Central de Recebíveis

Manual Técnico de Integração

Cédulas

Versão 1.0
CONTROLE DO DOCUMENTO

Guarda e Retenção
Original mantido em área de gestão do conhecimento CERC, com cópia disponível no Portal
CERC.

Classificação da Segurança
Uso restrito de Participantes, colaboradores da CERC e Regulador.

Histórico de Atualização
Versão Data Descrição
1.0 06/12/2021 Versão Inicial do documento.

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 2

APRESENTAÇÃO

Objetivo
Definição dos detalhes da integração técnica referente à Circular do BCB nº 3.952, de 27 de
junho de 2019.

Propósito da CERC
A CERC Central de Recebíveis S.A. é uma entidade registradora autorizada pelo BCB que
presta serviços de Avaliação e Registro de ativos financeiros, inclusive recebíveis de arranjo
de pagamento e cédulas.

Participantes
São Agentes de Registro com direito de acesso ao Sistema CERC e Prestadores de Serviços
por eles indicados e devidamente cadastrados no Sistema CERC.

Usuários
São todos os representantes de Participantes, devidamente cadastrados e com acesso ao
Sistema CERC.

Divulgação e vigência deste manual

Este manual é de acesso restrito aos usuários do Sistema CERC e a versão corrente está
disponível no Portal CERC.

Contato
Favor entrar em contato nos casos de dúvidas ou considerações sobre as informações
contidas neste, enviando uma mensagem para o e-mail suporte-operacoes@cerc.inf.br
utilizando o assunto “manual”. Agradecemos antecipadamente a sua colaboração para
tornar nossa documentação e nossos serviços melhores.

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 3

ÍNDICE
APRESENTAÇÃO 3
HOMOLOGAÇÃO 5
MODELOS DE INTEGRAÇÃO 6
Portal do Participante 7
Troca de Arquivos 7
Repositórios de Arquivos 7
Serviço de Nuvem 7
Aspectos técnicos para troca de arquivos 8
APIs de Serviços 8
Restrições da API 8
Segurança dos Dados 8
Armazenamento 8
Tráfego 9
Anexo 1. Integração via Serviços de nuvem 10
Anexo 2. Autenticação de API 11
Referências 13

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 4

HOMOLOGAÇÃO
Após o processo de credenciamento, será enviado via
e-mail as credenciais de acesso ao portal do desenvolvedor
http://developer.cerc.inf.br/.
O Portal do desenvolvedor permite ao participante
testar nosso modelo de integração envolvendo todos os
leiautes de interface. Nomeada de Robô C-Droid, essa
ferramenta de homologação oferece uma sequência de
desafios que tem como objetivo validar todos os arquivos que
serão utilizados.
Os desafios são separados em 6 fases, cada uma delas
projetada com desafios ligados ao cotidiano de troca de
arquivos entre as empresas. Ao término de todas as fases, o processo de homologação estará
concluído, garantindo que todos os artefatos gerados estão em conformidade com os
requisitos necessários para a integração.

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 5

MODELOS DE INTEGRAÇÃO
Dentro do escopo de integração recebíveis de cédulas, a CERC disponibiliza 3 modelos
de integração: Portal do Participante, Troca de Arquivos e API de Serviços. A escolha de cada
canal varia de acordo com a volumetria e o nível de automação que o participante deseja
para a operação.
Toda integração realizada em conjunto com a CERC, independente do modelo, deve
obrigatoriamente respeitar os leiautes de interface. Um leiaute de interface é todo modelo
proposto pela CERC para padronização da informação enviada para nossos canais de
integração, para realizar operações envolvendo o ciclo de vida do ativo, de forma
automatizada.
Segue abaixo o quadro indicando todas as operações suportadas hoje na nossa
integração, bem como o canal usado para cada tipo de operação:

Portal do Troca de API de

Operação
Participante Arquivo Serviços
Registro de CCB X X X

Registro de CPR X X X

Registro de CDCA X X

Alteração/Baixa de CCB X X

Alteração/Baixa de CPR X X

Alteração/Baixa de CDCA X X

Cessão de CCB X X

Cessão de CPR X X

Conciliação de CCB X

Conciliação de CPR X

Certidão de CCB X X

Certidão de CPR X X

Consulta de Exposição de CPR X X

Cessão de CCB X X

Cessão de CPR X X

Nas próximas seções, iremos explorar cada modelo de integração disponível e

recomendar quando utilizá-los.

