Publicado no DOU em 1 ago 2022
Estabelece os procedimentos necessários para a adesão ao Pix.
O Chefe do Departamento de Competição e de Estrutura do Mercado Financeiro (Decem), no uso da atribuição que confere o art. 97-A, inciso X, alínea "b", do Regimento Interno do Banco Central do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, e tendo em conta o disposto no § 3º do art. 25 do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020,
Resolve:
Art. 1º O processo de adesão ao Pix é composto por três etapas:
III - etapa de operação restrita.
(Redação do caput dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Art. 2º Para instituições que possuam autorização para funcionamento emitida pelo Banco Central do Brasil e que pretendam atuar como provedores de conta transacional, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:
I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo I desta Instrução Normativa;
II - formulário de produtos e serviços que ofertará, conforme modelo disponível no Anexo I da Instrução Normativa BCB nº 290, de 29 de julho de 2022; e
III - questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética:
a) conforme modelo disponível no Anexo VI desta Instrução Normativa, caso pretenda acessar de forma direta o DICT e ser participante direto do SPI; ou
b) conforme modelo disponível no Anexo VII desta Instrução Normativa, caso pretenda acessar de forma indireta o DICT e ser participante indireto do SPI.
§ 1º As instituições exclusivamente ofertantes de contas de pagamento pré-pagas devem possuir prévia autorização do Banco Central do Brasil para a emissão de moeda eletrônica, ou estarem dispensadas de fazê-lo, conforme disposto em regulamentação específica. (Redação do parágrafo dada pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
§ 2º Apenas serão admitidos pedidos de adesão impetrados com CNPJ de matriz.
§ 3º A critério da instituição pleiteante, poderá ser indicado um mesmo diretor para assuntos relacionados ao Pix e ao Sistema de Pagamentos Instantâneos (SPI).
(Redação do caput dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Art. 3º Para instituições que possuam autorização para funcionamento emitida pelo Banco Central do Brasil e que pretendam atuar exclusivamente como liquidantes especiais, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:
I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo II desta Instrução Normativa; e
II - questionário de autoavaliação em segurança, conforme modelo disponível no Anexo VIII desta Instrução Normativa, devidamente assinado por diretor responsável pela política de segurança cibernética.
§ 1º Apenas serão admitidos pedidos de adesão impetrados com CNPJ de matriz.
§ 2º A critério da instituição pleiteante, poderá ser indicado um mesmo diretor para assuntos relacionados ao Pix e ao Sistema de Pagamentos Instantâneos (SPI).
(Redação do caput dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Art. 4º Para instituições que não possuam autorização para funcionamento emitida pelo Banco Central do Brasil, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:
I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo III desta Instrução Normativa;
II - formulário de produtos e serviços que ofertará, conforme modelo disponível no Anexo II da Instrução Normativa BCB nº 290, de 29 de julho de 2022;
III - questionário de autoavaliação em segurança, conforme modelo disponível no Anexo VII desta Instrução Normativa, devidamente assinado por diretor responsável pela política de segurança cibernética;
IV - contrato firmado com participante responsável, nos termos do Regulamento do Pix; e
V - declaração firmada pelo participante responsável de que, nos termos do Regulamento do Pix, a instituição contratante integralizou o montante de capital mínimo requerido.
(Revogado pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
§ 1º Além das citadas informações, as instituições de que trata o caput também deverão enviar:
I - contrato firmado com participante responsável, nos termos do Regulamento do Pix; e
II - declaração firmada pelo participante responsável de que, nos termos do Regulamento do Pix, a instituição contratante integralizou o montante de capital mínimo requerido.
§ 2º Apenas serão admitidos pedidos de adesão impetrados com CNPJ de matriz.
(Redação do caput dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Art. 5º Para instituições que possuam autorização para funcionamento emitida pelo Banco Central do Brasil e que pretendam atuar exclusivamente como iniciadores, a etapa cadastral compreende o envio, e a posterior aprovação pelo Decem, dos seguintes documentos:
I - formulário de adesão ao Pix, contendo as informações da instituição, conforme modelo disponível no Anexo IV desta Instrução Normativa;
II - formulário de produtos e serviços que ofertará, conforme modelo disponível no Anexo III da Instrução Normativa BCB nº 290, de 2022; e
III - questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética:
a) conforme modelo disponível no Anexo IX desta Instrução Normativa, caso pretenda acessar de forma direta o DICT;
b) conforme modelo disponível no Anexo X desta Instrução Normativa, caso pretenda acessar de forma indireta o DICT; ou
c) conforme modelo disponível no Anexo XI desta Instrução Normativa, caso pretenda não acessar o DICT.
§ 1º O provedor de conta transacional que pretende ofertar o serviço de iniciação de pagamento deverá indicar sua opção por meio da apresentação do formulário disponível no Anexo I desta Instrução Normativa, e do formulário de produtos, conforme modelo disponível no Anexo I da Instrução Normativa BCB nº 290, de 2022.
§ 2º As instituições que pretendam ofertar o serviço de iniciação de transação de pagamento deverão possuir prévia autorização do Banco Central do Brasil ou estarem dispensadas de fazê-lo, conforme disposto em regulamentação específica. (Redação do parágrafo dada pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
Art. 6º A entidade do sistema cooperativo organizado de dois ou três níveis que pretenda atuar como liquidante no SPI de, ao menos, uma cooperativa singular de crédito filiada a uma cooperativa central de crédito, adicionalmente às informações de que trata o art. 2º, deve prestar, para cada cooperativa singular de crédito, as seguintes informações:
II - número de contas ativas de clientes no momento do pedido de adesão, nas seguintes modalidades:
a) número de contas de depósito à vista;
b) número de contas de depósito de poupança; e
c) número de contas de pagamento pré-pagas.
§ 1º Ficam dispensadas do envio das informações cadastrais, de que trata o art. 2º, as cooperativas singulares de crédito filiadas a uma cooperativa central de crédito cujo cadastro tenha sido realizado nos termos do caput.
§ 2º A inscrição no CNPJ de que trata o inciso I do caput deve se referir à inscrição da matriz da pessoa jurídica.
