Roteiro Bsico

OC 046/2010 07/10/2010

PQO Programa de Qualificao Operacional Roteiro Bsico

ndice

1. CAPTAR E MANTER CLIENTES ......................................................................... 3 2. CADASTRAR CLIENTES ..................................................................................... 5 3. EXECUTAR ORDENS ........................................................................................... 8 4. LIQUIDAR ORDENS ........................................................................................... 11 5. CUSTODIAR ATIVOS ........................................................................................ 12 6. GERENCIAR RISCOS ......................................................................................... 13 7. FUNO INTEGRIDADE ................................................................................... 14 8. FUNO RECURSOS HUMANOS .................................................................... 16 9. FUNO TECNOLOGIA DA INFORMAO ................................................... 17 GLOSSRIO .............................................................................................................. 22

PQO Programa de Qualificao Operacional Roteiro Bsico

1. CAPTAR E MANTER CLIENTES 1) O Participante deve prover informaes sobre os riscos relacionados aos mercados de atuao do Participante, levando em conta a classificao do cliente como varejo ou profissional. 2) O Participante deve prover , pelo menos, as seguintes informaes sobre os produtos oferecidos: Caractersticas do produto; Se o patrimnio do cliente est garantido ou no; Risco do investimento; Durao recomendada para o investimento; Desempenho esperado ou eventos que possam afetar o desempenho; Informaes sobre poltica de cobrana e outros custos incorridos pelo cliente, inclusive tributao; Situaes de conflito de interesses. 3) O Participante deve definir e manter atualizado o perfil de investimentos de seus clientes, segundo critrios uniformes previamente definidos pelo Participante, considerando, no mnimo, as operaes realizadas, a situao econmico-financeira, os objetivos de investimento, a tolerncia ao risco, o conhecimento e a experincia do cliente. 4) O Participante deve oferecer produtos, servios e recomendaes de investimento, que sejam compatveis com o perfil de investimentos definido para o cliente. 5) O Participante deve avaliar continuamente a adequao das operaes do cliente em relao ao seu perfil de investimentos. 6) O Participante deve disponibilizar continuamente aos seus clientes informaes relativas ao seu perfil de investimentos, de acordo com os critrios definidos pelo Participante. 7) O site do Participante deve possuir, pelo menos, acesso para os sites da BM&FBOVESPA e da BSM. 8) O Participante deve cumprir os requisitos estabelecidos para as operaes realizadas pela rede mundial de computadores, nos termos da regulamentao vigente. 9) No relacionamento com o cliente, o Participante deve observar o disposto no documento Regras e Parmetros de Atuao. As Regras e Parmetros de Atuao devem conter obrigatoriamente os procedimentos adotados pelo Participante no que se refere a: Cadastro; Tipos de ordens aceitas; Horrio de recebimento das ordens; Forma de emisso das ordens, incluindo os servios de mensagem instantnea aceitas; Poltica de operaes de pessoas vinculadas e carteira prpria;
3

PQO Programa de Qualificao Operacional Roteiro Bsico

Prazo de validade das ordens; Procedimentos de recusa e de cancelamento das ordens; Registro de ordens; Execuo de ordens (execuo, no execuo e confirmao), inclusive aquelas recebidas por intermdio de home broker; Distribuio dos negcios; Liquidao das operaes; Controle de risco; Custdia de ativos; Sistema de gravao de voz; Forma de comunicao aos clientes das alteraes nas Regras e Parmetros de Atuao. 10) O Participante deve manter canal de relacionamento com clientes para receber, registrar e gerenciar reclamaes, demandas e dvidas, bem como das providncias adotadas em seu atendimento.

PQO Programa de Qualificao Operacional Roteiro Bsico

2. CADASTRAR CLIENTES 11) O Cdigo de tica e as Regras e Parmetros de Atuao do Participante devem ser colocadas disposio dos clientes pelo Participante antes do incio de suas operaes e obrigatoriamente entregues quando solicitadas. 12) As Regras e Parmetros de Atuao devem ser parte integrante do Contrato de Intermediao e do Contrato de Prestao de Servios de Custdia. 13) Toda alterao das Regras e Parmetros de Atuao deve ser formalmente e imediatamente comunicada a todos os clientes ativos do Participante. 14) O Participante deve efetuar o cadastro de todos os seus clientes e mant-lo atualizado, conforme a regulamentao e a legislao vigentes. 15) As informaes cadastrais dos clientes devem estar disponveis para consulta somente pelas reas do Participante que necessitam dessas informaes para execuo de suas atividades, considerando a matriz de segregao de funes definida. 16) O cadastro do cliente deve conter todos os dados, informaes e declaraes requeridas pela regulamentao aplicvel. 17) O cadastro do cliente deve conter declarao datada e assinada pelo cliente ou seus representantes legais, de que so vlidas e verdadeiras as informaes cadastrais e as declaraes requeridas pela regulamentao aplicvel. 18) A representao do cliente deve estar suportada por documentao vlida. 19) O cadastro do cliente deve conter declarao do responsvel do Participante atestando a validade e a veracidade das informaes cadastrais. 20) O cadastro do cliente deve conter contrato de intermediao vlido. 21) O contrato firmado entre o Participante e o cliente deve informar a poltica e os critrios de cobrana de corretagem, de custdia e de outros custos adicionais. 22) O Participante deve manter o cliente permanentemente informado sobre a poltica e os critrios de cobrana de corretagem aplicados. 23) O Participante que opera carteira prpria deve obter a concordncia formal do cliente para o caso de vir a figurar como contraparte em uma operao solicitada por este. 24) O cadastro deve conter declarao do cliente quanto s formas aceitas de transmisso de suas ordens. 25) As informaes cadastrais devem possuir documentao de suporte vlida, em conformidade com a base legal e regulamentar em vigor.
5

