DOU 04/09/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024090400110
110
Nº 171, quarta-feira, 4 de setembro de 2024
ISSN 1677-7042
Seção 1
. .Inscrição no CNPJ
.
. .Razão social
.
. .I
.Comunicação segura
. .
.A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura
. .I (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 2 do Manual de Segurança do Pix?
(Sim/Não)
. .II
.Assinatura Digital
. .
.A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no SPI e no DICT.
. .II (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 3 do Manual de Segurança do Pix?
(Sim/Não)
. .III
.Segurança de QR Codes dinâmicos
. .
.A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança de QR Codes dinâmicos gerados pelo recebedor.
. .III (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos no item 4.3 do Manual de Segurança do Pix?
(Sim/Não/Não será ofertada a geração e nem a leitura de QR Codes dinâmicos)
. .IV
.Certificados digitais
. .
.A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e de verificação
de revogação desses certificados.
. .IV (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 5 do Manual de Segurança do Pix?
(Sim/Não)
. .V
.Implementação segura de aplicativos, APIs e outros sistemas
. .
.A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
. .V (a)
.A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas e APIs
relacionados ao Pix e seus respectivos aplicativos ou softwares clientes?
(Sim/Não)
. .V (b)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte do software cliente nas APIs e
sistemas relacionados ao Pix?
(Sim/Não)
. .V (c)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que as APIs e outros
sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle?
(Sim/Não)
. .V (d)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que o software cliente
se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação?
(Sim/Não)
. .V (e)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa,
descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ou softwares
clientes?
(Sim/Não)
. .V (f)
.A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento da
instituição em operação plena, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo?
(Sim/Não)
. .V (g)
.A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto
funcionamento dos aplicativos?
(Sim/Não)
. .V (h)
.A solução prevista contempla a implementação de controles, desde o primeiro momento da instituição em operação plena, para garantir que informações como CPF completo (sem
máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso exclusivo dos sistemas
internos do participante e não sejam expostas aos seus aplicativos e softwares clientes?
(Sim/Não)
. .V (i)
.A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizando QR Code diretamente no sistema ou API, ao invés da
utilização de filtros no software cliente, desde o primeiro momento da instituição em operação plena?
(Sim/Não)
. .V (j)
.A solução prevista contempla a implementação em seu sítio web, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de robôs e
automatização de consultas de chaves e transações Pix?
(Sim/Não/Não haverá utilização do sítio para iniciação de um Pix)
. .VI
.Logs de Auditoria
. .
.A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
. .VI (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do Pix?
(Sim/Não)
. .VII
.Mecanismos de prevenção a ataques de leitura
. .
.A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem sobre
mecanismos de prevenção a ataques de leitura.
. .VII (a)
.A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena?
(Sim/Não)
. .VII (b)
.Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e detalhados no
Manual Operacional do DICT?
(Sim/Não)
. .VII (c)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de verificação de autenticidade do usuário solicitante da
consulta?
(Sim/Não)
. .VII (d)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de consultas?
(Sim/Não)
. .VII (e)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas
consultas de chaves Pix que não resultem em envio de ordem de pagamento?
(Sim/Não)
. .VII (f)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de excessivas
consultas de chaves não registradas no DICT?
(Sim/Não)
. .VII (g)
.A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura?
(Sim/Não)
Declaramos ciência de que:
(i) o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a adesão e a posterior participação no Pix implica no aceite às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome
(diretor responsável pela política de segurança cibernética)
Anexo III-D
Questionário de autoavaliação em segurança - Instituições autorizadas a funcionar pelo Banco Central do Brasil que pretendam participar do Pix exclusivamente na modalidade
iniciador e acessar de forma indireta o DICT
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva
dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas
evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos
retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições
estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
. .Inscrição no CNPJ
.
. .Razão social
.
. .I
.Segurança de QR Codes dinâmicos
. .
.A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança de QR Codes dinâmicos gerados pelo recebedor.
. .I (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos no item 4.3 do Manual de Segurança do
Pix?
(Sim/Não/Não será ofertada a geração e nem a leitura de QR Codes dinâmicos)
. .II
.Implementação segura de aplicativos, APIs e outros sistemas
. .
.A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
. .II (a)
.A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas
e APIs relacionados ao Pix e seus respectivos aplicativos ou softwares clientes?
(Sim/Não)
. .II (b)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte do software cliente nas
APIs e sistemas relacionados ao Pix?
(Sim/Não)
Fechar