Instrução Normativa BCB N° 305

Conteúdo do Documento

INSTRUÇÃO NORMATIVA BCB Nº 305, DE 15 DE SETEMBRO DE 2022Divulga a versão 4.0 do Manual de Segurança do Open Finance.Os Chefes do Departamento de Regulação do Sistema Financeiro (Denor) e do Departamento de Tecnologia da Informação (Deinf), no uso das atribuições que lhes conferem os arts. 23, inciso I, alínea "a", 62, inciso IV, e 116, inciso I, alínea "b", do Regimento Inte...

<div class="ExternalClassD9E693CA2F6E47A581478E9860DC6C46">

INSTRUÇÃO
NORMATIVA BCB Nº 305, DE 15 DE SETEMBRO DE 2022Divulga
a versão 4.0 do Manual de Segurança do Open Finance.Os Chefes do Departamento de Regulação do Sistema Financeiro
(Denor) e do Departamento de Tecnologia da Informação (Deinf), no uso das
atribuições que lhes conferem os arts. 23, inciso I, alínea "a", 62,
inciso IV, e 116, inciso I, alínea "b", do Regimento Interno do Banco
Central do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, com
base no art. 3º, inciso IV, da Resolução BCB nº 32, de 29 de outubro de 2020,R E S O L V E M :Art. 1º  Esta Instrução
Normativa divulga a versão 4.0 do Manual de Segurança do Open Finance, de
observância obrigatória por parte das instituições participantes, conforme Anexo.Parágrafo único.  O manual
de que trata o caput, em sua versão mais recente, estará acessível na
página do Open Finance no sítio eletrônico do Banco Central do Brasil na
internet e no Portal Open Finance do Brasil, mantido pela
Estrutura Responsável pela Governança do Open Finance de que trata o
art. 44, § 1º, da Resolução Conjunta nº 1, de 4 de maio de 2020.Art. 2º  Fica revogada a
Instrução Normativa BCB nº 134, de 22 de julho de 2021.Art. 3º  Esta Instrução
Normativa entra em vigor em 1º de outubro de 2022.João
André Calvino Marques Pereira           Haroldo
Jayme Martins Froes Cruz Chefe do Departamento de Regulação        Chefe do Departamento de Tecnologia do
Sistema Financeiro                                    da
Informação                                                                          ANEXO À INSTRUÇÃO NORMATIVA BCB Nº 305, DE 15 DE SETEMBRO DE 2022   Manual de Segurança do Open Finance
Versão 4.0<a name="_Toc14166332"></a><a name="_Toc14193634"></a><a name="_Toc14354699"></a><a name="_Toc14354849"></a><a name="_Toc14681789"></a><a name="_Toc52541656"></a><a name="_Toc54368699"></a><a name="_Toc54724889">Histórico
de revisão</a><table class="MsoTableGrid" width="680" cellspacing="0" cellpadding="0" border="1" style="margin-left:70.9pt;border-collapse:collapse;border:medium none;"><tbody><tr style="height:11.7pt;"><td width="104" valign="top" style="width:77.75pt;border:1pt solid windowtext;padding:0cm 5.4pt;height:11.7pt;">Data</td><td width="66" valign="top" style="width:49.6pt;border-color:windowtext windowtext windowtext currentcolor;border-style:solid solid solid none;border-width:1pt 1pt 1pt medium;padding:0cm 5.4pt;height:11.7pt;">Versão</td><td width="510" valign="top" style="width:382.7pt;border-color:windowtext windowtext windowtext currentcolor;border-style:solid solid solid none;border-width:1pt 1pt 1pt medium;padding:0cm 5.4pt;height:11.7pt;">Descrição das alterações</td></tr><tr style="height:24.2pt;"><td rowspan="5" width="104" style="width:77.75pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 5.4pt;height:24.2pt;">15/09/2022</td><td rowspan="5" width="66" style="width:49.6pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 5.4pt;height:24.2pt;">4.0</td><td width="510" valign="top" style="width:382.7pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 5.4pt;height:24.2pt;">Aprimoramentos
na redação do texto, sem alteração de mérito.</td></tr><tr style="height:24.2pt;"><td width="510" valign="top" style="width:382.7pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 5.4pt;height:24.2pt;">Alteração
da nomenclatura de Open Banking para Open Finance.</td></tr><tr style="height:23.05pt;"><td width="510" valign="top" style="width:382.7pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 5.4pt;height:23.05pt;">Atualização
de referências.</td></tr><tr style="height:23.05pt;"><td width="510" valign="top" style="width:382.7pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 5.4pt;height:23.05pt;">Alteração
do item 3.9, com a restrição de escopo de sua aplicação.</td></tr><tr style="height:23.05pt;"><td width="510" valign="top" style="width:382.7pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 5.4pt;height:23.05pt;">Alteração
do item 3.12, dispondo sobre os certificados requeridos para as contratações
de parceria.</td></tr></tbody></table>

