Publicador de Conteúdos e Mídias

INSTRUÇÃO NORMATIVA BCB Nº 36, DE 29 DE OUTUBRO DE 2020

Brasão do Brasil

Diário Oficial da União

Publicado em: 13/11/2020 | Edição: 217 | Seção: 1 | Página: 55

Órgão: Ministério da Economia/Banco Central do Brasil/Àrea de Regulação/Departamento de Regulação do Sistema Financeiro

INSTRUÇÃO NORMATIVA BCB Nº 36, DE 29 DE OUTUBRO DE 2020

Divulga a versão 1.0 do Manual de Serviços Prestados pela Estrutura Responsável pela Governança do Open Banking.

Os Chefes do Departamento de Regulação do Sistema Financeiro (Denor) e de Tecnologia da Informação (Deinf), no uso das atribuições que lhe conferem os arts. 23, inciso I, alínea "a", 62, inciso IV, do Regimento Interno do Banco Central do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, com base no art. 3º, inciso III, da Resolução BCB nº 32, de 29 de outubro de 2020, resolvem:

Art. 1º Esta Instrução Normativa divulga a versão 1.0 do Manual de Serviços Prestados pela Estrutura Responsável pela Governança do Open Banking, de observância obrigatória por parte das instituições participantes, conforme Anexo.

Parágrafo único. O manual de que trata o caput, em sua versão mais recente, estará acessível na página do Open Banking no sítio eletrônico do Banco Central do Brasil na internet.

Art. 2º Esta Instrução Normativa entra em vigor na data de sua publicação.

Haroldo Jayme Martins Froes Cruz

Chefe do Departamento de Tecnologia da Informação

João André Calvino Marques Pereira

Chefe do Departamento de Regulação do Sistema Financeiro

ANEXO

Manual de Serviços Prestados pela Estrutura Responsável pela Governança do Open Banking Versão 1.0

Histórico de revisão

Data

Versão

Descrição das alterações

29/10/2020

1.0

Versão inicial.

Apresentação

Este manual estabelece os principais requisitos técnicos para a prestação de serviços por parte da estrutura responsável pela governança do processo de implementação no País do Open Banking, em função das determinações constantes da regulamentação vigente.

Termos de Uso

Este manual detalha os requisitos técnicos para a implementação dos elementos necessários à operacionalização do Open Banking, complementando a regulamentação vigente sobre o tema.

O manual será revisto e atualizado periodicamente a fim de preservar a compatibilidade com a regulamentação, bem como para incorporar os aprimoramentos decorrentes da evolução do Open Banking e da tecnologia.

Informações mais detalhadas e exemplos da aplicação deste manual poderão ser encontrados nos guias e tutoriais disponíveis no Portal do Open Banking no Brasil, na Área do Desenvolvedor.

Sugestões, críticas ou pedidos de esclarecimento de dúvidas relativas ao conteúdo deste documento podem ser enviados ao Banco Central do Brasil por meio dos canais institucionais dessa autarquia.

Referências

Estas especificações baseiam-se, referenciam, e complementam, quando aplicável, os seguintes documentos:

Referência

Origem

Resolução Conjunta nº 1, de 2020

https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20Conjunta&numero=1

Resolução BCB nº 32, de 2020

https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=32

Circular nº 4.032, de 2020

https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Circular&numero=4032

1. Introdução

O funcionamento do Open Banking de forma satisfatória pressupõe o provimento de alguns serviços fundamentais. No modelo adotado no País, definido pela Resolução Conjunta nº 1 e pela Resolução BCB nº 32, ambas de 2020, essa incumbência ficou a cargo da estrutura responsável pela governança, nos termos da Circular nº 4.032, de 23 de junho de 2020.

O diretório é o primeiro elemento essencial para a infraestrutura do Open Banking. Ele congrega uma série de funcionalidades críticas, como o gerenciamento de credenciais dos participantes e o monitoramento das APIs.

Os canais de suporte ao diretório e de encaminhamento de demandas às instituições participantes também são importantes para o atendimento das necessidades de apoio técnico na operacionalização do Open Banking, inclusive no que se refere aos aspectos compartilhados da infraestrutura. Eles constituem um ponto focal para recepção e encaminhamento das demandas aos participantes, com o acompanhamento das demandas até a sua resolução.

Outro serviço disponibilizado com o propósito de promover a comunicação não somente entre os participantes do Open Banking, mas com o público em geral, é a manutenção do Portal do Open Banking no Brasil. Nesse portal, tanto o cidadão poderá esclarecer suas dúvidas em relação aos serviços e à tecnologia como o desenvolvedor conseguirá buscar informações de cunho técnico-operacional, além de interagir com seus pares em um ambiente especialmente desenvolvido para essa finalidade.

