INSTRUÇÃO NORMATIVA BCB Nº 305, DE 15.09.2022
This template is based on the Smarty template engine
Please find the documentation at
http://www.form2content.com/documentation.
The list of all possible template parameters can be found
here.
INSTRUÇÃO NORMATIVA BCB Nº 305, DE 15.09.2022
This is an automatically generated default intro template - please do not edit.
ementa: Divulga a versão 4.0 do Manual de Segurança do Open Finance.
revogada:
assunto:
Secao_Responsabilidades_Ramos:
Secao_Riscos_Especiais_Ramos:
Secao_Automovel_Ramos:
Secao_Transportes_Ramos:
Secao_Riscos_Financeiros_Ramos:
Secao_Pessoas_Coletivo_Ramos:
Secao_Habitacional_Ramos:
Secao_Rural_Ramos:
Secao_Pessoas_Individuais_Ramos:
Secao_Maritimos_Ramos:
Secao_Aeronauticos_Ramos:
Secao_Resseguros_Ramos:
normas_contabeis:
materia:
INSTRUÇÃO NORMATIVA BCB Nº 305, DE 15.09.2022
Divulga a versão 4.0 do Manual de Segurança do Open Finance.
Os Chefes do Departamento de Regulação do Sistema Financeiro (Denor) e do Departamento de Tecnologia da Informação (Deinf), no uso das atribuições que lhes conferem os arts. 23, inciso I, alínea "a", 62, inciso IV, e 116, inciso I, alínea "b", do Regimento Interno do Banco Central do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, com base no art. 3º, inciso IV, da Resolução BCB nº 32, de 29 de outubro de 2020, RESOLVEM:
Art. 1º Esta Instrução Normativa divulga a versão 4.0 do Manual de Segurança do Open Finance, de observância obrigatória por parte das instituições participantes, conforme Anexo.
Parágrafo único. O manual de que trata o caput, em sua versão mais recente, estará acessível na página do Open Finance no sítio eletrônico do Banco Central do Brasil na internet e no Portal Open Finance do Brasil, mantido pela Estrutura Responsável pela Governança do Open Finance de que trata o art. 44, § 1º, da Resolução Conjunta nº 1, de 4 de maio de 2020.
Art. 2º Fica revogada a Instrução Normativa BCB nº 134, de 22 de julho de 2021.
Art. 3º Esta Instrução Normativa entra em vigor em 1º de outubro de 2022.
JOÃO ANDRÉ CALVINO MARQUES PEREIRA
Chefe do Departamento de Regulação do Sistema Financeiro
HAROLDO JAYME MARTINS FROES CRUZ
Chefe do Departamento de Tecnologia da Informação
(DOU de 19.09.2022 – págs. 230 a 232 – Seção 1)
ANEXO
Manual de Segurança do Open Finance Versão 4.0
Histórico de revisão
|
Data
|
Versão
|
Descrição das alterações
|
|
15/09/2022
|
4.0
|
Aprimoramentos na redação do texto, sem alteração de mérito.
|
| |
|
Alteração da nomenclatura de Open Banking para Open Finance.
|
| |
|
Atualização de referências.
|
| |
|
Alteração do item 3.9, com a restrição de escopo de sua aplicação.
|
| |
|
Alteração do item 3.12, dispondo sobre os certificados requeridos para as contratações de parceria.
|
Termos de Uso
Este manual detalha os requisitos técnicos para a implementação dos elementos necessários à operacionalização do Open Finance, complementando a regulamentação vigente sobre o tema.
O manual será revisto e atualizado periodicamente a fim de preservar a compatibilidade com a regulamentação, bem como para incorporar os aprimoramentos decorrentes da evolução do Open Finance e da tecnologia.
Informações mais detalhadas e exemplos da aplicação deste manual poderão ser encontrados nos guias e tutoriais disponíveis no Portal do Open Finance no Brasil, na Área do Desenvolvedor.