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 6

Portal do Participante
O portal do participante é a modelo mais simples de integração com nossa
plataforma, permitindo que o agente realize as operações referente ao ciclo de vida do ativo,
tais como: registro de novos ativos, atualização de ativo, entre outros, sem a necessidade de
integração sistemática.
Para acessar o portal é preciso requisitar credenciais de usuário e senha para o time
da CERC, fornecido após assinar o contrato de adesão. O fluxo das operações dentro do portal
não está incluso no escopo deste manual.

Troca de Arquivos
Troca de arquivos é o modelo ao qual a CERC e o Participante trocam arquivos de
remessa e retorno por meio de um repositório de arquivos, de forma online e restrita.
Entende-se por repositório de arquivos, todo serviço de armazenagem de arquivos, onde o
participante publicará arquivos no formato suportado pela CERC. Os arquivos publicados no
repositório devem obrigatoriamente seguir o de leiaute de interface. Esse modelo é
recomendado para empresas que tenham uma volumetria alta e/ou que possua fluxos de
processamento de dados baseados em lotes de arquivos de remessa e retorno.
Após a publicação do(s) arquivos(s), os sistemas da CERC inicializarão o
processamento dos mesmos de forma assíncrona e automática. Na próxima seção, iremos
explorar as opções disponíveis para troca de arquivos.

Repositórios de Arquivos

Serviço de Nuvem
A CERC está integrada com os principais serviços de armazenagem de arquivos em
nuvem, como Amazon S3, Azure Storage Blobs e GCS (Google Cloud Storage). Através de
credenciais previamente fornecidas, a CERC e o participante podem realizar as trocas de
arquivo de forma segura.

Caso o participante opte por fornecer o repositório de arquivos via provedor de

nuvem, o mesmo deverá encaminhar para nosso time de operações as credenciais do serviço,
para que possamos configurar os acessos em nossos agentes de extração de arquivo. Do
contrário, nós enviaremos as credenciais e o endereço do provedor de nuvem para que o
time interno do participante possa realizar a integração. O participante pode obter a
autorização para seguir esta opção através do processo explicado no Anexo 1 deste
documento.

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 7

Aspectos técnicos para troca de arquivos
Para que seja possível realizar uma integração via troca de arquivo, os arquivos enviados
e recebidos devem possuir as seguintes características:
● A formatação do arquivo deverá respeitar os padrões descritos no documento
Leiaute de interfaces.

APIs de Serviços
APIs de serviço representam o modelo de comunicação em tempo-real com a plataforma
da CERC, via requisição HTTPS no nosso endpoint de APIs.
As APIs são responsáveis por receber e processar todas as requisições baseadas nas
estruturas JSON presentes na documentação de cédulas em
https://homologcedulas.docs.apiary.io/#reference.
Para a autenticação é utilizado o protocolo OAuth2 (detalhado no Anexo 2. Autenticação
via API) utilizando as credenciais fornecidas via email após cadastro e assinatura de contrato.
Vale ressaltar que o token tem validade e após expiração deve ser gerado novamente.

Restrições da API
Toda requisição para API de ação deverá respeitar os limites de rate-limit descritos
abaixo:
● Rate-limit: 300 transações por segundo.

Segurança dos Dados

A CERC é uma instituição regulada pelo Bacen e, portanto, segue, em seus processos e
de seus fornecedores, os requisitos regulamentares de processamento, armazenamento e
transmissão de informações.

Armazenamento
A CERC utiliza o serviço de Cloud Storage fornecido pelo Google Cloud para armazenar
todos os objetos e arquivos enviados ou recebidos de seus clientes.

Cloud Storage oferece uma série de ferramentas que ajudam a manter seguro os dados
armazenados, por exemplo:

● Cloud Identity and Access Management.

● Criptografia de dados.
● Autenticação.
● Controle de versões de objetos.
A Google mantém níveis diferentes de criptografia para cada estado dos dados em seus
sistemas, sendo eles:

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 8

 ● Dados em repouso
● Dados em tráfego
● Dados em uso

Para dados em repouso, o algoritmo Advanced Encryption Standard (AES) é utilizado.