Esses são alguns dos serviços a serem prestados pela estrutura inicial de governança com o objetivo de viabilizar o Open Banking no País. Naturalmente, haverá uma evolução das necessidades inerentes a essa tecnologia, ainda distante de sua maturidade. Assim, a finalidade deste manual é estabelecer parte dos requisitos mínimos dos serviços essenciais sem a pretensão de ser exaustivo, deixando uma margem para decisão e atuação do mercado nos pontos não cobertos pelo documento, mas necessários para o sucesso da implementação do Open Banking.

2. Diretório de Participantes

O Diretório de Participantes do Open Banking é o ambiente no qual uma instituição autorizada a funcionar pelo Banco Central formaliza sua participação no ecossistema, realizando sua integração para dar início ao compartilhamento de dados, iniciação de transação de pagamento e/ou encaminhamento de proposta de operação de crédito com as demais instituições participantes, por meio de APIs.

O Diretório de Participantes deverá implementar as seguintes funcionalidades:

I - gerenciamento de identidades e acessos: a capacidade de emitir e gerenciar registros de identidade para organizações e pessoas físicas que interagem com o Diretório do Open Banking;

II - gerenciamento de identidade e autorização de aplicações: identificação e autorização das aplicações dos Participantes; e

III - gerenciamento de informações do diretório: a capacidade de atualizar e encontrar as informações mantidas no diretório, por meio de APIs e/ou de uma interface de usuário web.

2.1. Gerenciamento de Identidades e Acessos

A funcionalidade "Gerenciamento de Identidades e Acessos" deverá abranger todos os processos de negócio executados desde o primeiro contato do usuário com a página inicial do Open Banking até o final de sua inscrição como Participante do Diretório.

O Diretório deverá permitir que representantes de instituições possam cadastrá-las como participantes no ecossistema, coletando as informações que permitam sua participação plena e de acordo com as respectivas modalidades de participação.

O processo de cadastramento deverá estar detalhado no Portal do Open Banking no Brasil mantido pela estrutura responsável pela governança do Open Banking.

2.2. Gerenciamento de Identidade e Autorização de Aplicações

A funcionalidade "Gerenciamento de Identidade e Autorização de Aplicações" deverá abranger os processos de negócio envolvidos com a identificação e autorização de participação de aplicações no ecossistema, permitindo um consumo seguro de informações.

Esse processo deverá estar detalhado no Portal do Open Banking no Brasil mantido pela estrutura responsável pela governança do Open Banking.

2.3. Gerenciamento de Informações do Diretório

O Diretório deverá prover funcionalidades que possibilitem a listagem dos participantes, a consulta e alteração dos seus dados, de seus representantes e de seus contatos, bem como o histórico das modificações realizadas. Essas alterações serão passíveis de notificação aos participantes.

Além disso, o Diretório também deverá armazenar e disponibilizar seus indicadores de desempenho e disponibilidade, bem como os dos participantes.

O Diretório deverá também prover funcionalidade para a revogação de certificado e de participante, conforme a regulamentação vigente.

Os processos envolvidos nessas funcionalidades deverão estar detalhados no Portal do Open Banking no Brasil mantido pela estrutura responsável pela governança do Open Banking.

2.4. Acordos de Nível de Serviço (SLAs) do Diretório

Para a primeira fase do Open Banking, o Diretório deverá observar o seguinte nível mínimo de serviço:

Disponibilidade:

I - 24 horas por dia, 7 dias por semana;

II - 95% a cada 24 horas; e

III - 99,5% a cada 3 meses.

Desempenho das APIs: tempo de resposta de percentil 95 em no máximo:

I - 1000ms para alta prioridade;

II - 1500ms para média prioridade; e

III - 4000ms para admin.

Há perspectiva de elevação dos níveis mínimos de serviço para as fases seguintes de implementação do Open Banking, de forma a harmonizá-los com os dos sistemas de pagamentos críticos.

2.5. Monitoramento de desempenho e de disponibilidade

O Diretório deverá armazenar e disponibilizar os dados estatísticos de desempenho e disponibilidade do Open Banking, com frequência mínima que permita aferir o atendimento dos acordos de nível de serviço:

I - das APIs dos Participantes; e

II - dos elementos da infraestrutura compartilhada

3. Service Desk

O Service Desk é o ambiente no qual o ecossistema de Open Banking no País requisita e mantém, de forma centralizada, os tickets de suporte técnico relacionados ao Diretório de Participantes, às suas APIs e aos dados e serviços compartilhados entre os participantes.