PQO Programa de Qualificao Operacional Roteiro Bsico

26) vedado ao Participante aceitar ou cumprir ordens de clientes que no estejam previamente cadastrados. Em se tratando de clientes institucionais ou instituies financeiras, admite-se a falta de assinatura no cadastro por at 20 (vinte) dias, a contar da primeira operao ordenada por esses clientes. 27) O Participante somente pode efetuar alterao do endereo constante do cadastro mediante ordem expressa e escrita do cliente e correspondente comprovante de endereo. 28) As informaes dos clientes fornecidas BM&FBOVESPA devem permitir sua adequada identificao e qualificao pela Bolsa e ser mantidas atualizadas e compatveis com o cadastro do Participante. 29) O Participante deve dispor de mecanismo que garanta que somente aceitar ordens de compra e venda ou efetuar transferncias de valores mobilirios transmitidas por procurao se os respectivos mandatrios estiverem identificados no cadastro do cliente, que deve estar acompanhado de instrumento de mandato com poderes especficos. 30) O Participante deve manter os cadastros durante o perodo mnimo de 5 (cinco) anos a partir do encerramento da conta ou da concluso da ltima transao realizada em nome do cliente, podendo este prazo ser estendido indefinidamente na hiptese de existncia de investigao comunicada formalmente pela CVM ao Participante. 31) Os contratos de repasse e tripartites devem conter as regras estabelecidas em normas da BM&FBOVESPA sobre o assunto. 32) O Participante deve manter atualizado seu cadastro junto BM&FBOVESPA que inclui, entre outros, indicaes do Diretor de Relaes com Mercado e do Diretor responsvel pelas atividades de custdia, composio da Diretoria, procuradores e documentao societria. 33) O Participante que mantiver informaes cadastrais em formato eletrnico deve assegurar sua compatibilidade com a documentao cadastral do cliente. 34) Os contratos de intermediao celebrados com os clientes usurios do modelo DMA (Direct Market Access) devem conter as clusulas especficas definidas pela regulamentao da BM&FBOVESPA. 35) O cadastro do cliente de Agente de Custdia deve conter contrato de prestao de servios de custdia de ativos vlido. 36) O contrato de prestao de servios de custdia de ativos deve conter, no mnimo, as disposies requeridas pelo Regulamento de Operaes da CBLC. 37) No caso de utilizao de cadastro simplificado de investidor no residente, o Agente de Custdia deve possuir contrato com o custodiante global (ou titular de conta
6

PQO Programa de Qualificao Operacional Roteiro Bsico

coletiva), constando, no mnimo, as disposies requeridas pelo Regulamento de Operaes da CBLC. 38) No caso de utilizao de cadastro simplificado de investidor no residente, o Participante deve possuir contrato com a instituio intermediria estrangeira, constando, no mnimo, as disposies requeridas pela regulamentao aplicvel.

PQO Programa de Qualificao Operacional Roteiro Bsico

3. EXECUTAR ORDENS 39) O registro da ordem deve conter, pelo menos, as seguintes informaes: Cdigo ou nome de identificao do cliente; Data e horrio de recepo da ordem; Prazo de validade da ordem; Numerao seqencial e cronolgica da ordem; Descrio do ativo objeto da ordem, com o cdigo de negociao, a quantidade e o preo; Indicao de operao de pessoa vinculada ou de carteira prpria; Natureza da operao (compra ou venda; tipo de mercado: a vista, a termo, de opes, futuros, de swap e de renda fixa; repasse ou operaes de Participantes com Liquidao Direta (PLDs)); Tipo da ordem (Administrada, Casada, Discricionria, Limitada, a Mercado, Monitorada, de Financiamento e Stop); Identificao do emissor da ordem; Identificao do nmero da operao na BM&FBOVESPA; Identificao do Operador de Prego Eletrnico (cdigo alfa) e do Operador de Mesa (nome); Indicao do status da ordem recebida (executada, no-executada ou cancelada). 40) Todas as ordens devem ser recebidas por profissional qualificado como Operador e vinculado ao Participante, devendo ser seguidos os critrios estabelecidos nas Regras e Parmetros de Atuao e os critrios definidos pelo cliente em seu cadastro. 41) O Participante somente deve permitir o exerccio das atividades de intermediao de valores mobilirios por pessoas integrantes desse sistema, ou por pessoas que possuam vnculo empregatcio, ou por pessoas que possuam contrato de prestao de servios com o Participante e que estejam autorizadas pela CVM. 42) A Mesa de Operaes deve ser segregada fisicamente das demais Mesas de Operaes pertencentes a outras instituies do mesmo grupo e/ou conglomerado financeiro, exceto nos casos em que o Participante somente opera para essas instituies. 43) O acesso ao ambiente da Mesa de Operaes deve ser controlado. 44) O Participante deve comunicar e disponibilizar mensalmente aos seus clientes relao de todas as operaes em que pessoas vinculadas atuaram na contraparte dos negcios realizados. Sero consideradas pessoas vinculadas conforme regulamentao vigente. 45) O Participante deve destacar as seguintes informaes em seu site na internet, com atualizao mensal: i) Relao entre quantidade de negcios de pessoas vinculadas e quantidade total de negcios do Participante, por mercado; ii) Relao entre quantidade de negcios de pessoas vinculadas, exceto carteira prpria, e quantidade total de negcios do Participante, por mercado;
8