<a name="_Toc52541658"></a><a name="_Toc53757796"></a><a name="_Toc54724891">Termos de Uso</a><a name="_Toc52541659">Este
manual detalha os requisitos técnicos para a implementação dos elementos
necessários à operacionalização do Open Finance,
complementando a regulamentação vigente sobre o tema. </a>O manual será revisto e atualizado periodicamente a fim de
preservar a compatibilidade com a regulamentação, bem como para incorporar os
aprimoramentos decorrentes da evolução do Open Finance e da tecnologia. Informações mais detalhadas e exemplos da aplicação deste manual
poderão ser encontrados nos guias e tutoriais disponíveis no Portal do Open Finance
no Brasil, na Área do Desenvolvedor.Sugestões, críticas ou pedidos de esclarecimentos de dúvidas
relativas ao conteúdo deste documento podem ser enviados ao Banco Central do
Brasil por meio dos canais institucionais dessa autarquia.<a name="_Toc53757797"></a><a name="_Toc54724892">Referências</a>Estas especificações baseiam-se, referenciam, e complementam, quando
aplicável, os seguintes documentos:<table class="MsoNormalTable" width="680" cellspacing="0" cellpadding="0" border="1" style="margin-left:70.9pt;border-collapse:collapse;border:medium none;"><tbody><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border:1pt solid windowtext;background:none 0% 0% repeat scroll #d9d9d9;padding:0cm 3.5pt;height:12.1pt;">Referência</td><td width="435" style="width:326pt;border-color:windowtext windowtext windowtext currentcolor;border-style:solid solid solid none;border-width:1pt 1pt 1pt medium;background:none 0% 0% repeat scroll #d9d9d9;padding:0cm 3.5pt;height:12.1pt;">Origem</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Resolução
Conjunta nº 1, de 2020</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20Conjunta&numero=1</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Resolução
Conjunta nº 4, de 2022</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20Conjunta&numero=4 </td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Resolução
BCB nº 32, de 2020</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=32</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Resolução
BCB nº 85, de 2021</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=85</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Resolução
BCB nº 109, de 2021</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=109</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Instrução
Normativa BCB n° 136, de 2021</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Instru%C3%A7%C3%A3o%20Normativa%20BCB&numero=136</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Resolução
CMN nº 4.893, de 2021</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20CMN&numero=4893</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Lei
Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709, de 2018)</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">BCP
195/RFC 7525</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://tools.ietf.org/html/rfc7525
</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Owasp
API Top 10</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://owasp.org/www-project-api-security/
</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">Sans
Top 25 Software Errors</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://www.sans.org/top25-software-errors
</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">CWE
Top 25 Software Weaknesses</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html
</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">NIST
800-88</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf</td></tr><tr style="height:12.1pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:12.1pt;">ICP
Brasil - Manual de Condutas Técnicas 7 – Volume I</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:12.1pt;">https://www.gov.br/iti/pt-br/centrais-de-conteudo/mct-7-vol-1-v-2-2-pdf</td></tr><tr style="height:15pt;"><td width="246" style="width:184.3pt;border-color:currentcolor windowtext windowtext;border-style:none solid solid;border-width:medium 1pt 1pt;padding:0cm 3.5pt;height:15pt;">Medida
Provisória nº 2.200-2, de 24 de Agosto de 2001</td><td width="435" style="width:326pt;border-color:currentcolor windowtext windowtext currentcolor;border-style:none solid solid none;border-width:medium 1pt 1pt medium;padding:0cm 3.5pt;height:15pt;">http://www.planalto.gov.br/ccivil_03/mpv/antigas_2001/2200-2.htm</td></tr></tbody></table>

