INSTRUÇÃO NORMATIVA BCB Nº 359, DE 03.03.2023
Divulga a versão 3.0 do Manual de Serviços Prestados pela Estrutura Responsável pela Governança do Open Finance.
Os Chefes do Departamento de Regulação do Sistema Financeiro (Denor), do Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias (Desuc), do Departamento de Supervisão Bancária (Desup) e do Departamento de Tecnologia da Informação (Deinf), no uso das atribuições que lhe conferem os arts. 23, inciso I, alínea "a", 62, inciso IV, e 116, inciso I, alínea "b", do Regimento Interno do Banco Central do Brasil, anexo à Portaria nº 84.287, de 27 de fevereiro de 2015, com base no art. 3º, inciso III, da Resolução BCB nº 32, de 29 de outubro de 2020, RESOLVEM:
Art. 1º Esta Instrução Normativa divulga a versão 3.0 do Manual de Serviços Prestados pela Estrutura Responsável pela Governança do Open Finance, de observância obrigatória por parte das instituições participantes, conforme Anexo.
Parágrafo único. O manual de que trata o caput, em sua versão mais recente, estará acessível na página do Open Finance no sítio eletrônico do Banco Central do Brasil na internet e no Portal do Open Finance no Brasil, mantido pela Estrutura Responsável pela Governança do Open Finance de que trata o art. 44, § 1º, da Resolução Conjunta nº 1, de 4 de maio de 2020.
Art. 2º Fica revogada a Instrução Normativa BCB nº 133, de 22 de julho de 2021.
Art. 3º Esta Instrução Normativa entra em vigor em 1º de abril de 2023.
JOÃO ANDRÉ CALVINO MARQUES PEREIRA
Chefe do Departamento de Regulação do Sistema Financeiro
HAROLD PAQUETE ESPÍNOLA FILHO
Chefe do Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias
BELLINE SANTANA
Chefe do Departamento de Supervisão Bancária
HAROLDO JAYME MARTINS FROES CRUZ
Chefe do Departamento de Tecnologia da Informação
(DOU de 07.03.2023 – págs. 91 a 95 – Seção 1)
ANEXO
Manual de Serviços Prestados pela Estrutura Responsável pela
Governança do Open Finance Versão 3.0
Sumário das alterações
|
Data |
Versão |
Descrição das alterações |
|
03/03/2023 |
3.0 |
Desvinculação do Serviço de Monitoramento do Diretório de Participantes, com exclusão do item 2.6, e criação da seção 8 sobre o Monitoramento dos Serviços de Tecnologia do Open Finance. |
|
Maior detalhamento sobre abertura detickets noService Desk, com alteração no item 3.2.2.2. |
||
|
Criação de novos tipos de incidentes em relação às metas de atendimento de incidentes sem indisponibilidade, com alterações no item 3.2.2.5.2. |
||
|
Criação da seção 7 sobre Validação do Ambiente de Produção. |
||
|
Adequação de várias seções ao estágio atual doOpen Finance. |
||
|
Aprimoramentos na redação do texto, sem alteração de mérito. |
||
|
Substituição das expressõesOpen Banking porOpen Finance, conforme alteração promovida pela Resolução Conjunta nº 4, de 24 de março de 2022, na Resolução Conjunta nº 1, de 2020. |
Termos de Uso
Este manual detalha os requisitos técnicos para a implementação dos elementos necessários à operacionalização do Open Finance, complementando a regulamentação vigente sobre o tema.
O manual será revisto e atualizado periodicamente a fim de preservar a compatibilidade com a regulamentação, bem como para incorporar os aprimoramentos decorrentes da evolução do Open Finance e da tecnologia.
Informações mais detalhadas e exemplos da aplicação deste manual poderão ser encontrados nos guias e tutoriais disponíveis no Portal do Open Finance no Brasil, na Área do Desenvolvedor.
Sugestões, críticas ou pedidos de esclarecimento de dúvidas relativas ao conteúdo deste documento podem ser enviados ao Banco Central do Brasil por meio dos canais institucionais dessa autarquia.
Referências
Estas especificações baseiam-se, referenciam e complementam, quando aplicável, os seguintes documentos:
|
Referência |
Origem |
|
Resolução Conjunta nº 1, de 2020 |
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20Conjunta&numero=1 |
|
Resolução BCB nº 32, de 2020 |
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=32 |
|
Circular nº 4.032, de 2020 |
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Circular&numero=4032 |
1. Introdução
O funcionamento do Open Finance pressupõe o provimento de alguns serviços fundamentais. No modelo adotado no País, definido pela Resolução Conjunta nº 1, de 4 de maio de 2020, do Conselho Monetário Nacional e do Banco Central do Brasil, e pela Resolução BCB nº 32, de 29 de outubro de 2020, essa incumbência ficou a cargo da Estrutura Responsável pela Governança do Open Finance, nos termos da Circular nº 4.032, de 23 de junho de 2020.