PQO Programa de Qualificao Operacional Roteiro Bsico

iii) Relao entre quantidade de negcios de carteira prpria e quantidade total de negcios do Participante, por mercado; iv) Relao entre quantidade de negcios de pessoas vinculadas cujas contrapartes sejam clientes do Participante e quantidade total de negcios de pessoas vinculadas. Sero consideradas pessoas vinculadas conforme regulamentao vigente. 46) vedada a presena de clientes, em qualquer hiptese, no ambiente da Mesa de Operaes. 47) As atividades de gesto de carteiras de valores mobilirios, incluindo Clubes de Investimento, devem ser segregadas das demais atividades de execuo de ordens do Participante. 48) O Participante deve registrar todas as ocorrncias de operaes lanadas na conta erro e motivos que levaram a tal lanamento. 49) Operaes de carteira prpria e de pessoas vinculadas somente devem ser executadas com a informao do comitente final e, portanto, no podem ser reespecificadas. 50) A reverso de operaes lanadas na conta erro deve obedecer aos critrios de priorizao de execuo de ordens definidos nas Regras e Parmetros de Atuao. 51) Operaes de carteira prpria no devem ser registradas na conta erro. 52) Operaes de natureza de erro operacional devem ser lanadas na conta erro, independentemente do resultado positivo ou negativo da operao. 53) O documento que confirmar a execuo de ordens do cliente deve destacar a atuao das sociedades corretoras ou de pessoas a ela vinculadas, quando estas estiverem agindo na contrapartida da operao. 54) O Participante deve definir e monitorar aladas de seus Operadores nos sistemas de negociao. 55) O Participante deve utilizar sistema informatizado de registro e controle de ordens. 56) O Participante deve dispor de instrumento de controle que, em caso de concorrncia de ordens, os negcios de clientes (pessoas no vinculadas) tenham sempre prioridade sobre os negcios de carteira prpria e de pessoas vinculadas. 57) O Participante deve gravar, de forma inteligvel, todas as ordens verbais recebidas por telefone ou dispositivo semelhante e todas as ordens escritas recebidas por sistema de mensagem instantnea emitidas pelos clientes. Ordens recebidas pessoalmente devem ser registradas por escrito. 58) O Participante deve manter ntegras todas as transmisses de ordens recebidas dos clientes pelo prazo mnimo de 5 (cinco) anos e em que constem registradas as
9

PQO Programa de Qualificao Operacional Roteiro Bsico

seguintes informaes: data, horrio de incio, horrio fim ou durao, ramal telefnico, usurio de origem e de destino. 59) vedada a atuao das sociedades corretoras, bem como das pessoas a elas vinculadas, na contrapartida de operaes com Fundos Mtuos de Aes, Clubes de Investimento, Sociedades de Investimento - Capital Estrangeiro, Fundos de Investimento - Capital Estrangeiro, Fundos de Converso - Capital Estrangeiro e Carteira de Ttulos e Valores Mobilirios mantida no Pas por entidades mencionadas no artigo 2 do Decreto-Lei 2.285/86, por elas administrados. 60) vedado ao Participante que seja administrador de carteira de valores mobilirios atuar como contraparte, direta ou indiretamente, em negcios com carteiras que administre. 61) O Participante deve gerenciar o roteamento de ordens via conexo automatizada conforme regulamentao aplicvel. 62) O repasse de operaes, nas hipteses em que admitidos, deve estar suportado por contrato vlido (tripartite ou brokerage). 63) O Participante deve manter registro das solicitaes de transferncias de posies de seus clientes. 64) As pessoas vinculadas ao Participante somente podero negociar valores mobilirios por conta prpria, direta ou indiretamente, por intermdio do Participante qual estiverem vinculados.

10

PQO Programa de Qualificao Operacional Roteiro Bsico

4. LIQUIDAR ORDENS 65) O Participante deve disponibilizar diariamente aos seus clientes informaes atualizadas sobre as operaes realizadas e as posies da carteira, detalhando, no mnimo: Especificao do ativo; Modalidade de operao (mercado vista, a termo, opes, futuros, entre outros); Quantidade; Preo; Data do prego; Taxa de corretagem, emolumentos e demais taxas cobradas; Imposto de renda retido na fonte; Posio de custdia (ativos em carteira livre, garantias e bloqueados); Extrato de conta corrente, inclusive da conta margem, contendo todos os lanamentos de crdito e dbito. 66) O Participante deve manter registro de todas as movimentaes financeiras de seus clientes em contas correntes no-movimentveis por cheques. 67) vedado ao Participante realizar operaes que caracterizem, sob qualquer forma, a concesso de financiamentos, emprstimos ou adiantamentos aos seus clientes. 68) O Participante deve gerenciar as operaes de financiamento para compra de aes (conta margem) conforme regulamentao vigente. 69) O Participante deve disponibilizar diariamente aos clientes informaes sobre a utilizao de conta margem, contendo no mnimo: - Saldo da conta margem; - Ativos alocados como garantia da operao; - Taxas e encargos cobrados. 70) O Participante mantm as contas correntes de recursos financeiros e as contas de ativos de seus clientes segregadas das contas prprias.

