CARTA-CIRCULAR 3189 , de 12/05/2005 - Banco Central do Brasil

CARTA-CIRCULAR Nº 3189Estabelece os requisitos para prestação deserviços de tecnologia no âmbito do Sistemade Pagamentos Brasileiro.Esclarecemos que os Provedoresde Serviços de Tecnologia da Informação - PSTI podem prestar serviços para uma ou maisinstituições financeiras detentoras de conta Reservas Bancárias, desde que observados osrequisitos e as definições referentes à topologia "n x 2", estabelecidos nesta carta-circular, bemcomo o disposto nos documentos Catálogo de Mensagens do Sistema de Pagamentos Brasileiro,Manual Técnico da Rede do Sistema Financeiro Nacional e Manual de Segurança de Mensagensdo Sistema de Pagamentos Brasileiro, instituídos pela Circular 3.104, de 28 de março de 2002, edisponíveis na página do Banco Central do Brasil na internet (www.bcb.gov.br) e na página daRede do Sistema Financeiro Nacional - RSFN (www.bcb.rsfn.net.br).2. Considera-se PSTI a entidadeque proporciona o encaminhamento das mensagens originadas das instituições financeiras porela servidas ou a elas destinadas, observado que:I - uma instituição financeirasomente pode ser PSTI para instituições do conglomerado a que pertencer; epodem ser PSTI.II - os provedores da RSFN não3. Define-se "n x 2" a topologiaem que "n" significa o número de instituições usuárias de cada serviço compartilhado, e "2" onúmero mínimo de Centros de Serviços de Informática - CSI que o PSTI deve possuir para aprestação desses serviços.4. A quantidade máxima deinstituições que poderão utilizar os serviços de um PSTI será definida pelo Banco Central doBrasil, em cada caso, observadas a concentração de risco operacional no PSTI e a possibilidadede propagação desse risco, no âmbito do Sistema de Pagamentos Brasileiro - SPB, esclarecidoque uma instituição somente pode compartilhar os serviços de um PSTI.5. A topologia "n x 2" pode ter asseguintes formas de aglutinação de instituições financeiras para efeito de compartilhamento deserviços prestados por um PSTI:I - Aglomerado: conjunto deinstituições financeiras detentoras de conta Reservas Bancárias e não participantes de um mesmoconglomerado financeiro;II - Conglomerado: conjunto deinstituições financeiras detentoras de conta Reservas Bancárias com controlador comum, diretoCarta-Circular nº 3189, de 10 de maio de 2005

ou indireto, das quais uma presta os serviços típicos de PSTI às demais, mesmo que qualquer dasdemais seja participante do Sistema de Transferência de Reservas - STR; ouIII - Contingência: conjunto deinstituições financeiras detentoras de conta Reservas Bancárias e não integrantes de um mesmoconglomerado financeiro, que utiliza os serviços de um PSTI, exclusivamente em situação decontingência.PSTI deve:das mensagens por ele cursadas;das informações processadas por seu intermédio;6. Na prestação dos serviços, oI - manter inalterado o conteúdoII - assegurar e preservar o sigiloIII- oferecer nível de serviçosindiferenciado às instituições financeiras que utilizem seus serviços;IV - ter disponível, parasupervisão pelo Banco Central do Brasil, os programas-fonte de seus programas de acesso aoSTR, os diagramas de conexão ao STR e os diagramas de programas, de máquinas e detelecomunicações, envolvendo a instituição e o PSTI, caso os aplicativos sejam providos aosaglomerados;V - possuir, no mínimo, umaligação a cada um dos provedores de comunicações da RSFN, em cada um de seus CSI;VI - possuir, para cadaAglomerado ou Conglomerado, elementos computacionais independentes, assim definidos todasas máquinas, os programas e as aplicações necessários para cursar as mensagens das instituiçõesfinanceiras;VII - possuir, no mínimo, dois CSIindependentes e interligados, de modo a oferecer funcionamento ininterrupto, observado o índicede 99,8% de operacionalidade.7. Na prestação dos serviços deContingência, o PSTI deve, adicionalmente ao previsto nos incisos de I a VI do item 6;I - garantir, caso os aplicativossejam por ele providos, o sigilo das informações processadas, quando as instituiçõescompartilharem os servidores de aplicação e infra-estrutura;II - prover elementoscomputacionais independentes para cada instituição, assim definidos todas as máquinas e a infraestruturanecessárias à aplicação, caso os aplicativos sejam providos pelas instituições.Carta-Circular nº 3189, de 10 de maio de 2005

8. A instituição financeiraparticipante de Aglomerado, conforme definido no inciso I do item 5, deve:I - zelar pela guarda e integridadede sua chave criptográfica secreta para assinatura digital, que não pode, em nenhuma hipótese,estar localizada nas máquinas servidoras do PSTI;II - possuir máquinas e programasapropriados para preparar, assinar digitalmente, cifrar e encaminhar suas mensagens;III - possuir máquinas e programasapropriados para receber, conferir a assinatura digital, decifrar e processar as mensagens que lheforem encaminhadas;IV - possuir, no mínimo, umaligação a cada um dos provedores de comunicações da RSFN, para comunicação com o PSTI aque esteja ligada;V - ter disponível, para supervisãopelo Banco Central do Brasil, os programas-fonte de seus programas de acesso ao STR, osdiagramas de conexão ao STR e os diagramas de programas, de máquinas e detelecomunicações, envolvendo a própria instituição e o PSTI.conforme definido no inciso II do item 5:9. No caso de Conglomerado,I - os serviços de processamentode dados das instituições financeiras participantes devem ser executados em um único CSI;II - o PSTI do Conglomerado nãopode utilizar CSI de terceiros, hipótese em que passa a atuar sujeito às condições previstas paraAglomerado;III - cada instituição financeiraparticipante deve possuir seu próprio certificado digital e suas mensagens devem ser assinadascom as chaves privadas relativas ao seu certificado;10. A instituição financeira que,independentemente da topologia adotada, não puder encaminhar as mensagens relativas àmovimentação de sua conta Reservas Bancárias, deve utilizar o serviço de inserção demensagens em contingência disponibilizado pelo Banco Central do Brasil.11. O PSTI, ao aderir à RSFN,deve submeter ao Banco Central do Brasil a topologia que pretende utilizar e manter atualizadasas informações pertinentes, as quais estarão sujeitas, assim como os programas-fonte e osdiagramas já mencionados e as suas dependências, à fiscalização do Banco Central do Brasil.Carta-Circular nº 3189, de 10 de maio de 2005

12. São admitidas a hospedagemde máquinas e de aplicativos e a utilização de centros de processamento comerciaisespecializados, desde que observados todos os critérios definidos nesta carta-circular, para asinstituições financeiras participantes e para os PSTI.13. É vedado o trânsito, entre aspartes, das chaves criptográficas privadas utilizadas ou de mensagens "em claro".14. Só é permitido o trânsito demensagens entre o PSTI e as instituições que dele se utilizam e entre o PSTI e os demaisparticipantes por meio da RSFN.vigor na data de sua publicação.3.012, de 19 de abril de 2002.15. Esta carta-circular entra em16. Fica revogada a Carta-CircularBrasília, 10 de maio de 2005.Departamento de Operações Bancárias Departamento de Tecnologia da e de Sistema dePagamentos Informação.José Antonio MarcianoChefeFernando de Abreu FariaChefeEste texto não substitui o publicado no DOU e no Sisbacen.Carta-Circular nº 3189, de 10 de maio de 2005