O Diretório de Participantes é o primeiro elemento essencial para a infraestrutura do Open Finance. Ele congrega uma série de funcionalidades críticas, como o gerenciamento de credenciais dos participantes.
A Estrutura Responsável pela Governança deve acompanhar os níveis de serviço de tecnologia dos participantes e da infraestrutura compartilhada definidos em regulação.
Os canais de suporte aos serviços providos pela Estrutura Responsável pela Governança do Open Finance e de encaminhamento de demandas às instituições participantes também são importantes para o atendimento das necessidades de apoio técnico na operacionalização do Open Finance. Eles constituem pontos focais para recepção e encaminhamento das demandas aos participantes, com o acompanhamento das demandas até a sua resolução.
Outro elemento importante para o funcionamento do Open Finance é a plataforma de resolução de disputas. Tal plataforma integra o mecanismo para resolução de disputas de que trata o art. 44, inciso IV, da Resolução Conjunta nº 1, de 2020. O acesso das instituições participantes aos recursos da referida plataforma deve observar a confidencialidade, a integridade, a disponibilidade dos dados e sistemas de informação utilizados, bem como a legislação e a regulamentação vigentes.
Com o propósito de promover a comunicação não somente entre os participantes do Open Finance, mas com o público em geral, a Estrutura Responsável pela Governança do Open Finance deve disponibilizar o Portal do Open Finance no Brasil. Nesse portal, o cidadão poderá esclarecer suas dúvidas em relação aos serviços e à tecnologia; o desenvolvedor conseguirá informações de cunho técnico-operacional e as instituições participantes poderão obter informações sobre o ambiente.
A Estrutura Responsável pela Governança do Open Finance deve, ainda, disponibilizar ambiente de teste (Sandbox) de application programming interfaces (APIs), com o objetivo de proporcionar estrutura de apoio ao desenvolvimento e testes por parte das instituições participantes, e um serviço de validação em produção com vistas a checar a conformidade e o registro de APIs das instituições participantes e garantir que os ambientes produtivos das instituições participantes estejam aderentes às suas respectivas certificações.
Convém ressaltar que diversos dos serviços supramencionados, tais como o Diretório de Participantes, ambientes de teste de APIs e de monitoramento de serviços de tecnologia, e ferramentas de validação em produção, constituem-se em elementos do papel de monitoramento dos participantes atribuído à Estrutura Responsável pela Governança do Open Finance, conforme o art. 44, inciso VIII, da Resolução Conjunta nº 1, de 2020. Cumpre mencionar que, no entanto, tal papel não se limita aos serviços descritos neste manual.
Nesse sentido, esses são apenas alguns dos serviços prestados pela Estrutura Responsável pela Governança do Open Finance com o objetivo de viabilizar o Open Finance no País. Naturalmente, haverá uma evolução das necessidades inerentes a essa iniciativa. Assim, a finalidade deste manual é estabelecer parte dos requisitos mínimos dos serviços essenciais sem a pretensão de ser exaustivo, deixando uma margem para decisão e atuação das instituições nos pontos não cobertos pelo documento, mas necessários para o sucesso da implementação do Open Finance.
2. Diretório de Participantes
O Diretório de Participantes é o ambiente no qual uma instituição autorizada a funcionar pelo Banco Central do Brasil registra e formaliza sua participação no ambiente do Open Finance, realizando sua integração para dar início ao compartilhamento de dados, iniciação de transação de pagamento e/ou encaminhamento de proposta de operação de crédito com as demais instituições participantes, por meio de APIs.
O Diretório de Participantes deve implementar as seguintes funcionalidades:
I - gerenciamento de identidades e acessos: a emissão e o gerenciamento de registros de identidade para organizações e pessoas naturais que interagem com o Diretório;
II - gerenciamento de identidade e autorização de aplicações: identificação e autorização das aplicações das instituições participantes; e
III - gerenciamento de informações do Diretório: a capacidade de atualizar e encontrar as informações mantidas no Diretório, por meio de APIs, arquivos e/ou de uma interface de usuário web.
2.1 Gerenciamento de Identidades e Acessos
A funcionalidade "Gerenciamento de Identidades e Acessos" abrange todos os processos de negócio executados desde o primeiro contato do representante da instituição com a página inicial do Open Finance até o final de sua inscrição como participante do Diretório de Participantes.
