Carta-Circular BACEN/DEBAN nº 3.439 de 06/04/2010

Norma Federal - Publicado no DO em 08 abr 2010

Esclarece os requisitos para prestação de serviços de tecnologia no âmbito do Sistema de Pagamentos Brasileiro - SPB.

Notas:

1) Revogada pela Carta-Circular BACEN/DEBAN nº 3.465, de 13.08.2010, DOU 17.08.2010.

2) Assim dispunha a Carta-Circular revogada:

"Esclarecemos que os Provedores de Serviços de Tecnologia da Informação (PSTI) são as entidades autorizadas pelo Banco Central do Brasil a prestar serviços de tecnologia da informação no âmbito do SPB para instituições detentoras das contas a que se referem o art. 1º e o inciso II do art. 2º da Circular nº 3.438, de 2 de março de 2009, nos termos desta carta-circular.

2. Os serviços prestados por PSTI compreendem o encaminhamento das mensagens originadas das instituições por ele servidas ou a elas destinadas, observado que:

I - uma instituição somente pode ser PSTI para instituições do conglomerado a que pertencer; e

II - os provedores da Rede do Sistema Financeiro Nacional (RSFN) não podem ser PSTI.

3. A prestação de serviços pelo PSTI deve observar o disposto nos documentos Catálogo de Mensagens e de Arquivos da RSFN, Manual Técnico da RSFN e Manual de Segurança da RSFN, de que trata a Circular nº 3.424, de 12 de dezembro de 2008, disponíveis nas páginas da Internet do Banco Central do Brasil (www.bcb.gov.br) e da RSFN (www.bcb.rsfn.net.br).

4. As formas de aglutinação de instituições para efeito de compartilhamento de serviços prestados por um PSTI compreendem:

I - Aglomerado: conjunto de instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação não participantes de um mesmo conglomerado financeiro;

II - Conglomerado: conjunto de instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação com controlador comum, direto ou indireto, das quais uma presta os serviços típicos de PSTI às demais, mesmo que qualquer das demais seja participante do Sistema de Transferência de Reservas - STR; ou

III - Contingência: conjunto de instituições detentoras de conta Reservas Bancárias ou de Conta de Liquidação e não integrantes de um mesmo conglomerado financeiro, que utiliza os serviços de um PSTI exclusivamente em situação de contingência.

5. O pedido de autorização para funcionar como PSTI deverá conter o Plano de Negócios da entidade e a descrição do projeto de implementação dos requisitos tecnológicos estabelecidos nesta carta-circular, formalizado mediante expediente encaminhado ao Departamento de Tecnologia da Informação (Deinf).

6. A autorização referida no item precedente será revogada caso a entidade credenciada como PSTI não preste, por um ano ininterrupto, serviços de tecnologia da informação no âmbito do SPB para pelo menos um participante do STR, no ambiente de produção.

7. Na prestação dos serviços, o PSTI deve:

I - manter inalterado o conteúdo das mensagens por ele cursadas;

II - assegurar e preservar o sigilo das informações processadas por seu intermédio;

III - oferecer igual nível de serviços às instituições que utilizem seus serviços;

IV - ter disponível, para supervisão pelo Banco Central do Brasil, os programas-fonte de seus programas de acesso ao STR, os diagramas de conexão ao STR e os diagramas de programas, de máquinas e de telecomunicações, envolvendo a instituição e o PSTI, caso os aplicativos sejam providos aos aglomerados;

V - possuir, no mínimo, uma ligação a cada um dos provedores de comunicações da RSFN, em cada um de seus Centros de Serviços de Informática - CSI;

VI - possuir, para cada Aglomerado ou Conglomerado, elementos computacionais independentes, assim definidos todas as máquinas, os programas e as aplicações necessários para cursar as mensagens das instituições;

VII - possuir, no mínimo, dois CSI independentes e interligados, de modo a oferecer funcionamento ininterrupto, devendo observar índice de disponibilidade igual ou superior a 99,8%.

8. Na prestação dos serviços de Contingência, adicionalmente ao previsto nos incisos de I a VI do item 7, o PSTI deve:

I - garantir o sigilo das informações processadas, caso os aplicativos sejam por ele providos e as instituições compartilhem os servidores de aplicação e infraestrutura;

II - prover elementos computacionais independentes para cada instituição, assim definidos todas as máquinas e a infraestrutura necessárias à aplicação, caso os aplicativos sejam providos pelas instituições.

9. A instituição participante de Aglomerado, conforme definido no inciso I do item 4, deve:

I - zelar pela guarda e integridade de sua chave criptográfica secreta para assinatura digital, que não pode, em nenhuma hipótese, estar localizada nas máquinas servidoras do PSTI;

II - possuir máquinas e programas apropriados para preparar, assinar digitalmente, cifrar e encaminhar suas mensagens;

III - possuir máquinas e programas apropriados para receber, conferir a assinatura digital, decifrar e processar as mensagens que lhe forem encaminhadas;

IV - possuir, no mínimo, uma ligação a cada um dos provedores de comunicações da RSFN, para comunicação com o PSTI a que esteja ligada; e

V - ter disponível, para supervisão pelo Banco Central do Brasil, os programas-fonte de seus programas de acesso ao STR, os diagramas de conexão ao STR e os diagramas de programas, de máquinas e de telecomunicações, envolvendo a própria instituição e o PSTI.

10. No caso de Conglomerado, conforme definido no inciso II do item 4:

I - os serviços de processamento de dados das instituições participantes devem ser executados em um único CSI;

II - o PSTI do Conglomerado, se utilizar CSI de terceiros, estará sujeito às condições previstas para Aglomerado; e

III - cada instituição participante deve possuir seu próprio certificado digital e suas mensagens devem ser assinadas com as chaves privadas relativas ao seu certificado.

11. Cada instituição pode contratar somente um PSTI e deve manter as suas informações cadastrais atualizadas no Banco Central do Brasil por meio de mensagem do Catálogo de Mensagens e de Arquivos da RSFN.

12. São admitidas a hospedagem de máquinas e de aplicativos e a utilização de centros de processamento comerciais especializados, desde que observados todos os critérios definidos nesta carta-circular, para as instituições participantes e para os PSTI.

13. É vedado o trânsito, entre a instituição contratante e o respectivo PSTI, das chaves criptográficas privadas utilizadas ou de mensagens "em claro".

14. Somente por meio da RSFN é permitida a troca de informações entre o PSTI e a instituição contratante dos serviços, e entre o PSTI e os demais participantes do STR.

15. Admite-se a troca de informações por meio de rede dedicada, homologada pelo Banco Central do Brasil, entre o PSTI e a instituição contratante dos serviços, ressalvado que a troca de informações entre o PSTI e os demais participantes do STR deve ocorrer por meio da RSFN, mantidos os demais requisitos estabelecidos nesta carta-circular, inclusive no que se refere à guarda das assinaturas digitais e demais elementos de segurança.

16. Fica revogada a Carta-Circular nº 3.426, de 30 de dezembro de 2009.

17. Esta carta-circular entra em vigor na data da sua publicação.

JOSÉ ANTONIO MARCIANO

Chefe do Departamento de Operações Bancárias e de Sistema de Pagamentos

JOSÉ ANTÔNIO EIRADO NETO

Chefe do Departamento de Tecnologia da Informação"