Política de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo

1. OBJETIVO

Estabelecer diretrizes e procedimentos para o desenvolvimento seguro de aplicações na Paymnt, assegurando a conformidade com padrões técnicos e legais aplicáveis, e garantindo que a infraestrutura tecnológica utilizada pela empresa apoie de forma segura e rastreável os processos das instituições contratantes relacionados à prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT), conforme a Circular nº 3.978 do Banco Central do Brasil, e normas como ISO 27001, ISO 27017, LGPD.

2. ABRANGÊNCIA

Esta política se aplica a todos os sistemas, APIs, integrações e componentes desenvolvidos, contratados ou operados pela Paymnt, bem como aos ambientes de desenvolvimento, homologação, produção e analytics.

Abrange também todas as áreas técnicas, operacionais e de suporte envolvidas em atividades que impactem a segurança, rastreabilidade e conformidade das operações realizadas pela Paymnt no contexto de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT).

A política contempla tanto os controles internos da Paymnt quanto as interações com PSPs ou Operadores de Dados parceiros, sempre respeitando o papel da Paymnt como controladora dos dados e responsável por assegurar a conformidade regulatória e legal.

3. PAPÉIS E RESPONSABILIDADES

• Diretoria Executiva: Aprovação desta política e supervisão geral.
• Gestão de TI/SI: Garantir que todas as aplicações atendam aos requisitos de segurança definidos
• Equipe de TI/SI: Desenvolvimento de aplicações seguras seguindo as diretrizes e procedimentos estabelecidos.
• Infraestrutura em Cloud: Implementação e monitoramento dos controles de segurança em ambiente Cloud.
• DPO: acompanhamento da conformidade deste documento.

4. TERMOS E DEFINIÇÕES

Consultar o MNL-001 Manual de Organização de Conceitos, disponibilizado nos repositórios corporativos oficiais.

5. DIRETRIZES PARA CONTROLES TÉCNICOS DE SUPORTE AO PLD/FT

Todas as evidências relacionadas à conformidade com esta política deverão ser armazenadas em repositório corporativo seguro, segregado por ambiente (Pix, Portal, Analytics).

Esta política está formulada com base nos princípios e diretrizes estabelecidos no Art. 2º da Circular nº 3.978/2020 do Banco Central do Brasil, adaptados ao papel da Paymnt como provedora tecnológica (API) no arranjo Pix indireto e como controladora de dados.

A Paymnt não realiza KYC (Know Your Customer), pois não lida diretamente com titulares de transações. Entretanto, realiza KYB (Know Your Business) como parte do onboarding e monitoramento contínuo de empresas e parceiros que integram seu ecossistema, assegurando a devida diligência, prevenção a ilícitos e conformidade regulatória.

O controle de risco e o reporte ao COAF são obrigações dos PSPs ou Operadores de Dados autorizados, cabendo à Paymnt assegurar rastreabilidade técnica, integridade operacional e governança analítica necessárias para subsidiar tais processos.

5.1. REGISTROS E LOGS

No arranjo de Pix indireto, a Paymnt, na condição de provedora tecnológica, é responsável por manter os registros técnicos de chamadas de API referentes às transações encaminhadas aos PSPs autorizados.

Esses registros de API incluem exclusivamente informações necessárias à rastreabilidade e integridade da integração, tais como endToEndId, data e hora da requisição, valor da operação, chave Pix mascarada. Tais evidências são retidas pelo prazo de 5 (cinco) anos, em conformidade com a Circular nº 3.978/2020 do Banco Central do Brasil.

A responsabilidade pelos registros oficiais das transações financeiras – que incluem dados completos do pagador e recebedor, liquidação no SPI e reporte ao COAF – permanece integralmente com o PSP/Operador de Dados autorizado, conforme exigências regulatórias do Bacen.

Dessa forma, a Paymnt atua como garantidora da rastreabilidade técnica das integrações, enquanto os PSPs permanecem responsáveis pelos registros financeiros oficiais das transações, assegurando a complementaridade dos controles de prevenção à lavagem de dinheiro e financiamento ao terrorismo (PLD/FT).

5.2. CLASSIFICAÇÃO DA INFORMAÇÃO

As informações sob responsabilidade da Paymnt são classificadas e protegidas conforme a NRM003 Classificação da Informação e Controle de Acesso, assegurando níveis adequados de segurança e confidencialidade.

5.3. PROTEÇÃO DE DADOS

A Paymnt protege apenas os dados internos e técnicos necessários à sua operação, em conformidade com:

• NRM004: retenção e descarte seguro de dados;
• NRM019: uso aceitável e seguro de ativos tecnológicos;
• PLT002: Política de Privacidade, Inventário de Dados e LIA;
• PLT003: Política e Procedimento de DPIA;
• Política de Privacidade Paymnt.

5.4. AVALIAÇÃO DE RISCOS TÉCNICOS

No Pix, a análise de risco comportamental de clientes finais e o reporte ao COAF são de responsabilidade dos PSPs/Operadores de Dados.