Nesse ambiente deverão ser oferecidas quatro funcionalidades básicas:

I - solução de dúvidas gerais;

II - suporte na emissão de tickets;

III - suporte a notificações; e

IV - suporte aos serviços prestados pela estrutura responsável pela governança.

3.1. Solução de dúvidas gerais

Deverão ser providas duas áreas para solução de dúvidas técnicas relacionadas ao Open Banking, a saber: perguntas frequentes (FAQ) e um canal de atendimento, que poderá ser implementado com atendimento de forma automatizada, sem intervenção humana.

3.1.1 Perguntas Frequentes

Nesta área deverão ser encontradas as respostas para os questionamentos mais frequentes relacionados ao suporte técnico, ao Diretório, às APIs e aos dados e serviços compartilhados entre as instituições participantes, de modo que algumas dúvidas possam ser sanadas de maneira rápida e independente.

O conteúdo inicial deste ambiente precisará ser discutido e elaborado pela estrutura responsável pela governança do Open Banking e deverá ser reavaliado a cada lançamento de versão major das APIs, de forma a atender seu objetivo de esclarecer dúvidas frequentes do público.

3.1.2 Canal de Atendimento

Deverá ser disponibilizado canal de atendimento para suporte técnico, que poderá ser implementado com atendimento de forma automatizada, sem intervenção humana. Nesse canal, poderão ser obtidas respostas para dúvidas de menor complexidade.

As respostas deverão ser classificadas conforme o grau de sensibilidade, devendo a informação fornecida ser de acordo com o perfil do demandante, que poderá ser desde uma instituição participante até um cidadão interessado em tecnologia.

Caso não seja possível atender às necessidades do demandante por meio do canal automatizado, deverá ser oferecida a possibilidade de abertura de ticket.

3.2. Suporte na abertura de tickets

3.2.1 Tipos de tickets

O Service Desk deverá suportar pelo menos dois tipos de tickets:

I - requisições: pedidos de informações ou sugestões de melhorias; e

II - incidentes: comunicação de falhas em algum serviço.

3.2.2 Gerenciamento de tickets

3.2.2.1 Princípios para o gerenciamento de tickets

Deverá ser implementada uma sistemática que permita a definição dos estados de atendimento dos tickets, bem como as transições entre os estados, de forma a permitir a adoção de ações adequadas ao seu tratamento, a exemplo de: triagem, enfileiramento, atribuição, resposta, avaliação e devolução. Essa sistemática deverá estar detalhada no Portal do Open Banking no Brasil mantido pela estrutura responsável pela governança do Open Banking.

3.2.2.2 Abertura de tickets

O Service Desk deverá permitir a abertura de tickets via canal de atendimento, ou adicionalmente, no caso de uma instituição participante, por meio de API específica.

Na abertura de um ticket deverá ser gerado um número de protocolo, que deverá ser informado ao demandante. Nesse momento, começará a contar prazo para atendimento da demanda, conforme acordo de nível de serviço especificado no item 3.2.2.5.

3.2.2.3 Classificação de criticidade do ticket

As regras de classificação de criticidade deverão ser aplicadas às informações do ticket e o resultado deverá estar associado ao mesmo antes do direcionamento às instituições participantes. Essas regras estão definidas na seção 3.2.2.5.

3.2.2.4 Trilha de auditoria do ticket

Toda atualização que ocasione uma mudança do estado de atendimento ou do conteúdo do ticket deverá ser devidamente registrada e armazenada para acesso futuro e para fins de verificação ou auditoria, observados os prazos de armazenamento previstos na regulamentação vigente.

3.2.2.5 SLAs para atendimento dos tickets

As metas para atendimento dos tickets que se referem às requisições devem ser as seguintes:

Tipo de requisição

Criticidade

Prazo máximo

Solicitações de Informações

1

120 horas

Sugestões de Melhorias

2

240 horas

As metas para atendimento dos tickets relacionados a incidentes devem ser as seguintes:

Criticidade

Incidente afeta

Prazo máximo

1

APIs de alta prioridade

Serviços relacionados à identidade/segurança

Service Desk

1 hora

2

APIs de média prioridade

Área do consumidor

Área do desenvolvedor

2 horas

3

APIsadmin

Serviços do Diretório não relacionados à identidade/segurança

8 horas

4

Demais elementos

24 horas

Os prazos se referem ao tempo total de atendimento, desde a geração do protocolo até o encerramento do ticket, englobando o tempo dispendido no Service Desk e nos participantes demandados, sendo vedada a suspensão do tempo de sua contagem.

3.2.2.6 Notificação de atualização dos tickets

Toda atualização no ticket (conteúdo e/ou estado de atendimento) deverá ser notificada ao demandante. Os participantes demandados também poderão receber notificações.