O Diretório de Participantes deve permitir que representantes das instituições possam cadastrá-las como participantes no Open Finance, coletando as informações necessárias para a sua participação plena, de acordo com as respectivas modalidades de participação.
O Diretório de Participantes deve também dispor de funcionalidade para a revogação de certificado de participante, conforme a regulamentação vigente.
O processo de cadastramento deve estar detalhado no Portal do Open Finance no Brasil mantido pela Estrutura Responsável pela Governança do Open Finance.
2.2 Gerenciamento de Identidade e Autorização de Aplicações
A funcionalidade "Gerenciamento de Identidade e Autorização de Aplicações" abrange os processos de negócio envolvidos com a identificação e autorização de participação de aplicações no Open Finance, permitindo um consumo seguro de informações.
Esse processo deve estar detalhado no Portal do Open Finance no Brasil mantido pela Estrutura Responsável pela Governança do Open Finance.
2.3 Gerenciamento de Informações do Diretório
O Diretório de Participantes deve dispor de funcionalidades que possibilitem a listagem dos participantes, a consulta e alteração dos seus dados, de seus representantes e de seus contatos, bem como o histórico das modificações realizadas. Essas alterações devem ser passíveis de notificação aos participantes.
Em relação às APIs de dados acessíveis ao público relativos aos canais de atendimento e aos produtos e serviços disponíveis para contratação na instituição participante, ora definidos pelo Manual de Escopo de Dados, o Diretório de Participantes deve prover consultas, por meio de API ou arquivos, que permitam identificar os participantes que implementam uma determinada API ou endpoint, bem como listar as APIs e endpoints implementados por um participante. Em relação às demais APIs daquele manual, deve ser provida API que implemente consultas análogas, nesse caso restritas às instituições participantes do Open Finance.
Os processos envolvidos nessas funcionalidades devem estar detalhados no Portal do Open Finance no Brasil.
2.4 Testes de Conformidade e Registro de APIs
A Estrutura Responsável pela Governança do Open Finance é responsável pelo processo de validação de conformidade de APIs dos participantes. O escopo mínimo dos testes deve abranger aspectos funcionais e não funcionais; os primeiros visam a avaliar se as implementações estão aderentes às especificações das APIs; os últimos objetivam avaliar se os requisitos não funcionais das APIs, em particular, segurança, estão sendo atendidos por suas implementações.
A execução dos testes de conformidade é realizada em ambiente disponibilizado pela Estrutura Responsável pela Governança do Open Finance, que também se encarrega da certificação dos resultados.
Uma implementação de versão de API do Open Finance só poderá ser registrada no ambiente produtivo do Diretório de Participantes caso tenha sido certificada nos testes de conformidade.
A Estrutura Responsável pela Governança do Open Finance deve estabelecer uma política de recertificações a ser seguida pelas instituições participantes.
Deverão ser disponibilizados em área pública do Portal do Open Finance no Brasil os resultados dos testes de conformidade de APIs já realizados.
2.5 Acordos de Nível de Serviço (SLAs) do Diretório de Participantes
O Diretório de Participantes deverá observar o seguinte nível mínimo de serviço:
Disponibilidade:
I - 24 horas por dia, 7 dias por semana;
II - 95% a cada 24 horas; e
III - 99,5% a cada 3 meses.
Desempenho das APIs:
Tempo de resposta de percentil 95 em, no máximo, 1500ms.
3. Service Desk
O Service Desk é o ambiente do Open Finance no qual são requisitados e mantidos, de forma centralizada, os tickets de suporte técnico relacionados ao Diretório de Participantes, às suas APIs e aos dados e serviços compartilhados entre os participantes.
Nesse ambiente, devem ser disponibilizadas quatro funcionalidades básicas:
I - solução de dúvidas gerais;
II - suporte na emissão de tickets;
III - suporte a notificações; e
IV - suporte aos serviços prestados pela Estrutura Responsável pela Governança do Open Finance.
3.1 Solução de dúvidas gerais
Devem ser providas duas áreas para solução de dúvidas técnicas relacionadas ao Open Finance, a saber: perguntas frequentes sobre assuntos técnicos (FAQ) e um canal de atendimento, que poderá ser implementado com atendimento de forma automatizada, sem intervenção humana.
3.1.1 Perguntas frequentes
Nesta área, deverão ser encontradas as respostas para os questionamentos mais frequentes relacionados ao suporte técnico, ao Diretório de Participantes, às APIs, aos dados e serviços compartilhados entre as instituições participantes e aos processos deste compartilhamento, de modo que algumas dúvidas possam ser sanadas de maneira rápida e independente.