A Paymnt contribui assegurando mecanismos técnicos de rastreabilidade e detecção de anomalias, tais como:

• Tentativas de uso indevido ou acessos fora do padrão;
• Picos de volume inesperados;
• Falhas recorrentes de autenticação.

Quando tais eventos são identificados, a Paymnt:

• Notifica formalmente o PSP/Operador de Dados com as evidências técnicas;
• Registra o evento internamente, junto aos logs correspondentes;
• Coopera tecnicamente com o PSP/Operador de Dados em investigações ou relatórios regulatórios;
• Avalia, caso a caso, a necessidade de escalonamento às autoridades competentes.

No Analytics, a Paymnt realiza análises de padrões de consumo e comportamento de mercado a partir de dados mascarado, auxiliando a identificação de anomalias e a mitigação de riscos de lavagem de dinheiro e financiamento ao terrorismo.

Todas as análises seguem os critérios da NRM007, com o objetivo de identificar e reduzir riscos técnicos, operacionais e regulatórios que possam afetar as operações da Paymnt

5.5. FLUXOS SEGUROS DE ATUAÇÃO DA PAYMNT

A Paymnt atua em dois fluxos de negócio distintos, cada um com responsabilidades e controles específicos voltados à conformidade em PLD/FT:

a) Processamento Pix Indireto

A Paymnt funciona como provedora tecnológica (API) no arranjo indireto do Pix, conectando seus clientes empresariais ao PSP/Operador de Dados autorizado pelo Bacen. Nesse fluxo, a Paymnt assegura a validação técnica, o encaminhamento seguro das transações e o registro de logs de rastreabilidade, enquanto a liquidação e o reporte ao COAF permanecem sob responsabilidade do PSP. Em situações de risco ou uso suspeito, a Paymnt notifica o operador de dados, registra a ocorrência e coopera tecnicamente conforme solicitado.

b) Analytics de Comportamento de Consumo

O objetivo é gerar insights sobre padrões de consumo, sempre em formato agregado. Esse ambiente é segregado do Pix, operando em nuvem AWS e RBAC. Os insights podem ser disponibilizados a parceiros e comercializados em conformidade com a NRM022, amparado por controles mitigatórios conforme DPIA (PLT003) e LIA.

6. PROCEDIMENTOS

A Paymnt viabiliza técnicamente mecanismos de rastreamento e auditoria exclusivamente no contexto das transações realizadas via sua API Pix, em nome da instituição contratante, que deve ser instituição de pagamento devidamente autorizada pelo Banco Central do Brasil.

Dados de colaboradores e prestadores de serviços da Paymnt são tratados apenas para fins administrativos e contratuais, conforme a LGPD.

Ferramentas e Processos Utilizados

• AWS CloudWatch: Monitoramento contínuo dos serviços e APIs relacionados ao Pix.
• AWS CloudTrail: Registro detalhado de todas as ações realizadas nos serviços AWS, permitindo rastrear atividades suspeitas.
• Algoritmos Automatizados: Implementação de funções que analisam padrões de comportamento incomuns (ex.: transações em valores fora do padrão ou acessos suspeitos).
• Listas de Monitoramento: Identificar contas ou IPs suspeitos previamente registrados.
• Regras de Alerta Personalizadas: Configurar alertas para eventos específicos, como tentativas excessivas de login, transações de alto valor ou acessos não autorizados.

6.1. CONFORMIDADE TECNOLÓGICA COM ISO 27001

Toda a infraestrutura da Paymnt é baseada exclusivamente em serviços de tecnologia fornecidos por provedores que possuem certificação ISO/IEC 27001, padrão internacional para sistemas de gestão de segurança da informação. Isso assegura que todos os recursos computacionais utilizados, incluindo serviços em nuvem, armazenamento, autenticação e monitoramento, atendem a requisitos rigorosos de confidencialidade, integridade e disponibilidade da informação.

Essa escolha estratégica garante que os controles implementados estejam aderentes às exigências da LGPD, da Resolução nº 4.893/2021 do Banco Central e das Normas Regulatórias Mínimas (NRMs) adotadas pela Paymnt, reforçando o compromisso com um ambiente seguro e auditável.

6.2. AVALIAÇÃO INTERNA DE RISCOS E REALIZAÇÃO DE AVALIAÇÕES PERIÓDICAS.

A Paymnt realiza avaliações internas periódicas com foco nos riscos técnicos, operacionais e regulatórios associados à sua infraestrutura de APIs no arranjo Pix indireto e ao seu ambiente de Analytics, garantindo rastreabilidade, integridade e conformidade no contexto de PLD/FT.

