Voltar para o site

Segurança & Compliance

Como protegemos dados, transações e clientes

Última atualização:

Esta página descreve, em linguagem auditável, os controles técnicos e de governança que sustentam a infraestrutura da BS Finance. Não publicamos selos sem comprovação: cada item abaixo pode ser validado em contrato, em sandbox ou via solicitação ao time de compliance.

1. Proteção de dados pessoais (LGPD)

O tratamento de dados pessoais segue a Lei nº 13.709/2018 (LGPD) e as orientações da Autoridade Nacional de Proteção de Dados (ANPD). Os princípios aplicados são:

  • Finalidade e necessidade: coletamos apenas os dados estritamente necessários para a abertura de conta, KYC, prevenção a fraudes, cumprimento de obrigações legais e operação dos serviços contratados.
  • Base legal explícita: cada tratamento é mapeado a uma das hipóteses do art. 7º (consentimento, execução de contrato, obrigação legal, exercício regular de direitos, prevenção a fraudes, legítimo interesse).
  • Minimização: dados sensíveis (biometria, documentos) são segregados e acessados apenas por sistemas e pessoas com necessidade demonstrada.
  • Retenção: retemos registros pelo prazo exigido pela regulação financeira (mínimo de 5 anos para registros transacionais, conforme Circular Bacen 3.978/2020) e descartamos com segurança ao fim do ciclo.

Direitos do titular

Você pode, a qualquer momento, exercer os direitos previstos no art. 18 da LGPD: confirmação de tratamento, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamentos e revogação de consentimento. Solicitações são endereçadas em até 15 dias úteis pelo canal informado em DPO.

Documentos relacionados: Política de Privacidade · Política de Cookies.

2. KYC, PLD-FT e antifraude

O programa de Conheça-Seu-Cliente e Prevenção à Lavagem de Dinheiro segue a Lei nº 9.613/1998, a Circular Bacen 3.978/2020, normativos do COAF e as recomendações do GAFI/FATF.

Onboarding (PF e PJ)

  • captura e OCR de documentos oficiais (RG, CNH, passaporte, contrato social);
  • FaceMatch biométrico e prova de vida (liveness ativo);
  • consulta a bases oficiais (Receita Federal, Sintegra) e validação de QSA;
  • identificação do beneficiário final (UBO) em pessoas jurídicas;
  • triagem em listas restritivas (PEP, OFAC, ONU/CSNU, sanções nacionais);
  • classificação de risco do cliente em baixo, médio ou alto, com revisão periódica.

Monitoramento contínuo

  • regras paramétricas e modelos de risco aplicados em tempo real às transações;
  • alertas automáticos para padrões atípicos (estruturação, smurfing, contas-laranja);
  • geração de Relatório de Inteligência Financeira (RIF) ao COAF quando aplicável;
  • retenção mínima de 5 anos para todos os registros transacionais e de KYC.

Documento completo: KYC, PLD & Antifraude.

3. Criptografia em trânsito e em repouso

  • Trânsito: todo tráfego HTTP usa TLS 1.3 (com fallback negociado para TLS 1.2 quando o cliente exige), HSTS habilitado e certificados emitidos por CA pública.
  • Repouso: dados sensíveis (documentos, biometria, dados bancários) são cifrados com AES-256-GCM; chaves gerenciadas em KMS gerenciado pelo provedor de nuvem com rotação periódica.
  • Webhooks: assinados com HMAC-SHA256 e timestamp, com janela anti-replay; a chave é rotacionável pelo cliente no painel.
  • Senhas e segredos: hash com bcrypt / argon2id; segredos de aplicação armazenados em vault dedicado, nunca em código-fonte.
  • mTLS opcional para clientes enterprise que exigem autenticação mútua na borda da API.

4. Acesso, identidade e autorização

  • API: autenticação via OAuth 2.0 (client credentials) com tokens JWT de curta duração; chaves separadas por ambiente (sandbox e produção); IP allowlist opcional.
  • Painel administrativo: autenticação obrigatória, MFA recomendado para todos os usuários e exigido para perfis com privilégios sensíveis.
  • RBAC: controle de acesso baseado em papéis com princípio do menor privilégio; segregação entre operação, suporte e desenvolvimento.
  • Acesso interno a produção: restrito a um grupo reduzido de engenheiros, com just-in-time access, registro em log imutável e revisão trimestral de permissões.

5. Infraestrutura, disponibilidade e backups

  • Cloud-native, multi-AZ: componentes críticos replicados em pelo menos duas zonas de disponibilidade.
  • Auto-scaling horizontal e filas assíncronas para absorver picos sem degradação.
  • Alvo operacional de 99,9% de disponibilidade da API em produção. SLA contratual com penalidades é formalizado individualmente em contratos enterprise — não publicamos um número universal sem o respaldo do contrato.
  • Backups: rotina diária automatizada com retenção mínima de 30 dias e testes periódicos de restauração.
  • DR / continuidade: plano de continuidade de negócios documentado, com RPO e RTO definidos por serviço e revisão anual.

6. Auditoria, logs e resposta a incidentes

  • Trilha de auditoria imutável: ações administrativas sensíveis (criação/edição de usuários, alteração de permissões, aprovações de risco, exportações) são registradas em log append-only com timestamp e identidade do ator.
  • Logs operacionais centralizados, com retenção alinhada à exigência regulatória (mínimo 5 anos para registros transacionais).
  • Vulnerabilidades: dependências monitoradas continuamente; correções de criticidade alta tratadas em janela curta documentada na política interna de Segurança Cibernética.
  • Resposta a incidentes: playbook formalizado, com comunicação ao titular, à ANPD e ao Bacen quando aplicável, dentro dos prazos legais.
  • Pentests e revisões: ciclos periódicos de testes de intrusão e revisão de configuração; relatórios sumarizados podem ser compartilhados sob NDA com clientes enterprise.

Documentos disponíveis para download

7. Encarregado de Dados (DPO) e canais

Solicitações relacionadas a dados pessoais, incidentes de segurança ou questões de compliance devem ser enviadas para contato@bsfinance.tech com o assunto adequado ("Privacidade", "Segurança" ou "Compliance"). O retorno ocorre em até 15 dias úteis, conforme a LGPD.

Importante: BS Finance é uma marca/plataforma operada pela BS Finance (nome fantasia BS Finance, CNPJ ), que atua como provedora de tecnologia. Os serviços financeiros são prestados em parceria com instituições autorizadas pelo Banco Central do Brasil, responsáveis pela liquidação no SPI e pela custódia dos recursos. A instituição parceira aplicável é informada em contrato e em relatórios operacionais.

Precisa falar com nosso DPO ou compliance?

Envie um e-mail para contato@bsfinance.tech com o assunto "Privacidade" ou "Compliance" e responderemos em até 15 dias úteis, conforme a Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

BS Finance