Carta-Circular BACEN/DEBAN nº 3.426 de 30/12/2009
Norma Federal - Publicado no DO em 04 jan 2010
Estabelece os requisitos para prestação de serviços de tecnologia no âmbito do Sistema de Pagamentos Brasileiro - SPB.
Notas:
1) Revogada pela Carta-Circular BACEN/DEBAN nº 3.439, de 06.04.2010, DOU 08.04.2010.
2) Assim dispunha a Carta-Circular revogada:
"Esclarecemos que os Provedores de Serviços de Tecnologia da Informação - PSTI são entidades que podem prestar serviços de tecnologia no âmbito do SPB para instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação, exceto para câmaras e prestadores de serviço de compensação e de liquidação sistemicamente importantes, nos termos desta carta-circular.
2. O serviço de tecnologia prestado por PSTI compreende o encaminhamento das mensagens originadas das instituições por ele servidas ou a elas destinadas, observado que:
I - uma instituição somente pode ser PSTI para instituições do conglomerado a que pertencer; e
II - os provedores da RSFN não podem ser PSTI.
3. A prestação de serviços pelo PSTI deve observar o disposto nos documentos Catálogo de Mensagens e de Arquivos da RSFN, Manual Técnico da RSFN e Manual de Segurança da RSFN, de que trata a Circular nº 3.424, de 12 de dezembro de 2008, disponíveis na página do Banco Central do Brasil na Internet (www.bcb.gov.br) e na página da Rede do Sistema Financeiro Nacional RSFN (www.bcb.rsfn.net.br).
4. As formas de aglutinação de instituições para efeito de compartilhamento de serviços prestados por um PSTI compreendem:
I - Aglomerado: conjunto de instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação não participantes de um mesmo conglomerado financeiro;
II - Conglomerado: conjunto de instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação com controlador comum, direto ou indireto, das quais uma presta os serviços típicos de PSTI às demais, mesmo que qualquer das demais seja participante do Sistema de Transferência de Reservas - STR; ou
III - Contingência: conjunto de instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação e não integrantes de um mesmo conglomerado financeiro, que utiliza os serviços de um PSTI, exclusivamente em situação de contingência.
5. A contratação dos serviços de PSTI por instituição detentora de conta Reservas Bancárias ou de Conta de Liquidação deverá ser previamente aprovada pelo Banco Central do Brasil, nos termos de regulamentação específica, esclarecido que uma instituição somente pode contratar os serviços de um único PSTI.
6. O pedido de autorização para funcionar como PSTI deverá conter o Plano de Negócios da entidade e a descrição do projeto de implementação dos requisitos tecnológicos estabelecidos nesta carta-circular, formalizado mediante expediente encaminhado ao Departamento de Tecnologia da Informação - Deinf.
7. A autorização referida no item precedente será revogada caso a entidade credenciada como PSTI não preste, por um ano ininterrupto, serviços de tecnologia da informação no âmbito do SPB para pelo menos um participante do STR, no ambiente de produção.
8. Na prestação dos serviços, o PSTI deve:
I - manter inalterado o conteúdo das mensagens por ele cursadas;
II - assegurar e preservar o sigilo das informações processadas por seu intermédio;
III - oferecer igual nível de serviços às instituições que utilizem seus serviços;
IV - ter disponível, para supervisão pelo Banco Central do Brasil, os programas-fonte de seus programas de acesso ao STR, os diagramas de conexão ao STR e os diagramas de programas, de máquinas e de telecomunicações, envolvendo a instituição e o PSTI, caso os aplicativos sejam providos aos aglomerados;
V - possuir, no mínimo, uma ligação a cada um dos provedores de comunicações da RSFN, em cada um de seus Centros de Serviços de Informática - CSI;
VI - possuir, para cada Aglomerado ou Conglomerado, elementos computacionais independentes, assim definidos todas as máquinas, os programas e as aplicações necessários para cursar as mensagens das instituições;
VII - possuir, no mínimo, dois CSI independentes e interligados, de modo a oferecer funcionamento ininterrupto, observado o índice de 99,8% de disponibilidade.
9. Na prestação dos serviços de Contingência, adicionalmente ao previsto nos incisos de I a VI do item 8, o PSTI deve:
I - garantir o sigilo das informações processadas, caso os aplicativos sejam por ele providos e as instituições compartilharem os servidores de aplicação e infra-estrutura;
II - prover elementos computacionais independentes para cada instituição, assim definidos todas as máquinas e a infra-estrutura necessárias à aplicação, caso os aplicativos sejam providos pelas instituições.
10. A instituição participante de Aglomerado, conforme definido no inciso I do item 4, deve:
I - zelar pela guarda e integridade de sua chave criptográfica secreta para assinatura digital, que não pode, em nenhuma hipótese, estar localizada nas máquinas servidoras do PSTI;
II - possuir máquinas e programas apropriados para preparar, assinar digitalmente, cifrar e encaminhar suas mensagens;
III - possuir máquinas e programas apropriados para receber, conferir a assinatura digital, decifrar e processar as mensagens que lhe forem encaminhadas;
IV - possuir, no mínimo, uma ligação a cada um dos provedores de comunicações da RSFN, para comunicação com o PSTI a que esteja ligada; e
V - ter disponível, para supervisão pelo Banco Central do Brasil, os programas-fonte de seus programas de acesso ao STR, os diagramas de conexão ao STR e os diagramas de programas, de máquinas e de telecomunicações, envolvendo a própria instituição e o PSTI.
11. No caso de Conglomerado, conforme definido no inciso II do item 4:
I - os serviços de processamento de dados das instituições participantes devem ser executados em um único CSI;
II - o PSTI do Conglomerado, se utilizar CSI de terceiros, estará sujeito às condições previstas para Aglomerado; e
III - cada instituição participante deve possuir seu próprio certificado digital e suas mensagens devem ser assinadas com as chaves privadas relativas ao seu certificado.
12. A instituição contratante dos serviços de um PSTI que, por qualquer motivo, não puder encaminhar as mensagens relativas à movimentação de sua conta Reservas Bancárias ou Conta de Liquidação deve utilizar o serviço de inserção de mensagens em regime de contingência disponibilizado pelo Banco Central do Brasil.
13. São admitidas a hospedagem de máquinas e de aplicativos e a utilização de centros de processamento comerciais especializados, desde que observados todos os critérios definidos nesta carta-circular, para as instituições participantes e para os PSTI.
14. É vedado o trânsito, entre as partes, das chaves criptográficas privadas utilizadas ou de mensagens "em claro".
15. Somente por meio da RSFN é permitida a troca de informações entre o PSTI e as instituições detentoras de conta Reservas Bancárias que dele se utilizam e entre o PSTI e os demais participantes do STR.
16. Admite-se a troca de informações por meio de rede dedicada, homologada pelo Banco Central do Brasil, entre o PSTI e as instituições detentoras de Conta de Liquidação que dele se utilizam, ressalvado que a troca de informações entre o PSTI e os demais participantes do STR deve ocorrer por meio da RSFN, mantidos os demais requisitos estabelecidos nesta carta-circular, inclusive no que se refere à guarda das assinaturas digitais e demais elementos de segurança.
17. Fica revogada a Carta-Circular nº 3.189, de 10 de maio de 2005.
18. Esta carta-circular entra em vigor na data da sua publicação.
RADJALMA COSTA
Chefe Substituto do Departamento de Operações Bancárias e de Sistema de Pagamentos
MARCELO JOSÉ OLIVEIRA YARED
Chefe do Departamento de Tecnologia da Informação
Substituto"