11

PQO Programa de Qualificao Operacional Roteiro Bsico

5. CUSTODIAR ATIVOS 71) O Participante, nas atividades de custdia, deve realizar diariamente a conciliao entre os saldos registrados nas contas de custdia que administra e as posies registradas na Central Depositria da BM&FBOVESPA, e tomar as providncias necessrias caso sejam identificadas divergncias. 72) O Agente de Custdia deve manter sistema de controle de custdia, prprio ou contratado de terceiros, que permita o controle dos saldos e movimentaes dos ativos depositados sob sua responsabilidade. 73) Todas as movimentaes de ativos sob responsabilidade do Agente de Custdia devem ser realizadas exclusivamente com base em instruo formal do cliente, exceto nos casos em que as movimentaes forem relacionadas a ordens de negcio no mesmo Participante. 74) Os saldos em contas de custdia sob responsabilidade do Agente de Custdia devem refletir as posies existentes nas depositrias. 75) Todos os ramais das reas que prestam servios de custdia devem ser gravados. 76) O Participante que recebe ordens de negcio de clientes e no possui acesso aos sistemas de negociao da BM&FBOVESPA deve gravar, de forma inteligvel, todas as ordens verbais recebidas por telefone ou dispositivo semelhante e todas as ordens escritas recebidas por sistema de mensagem instantnea emitidas pelos clientes ao Participante ou aos seus representantes. Ordens recebidas pessoalmente devem ser registradas por escrito. 77) O Participante deve manter ntegras todas as transmisses de ordens recebidas dos clientes pelo prazo mnimo de 5 (cinco) anos e registrar as seguintes informaes: data, horrio de incio, horrio fim ou durao, ramal telefnico, usurio de origem e de destino. 78) O Agente de Custdia deve manter os ativos pertencentes aos seus clientes depositados em contas individualizadas, sempre em nome do investidor. 79) O Agente de Custdia deve disponibilizar extratos da conta de custdia para o investidor titular da conta: Sempre que solicitado; Ao trmino de cada ms, quando houver movimentao; Uma vez por ano, no mnimo, se no houver movimentao ou solicitao. 80) Os procedimentos realizados pelo Agente de Custdia devem estar em conformidade com o documento descritivo das rotinas operacionais referentes s atividades de custdia. 81) As atividades de custdia devem estar segregadas fisicamente das atividades de administrao de recursos e das Mesas de Operaes.

12

PQO Programa de Qualificao Operacional Roteiro Bsico

6. GERENCIAR RISCOS 82) O Participante deve manter procedimentos para o estabelecimento de limites operacionais e de exposio ao risco de cada cliente, de acordo com critrios objetivos. 83) O Participante deve monitorar ao longo do dia os limites operacionais atribudos a seus clientes em processo de gerenciamento de risco intradirio. 84) O Participante deve estabelecer mecanismos prprios de gerenciamento de risco intradirio a que esteja exposto perante cada um de seus clientes, abrangendo as posies em aberto em todos os mercados e as movimentaes dirias dos seus clientes, no se limitando aos mercados administrados pela BM&FBOVESPA. 85) O Participante deve dispor de, pelo menos, um profissional certificado pela BM&FBOVESPA em gesto de riscos. 86) O Participante acompanha e gerencia os riscos a que est exposto at que a transferncia de obrigaes a outro Participante tenha sido acatada (repasse, Investidor Qualificado e indicao de PLD). 87) O Participante informa seus clientes sobre os procedimentos adotados pela BM&FBOVESPA na hiptese de suas posies extrapolarem os limites operacionais. 88) O Participante deve informar e monitorar as obrigaes dos clientes, visando a liquidao das operaes e o atendimento das chamadas de margem em tempo hbil. 89) Nos casos de violao do limite operacional do sistema de risco intradirio, o Participante deve voltar ao enquadramento dentro do prazo estabelecido pela BM&FBOVESPA. 90) O Participante deve orientar seus clientes acerca de procedimentos, horrios e limites a serem observados na transferncia de ativos para a cobertura de margens. 91) O Participante deve implantar e monitorar os parmetros mnimos definidos pela BM&FBOVESPA nas ferramentas de gesto de risco pr-negociao utilizadas para controle do risco decorrente das operaes realizadas por seus clientes usurios do modelo DMA (Direct Market Access).