(Redação do artigo dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Art. 7º À exceção das informações relativas ao número, à modalidade de contas ativas de clientes e às evidências que demonstram o atendimento aos itens constantes do questionário de autoavaliação em segurança, as demais informações e documentos apresentados no âmbito da etapa cadastral devem ser mantidos atualizados perante o Banco Central do Brasil durante o processo de adesão e enquanto a instituição for participante do Pix.
§ 1º As informações e os documentos de que trata este Capítulo, inclusive eventuais alterações em informações e documentos já enviados, devem ser encaminhados ao Decem exclusivamente por meio do Protocolo Digital do Banco Central do Brasil (Protocolo Digital), observando-se as orientações constantes no Anexo V desta Instrução Normativa.
§ 2º Os participantes do Pix devem armazenar as evidências que demonstrem o atendimento aos itens constantes do questionário de autoavaliação em segurança pelo período mínimo de 5 (cinco) anos e, quando solicitados, encaminhá-las ao Banco Central do Brasil de acordo com o formato e os prazos definidos.
§ 3º O período mínimo de que trata o § 2º será contado a partir do envio, ao Banco Central do Brasil, das informações contidas no questionário de autoavaliação em segurança.
Art. 8º Deverão ser sanadas, em até trinta dias contados a partir da data de comunicação do Decem em resposta ao pedido de adesão, as pendências decorrentes de incorreções nas informações prestadas ou de documentos apresentados, bem como de ausência de informações e de documentos de cunho obrigatório previstos neste Capítulo.
Parágrafo único. A inobservância ao prazo disposto no caput implica na perda de validade da solicitação e no encerramento do processo de adesão.
CAPÍTULO II DA ETAPA HOMOLOGATÓRIA
Art. 9º A etapa homologatória compreende:
I - testes formais de homologação no SPI;
II - testes de homologação entre o participante indireto no SPI e seu liquidante;
III - testes formais de homologação no Diretório de Identificadores de Contas Transacionais (DICT);
IV - verificação de aderência das soluções desenvolvidas para os usuários finais;
V - testes formais de validação de QR Codes;
VI - testes formais de validação da prestação de serviço de iniciação de transação de pagamento; e
VII - testes formais de homologação para publicação de informações relativas ao serviço de saque.
Art. 10. A partir da comunicação da conclusão da etapa cadastral, de que trata o Capítulo I, a instituição em processo de adesão deve concluir a etapa homologatória no prazo de cinco meses.
§ 1º Durante a etapa homologatória, a instituição em processo de adesão que não possua código Sisbacen deverá obtê-lo junto ao Banco Central do Brasil, observadas as orientações constantes do Anexo V desta Instrução Normativa.
§ 2º Até o término da etapa homologatória, deverá ser enviada ao Decem declaração firmada pelo participante responsável de que, nos termos do Regulamento do Pix, a instituição contratante possui capacidade técnica e operacional para cumprir com os deveres e com as obrigações previstos no Regulamento do Pix.
(Redação do parágrafo dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
§ 3º Até o término da etapa homologatória, a instituição em processo de adesão deverá cadastrar no Sistema de Informações sobre Entidades de Interesse do Banco Central (Unicad):
I - diretor responsável por questões relacionadas à participação no Pix; e
II - diretor responsável pela política de segurança cibernética.
§ 4º O prazo de que trata o caput poderá ser prorrogado uma única vez, antes do seu término, por até dois meses, mediante pleito da instituição em processo de adesão, enviado ao Decem por meio do Protocolo Digital, observando-se as orientações constantes no Anexo V desta Instrução Normativa.
§ 5º Para as instituições que estejam em processo de adesão como participantes diretos do SPI, a prorrogação do prazo para a conclusão dos testes de que trata o art. 11 implica automaticamente na prorrogação de prazo de que trata o § 4º. (Redação do parágrafo dada pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
§ 6º A inobservância aos prazos e às disposições de que trata este artigo implica na perda da validade da solicitação e no consequente encerramento do processo de adesão.
§ 7º A instituição reprovada na etapa homologatória apenas poderá pleitear novo pedido de adesão após transcorridos 90 dias contados a partir da data do comunicado de reprovação.
(Parágrafo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023):
§ 8º Será considerada reprovada na etapa homologatória a instituição:
I - que não houver concluído, no prazo de que trata o caput e ressalvada a eventual prorrogação de que trata o § 4º, os testes homologatórios aos quais esteja sujeita;
II - reprovada nos testes formais de homologação do DICT, de que trata o art. 13;
III - reprovada na etapa de verificação de aderência das soluções aos usuários finais, de que trata o art. 17; (Redação do inciso dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023).
IV - desistente do processo de adesão ao Pix; (Redação do inciso dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023).
V - que pretenda acessar o DICT de forma indireta e que tenha indicado participante direto não habilitado à prestação de serviços no DICT, de que trata o art. 14, até o término do prazo de que trata o caput, ressalvada eventual prorrogação de que trata o § 4º; ou (Inciso acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023).
VI - que pretenda ser participante indireta do SPI e que tenha indicado participante direto não aprovado nos testes formais de homologação, de que trata o art. 11, até o término do prazo de que trata o caput, ressalvada eventual prorrogação de que trata o § 4º. (Inciso acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023).
§ 9° Para instituições obrigadas a possuir conta transacional para aderir ao Pix e que tenham declarado, na etapa cadastral, não disponibilizar nenhuma conta, deverá ser encaminhado pela instituição, até o término da etapa homologatória, declaração, de formato livre e assinada pelo diretor responsável pelo Pix, de ter, até a data da declaração, ao menos uma conta transacional ativa, explicitando-se o tipo de conta transacional, conforme definição do Regulamento do Pix. (Parágrafo acrescentado pela Instrução Normativa BCB Nº 422 DE 24/11/2023, efeitos a partir de 01/12/2023).
Seção I Dos Testes Formais de Homologação no SPI
Art. 11. As instituições que se enquadrem nos critérios de obrigatoriedade ou que, de forma facultativa, desejam participar do SPI na modalidade direta devem realizar os testes formais de homologação, conforme disposto em regulamentação específica.
Seção II Dos Testes de Homologação entre o Participante Indireto no SPI e seu Liquidante
Art. 12. As instituições que se enquadrem nos critérios de obrigatoriedade de participação indireta no SPI ou que, de forma facultativa, desejem participar do SPI na modalidade indireta devem realizar testes de homologação com seu liquidante.
