Política de Prevenção à Lavagem de Dinheiroe ao Financiamento do Terrorismo

1. OBJETIVO

Estabelecer diretrizes e procedimentos para o desenvolvimento seguro de aplicações na AppLess, assegurando a conformidade com padrões técnicos e legais aplicáveis, e garantindo que a infraestrutura tecnológica utilizada pela empresa apoie de forma segura e rastreável os processos das instituições contratantes relacionados à prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT), conforme a Circular nº 3.978 do Banco Central do Brasil, e normas como ISO 27001, ISO 27017, PCI DSS e LGPD.

2. ABRANGÊNCIA

Esta política se aplica a todos os sistemas, APIs e componentes desenvolvidos, integrados ou operados pela AppLess, bem como aos ambientes de desenvolvimento, homologação e produção em nuvem. Abrange também todas as áreas técnicas e de suporte envolvidas em atividades que impactem a segurança, rastreabilidade e conformidade das integrações oferecidas a instituições contratantes no contexto de PLD/FT.

PAPÉIS E RESPONSABILIDADES

  • Diretoria Executiva: Aprovação desta política e supervisão geral.
  • Gestão de TI/SI: Garantir que todas as aplicações atendam aos requisitos de segurança definidos
  • Equipe de TI/SI: Desenvolvimento de aplicações seguras seguindo as diretrizes e procedimentos estabelecidos.
  • Infraestrutura em Cloud: Implementação e monitoramento dos controles de segurança em ambiente Cloud.
  • DPO: acompanhamento da conformidade deste documento.
3. TERMOS E DEFINIÇÕES

Consultar o MNL-001 Manual de Organização de Conceitos, disponibilizado nos repositórios corporativos oficiais. Procedimentos

4. DIRETRIZES PARA CONTROLES TÉCNICOS DE SUPORTE AO PLD/FT

Todas as evidências relacionadas à conformidade com esta política deverão ser armazenadas em repositório seguro e versionado, acessível aos responsáveis designados para auditorias internas e externas, conforme diretrizes da ISO 27001. Atualmente localizado em Normas e Políticas Internas – Home

Esta política está formulada com base nos princípios e diretrizes estabelecidos no Art. 2º da Circular nº 3.978 do Banco Central do Brasil, adaptados à natureza e ao papel da AppLess como prestadora de tecnologia para transações Pix. Considerando que a AppLess não realiza KYC nem trata dados de clientes finais, a aplicação dos princípios ocorre de forma proporcional ao seu escopo técnico.

A AppLess atua como operadora técnica. O controle de risco e reporte ao COAF são obrigações da instituição contratante (atualmente, a Cellcoin celcoin.com.br).

4.1 Rastreamento e Integridade Operacional

A AppLess implementa controles técnicos para garantir a rastreabilidade e integridade das transações realizadas via sua API Pix, permitindo que a instituição contratante tenha os subsídios necessários para identificar e reportar atividades potencialmente suspeitas. A AppLess não trata dados de clientes finais, nem realiza qualquer análise de risco comportamental ou financeiro, responsabilidades que cabem exclusivamente à contratante da API.

4.2 Registros e Logs:

Logs técnicos e operacionais — como chamadas de API, eventos de erro e autenticação — são armazenados de forma segura e controlada, conforme a NRM-012 – Monitoramento de Sistemas e Logs.

4.3 Classificação da Informação:

As informações sob responsabilidade da AppLess são classificadas e protegidas conforme a NRM-003, assegurando níveis adequados de segurança.

4.4 Proteção de Dados:

A AppLess protege apenas os dados internos necessários à sua operação (colaboradores, prestadores e dados técnicos), com base nas seguintes normas:

  • NRM-004: segurança de dados transacionais do Pix;
  • NRM-019: uso seguro de ativos tecnológicos;
  • NRM-025: tratamento de dados pessoais internos conforme a LGPD;
  • Política de Privacidade AppLess: define que não há tratamento de dados de titulares de transações.

4.5 Avaliação de Riscos Técnicos:

A AppLess, como prestadora de tecnologia no arranjo Pix indireto, não realiza diretamente a análise de risco comportamental nem o reporte de transações suspeitas ao COAF. Essa responsabilidade é exclusiva da instituição contratante de sua API.

Contudo, a AppLess mantém mecanismos técnicos automatizados de rastreamento e detecção de anomalias, como tentativas de uso indevido, acessos fora de padrão, picos de volume ou falhas recorrentes de autenticação. Quando tais eventos são identificados, a AppLess:

  • Notifica formalmente a instituição contratante com as evidências técnicas relevantes;
  • Registra internamente o evento, os logs e a notificação realizada;
  • Coopera tecnicamente com a instituição contratante, quando solicitada, inclusive para subsidiar comunicações ao COAF ou ao Banco Central;
  • Avalia, caso a caso, a necessidade de escalar o incidente a autoridades competentes, especialmente quando houver indícios concretos de uso fraudulento da infraestrutura da AppLess e ausência de resposta por parte da contratante.