13

PQO Programa de Qualificao Operacional Roteiro Bsico

7. FUNO INTEGRIDADE 92) O Participante deve possuir controles que permitam realizar a avaliao da capacidade econmico-financeira e as caractersticas operacionais do cliente. 93) O Participante deve manter os registros e os documentos relativos ao recebimento e transmisso de ordens arquivados pelo prazo previsto na regulamentao pertinente. 94) Todos os colaboradores do Participante devem aderir ao Cdigo de tica da BM&FBOVESPA. 95) O Participante deve enquadrar-se nos requisitos financeiros e patrimoniais estabelecidos pela BM&FBOVESPA. 96) O Participante deve dispor de sistema de controles internos que atenda aos requisitos da Resoluo CMN 2.554. 97) O Participante deve dispor de, pelo menos, um profissional responsvel por Compliance e certificado pela BM&FBOVESPA. 98) O Diretor responsvel por controles internos dever emitir relatrio semestral de avaliao dos controles internos do Participante e envi-lo formalmente ao Diretor de Relaes com Mercado e Diretoria de Auditoria da BM&FBOVESPA, abrangendo, pelo menos, os seguintes aspectos e considerando, pelo menos, a conformidade com o Roteiro Bsico do PQO: Avaliao dos controles relacionados aos processos de Execuo de Ordens, Cadastro de Clientes, Gesto de Riscos, Custdia e Liquidao; Monitorao da conformidade dos procedimentos executados pelo Participante em relao s suas Regras e Parmetros de Atuao, em especial quanto atuao de pessoas vinculadas e carteira prpria; Avaliao da segregao das funes desempenhadas pelos integrantes do Participante, de forma que seja evitado o conflito de interesses; Acompanhamento da efetividade das medidas corretivas e dos planos de ao definidos para mitigar os riscos identificados; Atuao de profissionais terceirizados, inclusive os que estejam em ambiente fsico externo, segundo os critrios de controles internos do Participante; Monitorao da existncia e validade da certificao dos profissionais que atuam nos mercados da BM&FBOVESPA e do seu credenciamento junto BM&FBOVESPA; Monitorao da adequao dos investimentos em relao ao perfil dos clientes, conforme regras definidas pelo Participante; Preveno e deteco de lavagem de dinheiro; Segurana das informaes: gerenciamento de acessos e senhas (redes, sistemas e bancos de dados, incluindo o canal de relacionamento eletrnico com o cliente) e identificao dos sistemas sem trilhas de auditoria; Continuidade dos negcios: acompanhamento e avaliao das atualizaes e dos resultados dos testes em relao aos objetivos estabelecidos;

14

PQO Programa de Qualificao Operacional Roteiro Bsico

Registro das situaes de indisponibilidade dos sistemas, das redes, dos canais de comunicao (inclusive gravao de voz e mensageria instantnea). 99) As funes de Diretor de Relaes com Mercado e de Diretor de Compliance no podero ser acumuladas pelo mesmo profissional. 100) As funes de Diretor de Operaes e de Diretor de Compliance no podero ser acumuladas pelo mesmo profissional. 101) O Participante deve adotar de imediato medidas corretivas necessrias sempre que encontradas no conformidades e/ou pontos de ateno nas auditorias. O Participante deve possuir mecanismos efetivos que assegurem a observncia do sigilo das informaes dos clientes sob sua guarda. O Participante deve dispor de mecanismos de controle, sob responsabilidade da alta administrao, que identifique, avalie, mitigue e monitore os riscos relacionados a lavagem de dinheiro, incluindo: Identificao e cadastro dos clientes (assegurar veracidade das informaes cadastrais); Origem e destino dos recursos (assegurar que os ativos e recursos utilizados no mbito do relacionamento com o Participante sejam provenientes de ou destinados a contas do cliente); Compatibilidade das operaes realizadas pelo cliente com sua situao financeira e patrimonial, baseada em critrio definido nos controles internos do Participante. O Participante deve manter programa de treinamento contnuo para colaboradores destinado a divulgar os procedimentos de controle e de preveno lavagem de dinheiro.

102)

103)

104)

15

PQO Programa de Qualificao Operacional Roteiro Bsico

8. FUNO RECURSOS HUMANOS 105) O Participante deve atender aos requisitos estabelecidos pela BM&FBOVESPA para certificao de todos os seus profissionais que exeram atividades relacionadas aos mercados da BM&FBOVESPA. 106) Todos os profissionais (terceirizados ou no) que atuem como Operadores devem ser previamente credenciados pela BM&FBOVESPA antes de iniciar suas atividades no Participante. Para o exerccio da sua atividade, o agente autnomo de investimento deve observar as vedaes estabelecidas na regulamentao vigente. A sociedade, pessoa jurdica, de agentes autnomos de investimento no poder possuir scios terceiros que no sejam agentes autnomos, com participao superior a 2% na sociedade, sendo que tais scios no podem exercer funo de gerncia ou administrao ou por qualquer modo participar das atividades que constituam o objeto social. Os pagamentos decorrentes da prestao de servios do agente autnomo de investimento devem ser efetuados diretamente para a pessoa fsica ou jurdica vinculada contratualmente ao Participante. O agente autnomo de investimento pessoa natural (pessoa fsico ou scio de pessoa jurdica) deve possuir exclusividade de vnculo com o Participante, no podendo prestar servios a mais de um Participante simultaneamente. O agente autnomo de investimento deve estar credenciado pela BM&FBOVESPA e, quando aplicvel, certificado na funo exercida e inscrito no GHP Gerenciador de Habilitao de Profissionais, antes de iniciar suas atividades no Participante. O Participante deve manter atualizadas as informaes constantes no GHP Gerenciador de Habilitao de Profissionais da BM&FBOVESPA. Em caso de solicitao de transferncia do agente autnomo de investimento de um Participante para outro, as atividades no novo Participante somente podero ter incio aps intervalo de 60 dias em relao a sua ltima atuao em outro Participante, podendo o antigo Participante dispensar tal prazo mediante carta de recomendao. O credenciamento est sujeito aprovao da BM&FBOVESPA. O agente autnomo de investimento contratado pelo Participante deve estar sujeito a todas as suas polticas de controles internos, sendo que o Participante assume responsabilidade por todos e quaisquer atos do agente autnomo na condio de seu preposto.

