Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 04/09/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024090400111
111
Nº 171, quarta-feira, 4 de setembro de 2024
ISSN 1677-7042
Seção 1
. .II (c)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que as APIs
e outros sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle?
(Sim/Não)
. .II (d)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que o software
cliente se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação?
(Sim/Não)
. .II (e)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa,
descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ou
softwares clientes?
(Sim/Não)
. .II (f)
.A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento
da instituição em operação plena, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo?
(Sim/Não)
. .II (g)
.A solução prevista contempla o fornecimento, desde o primeiro momento da instituição em operação plena, apenas das informações estritamente necessárias para o correto
funcionamento dos aplicativos?
(Sim/Não)
. .II (h)
.A solução prevista contempla a implementação de controles, desde o primeiro momento da instituição em operação plena, para garantir que informações como CPF completo
(sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix, sejam de uso
exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos e softwares clientes?
(Sim/Não)
. .II (i)
.A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizando QR Code diretamente no sistema ou API,
ao invés da utilização de filtros no software cliente, desde o primeiro momento da instituição em operação plena?
(Sim/Não)
. .II (j)
.A solução prevista contempla a implementação em seu sítio web, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de
robôs e automatização de consultas de chaves e transações Pix?
(Sim/Não/Não haverá utilização do sítio para iniciação de um Pix)
. .III
.Logs de Auditoria
. .
.A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
. .III (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do
Pix?
(Sim/Não)
. .IV
.Mecanismos de prevenção a ataques de leitura
. .
.A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem
sobre mecanismos de prevenção a ataques de leitura.
. .IV (a)
.A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento da instituição em operação plena?
(Sim/Não)
. .IV (b)
.Os mecanismos planejados de prevenção a ataques de leitura ao DICT são, no mínimo, iguais aos mecanismos de prevenção a ataques de leitura existentes no DICT e
detalhados no Manual Operacional do DICT?
(Sim/Não)
. .IV (c)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de verificação de autenticidade do usuário
solicitante da consulta?
(Sim/Não)
. .IV (d)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismo de política interna de limitação de
consultas?
(Sim/Não)
. .IV (e)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de
excessivas consultas de chaves Pix que não resultem em envio de ordem de pagamento?
(Sim/Não)
. .IV (f)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de identificação e tratamento de casos de
excessivas consultas de chaves não registradas no DICT?
(Sim/Não)
. .IV (g)
.A instituição estabelecerá, desde o primeiro momento da instituição em operação plena, plano de ação para tratamento de casos suspeitos de ataque de leitura?
(Sim/Não)
Declaramos ciência de que:
(i) o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a adesão e a posterior participação no Pix implica no aceite às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome
(diretor responsável pela política de segurança cibernética)
Anexo III-E
Questionário de autoavaliação em segurança - Instituições autorizadas a funcionar pelo Banco Central do Brasil que pretendam participar do Pix exclusivamente na modalidade
iniciador e não acessar o DICT
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva
dos mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas
evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos
retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições
estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
. .Inscrição no CNPJ
.
. .Razão social
.
. .I
.Implementação segura de aplicativos, APIs e outros sistemas
. .
.A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
. .I (a)
.A solução prevista contempla a utilização, desde o primeiro momento da instituição em operação plena, de mecanismos de criptografia na comunicação entre os sistemas
e APIs relacionados ao Pix e seus respectivos aplicativos ou softwares clientes?
(Sim/Não)
. .I (b)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de autenticação forte do software cliente nas
APIs e sistemas relacionados ao Pix?
(Sim/Não)
. .I (c)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que as APIs
e outros sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle?
(Sim/Não)
. .I (d)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança capazes de garantir que o software
cliente se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação?
(Sim/Não)
. .I (e)
.A solução prevista contempla a implementação, desde o primeiro momento da instituição em operação plena, de mecanismos de segurança que impeçam engenharia reversa,
descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos aplicativos ou
softwares clientes?
(Sim/Não)
. .I (f)
.A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento
da instituição em operação plena, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo?
(Sim/Não)
. .I (g)
.A solução prevista contempla a implementação em seu sítio web, desde o primeiro momento da instituição em operação plena, de mecanismos para prevenção ao uso de
robôs e automatização de consultas de chaves e transações Pix?
(Sim/Não/Não haverá utilização do sítio para iniciação de um Pix)
. .II
.Logs de Auditoria
. .
.A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
. .II (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição em operação plena, dos requisitos dispostos na seção 7 do Manual de Segurança do
Pix?
(Sim/Não)
Declaramos ciência de que:
(i) o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a adesão e a posterior participação no Pix implica no aceite às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome
(diretor responsável pela política de segurança cibernética)
Anexo IV - Documentos para instituições que participam ou que pretendem participar do Pix na modalidade instituição usuária

Fechar