Para dados em tráfego, utiliza-se o Transport Layer Security (TLS). Por fim, para dados em
uso, utiliza-se uma técnica chamada Criptografia Homomórfica, onde operações realizadas
nos dados criptografados produzem um resultado já criptografado, sendo este o mesmo caso
o processo fosse aplicado nos dados descriptografados. Desta forma, seus dados
permanecem criptografados durante todo o processamento [1].

Tráfego
Todo tráfego da CERC é criptografado, seja através HTTPS para os portais e apis, seja
para transferência de arquivos. Para o tráfego via APIs, implementamos todos os itens de
segurança citados no padrão RFC 7235. Com isso, garantimos a segurança na autenticação e
na troca de informações.

Para o tráfego via troca de arquivos através da internet, a CERC utiliza o protocolo
SFTP (Secure File Transfer Protocol) com autenticação através de chave pública de até 4096
bits e no caso do Connect Direct é necessário utilizar o recurso Secure+ que permitirá a
autenticação e criptografía através de TLS 1.2 ou superior e uso de certificado, fornecido pelo
participante, no formato X.509 versão 3.
Para o tráfego através da VPN, todo tráfego é criptografado através de um túnel
IPSEC.

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 9

Anexo 1. Integração via Serviços de nuvem
Para integrações que envolvem repositórios de arquivo na nuvem da CERC, o
participante deverá obter as credenciais em conjunto com o time de operações. O time de
operações da CERC deverá fornecer as seguintes informações:
● Chave de acesso ao repositório de arquivos (bucket).
● Endereço de acesso ao repositório de arquivos.
Em contrapartida, quando o repositório for do próprio participante, este deverá
fornecer as seguintes informações:
● Indicativo de qual serviço de nuvem estará usando.
● Chave de acesso ao repositório de arquivos (bucket).
● Endereço de acesso ao repositório de arquivos.
O caminho da pasta dos arquivos de remessa e retorno deverá ser o especificado na
Estrutura de diretórios para troca de arquivos.
Para mais informações de como funciona os serviços suportados pela CERC, consulte
a documentação oficial dos provedores de nuvem [2][3][4].

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 10

Anexo 2. Autenticação de API
A CERC utiliza para autenticação em suas APIs o protocolo OAuth2 que é um protocolo
seguro, de fácil utilização e vastamente utilizado na indústria.
Em linhas gerais o procedimento de autenticação pode ser quebrado em 3 etapas:
1. Solicitar um Token de Acesso
2. Consumir o recurso da API desejado

OAuth 2.0 - Client Credentials

URL homologação: https://cad-int.cerc.inf.br

URL produção: https://cad-prd.cerc.inf.br

1. Solicitar um Token de Acesso

Uma vez com a "client_id" e o "client_secret" em mãos, é hora de solicitar um token
de acesso. Para tal basta executar um basic auth.

● Método: POST
● URL: https://{URL_AMBIENTE}/oauth/token
● Content-type: multipart/form-data
● Body:
○ "grant_type": "client_credentials"
● Header:
○ "Authorization": "Basic {CLIENTID/CLIENTSECRET}

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 11

 Em caso de sucesso será retornado um status 200 (Ok) e o body com as informações
de acesso.
Exemplo:

{
"access_token": "37999c1b-d718-465f-aede-6a6cccc5ce06",
"token_type": "bearer",
"expires_in": 43199,
"scope": "resource-server-read resource-server-write"
}

2. Consumir o recurso da API desejado

Agora para se utilizar qualquer endpoint CERC basta adicionar o access_token no

header no formato Bearer.

"Authorization": "Bearer access_token"

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 12

Referências
[1] Modelo de segurança da Google GCP: https://cloud.google.com/security/overview
[2] Tutorial de uso GCP GCS: https://cloud.google.com/storage/docs/tutorials
[3] Tutorial de uso AWS S3: https://cloud.google.com/storage/docs/tutorials

[4] Tutorial de uso Azure Blobs: https://docs.microsoft.com/en-

us/azure/storage/blobs/storage-quickstart-blobs-portal

Versão 1.0, de 06 de dezembro de 2021 - Informação Restrita 13