...
Os resultados da métrica serão interpretados para verificar se as instituições estão cumprindo os requisitos regulatórios associados às suas modalidades de participação. Para fins de monitoramento, a instituição estará em desconformidade, o que ocasionará o apontamento do item em desconformidade para o conglomerado ao qual essa organização pertence. A análise incluirá:
Instituições Transmissora de Dados (role DADOS): Verificação se a role DADOS está declarada em reivindicações de domínio de autoridade (Authority Domain Claim), e em pelo menos um dos authorisation servers daquela instituição possui a API family type ‘consents', ‘resources' e 'customer-personal’ ou 'customer-business’.Instituições Receptora de Dados (role DADOS): Verificação se a role DADOS está declarada software statement, e e em pelo menos um dos authorisation servers daquela instituição possui a API family type ‘consents', ‘resources' e 'customer-personal’ ou 'customer-business’.A verificação das Instituições Transmissora de Dados (role DADOS) envolve confirmar se a role DADOS está declarada em reivindicações de domínio de autoridade (Authority Domain Claim) e se a instituição possui um servidor de autorização para exposição das APIs de serviços, exclusivamente com uma ou mais das APIs payments-consents, payments-pix, payments-pix-recurring-payments, payments-recurring-consents e enrollments. Essa verificação da marca exclusiva como detentora de conta possibilita identificar todos os demais servidores de autorização que devem conter as APIs consents, resources e customer-business ou customer-personal para estarem conformes. Se a organização não possuir um servidor de autorização, deve possuir preenchido o atributo ParentOrganisationReference no Diretório. Para organizações com marcas exclusivas detentoras de contas, não há obrigatoriedade de compartilhamento de dados por essas marcas, inferindo-se que o compartilhamento é realizado pela infraestrutura da organização mãe em uma marca distinta.Instituições Transmissora de Dados (role DADOS) envolve confirmar se a role DADOS está declarada em reivindicações de domínio de autoridade (Authority Domain Claim), e em pelo menos um dos authorisation servers daquela instituição possuem as APIs das famílias ‘consents', ‘resources' e 'customer-personal’ ou 'customer-business’. Caso não seja identificada a existência de um authorisation server, deverá ser avaliado se a instituição faz parte de um conglomerado e contenha no Diretório de Participantes o atributo 'ParentOrganisationReference' preenchido com o CNPJ da organização mãe. Para esse contexto, nenhuma outra verificação se faz necessária, pois mesmo para Instituições Receptoras de Dados há a obrigatoriedade de compartilhamento de dados na condição de transmissora, o que garante o princípio da reciprocidade. Além disso, verificações no âmbito da organização mãe do conglomerado ocorrerão no contexto da métrica e qualquer divergência será considerada naquela ocasião.
Instituições Iniciadoras de Transação de Pagamento (role PAGTO) envolve confirmar se a role PAGTO está declarada no software statement da instituição, e se a instituição passou pelo processo de onboarding, indicado pela flag "Habilitada para Iniciação de Pagamento" ou flag "Em processo de onboarding de ITP". A verificação do software statement também abrange o ITP puro, que pode não dispor de authorisation server.
Instituições Detentoras de Conta (role CONTA) envolve confirmar se a role CONTA está declarada em reivindicações de domínio de autoridade (Authority Domain Claim) no Diretório, e se as APIs family types ‘payments-consents', 'payments-pix', 'payments-pix-recurring-payments', 'payments-recurring-consents’ está cadastrada em pelo menos um dos authorisation servers da instituição.
Correspondente de Crédito (role CCORR): A declaração da role CCORR está em espera e não será avaliada para fins de monitoramento da métrica até futura regulamentação.
...