<a name="_Toc52541660"></a><a name="_Toc53757798"></a><a name="_Toc54724893"></a><a name="_Toc47386159"></a>1.
IntroduçãoEste manual detalha em termos
operacionais as diretrizes de segurança estabelecidas pela Resolução Conjunta
nº 1, de 4 de maio de 2020, e pela Resolução BCB nº 32, de 29 de outubro de
2020. Ele contém tanto os requisitos mínimos de segurança obrigatórios para as
instituições participantes como para os demais elementos que compõem a
Estrutura Responsável pela Governança do Open Finance.Para garantir
a segurança do Open Finance no País, a regulamentação vigente estabelece
a obrigatoriedade de se cumprir uma série de medidas, entre as quais as
descritas neste manual.No tocante aos requisitos
obrigatórios para as instituições participantes, este manual apresenta as
seguintes seções: 2. governança, 3. proteção, 4. detecção e 5. reação. Os
requisitos obrigatórios para a Estrutura Responsável pela Governança constam da
Seção 6.Este manual prescreve os
requisitos mínimos de segurança necessários para:I - o
compartilhamento de dados sobre canais de atendimento e produtos e serviços de
que trata o art. 5º, inciso I, alíneas "a" e "b", itens 1 a
5, da Resolução Conjunta no 1, de 2020; II - o
compartilhamento de dados de cadastro e de transações de que trata o art. 5º,
inciso I, alíneas "c" e "d", itens 1 a 5, da Resolução
Conjunta nº 1, de 2020; eIII - o
compartilhamento do serviço de iniciação de transação de pagamento relacionado
com o arranjo Pix, de que tratam os arts. 5º, inciso II, alínea "a",
da Resolução Conjunta nº 1, de 2020, e 6º, inciso IV, da Circular nº 4.015, de
4 de maio de 2020.À medida que
o Open Finance abranger o compartilhamento de outros dados e serviços, novos
requisitos de segurança poderão ser acrescentados a este manual, em complemento
à regulamentação aplicável.<a name="_Toc47386161"></a>Ao longo deste documento será constante o uso de siglas para
designar algumas expressões cotidianas dos profissionais da área de segurança
da informação. Alguns exemplos das mais frequentemente utilizadas, com as
correspondentes definições, são as seguintes:I - ACL: Access Control List;II - API: Application Programming Interface;III - ETIR: Equipe
de Tratamento de Incidentes;IV - HTTP: HyperText
Transfer Protocol;V -
ICP-Brasil: Infraestrutura de Chaves Públicas Brasileira;VI - IP: Internet Protocol;VII - NTP: Network Time Protocol;VIII - PFS: Perfect Forward Secrecy;IX - PGP: Pretty Good Privacy;X - TCP: Transmission Control Protocol;XI - TLS: Transport Layer Security;XII - URI: Uniform Resource Identifier; eXIII - UTC: Universal Time Coordinated.<a name="_Toc53757799"></a><a name="_Toc54724894">2.
Governança</a>2.1 As
instituições participantes do Open Finance devem adotar processos para acompanhar
a publicação e a entrada em vigor de atos normativos com impacto no tema, de
forma a estarem permanentemente atualizadas com as determinações regulamentares.
2.2 Compõem, de forma não
exaustiva, o rol de atos normativos cuja observância é essencial pelas
instituições participantes do Open Finance:I - a Resolução
Conjunta CMN/BCB nº 1, de 2020;II - as Resoluções
editadas pelo Conselho Monetário Nacional (CMN) e as normas editadas pelo Banco
Central do Brasil aplicáveis às instituições participantes, inclusive as que dispõem
sobre a política de segurança cibernética e sobre os requisitos para a
contratação de serviços de processamento e armazenamento de dados e computação
em nuvem; eIII - a Lei
Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709, de 2018).2.3 O plano
de ação e resposta a incidentes das instituições participantes deve abranger os
procedimentos e os controles a serem utilizados na prevenção e resposta a
incidentes que afetem sistemas, APIs e outros recursos relacionados à
implementação e à operação do Open Finance, de forma compatível com a
política de segurança cibernética da instituição e com a regulamentação
vigente.2.4 As
instituições participantes devem definir procedimentos e controles voltados à
prevenção e ao tratamento de incidentes a serem adotados pelas empresas
prestadoras de serviços a terceiros que manuseiem dados ou informações
requeridos para a condução das atividades relativas ao Open Finance, em
compatibilidade com a política de que trata o item 2.3 e com a regulamentação
vigente.2.5 Os
procedimentos e controles de que trata o item 2.4 devem ser divulgados às
empresas prestadoras de serviços mediante linguagem clara, acessível e em nível