Em qualquer hipótese, a AppLess atua dentro dos limites de seu papel técnico, sem acessar ou tratar dados pessoais dos usuários finais, sem realizar KYC, e sem executar decisões sobre transações — responsabilidades essas que pertencem exclusivamente à instituição contratante.

Nossa análise segue os critérios da NRM-007 e tem como objetivo identificar e mitigar riscos que possam afetar as operações e procedimentos

5. PROCEDIMENTOS

A AppLess viabiliza técnicamente mecanismos de rastreamento e auditoria exclusivamente no contexto das transações realizadas via sua API Pix, em nome da instituição contratante.— atualmente a Celícoin, instituição de pagamento devidamente autorizada pelo Banco Central do Brasil. (celcoin.com.br)

Dados de colaboradores e prestadores de serviços da AppLess não se enquadram em fluxos financeiros regulados pelo PLD/FT e são tratados apenas para fins administrativos e contratuais, conforme a LGPD.

Ferramentas e Processos Utilizados

  • AWS CloudWatch: Monitoramento contínuo dos serviços e APIs relacionados ao Pix.
  • AWS CloudTrail: Registro detalhado de todas as ações realizadas nos serviços AWS, permitindo rastrear atividades suspeitas.
  • Algoritmos Automatizados: Implementação de funções Lambda que analisam padrões de comportamento incomuns (ex.: transações em valores fora do padrão ou acessos suspeitos).
  • Listas de Monitoramento: Identificar contas ou IPs suspeitos previamente registrados.
  • Regras de Alerta Personalizadas: Configurar alertas para eventos específicos, como tentativas excessivas de login, transações de alto valor ou acessos não autorizados.

5.1 Conformidade Tecnológica com ISO 27001

Toda a infraestrutura da AppLess é baseada exclusivamente em serviços de tecnologia fornecidos por provedores que possuem certificação ISO/IEC 27001, padrão internacional para sistemas de gestão de segurança da informação. Isso assegura que todos os recursos computacionais utilizados — incluindo serviços em nuvem, armazenamento, autenticação e monitoramento — atendem a requisitos rigorosos de confidencialidade, integridade e disponibilidade da informação.

Essa escolha estratégica garante que os controles implementados estejam aderentes às exigências da LGPD, da Resolução nº 4.893/2021 do Banco Central e das Normas Regulatórias Minimas (NRMs) adotadas pela AppLess, reforçando o compromisso com um ambiente seguro e auditável.

5.2 Avaliação Interna de Riscos e Realização de Avaliações Periódicas.

A AppLess realiza avaliações internas periódicas com foco nos riscos técnicos e operacionais associados à sua infraestrutura, garantindo a rastreabilidade e integridade das integrações com instituições contratantes no contexto de PLD/FT.

Essas avaliações ocorrem anualmente ou sempre que houver mudanças significativas, como novas funcionalidades da API Pix ou alterações regulatórias relevantes.

As ferramentas e práticas utilizadas incluem:

  • AWS Security Hub: monitoramento contínuo das configurações de segurança;
  • AWS CloudTrail e CloudWatch: análise de logs e rastreamento de eventos;
  • Testes de invasão (Pentests): realizados periodicamente;
  • Classificação e resposta a riscos conforme NRM-007 (Gestão de Riscos);
  • Desenvolvimento seguro conforme diretrizes da NRM-008.

Os riscos são classificados em:

  • Internos: falhas de configuração, acessos não autorizados, práticas inseguras de desenvolvimento;
  • Externos: ataques cibernéticos, tentativas de uso indevido da API, exploração de vulnerabilidades externas.

Relatórios de avaliação são documentados internamente, e os resultados utilizados para ajustes contínuos nos controles de segurança, conforme exigido pelo Art. 10 da Circular nº 3.978.

5.2 Análise de Impacto (DPIA)

A AppLess não realiza DPIA no momento, pois não conduz operações de alto risco nem trata dados sensíveis de titulares. Se o escopo de atuação for alterado, ou mediante exigência legal, o relatório será produzido conforme a PLT-003 Política e Procedimento DPIA.