O conteúdo dessa seção deverá ser reavaliado ao menos a cada lançamento de versão major das APIs, de forma a atender seu objetivo de esclarecer dúvidas frequentes do público.
3.1.2 Canal de atendimento
Deve ser disponibilizado canal de atendimento para suporte técnico, que pode ser implementado com atendimento de forma automatizada, sem intervenção humana. Nesse canal, poderão ser obtidas respostas para dúvidas de menor complexidade.
As respostas devem ser classificadas conforme o grau de sensibilidade, devendo ser fornecidas com observância do perfil do demandante.
Caso não seja possível atender às necessidades do demandante por meio do canal automatizado, deverá ser oferecida a possibilidade de abertura de ticket.
3.2 Suporte na abertura de tickets
3.2.1 Tipos de tickets
O Service Desk deve suportar pelo menos dois tipos de tickets:
I - requisições: pedidos de informações ou sugestões de melhorias; e
II - incidentes: comunicação de falhas ou degradação de qualidade em algum serviço.
3.2.2 Gerenciamento de tickets
3.2.2.1 Princípios para o gerenciamento de tickets
Deve ser implementada sistemática que permita a definição dos estados de atendimento dos tickets, bem como as transições entre os estados, de forma a permitir a adoção de ações adequadas ao seu tratamento, a exemplo de: triagem, enfileiramento, atribuição, resposta, avaliação e devolução. Essa sistemática deve estar detalhada no Portal do Open Finance no Brasil mantido pela Estrutura Responsável pela Governança do Open Finance.
3.2.2.2 Abertura de tickets
O Service Desk deve permitir a abertura de tickets, via canal de atendimento, por:
I - instituições participantes;
II - desenvolvedores; e
III - cidadãos.
Para o atendimento a dúvidas e a requisições de cidadãos, o Service Desk deverá prover um ambiente com interface amigável e intuitiva e adaptado ao público em geral, de forma que as pessoas interessadas possam endereçar suas demandas à Estrutura Responsável pela Governança do Open Finance sem a necessidade de conhecimento técnico específico.
No caso de recepção de demandas de cidadãos que envolvam reclamações contra instituições participantes, o demandante deve ser orientado a procurar primeiramente a instituição envolvida e, caso não consigam resolver o problema, registrem a reclamação no Banco Central do Brasil.
Adicionalmente, no caso de uma instituição participante, deve ser possível a abertura de tickets por meio de API específica.
Na abertura de um ticket, deverá ser gerado um número de protocolo, que deve ser informado ao demandante. Nesse momento, começará a contar prazo para atendimento da demanda, conforme acordo de nível de serviço especificado no item 3.2.2.5.
3.2.2.3 Classificação do prazo máximo de resolução do ticket
O prazo máximo de resolução do ticket deve estar associado ao mesmo antes do direcionamento às instituições participantes. Esses prazos estão definidos no item 3.2.2.5.
3.2.2.4 Trilha de auditoria do ticket
Toda atualização que gerar uma mudança do estado de atendimento ou do conteúdo do ticket deve ser devidamente registrada e armazenada para acesso futuro e para fins de verificação ou auditoria, observados os prazos de armazenamento previstos na regulamentação vigente.