Sugestões, críticas ou pedidos de esclarecimentos de dúvidas relativas ao conteúdo deste documento podem ser enviados ao Banco Central do Brasil por meio dos canais institucionais dessa autarquia.
Referências
Estas especificações baseiam-se, referenciam, e complementam, quando aplicável, os seguintes documentos:
|
Referência
|
Origem
|
|
Resolução Conjunta nº 1, de 2020
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20Conjunta&numero=1
|
|
Resolução Conjunta nº 4, de 2022
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20Conjunta&numero=4
|
|
Resolução BCB nº 32, de 2020
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=32
|
|
Resolução BCB nº 85, de 2021
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=85
|
|
Resolução BCB nº 109, de 2021
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=109
|
|
Instrução Normativa BCB n° 136, de 2021
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Instru%C3%A7%C3%A3o%20Normativa%20BCB&numero=136
|
|
Resolução CMN nº 4.893, de 2021
|
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20CMN&numero=4893
|
|
Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709, de 2018)
|
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
|
|
BCP 195/RFC 7525
|
https://tools.ietf.org/html/rfc7525
|
|
Owasp API Top 10
|
https://owasp.org/www-project-api-security/
|
|
Sans Top 25 Software Errors
|
https://www.sans.org/top25-software-errors
|
|
CWE Top 25 Software Weaknesses
|
https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html
|
|
NIST 800-88
|
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
|
|
ICP Brasil - Manual de Condutas Técnicas 7 - Volume I
|
https://www.gov.br/iti/pt-br/centrais-de-conteudo/mct-7-vol-1-v-2-2-pdf
|
|
Medida Provisória nº 2.200-2, de 24 de Agosto de 2001
|
http://www.planalto.gov.br/ccivil_03/mpv/antigas_2001/2200-2.htm
|
1. Introdução
Este manual detalha em termos operacionais as diretrizes de segurança estabelecidas pela Resolução Conjunta nº 1, de 4 de maio de 2020, e pela Resolução BCB nº 32, de 29 de outubro de 2020. Ele contém tanto os requisitos mínimos de segurança obrigatórios para as instituições participantes como para os demais elementos que compõem a Estrutura Responsável pela Governança do Open Finance.
Para garantir a segurança do Open Finance no País, a regulamentação vigente estabelece a obrigatoriedade de se cumprir uma série de medidas, entre as quais as descritas neste manual.
No tocante aos requisitos obrigatórios para as instituições participantes, este manual apresenta as seguintes seções: 2. governança, 3. proteção, 4. detecção e 5. reação. Os requisitos obrigatórios para a Estrutura Responsável pela Governança constam da Seção 6.
Este manual prescreve os requisitos mínimos de segurança necessários para:
I - o compartilhamento de dados sobre canais de atendimento e produtos e serviços de que trata o art. 5º, inciso I, alíneas "a" e "b", itens 1 a 5, da Resolução Conjunta n o 1, de 2020;
II - o compartilhamento de dados de cadastro e de transações de que trata o art. 5º, inciso I, alíneas "c" e "d", itens 1 a 5, da Resolução Conjunta nº 1, de 2020; e
III - o compartilhamento do serviço de iniciação de transação de pagamento relacionado com o arranjo Pix, de que tratam os arts. 5º, inciso II, alínea "a", da Resolução Conjunta nº 1, de 2020, e 6º, inciso IV, da Circular nº 4.015, de 4 de maio de 2020.
À medida que o Open Finance abranger o compartilhamento de outros dados e serviços, novos requisitos de segurança poderão ser acrescentados a este manual, em complemento à regulamentação aplicável.