107)

108)

109)

110)

111)

112)

113)

114)

16

PQO Programa de Qualificao Operacional Roteiro Bsico

9. FUNO TECNOLOGIA DA INFORMAO

Segurana das Informaes 115) O Participante deve estabelecer e difundir, entre todos os seus funcionrios e colaboradores, Poltica de Segurana das Informaes aprovada pela alta administrao, que defina, no mnimo, as seguintes diretrizes: Confidencialidade e integridade da informao; Responsabilidade do uso da senha; Utilizao de Internet e correio eletrnico; Utilizao de software; Concesso e administrao de acessos a sistemas, base de dados e a redes; Segurana fsica dos ambientes de operao e processamento. O Participante deve manter a segurana da rede, de arquivos, da base de dados, de sistemas e do trfego de informaes, para garantir o sigilo e a integridade das informaes de clientes sob sua guarda. As senhas de acesso rede e aos sistemas internos devem seguir, pelo menos, os seguintes parmetros: Tamanho mnimo: 6 (seis) caracteres; Tempo mximo de expirao: 45 (quarenta e cinco) dias; Quantidade mxima de tentativas antes do bloqueio: 3 (trs); Durao do bloqueio: desbloqueio pelo administrador; Histrico mnimo de senhas utilizadas: 6 (seis); Complexidade: ativada; Serem armazenadas de forma criptografadas. Os sistemas eletrnicos de ordens, de cadastro, de gesto de risco, de custdia, de conta margem e de gerenciamento de perfil de investimento dos clientes devem conter trilhas de auditoria suficientes para assegurar o rastreamento de eventos, incluindo: Identificao do usurio; Data e horrio de ocorrncia do evento; Identificao do evento (incluso, alterao, excluso). Quanto rede interna de computadores, as trilhas de auditoria devem conter o registro dos acessos (usurio, data e horrio). O perodo de reteno das trilhas de auditoria deve ser de, no mnimo, 5 (cinco) anos. O canal de relacionamento eletrnico do Participante com o Cliente, utilizado para consultas ou transaes, deve atender, pelo menos, aos seguintes critrios: O site deve possuir certificado digital emitido por autoridade certificadora aprovada pela ICP Brasil ou equivalente.

116)

117)

118)

119)

17

PQO Programa de Qualificao Operacional Roteiro Bsico

O trfego das seguintes informaes deve ser criptografado com algoritmo de criptografia de, no mnimo, 128 bits: Dados de autenticao do usurio (login e senha); Dados cadastrais; Dados de transaes entre Participante e cliente (ordens e transferncia de recursos); Dados de posies dos clientes. O acesso eletrnico deve possuir autenticao forte (dupla confirmao), de que so exemplos: Autenticao de usurio e senha + Resposta a perguntas; Autenticao de usurio e senha + Token criptogrfico; Autenticao de usurio e senha + Carto de senhas. A conta de usurio deve ser bloqueada aps 3 (trs) tentativas de autenticao incorretas. A senha bloqueada s pode ser desbloqueada mediante confirmao da identidade do usurio pelo Participante (confirmao de dados pessoais, cadastrais e/ou de operaes). As senhas de usurios devem ser compostas de, no mnimo, 6 (seis) caracteres. No permitir que um mesmo usurio tenha autenticao simultnea. As senhas devem ser mantidas criptografadas. 120) O Participante que mantm canal de relacionamento eletrnico com clientes, utilizado para consultas ou transaes, via website e DMA (Direct Market Access), deve disponibilizar informaes aos seus clientes e orient-los sobre as prticas de segurana das informaes no uso de recursos computacionais. O acesso aos sistemas, bancos de dados e redes prprios ou adquiridos de terceiros ou da BM&FBOVESPA deve seguir as seguintes caractersticas: Usurio individual e nico; Estar protegido por senha; Ser concedido conforme matriz de segregao de funes para evitar conflito de interesses; Ser aprovado pelo proprietrio da informao; Ser concedido somente a profissionais que possuam vnculo com o Participante. O Participante deve administrar os acessos (concesso, alterao e excluso) para manter as caractersticas descritas. O Participante deve possuir ferramentas de segurana de redes instaladas e monitoradas para impedir acessos indevidos aos computadores e recursos de sua rede interna. O CPD (Centro de Processamento de Dados) deve ser mantido em ambiente exclusivo com acesso controlado, controles de combate a incndio, controle de temperatura e umidade, e fonte de energia alternativa para, em caso de
18

121)

122)

123)

