SPB

CARTA-CIRCULAR No- 3.426, DE 30 DE DEZEMBRO DE 2009
Estabelece os requisitos para prestação de
serviços de tecnologia no âmbito do Sistema
de Pagamentos Brasileiro – SPB.
Esclarecemos que os Provedores de Serviços de Tecnologia
da Informação – PSTI são entidades que podem prestar serviços de
tecnologia no âmbito do SPB para instituições detentoras de conta
Reservas Bancárias ou de Conta de Liquidação, exceto para câmaras
e prestadores de serviço de compensação e de liquidação sistemicamente
importantes, nos termos desta carta-circular.
2. O serviço de tecnologia prestado por PSTI compreende o
encaminhamento das mensagens originadas das instituições por ele
servidas ou a elas destinadas, observado que:
I – uma instituição somente pode ser PSTI para instituições
do conglomerado a que pertencer; e
II – os provedores da RSFN não podem ser PSTI.
3. A prestação de serviços pelo PSTI deve observar o disposto
nos documentos Catálogo de Mensagens e de Arquivos da
RSFN, Manual Técnico da RSFN e Manual de Segurança da RSFN,
de que trata a Circular No- 3.424, de 12 de dezembro de 2008,
disponíveis na página do Banco Central do Brasil na internet
(www.bcb.gov.br) e na página da Rede do Sistema Financeiro Nacional
RSFN (www.bcb.rsfn.net.br).
4. As formas de aglutinação de instituições para efeito de
compartilhamento de serviços prestados por um PSTI compreendem:
I – Aglomerado: conjunto de instituições detentoras de conta
Reservas Bancárias ou de Conta de Liquidação não participantes de
um mesmo conglomerado financeiro;
II – Conglomerado: conjunto de instituições detentoras de
conta Reservas Bancárias ou de Conta de Liquidação com controlador
comum, direto ou indireto, das quais uma presta os serviços típicos de
PSTI às demais, mesmo que qualquer das demais seja participante do
Sistema de Transferência de Reservas – STR; ou
III – Contingência: conjunto de instituições detentoras de
conta Reservas Bancárias ou de Conta de Liquidação e não integrantes
de um mesmo conglomerado financeiro, que utiliza os serviços
de um PSTI, exclusivamente em situação de contingência.
5. A contratação dos serviços de PSTI por instituição detentora
de conta Reservas Bancárias ou de Conta de Liquidação
deverá ser previamente aprovada pelo Banco Central do Brasil, nos
termos de regulamentação específica, esclarecido que uma instituição
somente pode contratar os serviços de um único PSTI.
6. O pedido de autorização para funcionar como PSTI deverá
conter o Plano de Negócios da entidade e a descrição do projeto de
implementação dos requisitos tecnológicos estabelecidos nesta cartacircular,
formalizado mediante expediente encaminhado ao Departamento
de Tecnologia da Informação – Deinf.
7. A autorização referida no item precedente será revogada
caso a entidade credenciada como PSTI não preste, por um ano
ininterrupto, serviços de tecnologia da informação no âmbito do SPB
para pelo menos um participante do STR, no ambiente de produção.
8. Na prestação dos serviços, o PSTI deve:
I – manter inalterado o conteúdo das mensagens por ele
cursadas;
II – assegurar e preservar o sigilo das informações processadas
por seu intermédio;
III – oferecer igual nível de serviços às instituições que
utilizem seus serviços;
IV – ter disponível, para supervisão pelo Banco Central do
Brasil, os programas-fonte de seus programas de acesso ao STR, os
diagramas de conexão ao STR e os diagramas de programas, de
máquinas e de telecomunicações, envolvendo a instituição e o PSTI,
caso os aplicativos sejam providos aos aglomerados;
V – possuir, no mínimo, uma ligação a cada um dos provedores
de comunicações da RSFN, em cada um de seus Centros de
Serviços de Informática – CSI;
VI – possuir, para cada Aglomerado ou Conglomerado, elementos
computacionais independentes, assim definidos todas as máquinas,
os programas e as aplicações necessários para cursar as mensagens