5.5 Aplicação de Medidas Mitigatórias e Revisão de Eficácia.

A AppLess mantém uma postura proativa e estratégica em segurança da informação, com foco especial na proteção de sua infraestrutura baseada em APIs e no atendimento rigoroso às exigências regulatórias relacionadas à Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT). A empresa atua como Prestadora de Serviços de Pagamento (PSP), operando integralmente em ambiente cloud e utilizando práticas modernas de segurança cibernética, alinhadas às Normas Regulatórias Mínimas (NRMs) aplicáveis.

Ainda em processo de amadurecimento no que diz respeito à consolidação formal e histórica de evidências documentais, a AppLess já implementa um conjunto robusto de controles técnicos e administrativos que reforçam a rastreabilidade, a resiliência da infraestrutura e a conformidade com a Resolução nº 4.893/2021 do Banco Central do Brasil.

Dentre os controles em vigor, destacam-se:

Emprego de WAF (Firewall de Aplicação Web) com reforço de perímetro via Cloudflare, conforme diretrizes da NRM-002 – Segurança das Redes;

Criptografia forte para dados sensíveis, em repouso e em trânsito, de acordo com a NRM-005 – Controles Criptográficos;

Execução periódica de testes de segurança em APIs e ambientes cloud, atendendo à NRM-013 – Testes de Segurança de TI e Sistemas;

Registro e documentação formal de ações corretivas e melhorias contínuas com base em avaliações de risco, conforme a NRM-007 – Gestão de Riscos dos Ativos da Informação.

Essas medidas demonstram o compromisso contínuo da AppLess com a criação de um ambiente seguro, auditável e em plena conformidade com a regulamentação vigente, bem como com os princípios da LGPD, da ISO 27001 e demais padrões reconhecidos no setor financeiro.

6. PROCEDIMENTOS DESTINADOS A CONHECER CLIENTES (KYC)

A AppLess não realiza, coleta ou armazena diretamente dados de identificação de clientes finais (KYC). O processo de verificação e qualificação de usuários é conduzido integralmente pelas instituições contratantes de nossa API Pix, as quais atuam como controladoras dos dados pessoais. Como prestadora de tecnologia, a AppLess assegura que:

  • Nenhum dado sensível de KYC é armazenado em seus sistemas;
  • Toda coleta de dados ocorre sob responsabilidade da instituição parceira;
  • Logs técnicos e metadados operacionais são protegidos conforme as normas de segurança aplicáveis;
  • As responsabilidades sobre a obtenção de consentimento, validação de identidade e diligência são exclusivas do parceiro controlador.

Quando necessário, a AppLess atua como suboperadora de dados, de acordo com cláusulas contratuais previamente firmadas com a instituição parceira, e com base na LGPD e na Resolução Conjunta nº 6/2023.

7. TREINAMENTO E CONSCIENTIZAÇÃO

A AppLess deve realizar treinamentos periódicos sobre desenvolvimento seguro, PLD/FT e conformidade regulatória, com foco na Circular nº 3.978. e promover campanhas de conscientização para todos os colaboradores sobre práticas de segurança e uso seguro das aplicações. Além disso, deve documentar os treinamentos realizados e manter registros das participações para avaliação contínua.

Todos os processos descritos neste item devem estar integrados com os requisitos estabelecidos pela NRM-018 - Norma de Conscientização.

8. SANÇÕES DISCIPLINARES

Qualquer violação dos procedimentos definidos nesta política será analisada pela Gestão de TI/SI e Diretoria Executiva.

As sanções podem incluir advertências, suspensão ou desligamento, conforme definido na NRM-021 - Norma de Sanção Disciplinar.

9. APROVAÇÃO

Todo o conteúdo elaborado, antes de ser divulgado aos colaboradores, deve ser aprovado pelo CEO.

10. REVISÃO E MANUTENÇÃO

Este documento deverá ser revisado anualmente ou quando uma mudança significativa ocorrer na organização.

11. INFORMAÇÕES DO DOCUMENTO
Responsável Gestor SI/TI
Classificação Interna
12. REFERÊNCIAS

Documento

  • Circular nº 3.978 do Banco Central do Brasil
  • ISO 27001, ISO 27017, PCI DSS, LGPD
  • NRM-003, NRM-004, NRM-007
  • NRM-012, NRM-018, NRM-019
  • NRM-025 Norma de Aplicação Segura da Política de Privacidade
  • PLT-001 Política de Segurança da Informação da AppLess.
13. HISTÓRICO DE VERSÕES
VERSÃO DATA AUTOR COMENTÁRIOS
1.0 19/03/2025 Deise Di Martini Ronn Criação do Documento
1.1 10/04/2025 Deise Di Martini Ronn Atualização estrutural e alinhamento de ferramentas.
14. APROVAÇÃO DO DOCUMENTO
NOME CARGO/ÁREA
Flavio França CEO