§ 1º Os testes de homologação de que trata o caput deverão ser definidos pelo liquidante no SPI, de forma que ele seja capaz de declarar a aptidão operacional do participante indireto.
§ 2º O participante direto deve manter a documentação e as evidências da realização dos testes homologatórios à disposição do Banco Central do Brasil.
Seção III Dos Testes Formais de Homologação no DICT
Art. 13. As instituições que se enquadrem nos critérios de obrigatoriedade de acesso direto ao DICT ou que, de forma facultativa, desejem acessar diretamente o DICT devem realizar testes formais de homologação.
Art. 14. Os participantes do Pix com acesso direto ao DICT devem ser aprovados nos testes formais de homologação com, pelo menos, uma instituição com acesso indireto, caso desejem prestar serviço de acesso ao DICT a outras instituições.
Art. 15. Participantes do Pix com acesso indireto ao DICT devem ser aprovados nos testes formais de homologação caso desejem acessar o DICT de forma direta.
Art. 16. Os requisitos para o cumprimento dos testes de que trata esta seção estão dispostos na Instrução Normativa BCB nº 290, de 2022.
Seção IV Do Processo de Verificação de Aderência das Soluções aos Usuários Finais
Art. 17. Os participantes provedores de conta transacional devem cumprir a etapa de verificação de aderência das soluções desenvolvidas para os usuários finais, que compreende a aprovação de projeto de aplicativo para telefone celular destinado a usuário pessoa natural. (Redação do caput dada pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
(Revogado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023):
I - o envio de projeto de aplicativo para telefone celular destinado a usuário pessoa natural; e
(Revogado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023):
II - o eventual envio de até duas versões ajustadas do projeto, caso solicitado pelo Decem.
§ 1º Será avaliado apenas o principal aplicativo para telefone celular disponibilizado para os clientes pessoa natural.
§ 2º Para fins do disposto no § 1º, considera-se principal aplicativo para telefone celular o aplicativo que possui a maior quantidade de usuários, dentre os aplicativos disponibilizados pela instituição.
§ 3º O projeto deve conter telas ilustrativas do aplicativo para telefone celular, demonstrando apenas os itens detalhados na seção "Itens a serem avaliados no processo de verificação de aderência das soluções aos usuários finais" constante no Anexo I dos "Requisitos Mínimos para a Experiência do Usuário".
§ 4º Cada tela ilustrativa do projeto deve fazer referência explícita ao item ou itens detalhados na seção "Itens a serem avaliados no processo de verificação de aderência das soluções aos usuários finais" constante no Anexo I dos "Requisitos Mínimos para a Experiência do Usuário".
§ 5º O projeto deve ser organizado na ordem dos itens detalhados na seção "Itens a serem avaliados no processo de verificação de aderência das soluções aos usuários finais" constante no Anexo I dos "Requisitos Mínimos para a Experiência do Usuário".
§ 6º O projeto deve ser submetido à avaliação do Decem com antecedência mínima de trinta dias em relação à data final do prazo para conclusão da etapa homologatória previsto no caput do art. 10.
§ 7º As versões ajustadas de projetos deverão dispor tão somente das páginas e dos itens para os quais foram solicitados ajustes. (Parágrafo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
Art. 18. Será reprovada na etapa de verificação de aderência das soluções aos usuários finais com consequente encerramento do processo de adesão:
I - a instituição que não houver apresentado o projeto no prazo disposto no § 6º do art. 17; e
II - a instituição que não obtiver aprovação até a terceira versão do projeto.
Art. 19. O projeto, e seus eventuais ajustes, devem ser enviados ao Decem por meio do Protocolo Digital, observando-se as orientações constantes no Anexo V desta Instrução Normativa.
Art. 20. As instituições deverão desenvolver e implantar o aplicativo em aderência à versão final do projeto apresentado.
§ 1º Todas as obrigações contidas nos "Requisitos Mínimos para a Experiência do Usuário", inclusive aquelas não elencadas na seção "Itens a serem avaliados no processo de verificação de aderência das soluções aos usuários finais" constante no Anexo I dos "Requisitos Mínimos para a Experiência do Usuário", devem estar presentes no aplicativo disponibilizado aos usuários.
§ 2º Alterações posteriores no aplicativo devem obedecer ao disposto no Regulamento do Pix, que inclui os "Requisitos Mínimos para a Experiência do Usuário".
§ 3º As alterações posteriores em aplicativo implementado, de que trata o § 2º, não serão submetidas à avaliação do Decem.
Art. 21. Ficam dispensados do cumprimento das etapas do processo de verificação de aderência das soluções aos usuários finais:
I - os provedores de conta transacional que utilizarem aplicativo para telefone celular provido por outro participante do Pix; e
II - os provedores de conta transacional que não tenham nenhum cliente pessoa natural.
Parágrafo único. Para fins da dispensa de que trata o inciso I, o participante do Pix que provê o aplicativo para telefone celular deve emitir pedido de dispensa a ser encaminhado ao Decem por meio do Protocolo Digital, observando-se as orientações constantes no Anexo V desta Instrução Normativa.
Art. 22. Não são objeto de análise pelo Decem os aplicativos para telefone celular destinados exclusivamente a usuários finais pessoa jurídica.
Art. 23. O liquidante especial e o iniciador deverão ser aprovados na verificação de aderência das soluções de que trata esta Subseção, caso desejem alterar sua modalidade de participação para provedor de conta transacional que oferte conta a usuário pessoa natural.
Seção V Dos Testes Formais de Validação de QR Codes
Art. 24. Participantes provedores de conta transacional e participantes iniciadores, nos termos do Regulamento do Pix, devem ser aprovados nos testes formais de validação de QR Codes, nos termos da Instrução Normativa BCB nº 290, de 2022.
Art. 25. Ficam dispensados do cumprimento dos testes de validação de QR Codes:
I - o provedor de conta transacional que utilize aplicativo para telefone celular provido por outro participante do Pix;
II - o provedor de conta transacional que possua exclusivamente usuários pessoa jurídica e que não oferte produtos e serviços relacionados a QR Code; e
III - o iniciador que não oferte o serviço de leitura de QR Code.
§ 1º Para fins da dispensa de que trata o inciso I do caput, o participante do Pix que provê o aplicativo para telefone celular deve emitir pedido de dispensa a ser encaminhado ao Decem por meio do Protocolo Digital, observando-se as orientações constantes no Anexo V desta Instrução Normativa.
