O Chefe do Departamento de Competição e de Estrutura do Mercado Financeiro (Decem), no uso das atribuições que lhe conferem os arts. 23, inciso I, alínea "a", e 94, caput, inciso IX, do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de 21 de setembro de 2023, e tendo em vista o disposto no art. 2º, caput, inciso VI, do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020, resolve:

Art. 1º Esta Instrução Normativa divulga a versão 3.7 do Manual de Segurança do Pix, que compõe o Regulamento do Pix, conforme art. 2º do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020.

Parágrafo único. O Manual de Segurança do Pix está disponível no endereço eletrônico do Banco Central do Brasil na internet: https://www.bcb.gov.br/content/estabilidadefinanceira/cedsfn/Manual_de_Seguranca_PIX.pdf

Art. 2º Fica revogada a Instrução Normativa BCB nº 449, de 12 de janeiro de 2024.

Art. 3º Esta Instrução Normativa entra em vigor na data de sua publicação.

Ricardo Teixeira Leite Mourão

ANEXO

Manual de Segurança do Pix Versão 3.7

Histórico de revisão

Data

Versão

Descrição das alterações

16/1/2020

1.0

Versão inicial.

24/3/2020

2.0

· Alteração do nome do Ecossistema de Pagamentos Instantâneos para PIX;

· Atualização e inclusão de referências;

· Alteração da seção 1.2 e subseções para incluir o processo de assinatura digital no DICT;

· Detalhamento dos processos de ativação e desativação de certificados digitais do BC e dos participantes (seções 1.3.2 a 1.3.4)

· Inclusão da seção 1.3.5: Verificação da revogação de certificados digitais;

Inclusão da seção 1.4: Segurança deQR Codesdinâmicos.

12/8/2020

3.0

·Renumeração e reordenação das seções do Manual;

·Inclusão da seção 6: "Logs de auditoria";

·Aprimoramento da seção 4: "Segurança deQR Codesdinâmicos";

·Alterações na seção 5: "Certificados digitais", incluindo:

Detalhamento de cada tipo de certificado digital utilizado no Pix;

          
Maior clareza das regras para envio de certificados;

Aprimoramentos nas seções de ativação, desativação e verificação de revogação de certificados.

·Alteração no exemplo de mensagempacs.008na seção 3.2;

·Atualização de referências;

·Correção de pequenos erros no documento.

6/10/2020

3.1

·Aprimoramentos na seção 5: "Certificados digitais", em especial no que tange aos certificados para sites/domínios deQR Codesdinâmicos;

Pequenas alterações e correções no documento.

4/2/2021

3.2

·Aprimoramentos nas seções 4.2 ("Definições do padrão JWS") e 4.3 ("Validações a serem feitas pelos aplicativos");

Atualização de referências.

5/7/2021

3.3

Criação da nova seção 6, intitulada "Implementação segura de aplicativos,APIse outros sistemas".

29/10/2021

3.4

·Alteração da seção 5 "Certificados digitais" para prever a transição para o novo padrão do certificado de autenticação e criptografia da conexão utilizado pelo BC e mudança no procedimento de desativação do certificado dos participantes.

Ajustes de redação para maior clareza.

16/11/2022

3.5

·Ajustes na seção de certificados digitais - itens 5.1, 5.4.3, 5.4.4 e 5.5.

Ajustes na seção 6 - alteração dos itens 1 e 5, inclusão do item 7 e outras pequenas alterações.

1/2/2024

3.6

·Inclusão (seção 5.2) de prazo regulamentar para atualização de certificados digitais.

·Ajustes de redação para enfatizar a obrigatoriedade da adequada guarda de chaves criptográficas privadas e de boas práticas de gestão de certificados e chaves (seção 5.2 e 5.3).

·Ajustes de redação para maior clareza.

05/06/2025

3.7

·Inclusão da seção 4.4 com requisitos obrigatórios para a modalidade Pix por aproximação.

·Alteração da seção 5.5, sobre desativação de certificados, e inclusão das modalidades de desativação "programada" ou "decorrente de incidente de segurança"

·Alteração da seção 6.6, definindo o algoritmo deToken Bucketcomo obrigatório para consultas à base interna de chaves;

·Alteração da seção 7 - Dados de auditoria, para definição de prazos de retenção e inclusão da obrigação de retenção de logs de APIs;

          
·Inclusão da Seção 7.4: Dados de APIS do Participante

NOTA

O Decreto nº 10.411, de 30 de junho de 2020, prevê a obrigatoriedade da realização de análise de impacto regulatório (AIR) para a edição de atos normativos de interesse geral produzidos pelos órgãos e entidades da administração pública federal direta e indireta.

Todavia, consoante se definiu no parágrafo 8 do Voto 280/2021-BCB, de 10 de novembro de 2021, o Regulamento do Pix, inclusive os demais documentos que o integram ou que o detalham e o complementam, não se caracterizam como ato regulatório de força cogente, ostentando, em verdade, natureza eminentemente contratual. Assim, modificações promovidas no referido regulamento e nos demais documentos que o integram ou que o detalham e o complementam não se sujeitam à produção prévia de AIR.

Ricardo Teixeira Leite Mourão

Chefe do Departamento de Competição e de Estrutura do Mercado Financeiro