3.3. Suporte a notificações

O Service Desk deverá prover funcionalidade para notificação e divulgação de informações relevantes para as instituições participantes e demais interessados.

O processo envolverá o reporte, inserção em quadro de notícias e o envio de informações às instituições participantes.

3.3.1 Tipos de notificações

As seguintes informações deverão ser reportadas:

I - problemas nas implementações das APIs;

II - atualizações em tempo real sobre indisponibilidade de APIs;

III - notificações sobre indisponibilidades programadas; e

IV - notificações sobre reestabelecimento de serviços.

Também deverão ser reportadas as seguintes mudanças técnicas:

I - atualizações nas implementações das APIs;

II - atualizações de políticas de segurança e/ou participantes;

III - atualizações no Diretório; e

IV - atualizações nas definições de APIs.

O detalhamento das informações e as formas de notificação deverão estar previstos no Portal do Open Banking no Brasil mantido pela estrutura responsável pela governança do Open Banking.

3.4. Suporte aos serviços prestados pela Estrutura Responsável pela Governança

O Service Desk deverá prover suporte aos seguintes tópicos relacionados aos serviços prestados pela Estrutura Responsável pela Governança do Open Banking:

I - registro dos participantes no diretório;

II - acesso ao diretório;

III - atualizações do diretório; e

IV - consultas, problemas técnicos e reclamações quanto aos serviços prestados pela estrutura responsável pela governança do Open Banking.

3.5. SLAs do Service Desk

O Service Desk deverá observar o seguinte nível mínimo de serviço:

Disponibilidade:

I - 24 horas por dia, 7 dias por semana;

II - 95% a cada 24 horas; e

III - 99,5% a cada 3 meses.

Desempenho das APIs: tempo de resposta de percentil 95 em no máximo:

I - 1000ms para alta prioridade;

II - 1500ms para média prioridade; e

III - 4000ms para admin.

Há perspectiva de elevação dos níveis mínimos de serviço para as fases seguintes de implementação do Open Banking, de forma a harmonizá-los com os dos sistemas de pagamentos críticos.

4. Portal do Open Banking Brasil

4.1. Área do Desenvolvedor

Deverá ser disponibilizada uma Área do Desenvolvedor. Este será um ambiente aberto, partindo de um escopo inicial de informações e evoluindo ao longo do tempo em linha com o desenvolvimento do Open Banking.

O conteúdo a seguir deverá ser disponibilizado de forma obrigatória:

I - especificações de APIs de canais de atendimento e de produtos e Serviços das Instituições;

II - especificações de APIs de dados cadastrais e transacionais de clientes;

III - especificações de API de iniciação de transação de pagamentos;

IV - especificações de APIs do Diretório e do Service Desk;

V - especificações de APIs de relatórios e métricas;

VI - especificações de registro;

VII - perfil de segurança;

VIII - problemas conhecidos da especificação;

IX - diretrizes operacionais;

X - diretrizes de experiência do cliente;

XI - diretrizes técnicas do diretório;

XII - calendário;

XIII - guias de Implementação;

XIV - tempo de Indisponibilidade das APIs;

XV - problemas;

XVI - perguntas frequentes (FAQ);

XVII - histórico de especificações; e

XVIII - histórico de alterações.

Se algum item ainda estiver pendente de especificação, a informação "a ser publicada" deverá ser prestada.

4.2. Área do Cidadão

Deverá ser disponibilizada uma Área do Cidadão, um ambiente aberto, partindo de um escopo inicial de informações e evoluindo ao longo do tempo em linha com o desenvolvimento do Open Banking.

O conteúdo a seguir deverá ser disponibilizado de forma obrigatória:

I - o que é o Open Banking? - explicação sobre o ecossistema do Open Banking, incluindo sua origem, benefícios e aplicações, além do seu modo de funcionamento;

II - perguntas frequentes (FAQ) - resposta as dúvidas recorrentes dos cidadãos, em especial quanto a forma de participação nesse ecossistema e canais para apresentação de demandas;

III - instituições participantes - mecanismo de busca de instituições participantes no ecossistema do Open Banking e que provêm serviços no ambiente de produção;

IV - insights - vídeos informativos e educativos sobre o tema, com visões de diferentes participantes;

V - notícias - informações de interesse do cidadão;

VI - eventos - lista informativa de eventos sobre Open Banking, a exemplo de fóruns, conferências, painéis de discussão e eventos de networking; e

VII - glossário - principais termos utilizados no contexto do Open Banking, com vistas a facilitar o entendimento de consumidores.

Brasília, 29 de outubro de 2020.

Este conteúdo não substitui o publicado na versão certificada.

Borda do rodapé
Logo da Imprensa