Ao longo deste documento será constante o uso de siglas para designar algumas expressões cotidianas dos profissionais da área de segurança da informação. Alguns exemplos das mais frequentemente utilizadas, com as correspondentes definições, são as seguintes:
I - ACL: Access Control List;
II - API: Application Programming Interface;
III - ETIR: Equipe de Tratamento de Incidentes;
IV - HTTP: HyperText Transfer Protocol;
V - ICP-Brasil: Infraestrutura de Chaves Públicas Brasileira;
VI - IP: Internet Protocol;
VII - NTP: Network Time Protocol;
VIII - PFS: Perfect Forward Secrecy;
IX - PGP: Pretty Good Privacy;
X - TCP: Transmission Control Protocol;
XI - TLS: Transport Layer Security;
XII - URI: Uniform Resource Identifier; e
XIII - UTC: Universal Time Coordinated.
2. Governança
2.1 As instituições participantes do Open Finance devem adotar processos para acompanhar a publicação e a entrada em vigor de atos normativos com impacto no tema, de forma a estarem permanentemente atualizadas com as determinações regulamentares.
2.2 Compõem, de forma não exaustiva, o rol de atos normativos cuja observância é essencial pelas instituições participantes do Open Finance:
I - a Resolução Conjunta CMN/BCB nº 1, de 2020;
II - as Resoluções editadas pelo Conselho Monetário Nacional (CMN) e as normas editadas pelo Banco Central do Brasil aplicáveis às instituições participantes, inclusive as que dispõem sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e computação em nuvem; e
III - a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709, de 2018).
2.3 O plano de ação e resposta a incidentes das instituições participantes deve abranger os procedimentos e os controles a serem utilizados na prevenção e resposta a incidentes que afetem sistemas, APIs e outros recursos relacionados à implementação e à operação do Open Finance, de forma compatível com a política de segurança cibernética da instituição e com a regulamentação vigente.
2.4 As instituições participantes devem definir procedimentos e controles voltados à prevenção e ao tratamento de incidentes a serem adotados pelas empresas prestadoras de serviços a terceiros que manuseiem dados ou informações requeridos para a condução das atividades relativas ao Open Finance, em compatibilidade com a política de que trata o item 2.3 e com a regulamentação vigente.
2.5 Os procedimentos e controles de que trata o item 2.4 devem ser divulgados às empresas prestadoras de serviços mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e sensibilidade das informações.
2.6 As instituições participantes, previamente à contratação de serviços requeridos para a condução das atividades relativas ao Open Finance, devem adotar procedimentos que contemplem a verificação da capacidade do potencial prestador de serviço de assegurar o cumprimento da legislação e da regulamentação vigente.
2.7 As instituições devem armazenar e processar os dados discriminados na etapa de consentimento segundo a finalidade para a qual foram compartilhados e de maneira segura, observadas a legislação e a regulamentação vigentes.
2.8 As instituições participantes devem manter suas informações cadastrais permanentemente atualizadas no Diretório de Participantes do Open Finance, observada a regulamentação vigente.
3. Proteção
3.1 O acesso aos dados e ao serviço de iniciação de transação de pagamento no âmbito do Open Finance deve ser realizado exclusivamente por meio de APIs.
3.2 Os sistemas e APIs relacionados ao Open Finance devem ser mantidos em rede interna segregada logicamente de redes ordinariamente utilizadas por estações de trabalho ou redes sem fio.
3.3 As instituições transmissoras de dados e detentoras de conta devem implementar controles de tráfego de entrada e saída, de forma a permitir apenas o necessário para comunicação com as APIs de Open Finance.
3.4 As instituições devem implementar criptografia na comunicação com as APIs de Open Finance expostas publicamente, por meio do protocolo TLS na versão 1.2 ou superior, utilizando cifras (cipher suites) que atendam ao requisito de perfect forward secrecy (PFS).
3.5 As funcionalidades "TLS Session Resumption" e "TLS Renegotiation" devem ser desabilitadas.
3.6 As instituições devem aplicar controles de segurança na camada de aplicação que permitam a inspeção de ameaças e o bloqueio de ataques de injeção de código, entre outros, adequados às tecnologias utilizadas nas APIs.