de detalhamento compatível com as funções desempenhadas e sensibilidade das
informações.2.6 As
instituições participantes, previamente à contratação de serviços requeridos
para a condução das atividades relativas ao Open Finance, devem adotar
procedimentos que contemplem a verificação da capacidade do potencial prestador
de serviço de assegurar o cumprimento da legislação e da regulamentação
vigente.2.7 As
instituições devem armazenar e processar os dados discriminados na etapa de
consentimento segundo a finalidade para a qual foram compartilhados e de
maneira segura, observadas a legislação e a regulamentação vigentes.2.8 As
instituições participantes devem manter suas informações cadastrais permanentemente
atualizadas no Diretório de Participantes do Open Finance, observada a
regulamentação vigente.<a name="_Toc53757801"></a><a name="_Toc54724896">3.
Proteção</a>3.1 O acesso aos dados e ao
serviço de iniciação de transação de pagamento no âmbito do Open Finance
deve ser realizado exclusivamente por meio de APIs.3.2 Os sistemas e APIs
relacionados ao Open Finance devem ser mantidos em rede interna
segregada logicamente de redes ordinariamente utilizadas por estações de
trabalho ou redes sem fio.3.3 As instituições transmissoras
de dados e detentoras de conta devem implementar controles de tráfego de
entrada e saída, de forma a permitir apenas o necessário para comunicação com
as APIs de Open Finance. 3.4 As instituições devem
implementar criptografia na comunicação com as APIs de Open Finance
expostas publicamente, por meio do protocolo TLS na versão 1.2 ou superior,
utilizando cifras (cipher suites) que atendam ao requisito de perfect
forward secrecy (PFS).3.5 As funcionalidades "TLS Session
Resumption" e "TLS Renegotiation" devem ser desabilitadas.3.6 As instituições devem aplicar
controles de segurança na camada de aplicação que permitam a inspeção de
ameaças e o bloqueio de ataques de injeção de código, entre outros, adequados
às tecnologias utilizadas nas APIs.3.7 As instituições não devem
expor os repositórios de dados utilizados no Open Finance diretamente à
internet.3.8 As instituições participantes
devem verificar e garantir que a quantidade, a ordem, o formato, o tamanho e o
conteúdo dos campos das requisições de acesso às APIs, bem como suas respostas,
estejam de acordo com os estabelecidos pelas definições de Open Finance.3.9 Para assinatura de mensagens e
comunicação segura com APIs usadas para os compartilhamentos de dados de
cadastro e de transações de clientes e do serviço de iniciação de transação de pagamento
relacionado com o arranjo Pix, devem ser utilizados certificados
digitais válidos, emitidos por autoridade certificadora participante da
ICP-Brasil, de acordo com os padrões para certificação digital estabelecidos
pela Estrutura Responsável pela Governança do Open Finance.3.10 Os certificados digitais de
que trata o item 3.9 devem contemplar mecanismos para a proteção dos canais de
comunicação e para a assinatura ou criptografia de mensagens trocadas com APIs.3.11 Admite-se, para emprego no ambiente de testes de APIs de que trata o art. 12, inciso IV
da Resolução BCB no 32, de 2020, o uso de certificados digitais
emitidos pelo serviço de Diretório da Estrutura Responsável pela Governança do Open
Finance.3.12 Os certificados requeridos
para as contratações de parceria devem observar a legislação e regulamentação
em vigor e seguir, no que couber, os padrões de certificado digital definidos
pela Estrutura Responsável pela Governança do Open Finance. Os padrões
de que trata este item devem contemplar a formatação do certificado, os
algoritmos criptográficos e os atributos estabelecidos.3.13 Para o estabelecimento de
conexões TLS das chamadas de endpoints confidenciais devem ser
utilizados os seguintes algoritmos:I - ‘TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256’; e II - ‘TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384’. 3.14 Os certificados utilizados
para comunicação de sistemas Front-End, acessados diretamente por
clientes das instituições participantes, em especial para realizar
autenticação, devem ser do tipo Extended Validation (EV) e podem ser
emitidos por autoridade certificadora em funcionamento. 3.15 Os procedimentos e controles
relativos à criptografia devem contemplar meios seguros de armazenamento,
transferência, utilização e destruição de segredos ou chaves empregados no
âmbito do Open Finance, observada a regulamentação vigente.3.16 Recomenda-se utilizar os