3.2.2.5 SLAs para atendimento dos tickets
3.2.2.5.1 Metas de atendimento de requisições
As metas para atendimento dos tickets por tipo de requisições são:
|
Tipo de requisição |
Prazo máximo |
Esclarecimentos adicionais |
|
Solicitações de informações |
5 dias úteis |
O prazo se refere ao fornecimento das informações solicitadas, ou à indicação do canal adequado para a obtenção das informações. |
|
Sugestões de melhorias |
10 dias úteis |
O prazo se refere ao fornecimento de resultado de análise preliminar da proposta, também informando prazo estimado de implementação, caso aplicável. |
3.2.2.5.2 Metas de atendimento de incidentes sem indisponibilidade
As metas para atendimento dos tickets relacionados a incidentes que não causem indisponibilidade de serviços são:
|
Tipo de incidente |
Prazo máximo |
Esclarecimentos adicionais |
|
Degradação de qualidade de serviço |
2 dias úteis |
O prazo se refere à implantação de correção ou de solução de contorno (análise e solução) para reparar falhas que degradem algum serviço sem causar sua interrupção. |
|
Erros de desconformidade de certificação |
5 dias úteis |
O prazo se refere à implantação de correção ou de solução de contorno (análise e solução) para reparar falhas que, sem causar interrupção dos serviços, produzam resultados divergentes dos obtidos durante o processo de certificação. |
|
Erros de desconformidade de implementação |
10 dias úteis |
O prazo se refere à implantação de correção ou de solução de contorno (análise e solução) para reparar falhas que, sem causar interrupção dos serviços, produzam resultados divergentes da especificação. |
|
Somente poderão ser enquadrados neste erro os casos em que a implementação for divergente da especificação e não for demonstrada inconsistência técnica na referida especificação. |
||
|
Demais erros |
Análise: 5 dias úteis Correção/solução de contorno: 45 dias corridos |
O prazo de análise se refere à avaliação preliminar em relação ao caso apresentado, também informando prazo estimado para correção, de acordo com o esforço esperado para a correção e os impactos para o cidadão. |
|
O prazo de correção ou de solução de contorno (análise e solução) se refere à implantação de correção ou de solução de contorno visando reparar demais erros sem causar interrupção dos serviços. |
||
|
Os incidentes deste tipo deverão ser avaliados pela Estrutura Responsável pela Governança do Open Finance, cabendo consideração sobre a possibilidade de cobertura do problema pelos testes de certificação. |
Em relação aos incidentes "Erros de desconformidade de implementação" e "Demais erros", o Banco Central do Brasil poderá estabelecer prazos diferenciados para sua correção em virtude de análise quanto ao esforço requerido e ao impacto para o cidadão.
3.2.2.5.3 Metas de atendimento de incidentes com indisponibilidade
As metas para atendimento dos tickets relacionados a incidentes que causem indisponibilidade de serviços devem ser estipuladas pela Estrutura Responsável pela Governança do Open Finance, garantindo o atendimento dos seus respectivos SLAs de disponibilidade. Uma vez reestabelecido o serviço, o ticket relativo ao incidente deve ser fechado em até 1 dia útil.
3.2.2.6 Contagem de prazo dos tickets
Os prazos se referem ao tempo total de atendimento, desde a geração do protocolo até o encerramento do ticket, englobando o tempo dispendido no Service Desk e nos participantes demandados. Caso haja necessidade de complementação de informações essenciais em relação aos tickets, a contagem de prazo fica suspensa até que as referidas informações sejam prestadas.
3.2.2.7 Notificação de atualização dos tickets
Toda atualização no ticket (conteúdo e/ou estado de atendimento) deverá ser notificada ao demandante. Os participantes demandados também poderão receber notificações.
3.3 Suporte a notificações
O Service Desk deve dispor de funcionalidade para notificação e divulgação de informações relevantes para as instituições participantes e demais interessados.
O processo envolve o reporte, a inserção em quadro de notícias e o envio de informações às instituições participantes.
3.3.1 Tipos de notificações
As seguintes informações devem ser reportadas:
I - problemas nas implementações das APIs;
II - atualizações tempestivas sobre indisponibilidade de APIs;
III - atualizações tempestivas sobre degradação de qualidade de serviços;
IV - notificações sobre indisponibilidades programadas; e
V - notificações sobre reestabelecimento de serviços.
Também devem ser reportadas as seguintes mudanças técnicas:
I - atualizações nas implementações das APIs;
II - atualizações de políticas de segurança e/ou participantes;
III - atualizações no Diretório de Participantes; e
IV - atualizações nas definições de APIs.
O detalhamento das informações e das formas de notificação deve estar previsto no Portal do Open Finance no Brasil.
3.4 Suporte aos serviços prestados pela Estrutura Responsável pela Governança do Open Finance
O Service Desk deve prover suporte aos seguintes tópicos relacionados aos serviços prestados pela Estrutura Responsável pela Governança do Open Finance:
I - registro dos participantes no Diretório de Participantes;
II - acesso ao Diretório de Participantes;
III - atualizações do Diretório de Participantes; e
IV - consultas, reporte de problemas e reclamações quanto aos serviços prestados pela Estrutura Responsável pela Governança do Open Finance.
3.5 SLAs do Service Desk
O Service Desk deve observar o seguinte nível mínimo de serviço:
Disponibilidade:
I - 24 horas por dia, 7 dias por semana;
II - 95% a cada 24 horas; e
III - 99,5% a cada 3 meses.
Desempenho das APIs:
Tempo de resposta de percentil 95 em, no máximo, 1500ms.
4. Plataforma de Resolução de Disputas
A plataforma de resolução de disputas é ambiente que integra o mecanismo para resolução de disputas de que trata o art. 44, inciso IV, da Resolução Conjunta nº 1, de 2020. Complementarmente ao disposto neste manual, a plataforma de resolução de disputas deve ser desenvolvida de acordo com os padrões técnicos e outras questões operacionais definidas em documentos elaborados pela Estrutura Responsável pela Governança do Open Finance.