§ 2º O liquidante especial e o iniciador, ressalvado o disposto nos incisos I e II, deverão ser aprovados na validação de QR Codes, caso desejem alterar sua modalidade de participação para provedor de conta transacional.
§ 3º O iniciador deverá ser aprovado na validação de QR Codes, caso deseje ofertar serviço de leitura de QR Code.
Seção VI Dos Testes Formais de Validação da Prestação de Serviço de Iniciação de Transação de Pagamento
Art. 26. Participantes iniciadores e participantes provedores de conta transacional que sejam participantes do Open Finance, nos termos dispostos em regulamentação específica, devem ser aprovados nos testes formais de validação da prestação de serviço de iniciação de transação de pagamento, nos termos da Instrução Normativa BCB nº 290, de 2022. (Redação do artigo dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023).
Art. 27. Ficam dispensados do cumprimento dos testes de que trata o art. 26:
I - o provedor de conta transacional que não seja participante do Open Finance como instituição detentora de conta, nos termos dispostos em regulamentação específica; e (Redação do inciso dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023).
II - a cooperativa singular de crédito, filiada à cooperativa central de crédito e que tenha como liquidante no SPI entidade do sistema cooperativo organizado de dois ou três níveis.
§ 1º O provedor de conta transacional que não seja participante do Open Finance como instituição detentora de conta, nos termos dispostos em regulamentação específica, deverá ser aprovado na validação da prestação de serviço de iniciação de transação de pagamento, caso passe a ser participante do Open Finance como instituição detentora de conta. (Redação do parágrafo dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023).
§ 2º O liquidante especial que seja participante do Open Finance como instituição detentora de conta, nos termos dispostos em regulamentação específica, deverá ser aprovado na validação da prestação de serviço de iniciação de transação de pagamento, caso deseje alterar sua modalidade de participação para provedor de conta transacional. (Redação do parágrafo dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023).
Seção VII Dos Testes Formais para Publicação de Informações Relativas ao Serviço de Saque
Art. 28. As instituições que, facultativamente, desejarem facilitar serviço de saque devem ser aprovadas nos testes formais para publicação de informações relativas ao serviço de saque, nos termos da Instrução Normativa BCB nº 290, de 2022.
§ 1º A entidade do sistema cooperativo organizado de dois ou três níveis que atue ou pretenda atuar como liquidante no SPI, de, ao menos, uma cooperativa singular de crédito filiada a uma cooperativa central de crédito, e que tenha concluído os testes de que trata o caput, deve comunicar ao Decem, pelo Protocolo Digital, sua eventual intenção de estender às suas cooperativas singulares filiadas a autorização para atuar na facilitação de serviço de saque. (Parágrafo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
§ 2º A extensão de que trata o § 1º aplicar-se-á a todas as cooperativas singulares filiadas à cooperativa central de crédito autorizada a atuar como facilitadora de serviço de saque. (Parágrafo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
§ 3º A extensão de que trata o § 1º aplicar-se-á tacitamente a todas as cooperativas singulares filiadas que venham a tornar-se participantes do Pix na condição de cooperativas singulares filiadas à cooperativa central de crédito autorizada a atuar como facilitadora de serviço de saque. (Parágrafo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
§ 4º A cooperativa singular filiada fica desautorizada a continuar a atuar como facilitadora de serviço de saque, concedida em função da extensão de que dispõe o § 1º, por ocasião de sua desfiliação à cooperativa central de crédito concedente. (Parágrafo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
§ 5º O disposto no § 4º não se aplica aos casos em que a cooperativa singular passe a ser filiada a outra cooperativa central de crédito também optante pela extensão de que trata o § 1º. (Parágrafo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
CAPÍTULO III DA ETAPA DE OPERAÇÃO RESTRITA
Art. 29. A etapa de operação restrita corresponde à oferta do Pix para um número limitado de clientes.
Art. 30. A etapa de operação restrita será iniciada após a conclusão com sucesso da etapa homologatória, de que trata o Capítulo II.
§ 1º A instituição deverá iniciar a etapa de operação restrita no prazo máximo de três meses, contados a partir da comunicação de conclusão da etapa homologatória, ressalvado o prazo de que trata o § 5º.
§ 2º O Decem definirá a data de ativação da instituição no ambiente de produção do Pix, bem como informará aos participantes diretos a data e o horário para entrada em produção no SPI. (Redação do parágrafo dada pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
§ 3º Ocorrerá a perda de validade da solicitação e o encerramento do processo de adesão do participante facultativo que não entrar em produção no período de trinta dias, contados a partir da data a que se refere o § 2º.
§ 4º Previamente ao início da etapa de operação restrita, o Decem poderá determinar às instituições em processo de adesão a execução de testes homologatórios complementares.
§ 5º O Decem comunicará as instituições na situação de que trata o § 4º e estabelecerá prazo para o cumprimento dos testes.
§ 6º A inobservância do prazo de que trata o § 5º ou o insucesso na realização dos testes de que trata o § 4º implicam no descumprimento de requisito obrigatório da etapa homologatória e no encerramento do processo de adesão.
§ 7º É vedada a entrada em produção à instituição que pretenda acessar o DICT de forma indireta e cujo participante que proverá o acesso direto não tenha concluído os testes de que trata o art. 14 até o prazo de que trata o § 1º. (Parágrafo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
§ 8º É vedada a entrada em produção à instituição que pretenda participar do SPI de forma indireta e cujo liquidante não tenha entrado previamente em produção até o prazo de que trata o § 1º. (Parágrafo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
Art. 31. Estão dispensadas do cumprimento da etapa de operação restrita as cooperativas singulares de crédito, filiadas à cooperativa central de crédito, que estejam solicitando adesão ao Pix e que tenham como liquidante no SPI entidade do sistema cooperativo organizado de dois ou três níveis que seja participante do Pix.
Parágrafo único. Para a dispensa de que trata o caput, a entidade do sistema cooperativo organizado de dois ou três níveis que irá atuar como liquidante no SPI da cooperativa singular de crédito filiada à cooperativa central de crédito deve enviar ao Decem, por meio do Protocolo Digital, observando-se as orientações constantes no Anexo V desta Instrução Normativa, o pedido de dispensa da etapa de operação restrita, declarando a plena aptidão da cooperativa singular para prestar os serviços aos seus cooperados sem a necessidade do cumprimento da etapa a que se refere o pedido.