seguintes algoritmos criptográficos para proteção e armazenamento de segredos
no âmbito do Open Finance:I - ‘AES-256bits’ ou superior;II - ‘SHA-256bits’ ou superior; eIII - ‘RSA-2048bits’ ou superior.3.17 É recomendável que os segredos
e as chaves utilizados para autenticar, proteger e garantir a integridade de
dados sejam gerados de maneira a respeitar processos de duplo controle e
tratamento de segredo (split-knowledge), armazenando registros de log
que incluam data de geração, participantes e responsáveis pela custódia, quando
aplicável e de forma compatível com a regulamentação vigente.3.18 As instituições participantes
devem implementar procedimentos e controles de segurança para análise de
vulnerabilidades nas etapas de desenvolvimento e de utilização em produção das
versões das APIs utilizadas no Open Finance, observada a regulamentação
vigente.3.19 As vulnerabilidades de que
trata o item 3.18 devem ser categorizadas e priorizadas de acordo com
classificação de risco.3.20 Os participantes devem
implementar processos de revisão periódica das configurações dos sistemas e das
APIs utilizados no Open Finance, para garantir que somente portas e
serviços autorizados estejam habilitados, observada a regulamentação vigente. 3.21 As instituições participantes
devem garantir que portais e aplicações relacionados à implementação e à
operação do Open Finance possuam meios de autenticação adequados e
controle de autorização em observância à regulamentação vigente.3.22 O processo de autenticação
deve ser sempre realizado por meio de canal de comunicação seguro, utilizando
criptografia TLS 1.2 ou superior, de forma compatível com a regulamentação
vigente. 3.23 Os acessos remotos para
administração de sistemas ou da infraestrutura relacionados ao Open Finance devem
ser realizados mediante uso de múltiplos fatores de autenticação, observada, no
que couber, a compatibilidade com a regulamentação vigente. 3.24 As instituições devem
implementar processo formal de aplicação de patch que contemple os
sistemas relacionados à implementação do Open Finance, de forma
compatível com a política de segurança cibernética da instituição, observada
regulamentação vigente.3.25 Os sistemas e APIs
relacionados ao Open Finance devem possuir relógio sincronizado com
fonte confiável de tempo, por exemplo, por meio do uso do protocolo NTP.3.26 As APIs e os sistemas
relacionados ao Open Finance devem ser implementados usando padrões de
configuração segura (hardening), observada a regulamentação vigente.<a name="_Toc53757802"></a><a name="_Toc54724897">4.
Detecção</a>4.1 As instituições participantes devem
manter trilhas de auditoria contendo, no mínimo, endereço IP de origem da
chamada, porta de comunicação origem da chamada, data, hora, sistema, usuário
(quando aplicável), objeto, falha ou sucesso da ação das configurações
realizadas nos sistemas e APIs relacionados ao Open Finance, observadas
a legislação e regulamentação vigentes.4.2 As instituições participantes
devem monitorar os registros relativos aos acessos das APIs relacionadas ao Open
Finance, em especial os registros que indicarem erros internos (ex: status
HTTP 500) ou requisições inválidas (ex: status HTTP 400), observada a
regulamentação vigente.4.3 As instituições participantes
devem monitorar a volumetria e o padrão das requisições às APIs relacionadas ao
Open Finance, para detecção de incidentes relacionados aos incisos I a IV
do item 5.5.<a name="_Toc53757803"></a><a name="_Toc54724898">5.
Reação</a>5.1 É facultado às instituições participantes
transmissoras de dados e detentoras de conta implementar bloqueio de acessos às
suas APIs, com vistas a tratar riscos cibernéticos ou para tratar incidentes
cibernéticos em andamento. A implementação desses bloqueios deve ser compatível
com a política de segurança cibernética da instituição.<a name="_Toc54724899"></a>5.2
Em caso de comprometimento de qualquer credencial relacionada ao Open Finance,
a instituição participante deve revogá-la tempestivamente perante o Diretório de
Participantes e compartilhar essa informação com as demais instituições
participantes, observada a regulamentação vigente.5.3
No caso de comprometimento de certificados de segurança, a instituição
participante do Open Finance deve
solicitar tempestivamente a revogação do certificado comprometido à autoridade
certificadora e compartilhar essa informação com a Estrutura Responsável pela
Governança do Open Finance e com as demais instituições participantes,