4.1 SLAs da Plataforma de Resolução de Disputas
A Plataforma de Resolução de Disputas deverá observar o seguinte nível mínimo de serviço:
Disponibilidade:
I - 24 horas por dia, 7 dias por semana;
II - 95% a cada 24 horas; e
III - 99,5% a cada 3 meses.
5. Portal do Open Finance no Brasil
5.1 Diretrizes do Portal do Open Finance no Brasil
5.1.1 Acessibilidade e diversidade
Todas as áreas a serem disponibilizadas no Portal do Open Finance no Brasil devem garantir acessibilidade e atender ao padrão Web Content Accessibility Guidelines (WCAG) e todo o conteúdo informativo deve levar em consideração a diversidade regional do país (rural/urbano, capital/interior), bem como a diversidade na população brasileira relativa a raça, gênero, faixa etária e deficiência.
5.1.2 Linguagem e tempestividade
A linguagem utilizada nas diferentes áreas do Portal deve ser adequada aos perfis de público que as visitam. O conteúdo deve ser disponibilizado de forma clara, acessível, transparente e atualizado de maneira tempestiva, refletindo adequadamente o cenário do Open Finance naquele momento e provendo as informações necessárias para entendê-lo e utilizá-lo. Em especial na área do cidadão, deve haver ênfase na aplicação visual, com vídeos, imagens, gráficos e infográficos que facilitem a compreensão das pessoas.
5.1.3 Segurança, sigilo e proteção de dados
O Portal deve prover um ambiente seguro de navegação, livre de malwares ou de meios para instalação de vulnerabilidades que possibilitem obter vantagem ilícita. Deve ser assegurado que o tratamento de dados, inclusive eventuais requisições de dados às pessoas visitantes, esteja em conformidade com a legislação vigente, em particular com as disposições da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados).
5.2 Área do Desenvolvedor
A Área do Desenvolvedor deve ser um ambiente aberto, que evolua ao longo do tempo, em linha com o desenvolvimento do Open Finance.
O conteúdo a seguir deve ser disponibilizado de forma obrigatória:
I - especificações de APIs de canais de atendimento e de produtos e serviços das instituições;
II - especificações de APIs de dados cadastrais e transacionais de clientes;
III - especificações de API de iniciação de transação de pagamentos;
IV - especificações de API de encaminhamento de proposta de operação de crédito;
V - especificações de APIs do Diretório de Participantes e do Service Desk;
VI - especificações de APIs de relatórios e métricas;
VII - especificações de registro;
VIII - perfil de segurança;
IX - especificações do ambiente de Sandbox, incluindo tutoriais relacionados;
X - especificações dos testes de conformidade e documentação das políticas de recertificação e de validação do ambiente de produção;
XI - problemas conhecidos da especificação;
XII - diretrizes operacionais;
XIII - diretrizes de experiência do cliente;
XIV - diretrizes técnicas do Diretório de Participantes;
XV - calendário;
XVI - guias de implementação dos participantes;
XVII - problemas;
XVIII - perguntas frequentes (FAQ);
XIX - histórico de especificações; e
XX - histórico de alterações.
Se algum item ainda estiver pendente de especificação, a informação "a ser publicada" deve ser prestada.
As especificações de APIs devem observar o cronograma de implementação do Open Finance estabelecido na regulamentação vigente.
5.3 Área do Cidadão
A Área do Cidadão deve ser um ambiente aberto, com foco na experiência do cidadão, com uso de linguagem adequada ao tema e de fácil compreensão, que evolua ao longo do tempo, em consonância com o desenvolvimento do Open Finance.