Art. 32. A etapa de operação restrita não se aplica ao liquidante especial e ao iniciador.
Art. 33. A etapa de operação restrita é composta por duas fases:
I - fase 1: o Pix deve ser ofertado para mais que 1% e até 30% dos clientes da instituição; e
II - fase 2: o Pix deve ser ofertado para mais que 30% e até 70% dos clientes da instituição.
§ 1º A etapa de operação restrita deve durar entre duas e oito semanas.
§ 2º A fase 1 e a fase 2 devem ter o mesmo período de duração.
§ 3º A duração de cada fase deve ser definida a critério de cada participante, respeitados os prazos definidos nos §§ 1º e 2º.
§ 4º Em cada fase, a instituição poderá aumentar gradativamente a quantidade de clientes com acesso ao Pix, até o limite máximo definido nos incisos I e II do caput.
Art. 34. Os clientes selecionados para participar da etapa de operação restrita devem refletir o perfil da base total de clientes da instituição, por natureza jurídica, por idade e por distribuição geográfica.
Art. 35. As instituições em etapa de operação restrita estarão ativas em ambiente de produção do Pix e, portanto, sujeitas às mesmas obrigações reservadas às instituições em operação plena, ressalvada a disponibilização do Pix para um número limitado de clientes estabelecida no art. 29.
Art. 36. O liquidante especial e o iniciador deverão cumprir a etapa de operação restrita caso desejem alterar sua modalidade de participação para provedor de conta transacional.
Art. 37. Ao final da etapa de operação restrita, a instituição entrará em operação plena automaticamente.
CAPÍTULO III-A DAS DISPOSIÇÕES TRANSITÓRIAS (Capítulo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023).
(Artigo acrescentado pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023):
Art. 37-A. Não se aplica o prazo para conclusão da etapa homologatória de que trata o art. 10 para as instituições que estiverem em regime de transição, nos termos da Seção IX do Capítulo XXII do Regulamento do Pix, durante o processo de adesão.
Parágrafo único. As instituições referidas no caput deverão manifestar sua elegibilidade ao regime de transição no formulário de adesão ao Pix disposto nos anexos I ou III, a depender de a instituição ter ou não ter autorização para funcionamento do Banco Central do Brasil, respectivamente.
(Artigo acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Art. 37-B. As instituições que impetraram pedido de adesão ao Pix até 30 de abril de 2023, e que estejam aguardando a análise do pleito, deverão enviar ao Decem, pelo Protocolo Digital e até o término da eventual etapa cadastral, o questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética.
Parágrafo único. A aprovação das instituições de que trata o caput na etapa cadastral do processo de adesão ao Pix fica condicionada, além dos requisitos constantes do Capítulo I, à aprovação do Decem quanto ao questionário de autoavaliação em segurança.
(Artigo acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Art. 37-C. As instituições que impetraram pedido de adesão ao Pix até 30 de abril de 2023, e que estejam em etapa cadastral, deverão enviar ao Decem, pelo Protocolo Digital e até o término da eventual etapa homologatória, o questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética.
Parágrafo único. A aprovação das instituições de que trata o caput na eventual etapa homologatória do processo de adesão ao Pix fica condicionada, além dos requisitos constantes do Capítulo II, à aprovação do Decem quanto ao questionário de autoavaliação em segurança.
(Artigo acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Art.37-D. As instituições que impetraram pedido de adesão ao Pix até 30 de abril de 2023, e que estejam em etapa homologatória, deverão enviar ao Decem, pelo Protocolo Digital e até o término dessa etapa o questionário de autoavaliação em segurança, devidamente assinado por diretor responsável pela política de segurança cibernética.
Parágrafo único. A aprovação das instituições de que trata o caput na etapa homologatória do processo de adesão Pix fica condicionada, além dos requisitos constantes do Capítulo II, à aprovação do Decem quanto ao questionário de autoavaliação em segurança.
Art.37-E. No âmbito do processo de adesão ao Pix, as instituições que tenham concluído a etapa homologatória até 30 de abril de 2023 estão dispensadas do envio do questionário de autoavaliação em segurança. (Artigo acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023).
CAPÍTULO IV DAS DISPOSIÇÕES GERAIS
Art. 38. O Banco Central do Brasil se reserva ao direito de exigir informações e documentos complementares a qualquer tempo.
Art. 39. Para efeitos do § 1º do art. 6º, do inciso II do art. 27 e do art. 31, caput, equiparam-se às cooperativas singulares de crédito filiadas a uma cooperativa central de crédito, as cooperativas singulares de crédito que atuem por meio de contas de depósitos com finalidade específica, nos termos da Circular nº 3.226, de 18 de fevereiro de 2004, e que tenham como liquidante no SPI a instituição que operacionaliza essas contas.
Art. 40. Além do atendimento ao disposto nesta Instrução Normativa, a conclusão com sucesso do processo de adesão ao Pix implica na adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Art. 40-A A critério do Banco Central do Brasil, a existência de erros meramente formais em atos processuais poderão ensejar o aproveitamento do ato, desde que não apresente risco aos objetivos do processo de adesão ao Pix. (Artigo acrescentado pela Instrução Normativa BCB Nº 422 DE 24/11/2023, efeitos a partir de 01/12/2023).
I - a Instrução Normativa BCB nº 203, de 10 de dezembro de 2021; e
II - a Instrução Normativa BCB nº 279, de 13 de abril de 2022.
Art. 42. Esta Instrução Normativa entra em vigor em 1º de setembro de 2022.