PQO Programa de Qualificao Operacional Roteiro Bsico

interrupo, no mnimo, concluir o processamento das atividades operacionais em curso, incluindo a realizao de todas as rotinas de backup. Continuidade de Negcios 124) As corretoras eletrnicas, que administrem sistemas de recebimento de ordens de compra e venda de valores mobilirios por meio da rede mundial de computadores, devem estabelecer planos de contingncia para seus sistemas, com o objetivo de preservar o pronto atendimento aos investidores nos casos de suspenses no atendimento pela rede mundial de computadores. O Participante deve desenvolver, implantar e testar plano de continuidade de negcios cujos objetivos mnimos de continuidade sejam: A) Quanto liquidao com a BM&FBOVESPA, mecanismos que garantam: Liquidao diria com a BM&FBOVESPA; Depsito de garantias; Atendimento de chamada de margem; Recebimento e pagamento dos valores de liquidao; Entrega e recebimento de ativos; Autorizao de movimentao de ativos. B) Quanto liquidao com clientes, mecanismos que garantam: Comunicao com clientes, BM&FBOVESPA, Corretora, Agente de Custdia, Agente/Membro de Compensao e Banco Liquidante; Monitoramento da entrada e sada de recursos. C) Quanto atualizao de posies, mecanismos que garantam: Cliente inserir ordem de encerramento de posio na BM&FBOVESPA; Para as operaes realizadas em D+zero: Confirmar as ordens; Especificar as ordens; Repassar ou realocar.

125)

Monitorao e Operao da Infraestrutura de TI 126) Os sistemas de negociao eletrnica oferecidos pelo Participante aos seus clientes devem ser monitorados para garantir disponibilidade de acordo com indicadores estabelecidos na regulamentao, segurana na autenticao, confidencialidade e integridade das informaes O Participante deve possuir procedimentos e rotinas de backup de dados e de voz necessrios para continuar os negcios e atender legislao e regulamentao vigentes, que garantam a disponibilidade das informaes, documentados e de pleno conhecimento do pessoal responsvel pelo processo, que definam, no mnimo, as seguintes diretrizes: Responsveis; Escopo;
19

127)

PQO Programa de Qualificao Operacional Roteiro Bsico

Freqncia; Mtodo (ferramenta); Monitorao; Testes (periodicidade, escopo, resultado); Local de armazenagem (acessos, controles ambientais); Controles no transporte das mdias; Perodo de reteno das mdias; Inventrio das mdias. 128) O Participante deve monitorar a execuo das rotinas de backup, incluindo procedimentos de registro e de soluo de erros, e testar a integridade e a recuperao das informaes em cpia de segurana. As cpias de segurana destinadas recuperao das operaes do Participante devem ser enviadas, no mnimo diariamente, para armazenagem em local externo s instalaes principais, com acesso controlado, monitoramento de temperatura e umidade e controles de combate a incndio, no prazo de reteno estabelecido pela regulamentao vigentes. O Participante deve possuir controles que garantam a integridade das ordens recebidas por ferramentas de mensagem instantnea. Os histricos devem ser mantidos com restrio de acesso lgico, pelo perodo mnimo de 5 (cinco) anos, e informar data, horrio e usurio de origem e de destino. O Participante deve monitorar preventivamente a capacidade, o desempenho e a disponibilidade da rede e canais de comunicao, dos sistemas, dos servidores e do banco de dados, de forma a manter a continuidade e o bom funcionamento dos negcios. O Participante deve dispor de gesto centralizada das ocorrncias com sistemas, equipamentos de informtica e telecomunicaes, de modo a registrar e a atender as demandas internas e externas requeridas.

129)

130)

131)

132)

Gerenciamento de Mudanas 133) O Participante deve dispor de controles para o gerenciamento de mudanas de software, hardware e infra-estrutura, incluindo anlises de impacto, planejamento da execuo, roteiros de testes e aprovao das reas envolvidas antes da implementao em produo, criao de planos de retorno e documentao das mudanas. O Participante deve dispor de controles para desenvolvimento, manuteno e aquisio de software, incluindo utilizao de ambientes segregados para desenvolvimento e produo, metodologia, aplicao de testes em ambiente
20

134)

PQO Programa de Qualificao Operacional Roteiro Bsico

segregado, aprovao dos usurios envolvidos e manuteno das documentaes correspondentes. 135) O Participante deve realizar manutenes e atualizaes tcnicas e de segurana peridicas, de forma a manter em plenas condies de funcionamento seus sistemas e equipamentos de informtica e de telecomunicaes, e a atender s necessidades de seu negcio.

Suporte Infraestrutura 136) O Participante deve adotar as providncias necessrias manuteno peridica e ao monitoramento contnuo do sistema de gravao telefnica, a fim de proporcionar perfeita qualidade de gravao e assegurar integridade, funcionamento contnuo e impossibilidade de inseres ou edies. O Participante deve estabelecer e monitorar clusulas de acordo de nvel de servio (Service Level Agreement) de tecnologia da informao para atendimento e resoluo de problemas em prazos e condies que assegurem a disponibilidade dos servios e os compromissos com seus clientes, incluindo critrios objetivos de mensurao, cobrana e confidencialidade das informaes disponibilizadas e o cumprimento da base regulamentar aplicvel em seus contratos com os provedores de servios de: Telecomunicaes; Help desk; Desenvolvimento e manuteno de sistemas; Custdia de informaes em meios fsicos e lgicos. Todos os software e equipamentos de informtica e de telecomunicaes utilizados devem ser inventariados e homologados pelo Participante e possuir licena de uso. O Participante deve possuir software de antivrus instalado e atualizado em todos os seus servidores e estaes de trabalho. O Participante deve dispor de, pelo menos, um profissional responsvel por Tecnologia da Informao e certificado pela BM&FBOVESPA.

