DOU 04/09/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024090400113
113
Nº 171, quarta-feira, 4 de setembro de 2024
ISSN 1677-7042
Seção 1
. .IV
.Consume
ou
deseja
passar
a
consumir
funcionalidades relacionadas ao Pix Automático?
.( )
( )
.Sim
Não
. .V
.Funcionalidades relacionados ao Pix Automático
(caso a resposta ao item IV seja "sim", selecionar,
ao menos, uma opção)
.( )
( )
.Pix Automático - Pagamento
Pix Automático - Recebimento
. .VI
.Consume
ou
deseja
passar
a
consumir
funcionalidades relacionadas a QR Codes?
.( )
( )
.Sim
Não
. .VII
.Funcionalidades relacionados a QR Codes
(caso a resposta ao item VI seja "sim", selecionar,
ao menos, uma opção)
.( )
( )
( )
( )
.Leitura de QR Code
Geração de QR Code estático do Pix Cobrança para pagamentos imediatos
Geração de QR Code dinâmico do Pix Cobrança para pagamentos imediatos
Geração de QR Code dinâmico do Pix Cobrança para pagamentos com vencimento
Geração de QR Codes
Declaramos ciência de que:
(i) o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a adesão e a posterior participação no Pix implica no aceite às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome e Cargo
Anexo IV-C
Questionário de autoavaliação em segurança - Instituições autorizadas a funcionar pelo Banco Central do Brasil que pretendam participar do Pix exclusivamente na modalidade
instituição usuária
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva
dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas
evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos
retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições
estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
. .I
.Comunicação segura
Instrução para preenchimento: Responder "Sim" ou "Não" caso pretenda acessar o DICT de forma direta ou participar do SPI de forma direta. Caso contrário, responder com
"Na".
. .
.A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura
. .I (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição na fase de operação plena, dos requisitos dispostos na seção 2 do Manual de Segurança
do Pix? (Sim/Não/Na)
. .II
.Assinatura Digital
Instrução para preenchimento: Responder "Sim" ou "Não" caso pretenda acessar o DICT de forma direta ou participar do SPI de forma direta. Caso contrário, responder com
"Na".
. .
.A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no SPI e no DICT.
. .II (a)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação plena, dos requisitos dispostos na seção 3 do Manual
de Segurança do Pix?
(Sim/Não/Na)
. .III
.Segurança de QR Codes dinâmicos
Instrução para preenchimento: Responder conforme a previsão de uso de QR Codes dinâmicos.
. .
.A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança de QR Codes dinâmicos.
. .III (a)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação plena, dos requisitos dispostos nos itens 4.1 e 4.2 do
Manual de Segurança do Pix?
(Sim/Não/Não serão gerados QR Codes dinâmicos)
. .III (b)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação plena, dos requisitos dispostos no item 4.3 do Manual
de Segurança do Pix?
(Sim/Não/Não serão gerados nem lidos QR Codes dinâmicos)
. .IV
.Certificados digitais
Instrução para preenchimento: Responder "Sim" ou "Não" caso pretenda acessar o DICT de forma direta ou participar do SPI de forma direta. Caso contrário, responder com
"Na".
. .
.A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação
e de verificação de revogação desses certificados.
. .IV (a)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação plena, dos requisitos dispostos na seção 5 do Manual
de Segurança do Pix?
(Sim/Não/Na)
. .V
.Implementação segura de aplicativos, APIs e outros sistemas
. .
.A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
. .V (a)
.A solução prevista contempla a utilização, desde o primeiro momento de operação da instituição na fase de operação plena, de mecanismos de criptografia na comunicação
entre os sistemas e APIs relacionados ao Pix e demais aplicativos ou softwares legítimos do participante?
(Sim/Não)
. .V (b)
.A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação plena, de mecanismos de autenticação forte entre
aplicativos ou softwares legítimos do participante e as APIs e sistemas relacionados ao Pix?
(Sim/Não)
. .V (c)
.A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação plena, de mecanismos de segurança capazes de
garantir que sistemas e APIs relacionados ao Pix sejam acessados apenas por aplicativos ou softwares legítimos do participante, de forma a impedir ataques man-in-the-
middle?
(Sim/Não)
. .V (d)
.A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação plena, de mecanismos de segurança capazes de
garantir que aplicativos ou softwares legítimos do participantes se comuniquem apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e
manipulação de sua comunicação?
(Sim/Não)
. .V (e)
.A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação plena, de mecanismos de segurança que impeçam
engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração
dos aplicativos ou softwares legítimos do participante?
(Sim/Não)
. .V (f)
.A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento
de operação da instituição na fase de operação plena, de forma a evitar que a segurança se restrinja somente aos aplicativos ou softwares legítimos do participante?
(Sim/Não)
. .V (g)
.A solução prevista contempla o fornecimento, desde o primeiro momento de operação da instituição na fase de operação plena, apenas das informações estritamente
necessárias para o correto funcionamento dos aplicativos ou softwares legítimos do participante?
(Sim/Não)
. .V (h)
.A solução prevista contempla a implementação de controles, desde o primeiro momento de operação da instituição na fase de operação plena, para garantir que informações
como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves
Pix, sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas a demais aplicativos ou softwares?
(Sim/Não)
. .V (i)
.A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizando QR Code diretamente nos sistemas ou API
relacionados ao Pix, ao invés da utilização de filtros em demais aplicativos ou softwares, desde o primeiro momento de operação da instituição na fase de operação
plena?
(Sim/Não)
. .V (j)
.A solução prevista contempla a implementação em seu sítio web, desde o primeiro momento de operação da instituição na fase de operação plena, de mecanismos para
prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix?
(Sim/Não/Não haverá utilização do sítio para iniciação de um Pix)
. .VI
.Logs de Auditoria
. .
.A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
. .VI (a)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação plena, dos requisitos dispostos na seção 7 do Manual
de Segurança do Pix?
(Sim/Não)
. .VII
.Mecanismos de prevenção a ataques de leitura
Instrução para preenchimento:
Responder "Sim" ou "Não". Se aplicável, responder "Na" apenas nos casos em que a instituição não pretenda acessar o DICT, seja de forma direta ou indireta.
. .
.A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem
sobre mecanismos de prevenção a ataques de leitura.
. .VII (a)
.A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento de operação da instituição na fase de
operação plena?
(Sim/Não/Na)
. .VII (b)
.Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e
detalhados no Manual Operacional do DICT?
(Sim/Não/Na)
Fechar