ANGELO JOSÉ MONT ALVERNE DUARTE
(Redação do anexo dada pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Anexo I - Formulário de adesão ao Pix e de atualização cadastral para instituições que tenham autorização para funcionamento do Banco Central do Brasil e que pretendam atuar na modalidade provedor de conta transacional
|
I |
Motivo da apresentação |
( ) Pedido de adesão ( ) Atualização cadastral de participante em operação, nos termos dispostos no art. 7º ( ) Atualização cadastral de instituição em adesão ao Pix, nos termos dispostos no art. 7º |
||
|
II |
Instituição elegível para regime de transição de que trata a Seção IX do Capítulo XXII do Regulamento do Pix (Sim/Não) |
|||
|
III |
Inscrição no CNPJ |
|||
|
IV |
Oferta serviço de iniciação no âmbito do Open Finance (Sim/Não) |
|||
|
V |
Participante do Open Finance como instituição detentora de conta |
( ) Sim 1 ( ) Não, a instituição está dispensada 2 ( ) A instituição está pleiteando ou pleiteará dispensa de participação do Open Finance 3 |
||
|
VI |
Facilita serviço de saque (Pix Saque e Pix Troco) (Sim/Não) |
|||
|
VII |
Tipo de acesso ao DICT (direto ou indireto) Obs: O acesso direto ao DICT é obrigatório ao participante direto no SPI. |
|||
|
VIII |
Tipo de participação no SPI (direta ou indireta) Obs: Se indireta, informar código ISPB do participante liquidante no SPI: |
|||
|
IX |
Se participante direto no SPI, informar forma de conexão à RSFN (direta ou por meio de PSTI) Se por meio de PSTI, indicar o nome e o CNPJ do PSTI: - Nome do PSTI: - CNPJ do PSTI: |
|||
|
X |
Número de contas ativas de clientes no momento do pedido de adesão, nas seguintes modalidades: |
|||
|
Contas de depósito à vista |
||||
|
Contas de depósito de poupança |
||||
|
Contas de pagamento pré-pagas |
||||
|
XI |
Oferta contas transacionais a usuários finais: |
( ) pessoas jurídicas ( ) pessoas naturais |
||
|
XII |
Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao Pix |
Nome: CPF: |
||
|
XIII |
Telefone da instituição para assuntos relacionados ao Pix |
|||
|
XIV |
Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao Pix Obs: Informar preferencialmente e-mail institucional acessível a mais de um usuário |
|||
|
XV |
Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao SPI |
Nome: CPF: |
||
|
XVI |
Telefone da instituição para assuntos relacionados ao SPI |
|||
|
XVII |
Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao SPI |
|||
1 A participação no Open Finance como detentor de conta é obrigatória a todas as instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, nos termos dispostos em regulamentação específica.
2 A comprovação de dispensa de participação no Open Finance deverá ser enviada ao Decem por ocasião da apresentação do pedido de adesão ou durante o prazo de que trata o art. 8º, caput.
3 A dispensa de participação no Open Finance é obtida nos termos dispostos em regulamentação específica, e deverá ser apresentada ao Decem até o término da etapa homologatória do processo de adesão ao Pix. Caso contrário, a instituição deverá submeter-se aos testes de que trata o art. 26.
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome e Cargo
(Redação do anexo dada pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023):
Anexo II - Formulário de adesão ao Pix e de atualização cadastral para instituições que tenham autorização para funcionamento do Banco Central do Brasil e que pretendam atuar exclusivamente na modalidade liquidante especial
|
I |
Motivo da apresentação |
( ) Pedido de adesão ( ) Atualização cadastral de participante em operação, nos termos dispostos no art. 7º ( ) Atualização cadastral de |
|
instituição em adesão ao Pix, nos termos dispostos no art. 7º |
||
|
II |
Inscrição no CNPJ |
|
|
III |
Se participante direto no SPI, informar forma de conexão à RSFN (direta ou por meio de PSTI) Se por meio de PSTI, indicar o nome e o CNPJ do PSTI: |
|
|
- Nome do PSTI: - CNPJ do PSTI: |
||
|
IV |
Número de contas ativas de clientes no momento do pedido de adesão, nas seguintes modalidades: |
|
|
Contas de depósito à vista |
||
|
Contas de depósito de poupança |
||
|
Contas de pagamento pré-pagas |
||
|
V |
Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao Pix |
Nome: CPF: |
|
VI |
Telefone da instituição para assuntos relacionados ao Pix |
|
|
VII |
Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao Pix Obs: Informar preferencialmente e-mail institucional acessível a mais de um usuário |
|
|
VIII |
Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao SPI |
Nome: CPF: |
|
IX |
Telefone da instituição para assuntos relacionados ao SPI |
|
|
X |
Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao SPI |
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome e Cargo
(Redação do anexo dada pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023):
Anexo III - Formulário de adesão ao Pix e de atualização cadastral para instituições que não tenham autorização para funcionamento do Banco Central do Brasil
|
I |
Motivo da apresentação |
( ) Pedido de adesão ( ) Atualização cadastral de participante em operação, nos termos dispostos no art. 7º ( ) Atualização cadastral de |
|
instituição em adesão ao Pix, nos termos dispostos no art. 7º |
||
|
II |
Instituição elegível para regime de transição de que trata a Seção IX do Capítulo XXII do Regulamento do Pix (Sim/Não) |
|
|
III |
Inscrição no CNPJ |
|
|
IV |
Razão social |
|
|
V |
Nome Fantasia |
|
|
VI |
Código ISPB do participante responsável |
|
|
VII |
Número de contas de pagamento pré-pagas ativas de clientes no momento do pedido de adesão |
|
|
VIII |
Oferta contas transacionais a usuários finais: |
( ) pessoas jurídicas ( ) pessoas naturais |
|
IX |
Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao Pix |
Nome: CPF: |
|
X |
Telefone da instituição para assuntos relacionados ao Pix |
|
|
XI |
Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao Pix Obs: Informar preferencialmente e-mail institucional acessível a mais de um usuário |
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome e Cargo
(Redação do anexo dada pela Instrução Normativa DECEM Nº 352 DE 15/02/2023, efeitos a partir de 01/03/2023):
Anexo IV - Formulário de adesão ao Pix e de atualização cadastral para instituições que pretendem atuar exclusivamente na modalidade iniciador
|
I |
Motivo da apresentação |
( ) Pedido de adesão ( ) Atualização cadastral de participante em operação, nos termos |
|
dispostos no art. 7º ( ) Atualização cadastral de instituição em adesão ao Pix, nos termos dispostos no |
||
|
II |
Inscrição no CNPJ |
|
|
III |
Tipo de acesso ao DICT (direto, indireto ou não acessa) |
|
|
IV |
Código ISPB do participante direto com acesso ao DICT (em caso de acesso indireto ao DICT) |
|
|
V |
Identificação de diretor responsável pelo atendimento às demandas do Banco Central do Brasil relacionadas a questões concernentes ao Pix |
Nome: CPF: |
|
VI |
Telefone da instituição para assuntos relacionados ao Pix |
|
|
VII |
Endereço eletrônico (e-mail) da instituição para assuntos relacionados ao Pix Obs: Informar preferencialmente e-mail institucional acessível a mais de um usuário |
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome e Cargo
ANEXO V Procedimentos para instrução processual por meio do Protocolo Digital e para obtenção do código Sisbacen
Art. 1º O envio de informações e de documentos ao Banco Central do Brasil, no âmbito do Pix, deverá ser feito por meio do Protocolo Digital, observando-se os seguintes procedimentos:
I - acessar o Protocolo Digital por meio de conta de usuário institucional no endereço eletrônico https://protocolodigital.bcb.gov.br/protocolo/acesso/;
II - adotar os seguintes procedimentos na tela do sistema referido no inciso I:
a) preencher o campo "Descrição", mediante a utilização dos seguintes componentes, no formato "xx.xxx.xxx - Instituição - etapa", sendo que o componente:
1.. "xx.xxx.xxx" deve corresponder ao número de inscrição (oito primeiros dígitos) da instituição no Cadastro Nacional de Pessoa Jurídica (CNPJ);
2.. "Instituição" deve corresponder à denominação social da instituição que submeter as informações; e
3.. "etapa" deve ser preenchido com "Pix - processo de adesão - etapa cadastral", "Pix - processo de adesão - etapa homologatória", "Pix - processo de adesão - etapa de operação restrita" ou "Pix - participante em operação plena" conforme a etapa em que se encontre a instituição e os documentos a serem remetidos; e
b) selecionar "Pix", no campo "Selecione um assunto"; e
III - enviar cada arquivo no formato PDF/A.