3.7 As instituições não devem expor os repositórios de dados utilizados no Open Finance diretamente à internet.
3.8 As instituições participantes devem verificar e garantir que a quantidade, a ordem, o formato, o tamanho e o conteúdo dos campos das requisições de acesso às APIs, bem como suas respostas, estejam de acordo com os estabelecidos pelas definições de Open Finance.
3.9 Para assinatura de mensagens e comunicação segura com APIs usadas para os compartilhamentos de dados de cadastro e de transações de clientes e do serviço de iniciação de transação de pagamento relacionado com o arranjo Pix, devem ser utilizados certificados digitais válidos, emitidos por autoridade certificadora participante da ICP-Brasil, de acordo com os padrões para certificação digital estabelecidos pela Estrutura Responsável pela Governança do Open Finance.
3.10 Os certificados digitais de que trata o item 3.9 devem contemplar mecanismos para a proteção dos canais de comunicação e para a assinatura ou criptografia de mensagens trocadas com APIs.
3.11 Admite-se, para emprego no ambiente de testes de APIs de que trata o art. 12, inciso IV da Resolução BCB n o 32, de 2020, o uso de certificados digitais emitidos pelo serviço de Diretório da Estrutura Responsável pela Governança do Open Finance.
3.12 Os certificados requeridos para as contratações de parceria devem observar a legislação e regulamentação em vigor e seguir, no que couber, os padrões de certificado digital definidos pela Estrutura Responsável pela Governança do Open Finance. Os padrões de que trata este item devem contemplar a formatação do certificado, os algoritmos criptográficos e os atributos estabelecidos.
3.13 Para o estabelecimento de conexões TLS das chamadas de endpoints confidenciais devem ser utilizados os seguintes algoritmos:
I - 'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256'; e
II - 'TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384'.
3.14 Os certificados utilizados para comunicação de sistemas Front-End, acessados diretamente por clientes das instituições participantes, em especial para realizar autenticação, devem ser do tipo Extended Validation (EV) e podem ser emitidos por autoridade certificadora em funcionamento.
3.15 Os procedimentos e controles relativos à criptografia devem contemplar meios seguros de armazenamento, transferência, utilização e destruição de segredos ou chaves empregados no âmbito do Open Finance, observada a regulamentação vigente.
3.16 Recomenda-se utilizar os seguintes algoritmos criptográficos para proteção e armazenamento de segredos no âmbito do Open Finance:
I - 'AES-256bits' ou superior;
II - 'SHA-256bits' ou superior; e
III - 'RSA-2048bits' ou superior.
3.17 É recomendável que os segredos e as chaves utilizados para autenticar, proteger e garantir a integridade de dados sejam gerados de maneira a respeitar processos de duplo controle e tratamento de segredo (split-knowledge), armazenando registros de log que incluam data de geração, participantes e responsáveis pela custódia, quando aplicável e de forma compatível com a regulamentação vigente.
3.18 As instituições participantes devem implementar procedimentos e controles de segurança para análise de vulnerabilidades nas etapas de desenvolvimento e de utilização em produção das versões das APIs utilizadas no Open Finance, observada a regulamentação vigente.
3.19 As vulnerabilidades de que trata o item 3.18 devem ser categorizadas e priorizadas de acordo com classificação de risco.
3.20 Os participantes devem implementar processos de revisão periódica das configurações dos sistemas e das APIs utilizados no Open Finance, para garantir que somente portas e serviços autorizados estejam habilitados, observada a regulamentação vigente.
3.21 As instituições participantes devem garantir que portais e aplicações relacionados à implementação e à operação do Open Finance possuam meios de autenticação adequados e controle de autorização em observância à regulamentação vigente.
3.22 O processo de autenticação deve ser sempre realizado por meio de canal de comunicação seguro, utilizando criptografia TLS 1.2 ou superior, de forma compatível com a regulamentação vigente.
3.23 Os acessos remotos para administração de sistemas ou da infraestrutura relacionados ao Open Finance devem ser realizados mediante uso de múltiplos fatores de autenticação, observada, no que couber, a compatibilidade com a regulamentação vigente.