O conteúdo a seguir deve ser disponibilizado de forma obrigatória:
I - o que é o Open Finance?: explicação sobre o ambiente do Open Finance, incluindo sua origem, benefícios e aplicações, além do seu modo de funcionamento;
II - Estrutura Responsável pela Governança do Open Finance: explicação sobre a Estrutura de Governança, com esclarecimento sobre o processo de formação, suas diferentes instâncias (nível estratégico, técnico e administrativo), composição, papéis e responsabilidades, bem como sobre a função do Banco Central do Brasil nesses aspectos;
III - jornada do cliente: material em formato visual (infográfico ou, preferencialmente, vídeo) que esclareça as pessoas sobre todos os passos para compartilhamento de dados, incluindo as etapas de consentimento, autenticação e confirmação; para iniciação de pagamentos e para encaminhamento de proposta de operação de crédito. O conteúdo deve explicar os termos utilizados durante a jornada e os campos de preenchimento requeridos, bem como abordar a jornada relativa à pessoa natural e à pessoa jurídica;
IV - segurança: infraestrutura de segurança do Open Finance, incluindo as responsabilidades das instituições participantes, alertas de segurança, cuidados a serem tomados para prevenção de fraudes e orientações caso a pessoa seja vítima de alguma fraude;
V - perguntas frequentes do cidadão (FAQ): resposta às dúvidas recorrentes dos cidadãos, em especial quanto ao objeto do Open Finance, as instituições participantes, a jornada do cliente, os direitos dos usuários, a segurança das transações e os canais para apresentação de demandas;
VI - orientações para encaminhamento de demandas: além de constar na FAQ, devem ser disponibilizadas, em área visível no portal, orientações que esclareçam o cidadão a quem recorrer em casos de dúvidas sobre o Open Finance ou de reclamação sobre as instituições participantes. Essas orientações devem abranger, inclusive, os casos em que a demanda é referente às entidades envolvidas no compartilhamento;
VII - mecanismo de busca de instituições participantes do Open Finance, que atenda as seguintes condições:
a) o mecanismo de busca deve, obrigatoriamente, propiciar a pesquisa por, no mínimo, nome da instituição, tipo de instituição, marca e modalidade de participação no Open Finance; e
b) a lista de participantes deve ser extraída do Diretório de Participantes mantido pela Estrutura Responsável pela Governança do Open Finance e ser mantida permanentemente atualizada;
VIII - notícias: informações de interesse do cidadão;
IX - eventos: lista informativa de eventos sobre Open Finance, a exemplo de fóruns, conferências, painéis de discussão e eventos de networking; e
X - glossário: principais termos utilizados no contexto do Open Finance, com vistas a facilitar o entendimento de consumidores.
Adicionalmente, deve ser previsto conteúdo específico para pessoas jurídicas, com esclarecimentos sobre como o Open Finance pode contribuir para as empresas, especialmente as de menor porte, incluindo possíveis casos de uso, bem como vídeos e infográficos explicativos.
5.4 Área do Participante
Deve ser disponibilizada Área do Participante com informações voltadas a tópicos de interesse das instituições que participam ou pretendam participar do Open Finance. À semelhança da Área do Cidadão, esse também deve ser um ambiente aberto, que evolua ao longo do tempo. Podem ser disponibilizadas áreas de acesso restrito aos participantes do Open Finance.
Para essa área, os tópicos a serem cobertos de forma obrigatória estão discriminados a seguir:
I - participação no Open Finance: esclarecimentos gerais sobre escopo de participação e quais são as instituições obrigatórias e voluntárias;
II - parcerias: explicação sobre as formas de participação de instituições não supervisionadas pelo Banco Central do Brasil e responsabilidades envolvidas;
III - implementação: descrição das fases do Open Finance, explicitando cronograma futuro de implementações estabelecidas em regulação;
IV - registro no Open Finance: esclarecimentos gerais e tutorial para registro no Diretório de Participantes, incluindo forma de acesso;
V - Service Desk: informações gerais, funcionamento, SLAs previstos, tipos de demandas recepcionadas, orientações para cadastro e forma de acesso;
VI - mecanismos de resolução de disputas: orientações sobre o processo de resolução de disputas envolvendo instituições participantes;
VII - custeio da Estrutura Responsável pela Governança do Open Finance: explicações sobre base de cálculo, responsabilidades das partes envolvidas e como efetuar o pagamento;
VIII - regulamentação do Open Finance: informações sobre os atos normativos vigentes, bem como documentos associados, podendo haver link diretamente para a página do Banco Central do Brasil sobre o tema;
IX - escopo de dados: explicação sobre o escopo de dados a ser compartilhado em cada uma das fases de implementação do Open Finance e acesso ao dicionário de dados; e
X - perguntas frequentes das instituições participantes: esclarecimentos das principais dúvidas sobre participação no Open Finance.
5.5 SLAs do Portal do Open Finance
O Portal do Open Finance deve observar o seguinte nível mínimo de serviço:
Disponibilidade:
I - 24 horas por dia, 7 dias por semana;
II - 90% a cada 24 horas; e
III - 99,5% a cada 3 meses.
6. Sandbox
A Estrutura Responsável pela Governança do Open Finance deve disponibilizar uma estrutura, doravante denominada Sandbox, que permita aos participantes, no mínimo:
I - submeter, ainda em tempo de desenvolvimento, suas implementações das APIs do Open Finance a testes automatizados funcionais e não funcionais; e
II - acessar implementações de exemplo das APIs do Open Finance, inclusive ao menos uma que simule uma Instituição Participante de Referência, com implementação completa de cada API.