137)

138)

139)

140)

21

PQO Programa de Qualificao Operacional Roteiro Bsico

GLOSSRIO Anlise de impacto Avaliao dos impactos que a implantao ou a alterao em sistema aplicativo pode gerar no funcionamento dos demais sistemas aplicativos j instalados. BSM (BM&FBOVESPA Superviso de Mercados) rgo auxiliar da CVM (Comisso de Valores Mobilirios) no que concerne autorregulao dos mercados regulamentados de valores mobilirios e que atua na fiscalizao e superviso dos participantes dos mercados BM&FBOVESPA e da prpria BM&FBOVESPA, nos termos da Instruo CVM 461. Um dos instrumentos utilizados pela BSM para cumprimento de suas funes de autorregulao o MRP Mecanismo de Ressarcimento de Prejuzos. Canal de relacionamento Meio de comunicao institucional disponibilizado aos clientes do Participante, tais como SAC Servio de Atendimento a Cliente, telefone, e-mail e Internet. Canal de relacionamento eletrnico Site de Internet disponibilizado pelo Participante para consultas e para transaes de seus clientes. Cliente de varejo Clientes pessoa fsica ou pessoa jurdica no financeira. Cliente profissional Clientes institucionais, pessoa jurdica financeira ou pessoa fsica que possui acesso direto aos sistemas de negociao da BM&FBOVESPA. Complexidade Definio de senha com utilizao de caracteres de diferentes caractersticas (letras, nmeros e smbolos). Criptografia Utilizao de tcnicas que codifiquem a senha de modo que somente o emissor e o receptor consigam decifr-las. DMA (Direct Market Access) Modelo de negociao em Bolsa segundo o qual o corretor, por meio de soluo tecnolgica especfica, oferece a seus clientes a possibilidade de: (i) Visualizar, em tempo real, o livro de ofertas do sistema eletrnico de negociao; e (ii) Enviar ordens de compra e de venda, de forma eletrnica, que, enquadrando-se aos limites e aos demais parmetros estabelecidos pelo corretor e/ou pela Bolsa, so automaticamente transformadas em ofertas no livro do sistema eletrnico de negociao. Durao recomendada do investimento Recomendao do Participante quanto ao prazo em que o investimento deve ser mantido, considerando o perfil de investimentos do cliente e as caractersticas do produto oferecido. Fonte de energia alternativa Fonte de energia eltrica para funcionamento de equipamentos. Normalmente so utilizados no-breaks e geradores de energia eltrica. GHP (Gerenciador de Habilitao de Profissionais) Sistema de cadastro dos
22

PQO Programa de Qualificao Operacional Roteiro Bsico

profissionais do Participante nas funes certificadas pela BM&FBOVESPA. Histrico de senhas utilizadas Impossibilidade de repetio de mesma senha de acesso aos sistemas e rede. ICP Brasil ICP, ou Infra-estrutura de Chaves Pblicas, a sigla no Brasil para PKI Public Key Infrastructure, conjunto de tcnicas, prticas e procedimentos elaborado para suportar um sistema criptogrfico com base em certificados digitais. Instrumentos de venda Materiais escritos destinados comunicao institucional da Corretora com seus clientes, tais como site, folhetos e outros considerados de ampla divulgao. Matriz de segregao de funes Definio das funes que, acumuladas por uma mesma pessoa, pode gerar conflito de interesses, como, por exemplo, execuo, autorizao/aprovao, controle e contabilizao de operaes. Perfil de investimentos Classificao do cliente com base em conjunto de caractersticas como situao econmico-financeira, objetivos de investimento, tolerncia ao risco, conhecimento e experincia do cliente, operaes realizadas, concentrao de carteira, entre outros, destinado definio dos produtos e dos servios compatveis. Plano de continuidade dos negcios Definio das estratgias para recuperao das operaes do Participante em casos de interrupo dos negcios decorrentes de eventos diruptivos. Regras e parmetros de atuao Documento descritivo do modelo de atuao do Participante, que deve ser formalmente encaminhado Diretoria de Auditoria da BM&FBOVESPA, inclusive suas alteraes, e obrigatoriamente entregue ao cliente antes de iniciar suas operaes. Repasse Transferncia da operao entre Participantes. O repasse de operao ser realizado pelo Participante que executou a operao no sistema de negociao (origem), transferindo-a para o Participante que ir realizar a compensao e a liquidao da operao (destino), qual compete confirmar ou rejeitar o repasse no prazo e nas condies estabelecidas pela BM&FBOVESPA. Para a realizao de repasse de operaes, os Participantes envolvidos devem estar vinculados por contrato especfico. Requisitos financeiros e patrimoniais Exigncias para admisso e manuteno do acesso dos Participantes aos mercados da BM&FBOVESPA, conforme categoria de acesso. Dentre essas exigncias, incluem-se indicadores como capital de giro prprio, patrimnio lquido e limite de custdia. Sistema de negociao eletrnica Sistemas de negociao disponibilizados pelos Participantes s seus clientes por meio de ferramentas, incluindo DMA..

23