3.24 As instituições devem implementar processo formal de aplicação de patch que contemple os sistemas relacionados à implementação do Open Finance, de forma compatível com a política de segurança cibernética da instituição, observada regulamentação vigente.
3.25 Os sistemas e APIs relacionados ao Open Finance devem possuir relógio sincronizado com fonte confiável de tempo, por exemplo, por meio do uso do protocolo NTP.
3.26 As APIs e os sistemas relacionados ao Open Finance devem ser implementados usando padrões de configuração segura (hardening), observada a regulamentação vigente.
4. Detecção
4.1 As instituições participantes devem manter trilhas de auditoria contendo, no mínimo, endereço IP de origem da chamada, porta de comunicação origem da chamada, data, hora, sistema, usuário (quando aplicável), objeto, falha ou sucesso da ação das configurações realizadas nos sistemas e APIs relacionados ao Open Finance, observadas a legislação e regulamentação vigentes.
4.2 As instituições participantes devem monitorar os registros relativos aos acessos das APIs relacionadas ao Open Finance, em especial os registros que indicarem erros internos (ex: status HTTP 500) ou requisições inválidas (ex: status HTTP 400), observada a regulamentação vigente.
4.3 As instituições participantes devem monitorar a volumetria e o padrão das requisições às APIs relacionadas ao Open Finance, para detecção de incidentes relacionados aos incisos I a IV do item 5.5.
5. Reação
5.1 É facultado às instituições participantes transmissoras de dados e detentoras de conta implementar bloqueio de acessos às suas APIs, com vistas a tratar riscos cibernéticos ou para tratar incidentes cibernéticos em andamento. A implementação desses bloqueios deve ser compatível com a política de segurança cibernética da instituição.
5.2 Em caso de comprometimento de qualquer credencial relacionada ao Open Finance, a instituição participante deve revogá-la tempestivamente perante o Diretório de Participantes e compartilhar essa informação com as demais instituições participantes, observada a regulamentação vigente.
5.3 No caso de comprometimento de certificados de segurança, a instituição participante do Open Finance deve solicitar tempestivamente a revogação do certificado comprometido à autoridade certificadora e compartilhar essa informação com a Estrutura Responsável pela Governança do Open Finance e com as demais instituições participantes, observada a regulamentação vigente.
5.4 Sem prejuízo do dever de sigilo e da livre concorrência, as instituições participantes devem compartilhar com as demais instituições participantes e com a Estrutura Responsável pela Governança do Open Finance informações sobre incidentes cibernéticos que afetem os serviços do Open Finance, observando a regulamentação vigente.
5.5 No âmbito do Open Finance, observada a regulamentação vigente, o plano de ação e resposta a incidentes deve contemplar, no mínimo, procedimentos para prevenir e responder a incidentes que possam implicar:
I - acesso não autorizado;
II - vazamento de dados;
III - negação de serviço; e
IV - falha na integridade de dados.
6. Estrutura Responsável pela Governança do Open Finance
6.1 Cada instituição deve cadastrar no Diretório de Participantes os dados de contato de seus representantes para tratamento de incidentes com, no mínimo, e-mail, chaves criptográficas PGP (se houver) e campo para dados adicionais. Tais dados devem ser disponibilizados pelo Diretório para acesso aos demais participantes.
6.2 Cada instituição deve disponibilizar os contatos de e-mail das equipes de segurança conforme a RFC 2142 (abuse e security).
6.3 O acesso às áreas restritas do Diretório de Participantes deve ser:
I - permitido apenas a usuários autorizados pelas instituições participantes ou pela Estrutura Responsável pela Governança do Open Finance; e
II - condicionado à autenticação por múltiplos fatores.
6.4 Os acessos ao Diretório devem ser registrados em trilhas de auditoria, que devem conter, no mínimo, data e hora do acesso na timezone UTC, endereço IP de origem da chamada, porta de comunicação origem da chamada, URI acessada, método HTTP utilizado e status de retorno, observada a legislação e a regulamentação vigentes.