observada a regulamentação vigente.5.4
Sem prejuízo do dever de sigilo e da livre concorrência, as instituições
participantes devem compartilhar com as demais instituições participantes e com
a Estrutura Responsável pela Governança do Open Finance informações
sobre incidentes cibernéticos que afetem os serviços do Open Finance, observando
a regulamentação vigente.5.5
No âmbito do Open Finance, observada a regulamentação vigente, o plano
de ação e resposta a incidentes deve contemplar, no mínimo, procedimentos para
prevenir e responder a incidentes que possam implicar:I
- acesso não autorizado;II
- vazamento de dados; III
- negação de serviço; eIV
- falha na integridade de dados.6.
Estrutura Responsável pela Governança do Open Finance6.1 Cada instituição deve
cadastrar no Diretório de Participantes os dados de contato de seus
representantes para tratamento de incidentes com, no mínimo, e-mail,
chaves criptográficas PGP (se houver) e campo para dados adicionais. Tais dados
devem ser disponibilizados pelo Diretório para acesso aos demais participantes.6.2 Cada instituição deve
disponibilizar os contatos de e-mail das equipes de segurança conforme a
RFC 2142 (abuse e security).6.3 O acesso às áreas restritas do
Diretório de Participantes deve ser:I - permitido apenas a usuários autorizados
pelas instituições participantes ou pela Estrutura Responsável pela Governança
do Open Finance; eII - condicionado à autenticação
por múltiplos fatores.6.4 Os acessos ao Diretório devem
ser registrados em trilhas de auditoria, que devem conter, no mínimo, data e
hora do acesso na timezone UTC, endereço IP de origem da chamada, porta
de comunicação origem da chamada, URI acessada, método HTTP utilizado e status
de retorno, observada a legislação e a regulamentação vigentes.6.5 A Estrutura Responsável pela
Governança do Open Finance deve implementar e manter política de
segurança cibernética formulada com base em princípios e diretrizes que busquem
assegurar a confidencialidade, a integridade e a disponibilidade dos dados e
dos sistemas de informação utilizados, com vistas a contemplar as atividades de
que trata o art. 12 da Resolução BCB nº 32, de 2020.6.6 A política de que trata o item
6.5 deve contemplar:I - os procedimentos e controles
para reduzir a vulnerabilidade a incidentes;II - a execução, no mínimo anual,
de testes de intrusão; III - os mecanismos para
disseminação da cultura de segurança cibernética; e IV - a difusão de boas práticas de
segurança cibernética aos participantes e a outras partes interessadas na
implementação e na operação do Open Finance
no Brasil.6.7 A Estrutura Responsável pela
Governança do Open Finance deve
implementar e manter plano de ação e resposta a incidentes visando à
implementação da política de segurança cibernética de que trata o item 6.5.6.8 O plano de ação e resposta
mencionado no item 6.7 deve contemplar as rotinas, os procedimentos, os
controles e as tecnologias a serem utilizados na prevenção, no monitoramento e
na resposta a incidentes que afetem os serviços definidos no art. 12 da
Resolução BCB nº 32, de 2020.6.9 O monitoramento dos serviços
de que trata o item 6.8 deve ser realizado de forma permanente e estar
disponível 24 horas por dia, 7 dias por semana.6.10 A política referida no item 6.5
e o plano de ação e resposta a incidentes mencionado no item 6.7 devem ser
aprovados pelo Conselho Deliberativo da Estrutura Responsável pela Governança
do Open Finance, após prévia avaliação técnica.6.11 Os testes de intrusão mencionados
no inciso II do item 6.6 devem ser realizados com independência e
imparcialidade por pessoa natural ou empresa especializada contratada para essa
finalidade.6.12 As vulnerabilidades
identificadas nos testes de intrusão devem ser documentadas e tempestivamente
tratadas pela Estrutura Responsável pela Governança do Open Finance.6.13 A Estrutura Responsável pela
Governança do Open Finance deverá instituir Equipe de Tratamento de
Incidentes responsável por:I - prevenir e tratar incidentes
cibernéticos que afetem as atividades de que trata o art. 12 da Resolução BCB
nº 32, de 2020; II - monitorar a utilização de
credenciais de acesso dos participantes às atividades referenciadas no Inciso I;
eIII - responder por eventuais
violações de acesso caso utilizadas as credenciais de que trata o Inciso II. 6.14 É responsabilidade da Equipe
de Tratamento de Incidentes que trata o item 6.13, no âmbito de suas
atribuições, apoiar o tratamento de incidentes que possam implicar risco ao
