Voltar para o site

Segurança & Compliance

Como protegemos dados, transações e clientes

Última atualização:

Esta página descreve, em linguagem auditável, os controles técnicos e processos de governança que sustentam a infraestrutura da BS Finance. Não publicamos selos sem comprovação: cada item abaixo pode ser validado em contrato, sandbox ou via solicitação ao nosso time de compliance.

1. Proteção de dados pessoais (LGPD)

O tratamento de dados pessoais segue a Lei nº 13.709/2018 (LGPD) e as orientações da Autoridade Nacional de Proteção de Dados (ANPD). Os princípios aplicados são:

  • Finalidade e necessidade: coletamos apenas os dados estritamente necessários para a abertura de conta, KYC, prevenção a fraudes, cumprimento de obrigações legais e operação dos serviços contratados.
  • Base legal explícita: cada tratamento é mapeado a uma das hipóteses do art. 7º (consentimento, execução de contrato, obrigação legal, exercício regular de direitos, prevenção a fraudes, legítimo interesse).
  • Minimização: dados sensíveis (biometria, documentos) são segregados e acessados apenas por sistemas e pessoas com necessidade demonstrada.
  • Retenção: retemos registros pelo prazo exigido pela regulação financeira (mínimo de 5 anos para registros transacionais, conforme Circular Bacen 3.978/2020) e descartamos com segurança ao fim do ciclo.

Direitos do titular

Você pode, a qualquer momento, exercer os direitos previstos no art. 18 da LGPD: confirmação de tratamento, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamentos e revogação de consentimento. Solicitações são endereçadas em até 15 dias úteis pelo canal informado em DPO.

Documentos relacionados: Política de Privacidade · Política de Cookies.

2. KYC, PLD-FT e antifraude

O programa de Conheça-Seu-Cliente e Prevenção à Lavagem de Dinheiro segue a Lei nº 9.613/1998, a Circular Bacen 3.978/2020, normativos do COAF e as recomendações do GAFI/FATF.

Onboarding (PF e PJ)

  • captura e OCR de documentos oficiais (RG, CNH, passaporte, contrato social);
  • FaceMatch biométrico e prova de vida (liveness ativo);
  • consulta a bases oficiais (Receita Federal, Sintegra) e validação de QSA;
  • identificação do beneficiário final (UBO) em pessoas jurídicas;
  • triagem em listas restritivas (PEP, OFAC, ONU/CSNU, sanções nacionais);
  • classificação de risco do cliente em baixo, médio ou alto, com revisão periódica.

Monitoramento contínuo

  • regras paramétricas e modelos de risco aplicados em tempo real às transações;
  • alertas automáticos para padrões atípicos (estruturação, smurfing, contas-laranja);
  • geração de Relatório de Inteligência Financeira (RIF) ao COAF quando aplicável;
  • retenção mínima de 5 anos para todos os registros transacionais e de KYC.

Documento completo: KYC, PLD & Antifraude.

3. Criptografia em trânsito e em repouso

  • Trânsito: todo tráfego HTTP usa TLS 1.3 (com fallback negociado para TLS 1.2 quando o cliente exige), HSTS habilitado e certificados emitidos por CA pública.
  • Repouso: dados sensíveis (documentos, biometria, dados bancários) são cifrados com AES-256-GCM; chaves gerenciadas em KMS gerenciado pelo provedor de nuvem com rotação periódica.
  • Webhooks: assinados com HMAC-SHA256 e timestamp, com janela anti-replay; a chave é rotacionável pelo cliente no painel.
  • Senhas e segredos: hash com bcrypt / argon2id; segredos de aplicação armazenados em vault dedicado, nunca em código-fonte.
  • mTLS opcional para clientes enterprise que exigem autenticação mútua na borda da API.

4. Acesso, identidade e autorização

  • API: autenticação via OAuth 2.0 (client credentials) com tokens JWT de curta duração; chaves separadas por ambiente (sandbox e produção); IP allowlist opcional.
  • Painel administrativo: autenticação obrigatória, MFA recomendado para todos os usuários e exigido para perfis com privilégios sensíveis.
  • RBAC: controle de acesso baseado em papéis com princípio do menor privilégio; segregação entre operação, suporte e desenvolvimento.
  • Acesso interno a produção: restrito a um grupo reduzido de engenheiros, com just-in-time access, registro em log imutável e revisão trimestral de permissões.

5. Infraestrutura, disponibilidade e backups

  • Cloud-native, multi-AZ: componentes críticos replicados em pelo menos duas zonas de disponibilidade.
  • Auto-scaling horizontal e filas assíncronas para absorver picos sem degradação.
  • Alvo operacional de 99,9% de disponibilidade da API em produção. SLA contratual com penalidades é formalizado individualmente em contratos enterprise — não publicamos um número universal sem o respaldo do contrato.
  • Backups: rotina diária automatizada com retenção mínima de 30 dias e testes periódicos de restauração.
  • DR / continuidade: plano de continuidade de negócios documentado, com RPO e RTO definidos por serviço e revisão anual.

6. Auditoria, logs e resposta a incidentes

  • Trilha de auditoria imutável: ações administrativas sensíveis (criação/edição de usuários, alteração de permissões, aprovações de risco, exportações) são registradas em log append-only com timestamp e identidade do ator.
  • Logs operacionais centralizados, com retenção alinhada à exigência regulatória (mínimo 5 anos para registros transacionais).
  • Vulnerabilidades: dependências monitoradas continuamente; correções de criticidade alta tratadas em janela curta documentada na política interna de Segurança Cibernética.
  • Resposta a incidentes: playbook formalizado, com comunicação ao titular, à ANPD e ao Bacen quando aplicável, dentro dos prazos legais.
  • Pentests e revisões: ciclos periódicos de testes de intrusão e revisão de configuração; relatórios sumarizados podem ser compartilhados sob NDA com clientes enterprise.

Documentos disponíveis para download

7. Encarregado de Dados (DPO) e canais

Solicitações relacionadas a dados pessoais, incidentes de segurança ou questões de compliance devem ser enviadas para contato@bsfinance.tech com o assunto adequado ("Privacidade", "Segurança" ou "Compliance"). O retorno ocorre em até 15 dias úteis, conforme a LGPD.

Importante: BS Finance é uma marca/plataforma operada pela BS PAYMENTS SOLUTIONS LTDA (nome fantasia BSPAY SOLUCOES DE PAGAMENTOS, CNPJ 46.872.831/0001-54), que atua como provedora de tecnologia. Os serviços financeiros são prestados em parceria com instituições autorizadas pelo Banco Central do Brasil, responsáveis pela liquidação no SPI e pela custódia dos recursos. A instituição parceira aplicável é informada em contrato e em relatórios operacionais.

Precisa falar com nosso DPO ou compliance?

Envie um e-mail para contato@bsfinance.tech com o assunto "Privacidade" ou "Compliance" e responderemos em até 15 dias úteis, conforme a Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

BS PAYMENTS SOLUTIONS LTDA · CNPJ 46.872.831/0001-54 · Avenida Tancredo Neves, 001189, Edif Guimaraes Trad Sala 1603, Caminho das Arvores, Salvador/BA, CEP 41820-021