6.5 A Estrutura Responsável pela Governança do Open Finance deve implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados, com vistas a contemplar as atividades de que trata o art. 12 da Resolução BCB nº 32, de 2020.
6.6 A política de que trata o item 6.5 deve contemplar:
I - os procedimentos e controles para reduzir a vulnerabilidade a incidentes;
II - a execução, no mínimo anual, de testes de intrusão;
III - os mecanismos para disseminação da cultura de segurança cibernética; e
IV - a difusão de boas práticas de segurança cibernética aos participantes e a outras partes interessadas na implementação e na operação do Open Finance no Brasil.
6.7 A Estrutura Responsável pela Governança do Open Finance deve implementar e manter plano de ação e resposta a incidentes visando à implementação da política de segurança cibernética de que trata o item 6.5.
6.8 O plano de ação e resposta mencionado no item 6.7 deve contemplar as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção, no monitoramento e na resposta a incidentes que afetem os serviços definidos no art. 12 da Resolução BCB nº 32, de 2020.
6.9 O monitoramento dos serviços de que trata o item 6.8 deve ser realizado de forma permanente e estar disponível 24 horas por dia, 7 dias por semana.
6.10 A política referida no item 6.5 e o plano de ação e resposta a incidentes mencionado no item 6.7 devem ser aprovados pelo Conselho Deliberativo da Estrutura Responsável pela Governança do Open Finance, após prévia avaliação técnica.
6.11 Os testes de intrusão mencionados no inciso II do item 6.6 devem ser realizados com independência e imparcialidade por pessoa natural ou empresa especializada contratada para essa finalidade.
6.12 As vulnerabilidades identificadas nos testes de intrusão devem ser documentadas e tempestivamente tratadas pela Estrutura Responsável pela Governança do Open Finance.
6.13 A Estrutura Responsável pela Governança do Open Finance deverá instituir Equipe de Tratamento de Incidentes responsável por:
I - prevenir e tratar incidentes cibernéticos que afetem as atividades de que trata o art. 12 da Resolução BCB nº 32, de 2020;
II - monitorar a utilização de credenciais de acesso dos participantes às atividades referenciadas no Inciso I; e
III - responder por eventuais violações de acesso caso utilizadas as credenciais de que trata o Inciso II.
6.14 É responsabilidade da Equipe de Tratamento de Incidentes que trata o item 6.13, no âmbito de suas atribuições, apoiar o tratamento de incidentes que possam implicar risco ao funcionamento de sistemas relacionados à implementação do Open Finance, especialmente para promover:
I - a difusão e o compartilhamento de indicadores de comprometimento e de informações de inteligência cibernética; e
II - o monitoramento e o tratamento de incidentes envolvendo as atividades de que trata o art. 12 da Resolução BCB nº 32, de 2020.
6.15 As informações sobre incidentes cibernéticos citados no Inciso I do item 6.13 devem ser:
I - compartilhadas com os representantes para tratamento de incidentes das instituições participantes; e
II - disponibilizadas ao Banco Central do Brasil, observada a regulamentação em vigor.
6.16 A Estrutura Responsável pela Governança do Open Finance deve disponibilizar no Portal do Open Finance no Brasil:
I - os padrões de segurança e dos certificados digitais para fins de compartilhamento de dados e de serviços no escopo do Open Finance, observada a regulamentação em vigor; e
II - as instruções para subsidiar a emissão de certificados digitais requeridos para as contratações de parceria para fins de compartilhamento previstas na regulamentação em vigor.
6.17 O Diretório de Participantes do Open Finance deve disponibilizar mecanismos que permitam às autoridades registradoras a validação de atributos dos certificados digitais de que trata o item 3.9.
Brasília, 15 de setembro de 2022.
Secao_Microsseguros:
Secao_Ent_Fechadas_Prev_Complem:
Leia mais...