§ 1º Na hipótese de envio de mais de um documento, o campo "Protocolar documento complementar" deve ser selecionado para que todos os documentos de uma mesma instituição sejam vinculados.
§ 2º Na hipótese de um arquivo superar o tamanho máximo permitido pelo sistema, o arquivo deve ser objeto de partição, devendo, nesse caso, o campo "Descrição" ser preenchido mediante a utilização do formato "xx.xxx.xxx - Instituição - etapa - Parte 1", "xx.xxx.xxx - Instituição - etapa - Parte 2", e assim sucessivamente.
Art. 2º Caso a instituição ainda não possua conta de usuário institucional no Protocolo Digital, ao invés do estabelecido no art. 1º deste Anexo, o envio de informações e documentos poderá alternativamente observar os seguintes procedimentos:
I - o acesso ao Protocolo Digital deve ser realizado por meio de conta de usuário pessoa física (perfil cidadão) no endereço eletrônico https://protocolodigital.bcb.gov.br/protocolo/acesso/;
II - adotar os seguintes procedimentos na tela do sistema referido no inciso I:
a) o campo "Descrição" deve ser preenchido mediante a utilização dos seguintes componentes, no formato "xxx.xxx.xxx-xx - Instituição - etapa", sendo que o componente:
1.. "xxx.xxx.xxx-xx" deve corresponder ao número de inscrição completo no Cadastro de Pessoa Física (CPF) do representante da instituição;
2.. "Instituição" deve corresponder à denominação social da instituição que submeter as informações; e
3.. "etapa" deve ser preenchido com "Pix - processo de adesão - etapa cadastral", "Pix - processo de adesão - etapa homologatória", "Pix - processo de adesão - etapa de operação restrita" ou "Pix - participante em operação plena" conforme a etapa em que se encontre a instituição e os documentos a serem remetidos; e
b) selecionar "Pix", no campo "Selecione um assunto"; e
III - enviar cada arquivo no formato PDF/A.
§ 1º Na hipótese de envio de mais de um documento, o campo "Protocolar documento complementar" deve ser selecionado para que todos os documentos de uma mesma instituição sejam vinculados.
§ 2º Na hipótese de um arquivo superar o tamanho máximo permitido pelo sistema, o arquivo deve ser objeto de partição, devendo, nesse caso, o campo "Descrição" ser preenchido mediante a utilização do formato "xxx.xxx.xxx-xx - Instituição - etapa - Parte 1", "xxx.xxx.xxx-xx - Instituição - etapa - Parte 2", e assim sucessivamente.
Art. 3º A instituição em processo de adesão deverá obter o código Sisbacen conforme as seguintes orientações:
I - observar as instruções constantes da página do Sisbacen no site do Banco Central do Brasil, especificamente no que se refere ao perfil de usuário "Usuário Especial, para uso do STA - Sistema de Transferência de Arquivos"; e
II - no momento do preenchimento do formulário, a instituição deverá indicar como motivação a "Solicitação de cadastro inicial" e como justificativa para uso do STA "Instituição de pagamento participante do PIX não sujeita à autorização pelo BCB.
NOTA
Consoante se definiu no parágrafo 8 do Voto 280/2021-BCB, de 10 de novembro de 2021, o Regulamento do Pix não se caracteriza como ato regulatório de força cogente, ostentando, em verdade, natureza eminentemente contratual; assim, modificações promovidas no referido regulamento não se sujeitam à produção prévia de análise de impacto regulatório (AIR). Conforme prevê o Decreto nº 10.411, de 30 de junho de 2020, a AIR é obrigatória apenas para a edição de atos normativos de interesse geral produzidos pelos órgãos e entidades da administração pública federal direta e indireta.