O Portal do Open Finance deve publicar tutoriais apresentando de maneira completa, detalhada, passo a passo e, quando aplicável, por meio de trechos de código e/ou capturas de tela, como os participantes devem interagir com o Sandbox para, entre outras coisas, executar os testes automatizados e acessar as implementações de exemplo mencionadas anteriormente. Qualquer outra funcionalidade oferecida pelo Sandbox deve estar acompanhada do respectivo tutorial de uso.
6.1 SLAs do Sandbox
O Sandbox deve observar o seguinte nível mínimo de serviço:
Disponibilidade:
I - 95%, das 8h às 20h em dias úteis, no fuso do Distrito Federal, conforme definido no art. 2º, alínea "b", do Decreto nº 2.784, de 18 de junho de 1913, com alterações posteriores; e
II - 80% nos demais horários.
7. Validação do Ambiente de Produção
A Estrutura Responsável pela Governança do Open Finance deve prover mecanismo de validação de forma a garantir que os ambientes de produção das instituições participantes estejam aderentes às suas respectivas certificações.
A política desse mecanismo de validação deve ser estabelecida pela Estrutura Responsável pela Governança do Open Finance e ser seguida pelas instituições participantes.
8. Monitoramento dos Serviços de Tecnologia do Open Finance
A Estrutura Responsável pela Governança do Open Finance deve prover os meios para armazenar e disponibilizar dados estatísticos do cumprimento dos níveis de serviço de tecnologia dos participantes e da infraestrutura compartilhada definidos em regulação, bem como disponibilizar os seus indicadores de desempenho e de disponibilidade.
As instituições participantes do Open Finance devem disponibilizar dados de qualidade e com detalhamento suficiente, de forma a permitir que a Estrutura Responsável pela Governança do Open Finance implemente as funcionalidades dispostas nesta seção.
Em relação aos dados individualizados e nominais das instituições participantes, devem constar, no mínimo, informações acerca da quantidade de chamadas por API e por endpoint, contemplando seu histórico; do percentual de sucesso das chamadas, bem como de seus erros, por status code; da quantidade de consentimentos ativos total e por clientes únicos, pessoas natural e jurídica, incluindo visões por transmissor ou detentor (conforme o caso) e por receptor ou iniciador (conforme o caso), contemplando seu histórico; e das taxas de conversão do consentimento com detalhamento de cada etapa de sua geração, incluindo visões por transmissor ou detentor e por receptor ou iniciador.
Os dados devem ser informados com frequência mínima que permita aferir o atendimento dos acordos de nível de serviço:
I - das APIs dos Participantes; e
II - dos elementos da infraestrutura compartilhada.
Os dados informados pelas instituições participantes são declaratórios e de responsabilidade de cada instituição individualmente.
Esses dados estatísticos devem ser também disponibilizados em área pública do Portal do Open Finance no Brasil na forma de um dashboard de fácil visualização, que permita a apreensão desse desempenho pelo público em geral de maneira rápida e clara.
O dashboard deve propiciar a visualização dos dados em, no mínimo, dois níveis diferentes:
I - visão consolidada: com as médias dos indicadores mais importantes, prevendo destaque para os melhores e piores desempenhos do mês em termos de disponibilidade; e
II - visão customizada/comparativa: com a possibilidade de ordenação por valor (crescente e decrescente), busca e seleção de múltiplos parâmetros pelo usuário, como nome da instituição participante, endpoint, período, entre outros.
Em ambas as visualizações, deve ser previsto no dashboard recurso gráfico/visual, como uso de ícones ou símbolos, que permita aferir o desempenho do indicador em relação ao mínimo regulatório exigido. As visualizações devem permitir ao público geral identificar nominalmente o desempenho de cada uma das instituições participantes.
Dada a amplitude do escopo de participantes do Open Finance, eventuais gráficos que listem todas as instituições participantes devem prover ferramenta de busca que auxilie o usuário a localizar no gráfico uma instituição específica, caso desejado.
Os resultados devem ser passíveis de download para diferentes formatos.
As métricas, unidades de medida e definições utilizadas devem ficar claras para o usuário, bem como eventuais limitações, exclusões ou alterações referentes à base de cálculo.
O monitoramento dos serviços de tecnologia do Open Finance pode coletar e armazenar outras métricas relevantes visando a garantir o bom funcionamento do ecossistema. Estão vedados a coleta e o armazenamento de dados dos clientes, ainda que anonimizados ou pseudonimizados.