funcionamento de sistemas relacionados à implementação do Open Finance, especialmente para promover:I - a difusão e o compartilhamento
de indicadores de comprometimento e de informações de inteligência cibernética;
eII - o monitoramento e o
tratamento de incidentes envolvendo as atividades de que trata o art. 12 da
Resolução BCB nº 32, de 2020. 6.15 As informações sobre
incidentes cibernéticos citados no Inciso I do item 6.13 devem ser:I - compartilhadas com os
representantes para tratamento de incidentes das instituições participantes; eII - disponibilizadas ao Banco
Central do Brasil, observada a regulamentação em vigor.6.16 A Estrutura Responsável pela
Governança do Open Finance deve disponibilizar no Portal do Open Finance
no Brasil:I - os padrões de segurança e dos
certificados digitais para fins de compartilhamento de dados e de serviços no
escopo do Open Finance, observada a regulamentação em vigor; eII - as instruções para subsidiar
a emissão de certificados digitais requeridos para as contratações de parceria
para fins de compartilhamento previstas na regulamentação em vigor.6.17 O Diretório de Participantes do
Open Finance deve disponibilizar mecanismos que permitam às autoridades registradoras
a validação de atributos dos certificados digitais de que trata o item 3.9.Brasília, 15 de setembro de 2022. NOTA 1121/2022-BCB/DENOR, DE 9 DE SETEMBRO DE 2022Fundamenta proposta de edição de instrução normativa que estabelece a versão 4.0 do Manual de Segurança no Open Finance.Senhores Chefes do Denor e do Deinf,A presente Nota fundamenta proposta de edição de instrução normativa pelo Departamento de Regulação do Sistema Financeiro (Denor) e pelo Departamento de Tecnologia da Informação (Deinf), no uso da atribuição que lhes confere o art. 23, inciso I, alínea "a", do Regimento Interno do Banco Central do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, e observado o inciso IX do art. 51 da Resolução Conjunta nº 1, de 4 de maio de 2020.2.                    A respeito, a proposta trata de edição de instrução normativa que estabelece a versão 4.0 do Manual de Segurança do Open Finance, revogando a Instrução Normativa BCB nº 134, de 22 de julho de 2021, que divulga a versão 3.0 do Manual de Segurança do Open Banking.3.                 As alterações referem-se à atualização da expressão Open Banking por Open Finance, conforme mudanças realizadas pela Resolução Conjunta nº 4, de 24 de março de 2022, à atualização de referências, aos esclarecimentos sobre o uso de certificados digitais nos casos de comunicação por meio de APIs do Open Finance e sobre os certificados requeridos para as contratações de parceria. Essa alterações buscam melhorar o entendimento do teor do referido manual, após avaliação das equipes de supervisão e de tecnologia da informação deste Banco Central.4.                 Por fim, em atendimento ao previsto no art. 5º da Lei nº 13.874, de 20 de setembro de 2019, o Decreto nº 10.411, de 30 de junho de 2020, determina que as propostas de atos normativos de interesse geral de agentes econômicos formuladas por órgãos e entidades da administração pública federal direta, autárquica e fundacional, bem como por colegiados por meio do órgão ou da entidade encarregada de lhe prestar apoio administrativo, sejam precedidas de Análise de Impacto Regultório (AIR).5.                    No entanto, vale destacar que os ajustes propostos não impactam, de forma significativa, o conjunto de instituições participantes do Open Finance, uma vez que implicam apenas atualizações pontuais, contemplando esclarecimentos de itens específicos do Manual de Segurança. Nesse sentido, de acordo com o art. 4º, inciso III, do referido Decreto, o ato normativo ora proposto fica dispensado de elaboração de AIR por ser considerado de baixo impacto.À consideração de V.Sas.Mardilson Fernandes Queiroz Consultor do Departamento de Regulação do Sistema FinanceiroAristides Andrade Cavalcante Neto Chefe Adjunto do Departamento de Tecnologia da InformaçãoDe acordo.João André Calvino Marques Pereira Chefe do Departamento de Regulação do Sistema FinanceiroHaroldo Jayme Martins Froes Cruz Chefe do Departamento de Tecnologia da Informação </div>

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Acesso Exclusivo para Assinantes

Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.

Entrar na Conta Conhecer Planos

Instrução Normativa BCB N° 305

Sumário Regulatório

Conteúdo do Documento

Acesso Exclusivo para Assinantes

Tags Relacionadas