(Anexo acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Anexo VI - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade provedor de conta transacional, acessar de forma direta o DICT e ser participante direto do SPI
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Comunicação segura |
|
|
A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição na fase de operação restrita, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix? (Sim/Não) |
||
|
II |
Assinatura Digital |
|
|
A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI) e no Diretório de Identificadores de Contas Transacionais (DICT). |
||
|
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix? (Sim/Não) |
||
|
III |
Segurança de QR Codes dinâmicos |
|
|
A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança deQR Codesdinâmicos gerados pelo recebedor. |
||
|
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos nos itens 4.1 e 4.2 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
||
|
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
||
|
IV |
Certificados digitais |
|
|
A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação de revogação desses certificados. |
||
|
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix? (Sim/Não) |
||
|
V |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
A solução prevista contempla a utilização, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento de operação da instituição na fase de operação restrita, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
||
|
A solução prevista contempla o fornecimento, desde o primeiro momento de operação da instituição na fase de operação restrita, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
||
.
|
A solução prevista contempla a implementação de controles, desde o primeiro momento de operação da instituição na fase de operação restrita, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos esoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizandoQR Codediretamente no sistema ouAPI, ao invés da utilização de filtros nosoftwarecliente, desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
||
|
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
||
|
VI |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
||
|
VII |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
||
|
Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
||
|
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
||
|
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
||
|
A instituição estabelecerá, desde o primeiro momento de operação da instituição na fase de operação restrita, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
||
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome
(diretor responsável pela política de segurança cibernética)" (NR)
|
I |
Segurança de QR Codes dinâmicos |
|
|
A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança deQR Codesdinâmicos gerados pelo recebedor. |
||
|
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos nos itens 4.1 e 4.2 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
||
|
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
||
|
II |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
A solução prevista contempla a utilização, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento de operação da instituição na fase de operação restrita, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
||
|
A solução prevista contempla o fornecimento, desde o primeiro momento de operação da instituição na fase de operação restrita, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
||
|
A solução prevista contempla a implementação de controles, desde o primeiro momento de operação da instituição na fase de operação restrita, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos esoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizandoQR Codediretamente no sistema ouAPI, ao invés da utilização de filtros nosoftwarecliente, desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
||
|
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
||
|
III |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
||
|
IV |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
||
|
Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
||
.
|
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento de operação da instituição na fase de operação restrita? (Sim/Não) |
||
|
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
||
|
A instituição estabelecerá, desde o primeiro momento de operação da instituição na fase de operação restrita, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome
(diretor responsável pela política de segurança cibernética)
(Anexo acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Anexo VIII - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade liquidante especial
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Comunicação segura |
|
|
A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix? (Sim/Não) |
||
|
II |
Assinatura Digital |
|
|
A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI) e no Diretório de Identificadores de Contas Transacionais (DICT). |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix? (Sim/Não) |
||
|
III |
Certificados digitais |
|
|
A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação de revogação desses certificados. |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix? (Sim/Não) |
||
|
IV |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
||
|
A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
||
|
V |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
||
|
VI |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento da instituição em operação plena? (Sim/Não) |
||
|
Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
||
|
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena? (Sim/Não) |
||
|
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
||
|
A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
||
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome
(diretor responsável pela política de segurança cibernética)
(Anexo acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Anexo IX - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade iniciador e acessar de forma direta o DICT
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Comunicação segura |
|
|
A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix? (Sim/Não) |
||
|
II |
Assinatura Digital |
|
|
A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI) e no Diretório de Identificadores de Contas Transacionais (DICT). |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix? (Sim/Não) |
||
|
III |
Segurança de QR Codes dinâmicos |
|
|
A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança deQR Codesdinâmicos gerados pelo recebedor. |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
||
|
IV |
Certificados digitais |
|
|
A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação de revogação desses certificados. |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix? (Sim/Não) |
||
|
V |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
||
|
A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
||
|
A solução prevista contempla a implementação de controles, desde o primeiro momento da instituição em operação plena, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos esoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizandoQR Codediretamente no sistema ouAPI, ao invés da utilização de filtros nosoftwarecliente, desde o primeiro momento da instituição em operação plena? (Sim/Não) |
||
|
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
||
|
VI |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
||
|
VII |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena? (Sim/Não) |
||
|
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
||
|
A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
||
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome
(diretor responsável pela política de segurança cibernética)
(Anexo acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Anexo X - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade iniciador e acessar de forma indireta o DICT
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Segurança de QR Codes dinâmicos |
|
|
A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança deQR Codesdinâmicos gerados pelo recebedor. |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix? (Sim/Não/Não será ofertada a geração de QR Codes dinâmicos) |
||
|
II |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
||
|
A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto funcionamento dos aplicativos? (Sim/Não) |
||
|
A solução prevista contempla a implementação de controles, desde o primeiro momento da instituição em operação plena, para garantir que informações como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos esoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizandoQR Codediretamente no sistema ouAPI, ao invés da utilização de filtros nosoftwarecliente, desde o primeiro momento da instituição em operação plena? (Sim/Não) |
||
|
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
||
|
III |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
||
|
IV |
Mecanismos de prevenção a ataques de leitura |
|
|
A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre mecanismos de prevenção a ataques de leitura. |
||
|
A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena? (Sim/Não) |
||
|
Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no Manual Operacional do DICT? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de verificação de autenticidade do usuário solicitante da consulta? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas consultas de chaves não registradas no DICT? (Sim/Não) |
||
|
A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura? (Sim/Não) |
||
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome
(diretor responsável pela política de segurança cibernética)
(Anexo acrescentado pela Instrução Normativa BCB Nº 373 DE 25/04/2023):
Anexo XI - Questionário de autoavaliação em segurança - Instituições que pretendam atuar na modalidade iniciador e sem acesso ao DICT
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
|
I |
Implementação segura de aplicativos, APIs e outros sistemas |
|
|
A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix. |
||
|
A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas eAPIsrelacionados ao Pix e seus respectivos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte dosoftwarecliente nasAPIs esistemas relacionados ao Pix? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que asAPIse outros sistemas utilizados sejam acessados apenas pelossoftwaresclientes legítimos do participante, de forma a impedir ataquesman-in-the-middle? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que osoftwarecliente se comunique apenas comAPIse sistemas desejados, de forma a impedir ataquesman-in-the-middlee manipulação de sua comunicação? (Sim/Não) |
||
|
A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ousoftwaresclientes? (Sim/Não) |
||
|
A solução prevista contempla a implementação da segurança dasAPIse outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da instituição em operação plena, de forma a evitar que a segurança se restrinja somente aosoftwarecliente ou aplicativo? (Sim/Não) |
||
|
A solução prevista contempla a implementação em seu siteweb, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix? (Sim/Não/Não haverá utilização dositepara iniciação de um Pix) |
||
|
II |
Logs de Auditoria |
|
|
A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix. |
||
|
A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix? (Sim/Não) |
||
Declaramos ciência de que:
(i) para concluir o processo de adesão ao Pix, o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a conclusão do processo de adesão ao Pix implica a adesão às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
Nome
(diretor responsável pela política de segurança cibernética)
