo Banco Central do Brasil, os programas-fonte de seus programas de acesso ao STR, os diagramas de conexão ao STR e os diagramas de programas, máquinas e de telecomunicações, envolvendo a instituição e o PSTI, caso os aplicativos sejam providos aos aglomerados.
6. Na prestação dos serviços de CONTINGÊNCIA, o PSTI deve:
I - manter inalterado o conteúdo das mensagens por ele cursadas;
II - assegurar e preservar o sigilo das informações processadas por seu intermédio;
III - oferecer nível de serviços indiferenciado às instituições financeiras que utilizem seus serviços;
IV - possuir, no mínimo, uma ligação a cada um dos provedores de comunicações da RSFN;
V - caso os aplicativos sejam por ele providos:
a) permitir que as instituições possam compartilhar servidores de aplicação e infra-estrutura necessários, desde que garantido o sigilo das informações processadas;
b) ter disponível, para supervisão pelo Banco Central do Brasil, os programas-fonte de seus programas de acesso ao STR, os diagramas de conexão ao STR e os diagramas de programas, máquinas e de telecomunicações, envolvendo a instituição e o PSTI;
VI - prover elementos computacionais independentes para cada instituição, caso os aplicativos sejam providos pelas instituições, definindo-se como elementos computacionais todas as máquinas e infra-estrutura necessárias à aplicação.
7. A instituição financeira participante de AGLOMERADO bancário, conforme definido no inciso I do item 4, deve:
I - zelar pela guarda e integridade de sua chave criptográfica secreta para assinatura digital, que não pode, em nenhuma hipótese, estar localizado nas máquinas servidoras do PSTI;
II - possuir máquinas e programas apropriados para preparar, assinar digitalmente, cifrar e encaminhar suas mensagens;
III - possuir máquinas e programas apropriados para receber, conferir a assinatura digital, decifrar e processar as mensagens que lhe forem encaminhadas;
IV - possuir duas ligações à RSFN, para comunicação com o PSTI a que esteja ligada;
V - ter disponível, para supervisão pelo Banco Central do Brasil, os programas-fonte de seus programas de acesso ao STR, os diagramas de conexão ao STR e os diagramas de programas, máquinas e de telecomunicações, envolvendo a própria instituição e o PSTI.
8. No caso de CONGLOMERADO, conforme definido no inciso II do item 4:
I - os serviços de processamento de dados das instituições financeiras participantes devem ser executados em um único CSI;
II - o PSTI do conglomerado não pode ter seu centro de informática terceirizado, caso contrário, o conglomerado passa à condição de aglomerado bancário, sujeitando-se às condições pertinentes;
III - cada instituição financeira participante deve possuir seu próprio certificado digital, devendo suas mensagens serem assinadas com as chaves privadas relativas ao seu certificado;
IV - a instituição financeira que operar como PSTI deve possuir dois CSI independentes e interligados e, no mínimo, duas ligações à RSFN, de modo a oferecer funcionamento ininterrupto, observado o índice de 99,8% de operacionalidade; e
V - ter disponível, para supervisão pelo Banco Central, os programas-fonte de seus programas de acesso ao STR, os diagramas de conexão ao STR e os diagramas de programas, máquinas e de telecomunicações.
9. A instituição, independentemente da topologia adotada, que não puder encaminhar as mensagens relativas à movimentação de sua conta Reservas Bancárias, deverá adotar os procedimentos da contingência oferecida pelo Banco Central do Brasil.
10. Os PSTI, ao aderirem à RSFN, deverão submeter ao Banco Central do Brasil a topologia que pretendem utilizar e manter atualizadas as informações pertinentes, as quais estarão sujeitas à supervisão desta Autarquia, a exemplo dos programas-fonte e dos diagramas já mencionados, bem como à fiscalização das suas dependências.
11. É admitida a hospedagem de máquinas e de aplicativos e a utilização de centros de processamento comerciais especializados, desde que observados todos os critérios definidos nesta carta-circular para as instituições financeiras participantes e para os PSTI.
12. É vedado o trânsito, entre as partes, das chaves criptográficas privadas utilizadas ou de mensagens "em claro".
13. Só é permitido o trânsito de mensagens entre o PSTI e as instituições que dele se utilizam e entre o PSTI e os demais participantes através da RSFN.
14. Esta carta-circular entra em vigor na data de sua publicação.
LUIS GUSTAVO DA MATTA MACHADO
Chefe"