Essas avaliações ocorrem no mínimo anualmente ou sempre que houver mudanças significativas, como novas funcionalidades da API Pix, evolução do ambiente de Analytics ou alterações regulatórias relevantes.

a) As ferramentas e práticas utilizadas incluem:

• AWS Security Hub: monitoramento contínuo das configurações de segurança;
• AWS CloudTrail e CloudWatch: análise de logs e rastreamento de eventos;
• Testes de invasão (Pentests): realizados periodicamente em APIs e ambientes cloud;
• Classificação e resposta a riscos conforme a NRM007;
• Desenvolvimento seguro conforme a NRM008;
• Gestão de mudanças controlada conforme a NRM009.

b) Análise de Impacto (DPIA)

c) Aplicação de Medidas Mitigatórias e Revisão de Eficácia

A Paymnt adota uma postura proativa em segurança da informação, com foco na resiliência de sua infraestrutura e no atendimento às exigências regulatórias relacionadas a PLD/FT.

d) Controles em vigor incluem:

• WAF (Firewall de Aplicação Web) com reforço de perímetro via Cloudflare, conforme a NRM002;
• Criptografia forte para dados em repouso e em trânsito, em conformidade com a NRM005;
• Testes de segurança periódicos em APIs e ambientes cloud, conforme a NRM013;
• Documentação de ações corretivas e melhorias contínuas, com base nas avaliações de risco, em conformidade com a NRM-007.

Essas medidas reforçam o compromisso da Paymnt com a criação de um ambiente seguro, auditável e em conformidade.

6.3 INTEGRAÇÕES COMPLEMENTARES

Para reforçar a efetividade da política de PLD/FT e garantir sua integração ao arcabouço normativo da Paymnt, são estabelecidas as seguintes diretrizes complementares:

a) Governança de Modelos Analíticos (Analytics)

Modelos e algoritmos utilizados em Analytics para apoio ao PLD/FT devem passar por:

• revisão periódica;
• avaliação de vieses e riscos de discriminação;
• supervisão humana obrigatória;
• direito de contestação, quando aplicável.

b) Continuidade de Negócio e Recuperação de Desastres

A Paymnt mantém planos de BCP e DRP, em conformidade com a NRM017 e a PLT001, garantindo resiliência em incidentes críticos nos ambientes Pix e Analytics.

c) Integração com Gestão de Incidentes

Qualquer evento relacionado a indícios de PLD/FT nos fluxos Pix ou Analytics deverá seguir os procedimentos da NRM016, assegurando contenção imediata, registro formal e escalonamento adequado

7. PROCEDIMENTOS DESTINADOS A CONHECER CLIENTES (KYC)

A Paymnt não realiza KYC (Know Your Customer) diretamente, pois não mantém relação com titulares de transações. Essa responsabilidade é exclusiva dos PSPs ou Operadores de Dados autorizados pelo Bacen.

No entanto, a Paymnt implementa mecanismos próprios de KYB (Know Your Business) e de Analytics, garantindo que parceiros e clientes corporativos sejam devidamente qualificados e que o uso dos serviços respeite as diretrizes de PLD/FT:

KYB – Know Your Business

• Realização de diligência prévia antes da integração de novos parceiros empresariais.
• Verificação cadastral e documental de CNPJs, contratos sociais e registros públicos.
• Monitoramento contínuo de parceiros para identificar alterações societárias, cadastrais ou de risco reputacional.
• Registro de todas as etapas de KYB em sistema seguro e auditável.

Analytics como apoio a PLD/FT

• O ambiente de Analytics processa apenas dados previamente mascarados, assegurando que não haja exposição de PII.
• A análise concentra-se em padrões de consumo e comportamento transacional, permitindo a identificação de clusters, anomalias e desvios estatísticos que podem indicar risco de ilícitos financeiros.
• Os insights são sempre gerados em formato agregado, em conformidade com a NRM-022 – Norma de Aplicação Segura do Processo Analytics.
• Qualquer nova finalidade de uso de dados ou modelo analítico deve ser precedida de DPIA (PLT-003) e, quando aplicável, de Avaliação de Legítimo Interesse (LIA).

Responsabilidade Final

Os resultados de KYB e de Analytics produzidos pela Paymnt não substituem o processo regulatório de KYC e reporte ao COAF, que continuam sob responsabilidade dos PSPs/Operadores de Dados. A Paymnt atua como controladora de dados de Analytics e como provedora tecnológica no Pix indireto, oferecendo subsídios técnicos e informacionais para apoiar a conformidade regulatória.

8. TREINAMENTO E CONSCIENTIZAÇÃO

A Paymnt deve realizar treinamentos periódicos sobre desenvolvimento seguro, PLD/FT e conformidade regulatória, com foco na Circular nº 3.978. e promover campanhas de conscientização para todos os colaboradores sobre práticas de segurança e uso seguro das aplicações. Além disso, deve documentar os treinamentos realizados e manter registros das participações para avaliação contínua.

Todos os processos descritos neste item devem estar integrados com os requisitos estabelecidos pela NRM018.

9. SANÇÕES DISCIPLINARES

Qualquer violação dos procedimentos definidos nesta política será analisada pela Gestão de TI/SI e Diretoria Executiva.

As sanções podem incluir advertências, suspensão ou desligamento, conforme definido na NRM021.

10. APROVAÇÃO

Todo o conteúdo elaborado, antes de ser divulgado aos colaboradores, deve ser aprovado pelo CEO.

11. REVISÃO E MANUTENÇÃO

Este documento deverá ser revisado anualmente ou quando uma mudança significativa ocorrer na organização.

12. INFORMAÇÕES DO DOCUMENTO

13. REFERÊNCIAS

14. HISTÓRICO DE VERSÕES