das instituições;
VII – possuir, no mínimo, dois CSI independentes e interligados,
de modo a oferecer funcionamento ininterrupto, observado
o índice de 99,8% de disponibilidade.
9. Na prestação dos serviços de Contingência, adicionalmente
ao previsto nos incisos de I a VI do item 8, o PSTI deve:
I – garantir o sigilo das informações processadas, caso os
aplicativos sejam por ele providos e as instituições compartilharem os
servidores de aplicação e infra-estrutura;
II – prover elementos computacionais independentes para cada
instituição, assim definidos todas as máquinas e a infra-estrutura
necessárias à aplicação, caso os aplicativos sejam providos pelas
instituições.
10. A instituição participante de Aglomerado, conforme definido
no inciso I do item 4, deve:
I – zelar pela guarda e integridade de sua chave criptográfica
secreta para assinatura digital, que não pode, em nenhuma hipótese,
estar localizada nas máquinas servidoras do PSTI;
II – possuir máquinas e programas apropriados para preparar,
assinar digitalmente, cifrar e encaminhar suas mensagens;
III – possuir máquinas e programas apropriados para receber,
conferir a assinatura digital, decifrar e processar as mensagens que
lhe forem encaminhadas;
IV – possuir, no mínimo, uma ligação a cada um dos provedores
de comunicações da RSFN, para comunicação com o PSTI a
que esteja ligada; e
V – ter disponível, para supervisão pelo Banco Central do
Brasil, os programas-fonte de seus programas de acesso ao STR, os
diagramas de conexão ao STR e os diagramas de programas, de
máquinas e de telecomunicações, envolvendo a própria instituição e o
PSTI.
11. No caso de Conglomerado, conforme definido no inciso
II do item 4:
I – os serviços de processamento de dados das instituições
participantes devem ser executados em um único CSI;
II – o PSTI do Conglomerado, se utilizar CSI de terceiros,
estará sujeito às condições previstas para Aglomerado; e
III – cada instituição participante deve possuir seu próprio
certificado digital e suas mensagens devem ser assinadas com as
chaves privadas relativas ao seu certificado.
12. A instituição contratante dos serviços de um PSTI que,
por qualquer motivo, não puder encaminhar as mensagens relativas à
movimentação de sua conta Reservas Bancárias ou Conta de Liquidação
deve utilizar o serviço de inserção de mensagens em regime
de contingência disponibilizado pelo Banco Central do Brasil.
13. São admitidas a hospedagem de máquinas e de aplicativos
e a utilização de centros de processamento comerciais especializados,
desde que observados todos os critérios definidos nesta
carta-circular, para as instituições participantes e para os PSTI.
14. É vedado o trânsito, entre as partes, das chaves criptográficas
privadas utilizadas ou de mensagens “em claro”.
15. Somente por meio da RSFN é permitida a troca de
informações entre o PSTI e as instituições detentoras de conta Reservas
Bancárias que dele se utilizam e entre o PSTI e os demais
participantes do STR.
16. Admite-se a troca de informações por meio de rede
dedicada, homologada pelo Banco Central do Brasil, entre o PSTI e
as instituições detentoras de Conta de Liquidação que dele se utilizam,
ressalvado que a troca de informações entre o PSTI e os
demais participantes do STR deve ocorrer por meio da RSFN, mantidos
os demais requisitos estabelecidos nesta carta-circular, inclusive
no que se refere à guarda das assinaturas digitais e demais elementos
de segurança.
17. Fica revogada a Carta-Circular No- 3.189, de 10 de maio
de 2005.
18. Esta carta-circular entra em vigor na data da sua publicação.
RADJALMA COSTA
Chefe Substituto do Departamento de Operações
Bancárias e de Sistema de Pagamentos
MARCELO JOSÉ OLIVEIRA YARED
Chefe do Departamento de Tecnologia da
Informação
Substituto

DOU 04.0110

Anúncios

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s


%d bloggers like this: