POLÍTICA DE SEGURANÇA, KYC E CONFORMIDADE

Webrain OÜ – República da Estônia

ABREVIAÇÕES

• AML – Anti-Money Laundering (Anti-Lavagem de Dinheiro)
• CDD – Customer Due Diligence (Devida Diligência do Cliente)
• GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados)
• KYC – Know Your Customer (Conheça Seu Cliente)
• MLTFPA – Lei Estoniana de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo
• PEP – Politically Exposed Person (Pessoa Politicamente Exposta)
• STR – Suspicious Transaction Report (Relatório de Transação Suspeita)

---

1. FINALIDADE E DECLARAÇÃO DE POLÍTICA

Esta Política está sujeita às leis aplicáveis da Estônia e da União Europeia.

Esta Política estabelece (1) medidas técnicas e organizacionais de segurança para infraestrutura da Empresa e proteção do cliente, e (2) procedimentos de verificação de cliente baseados em risco para prevenir abuso e manter a integridade do serviço.

⚠️ AVISO CRÍTICO: Esta política é aplicada sem exceções. Qualquer tentativa de contornar medidas de segurança, fornecer informações falsas ou usar nossos serviços para atividades ilegais resultará em restrições imediatas de serviço e potencial encerramento da conta.

A Empresa adota uma postura de tolerância zero em relação a abuso, fraude e atividades ilegais. Mantemos controles de segurança robustos e trabalhamos em estreita colaboração com provedores de pagamento e autoridades policiais quando necessário.

Esta Política serve como nossa estrutura operacional e demonstra nosso compromisso com a excelência em segurança e conformidade regulatória.

---

2. ESCOPO E ESTRUTURA LEGAL

2.1 Estrutura Legal Aplicável

2.2 Autoridades Regulatórias

• Supervisor Principal: Rahapesu andmebüroo (UIF Estoniana) - Conselho de Polícia e Guarda de Fronteira
• Contato: [email protected], +372 612 3000
• Proteção de Dados: Andmekaitse Inspektsioon (DPA Estoniana)

---

3. PRINCÍPIOS DE SEGURANÇA

3.1 Princípios Fundamentais de Segurança

• Abordagem Baseada em Risco – Medidas de segurança proporcionais aos riscos identificados
• Transparência – Comunicação clara com clientes sobre requisitos de segurança
• Monitoramento Contínuo – Avaliação contínua do comportamento do usuário e padrões de transação
• Resolução Colaborativa – Trabalho com clientes e parceiros para resolver questões de segurança

3.2 Princípios de Proteção de Dados

• Minimização de Dados – Apenas dados necessários coletados para segurança e conformidade
• Limitação de Finalidade – Dados usados apenas para fins declarados de segurança e conformidade
• Transparência – Comunicação clara sobre atividades de processamento de dados
• Limitação de Armazenamento – Dados retidos apenas conforme exigido legalmente

---

4. CONSIDERAÇÕES DE AVALIAÇÃO DE RISCO

4.1 Fatores de Risco Geográfico

Empregamos ferramentas e metodologias internas para avaliar riscos geográficos e regulatórios associados às localizações dos clientes. Nossa avaliação de risco considera várias características regionais, incluindo:

• Requisitos regulatórios aplicáveis e obrigações de conformidade
• Sanções e restrições internacionais
• Medidas de prevenção ao crime financeiro
• Requisitos de proteção de dados e privacidade
• Obrigações de conformidade de transações transfronteiriças

As classificações de risco são atualizadas regularmente com base em padrões internacionais, orientação regulatória e inteligência de segurança. Os clientes podem experimentar diferentes níveis de serviço ou requisitos de verificação com base nos fatores de risco geográfico aplicáveis.

4.2 Avaliação Dinâmica de Risco

• Avaliações de risco atualizadas regularmente com base em mudanças regulatórias
• Ajustes imediatos após novas sanções internacionais
• Notificações aos clientes sobre mudanças significativas que afetam a disponibilidade do serviço

---

5. ESTRUTURA DE AVALIAÇÃO DE RISCO DO CLIENTE

5.1 Avaliação Automatizada de Risco

As interações dos clientes com nossa plataforma ativam sistemas automatizados de verificação de segurança utilizando múltiplas categorias de avaliação:

Fontes de Dados para Avaliação: Nossos sistemas de verificação analisam apenas:

• Dados fornecidos explicitamente pelos clientes na plataforma (email, telefone, nome, etc.)
• Informações de dispositivo e software usadas pelos clientes para interagir com nossa plataforma (tipo de navegador, sistema operacional, características do dispositivo)

5.2 Classificações de Status do Cliente

5.3 Determinação de Status e Ações

O status do cliente é determinado automaticamente com base em:

• Resultados de avaliação de risco de múltiplos fornecedores de verificação
• Análise comportamental e padrões de uso
• Características do método de pagamento e transação
• Fatores de risco geográfico e regulatório
• Dados históricos de interação e uso do serviço

Ações Automáticas:

• Status "Verificação Recomendada"/"Acesso Restrito": Convite KYC automático enviado com prazo de 72 horas
• Verificação Falhada: Status da conta permanece inalterado; clientes podem contatar suporte para esclarecimento (provedor de verificação fornece razões da falha)
• Verificação Bem-sucedida: Atualização imediata do status para "Verificado" e remoção de restrições
• Violação de Prazo: Status da conta e restrições permanecem em vigor; revisão manual pela gerência necessária

---

6. PROCEDIMENTOS KNOW YOUR CUSTOMER (KYC)

6.1 Finalidade e Justificativa

Para proteger nossa infraestrutura, clientes cumpridores da lei e garantir conformidade com padrões internacionais de segurança, implementamos procedimentos seletivos de identificação de cliente (KYC).

Esta medida é necessária devido ao aumento de casos de abuso de serviço, incluindo:

• Distribuição de malware e software malicioso
• Operações de comando e controle de botnet
• Tentativas de contornar restrições técnicas
• Crimes financeiros relacionados a criptomoedas
• Outras formas de abuso de serviço e atividades ilegais

6.2 Critérios de Acionamento KYC

A verificação KYC é conduzida em base seletiva. A decisão é feita com base em nosso sistema interno de avaliação de risco, que incorpora múltiplos fatores de segurança e indicadores de conformidade para manter a integridade do serviço e conformidade regulatória.

Aviso Importante: Uma solicitação KYC não é uma acusação e não deve ser percebida como discriminação. Esta é uma precaução de segurança padrão implementada para manter a integridade do serviço.

Gatilhos Comuns Incluem:

• Resultados do algoritmo de avaliação de risco
• Fatores de risco geográfico
• Características do método de pagamento
• Padrões incomuns de uso do serviço
• Alertas do sistema AML
• Requisitos de conformidade regulatória

6.3 Provedor de Serviço KYC e Processo

Toda identificação é conduzida exclusivamente através de nossa plataforma KYC certificada — um serviço internacional verificado em conformidade com GDPR, KYC/AML e outros padrões de segurança.

Processo de Verificação:

1. Cliente recebe link único de verificação via comunicação segura
2. Upload de documentos (ID emitido pelo governo)
3. Selfie biométrica para correspondência de identidade
4. Etapas adicionais de verificação conforme necessário
5. Processamento e revisão automatizados
6. Atualização do status da conta após conclusão

Proteção de Dados: Nossa empresa não armazena nem processa cópias de documentos. Toda transmissão e armazenamento de dados ocorre nos servidores seguros e criptografados do provedor KYC com certificações apropriadas.

6.4 Documentação Exigida

Clientes Individuais:

• Identificação com foto emitida pelo governo (passaporte, RG nacional, carteira de motorista)
• Comprovante de endereço datado em até 90 dias (conta de serviços públicos, extrato bancário, correspondência governamental)
• Verificação de selfie biométrica
• Documentação de origem dos fundos (quando acionada por triagem AML)

Clientes Empresariais:

• Documentos de registro e constituição empresarial
• Informações de propriedade beneficiária e estrutura corporativa
• Identificação do representante autorizado e comprovação de autoridade
• Verificação de endereço da empresa
• Demonstrações financeiras e documentação de atividade empresarial (quando necessário)

6.5 Cronograma de Verificação e Consequências

Requisitos de Cronograma:

• Clientes devem completar verificação em 72 horas da solicitação
• Em caso de dificuldades técnicas ou circunstâncias excepcionais, o prazo pode ser estendido mediante solicitação do cliente
• Falha em completar dentro do prazo pode resultar em cancelamento manual do pedido pela gerência
• Fundos podem ser devolvidos ao saldo interno da conta sem notificação adicional
• Novos pedidos podem ser possíveis apenas após conclusão bem-sucedida do KYC

Tempo de Processamento: Verificação KYC tipicamente concluída em 1-2 dias úteis após submissão de documentos.

6.6 Consequências da Recusa KYC

Quando clientes se recusam a completar a verificação, as seguintes consequências podem ocorrer a critério de nossa equipe de conformidade:

• Cancelamento de pedido e suspensão de serviço podem ser implementados
• Provisão de serviço pode ser encerrada até conformidade
• Reembolsos podem estar sujeitos a condições rigorosas de acordo com requisitos do sistema de pagamento e lei aplicável

Todas as decisões sobre a aplicação dessas consequências são feitas caso a caso por nossa equipe de conformidade, levando em conta circunstâncias individuais e requisitos regulatórios.

Condições de Reembolso (quando aplicável):

• Criptomoeda: Reembolsos podem exigir completar identificação KYC e submeter aplicação por escrito
• Outros Sistemas de Pagamento: Reembolsos podem ser processados apenas através de métodos de reembolso suportados do sistema de pagamento original
• Taxa Administrativa: Até 10% do valor do reembolso pode ser retido para cobrir custos operacionais e de verificação

6.7 Verificação Aprimorada Acionada por AML

Quando filtros AML detectam atividade de alto risco, documentação adicional pode ser exigida:

• Explicação detalhada da origem dos fundos com evidência de apoio
• Extratos bancários mostrando histórico de transações
• Verificação de emprego ou documentação de renda empresarial
• Explicação da aquisição de criptomoeda e finalidade da transação
• Entrevista por vídeo com equipe de conformidade (quando necessário)

6.8 Aceitação e Compreensão do Cliente

Ao fazer um pedido, clientes:

• Confirmam que leram e concordam com esta Política KYC
• Aceitam as condições de reembolso descritas acima
• Reconhecem a importância da conformidade com procedimentos de segurança
• Entendem que requisitos KYC são projetados para criar um ambiente seguro e confiável para todos os usuários

---

7. CONFORMIDADE AML ATRAVÉS DE PROVEDORES DE PAGAMENTO

7.1 Controles AML do Provedor de Pagamento

Dependemos de provedores de serviço de pagamento licenciados para conformidade AML em transações financeiras. Cada gateway de pagamento implementa:

• Monitoramento e triagem de transações em tempo real
• Análise de blockchain e avaliação de risco de carteira
• Verificação de lista de sanções e conformidade
• Detecção de atividade suspeita e relatório
• Requisitos de relatório regulatório

7.2 Obrigações AML do Cliente

Ao usar nossos serviços e fazer pagamentos, especialmente em criptomoeda, clientes confirmam que:

• Usam criptomoeda apenas de fontes legais e rastreáveis
• Não conduzem transações relacionadas a serviços anônimos, mercados darknet, mixers ou endereços sancionados
• Concordam em passar por verificação através de nosso provedor KYC quando solicitado
• Reconhecem que pagamentos sinalizados como alto risco podem ser atrasados, rejeitados ou bloqueados
• Garantem a origem legal de todos os fundos usados para pagamentos

7.3 Carteiras de Alto Risco e Operações Proibidas

Reservamos o direito de rejeitar ou bloquear qualquer transação associada a:

• Endereços ligados a atividade criminosa, fraude, extorsão ou terrorismo
• Serviços anônimos incluindo mixers, anonimizadores, exchanges não licenciadas
• Jurisdições sancionadas ou indivíduos sujeitos a sanções OFAC, UE ou ONU
• Plataformas consideradas não confiáveis através de análise automática por nossos provedores de pagamento
• Carteiras de criptomoeda sinalizadas por análise de blockchain como alto risco

7.4 Gatilhos AML e Devida Diligência Aprimorada

Quando filtros AML são acionados ou atividade suspeita é detectada, podemos solicitar:

• Verificação KYC completa através de nossa plataforma de verificação
• Documentação provando a origem legal dos fundos
• Informações adicionais para avaliação abrangente de risco
• Verificação por vídeo ou confirmação de identidade aprimorada

Consequências da Recusa de Verificação:

• Suspensão ou encerramento de serviço
• Congelamento de fundos pendente investigação (com revisão periódica)
• Negação de solicitações de reembolso até que requisitos de conformidade sejam atendidos
• Restrições de conta até conclusão da verificação

7.5 Cooperação com Provedor de Pagamento e Processo de Investigação

Quando provedores de pagamento identificam transações suspeitas:

1. Provedor de pagamento imediatamente congela fundos e inicia investigação
2. Recebemos notificação e implementamos restrições de conta correspondentes
3. Cliente é direcionado a resolver questão diretamente com provedor de pagamento
4. Cooperamos totalmente com investigações do provedor de pagamento
5. Procedimentos KYC/EDD adicionais podem ser necessários
6. Restrições de conta permanecem até resolução

7.6 Reembolsos e Atrasos AML

Bloqueios de Transação Relacionados a AML:

• Fundos não serão devolvidos ou transferidos até conclusão da investigação
• Verificação KYC e documentação de origem de fundos podem ser exigidas
• Em caso de violações, fundos podem ser transferidos para autoridades policiais conforme ordem judicial ou requisito legal sob lei estoniana e da UE aplicável
• Processamento pode ser atrasado pendente revisão regulatória

Política de Reembolso:

• Reembolsos processados apenas através do mesmo sistema de pagamento usado para pagamento original
• Sujeito à conformidade com nossa política KYC/AML e política de reembolso
• Taxa administrativa de 10% aplicada para cobrir custos operacionais e de verificação
• Reembolsos podem ser negados por razões de conformidade AML

7.7 Cooperação Legal e Confidencialidade

Nossos procedimentos AML:

• Cumprem totalmente requisitos de legislação de proteção de dados, incluindo GDPR
• Garantem armazenamento e processamento de dados pessoais apenas dentro de plataformas regulamentadas
• Incluem prontidão para cooperação com autoridades policiais mediante solicitação oficial
• Mantêm confidencialidade rigorosa enquanto cumprem obrigações legais
• Fornecem comunicação transparente sobre requisitos AML aos clientes

---

8. MONITORAMENTO COMPORTAMENTAL E SEGURANÇA

8.1 Operações da Equipe de Segurança

Nossa equipe de segurança monitora continuamente:

• Padrões de comportamento e anomalias do usuário
• Características de uso do serviço
• Indicadores potenciais de abuso
• Padrões de incidente de segurança

8.2 Detecção de Anomalias

Foco do Monitoramento:

• Padrões incomuns de atividade da conta e comportamentos de login
• Escalação rápida de serviço ou mudanças de configuração
• Anomalias de pagamento, disputas ou padrões de chargeback
• Inconsistências geográficas em padrões de acesso
• Indicadores técnicos de potenciais ameaças de segurança

Procedimentos de Resposta:

1. Geração automática de alerta para padrões incomuns
2. Investigação e análise da equipe de segurança
3. Contato com cliente para esclarecimento quando necessário
4. Resposta proporcional baseada em avaliação de risco
5. Documentação de todas as ações tomadas

8.3 Comunicação com Cliente

Quando preocupações de segurança surgem:

• Comunicação direta com cliente
• Explicação clara das preocupações
• Oportunidade para cliente fornecer esclarecimento
• Abordagem colaborativa para resolução
• Procedimentos de escalação para questões não resolvidas

---

9. ATIVIDADES PROIBIDAS

9.1 Proibições Absolutas

• Serviços de mistura, embaralhamento ou anonimização de criptomoeda
• Operações de marketplace darknet
• Atividades relacionadas a ransomware
• Financiamento ou apoio ao terrorismo
• Hospedagem de material de exploração infantil
• Serviços de jogos de azar ou apostas ilegais
• Atividades de evasão de sanções
• Esquemas de lavagem de dinheiro
• Serviços financeiros fraudulentos
• Operações de malware ou botnet

9.2 Abordagem de Execução

Resposta Gradual:

• Aviso e educação para violações menores
• Restrições de serviço para violações moderadas
• Suspensão de conta para violações sérias
• Encerramento permanente para violações severas
• Notificação às autoridades policiais para atividades ilegais

9.3 Devido Processo

Todas as ações de execução incluem:

• Notificação clara da violação alegada
• Evidência da violação fornecida ao cliente
• Oportunidade para resposta e apelo do cliente
• Escalação para alta gerência para ações significativas
• Documentação do processo de tomada de decisão

---

10. PROTEÇÃO DE DADOS E CONFORMIDADE GDPR

10.1 Base Legal para Processamento

• GDPR Artigo 6(1)(b) - processamento necessário para execução de contrato
• GDPR Artigo 6(1)(f) - interesses legítimos (prevenção de fraude, segurança)
• GDPR Artigo 6(1)(c) - processamento necessário para conformidade legal (quando aplicável)

10.2 Direitos do Titular dos Dados

Respeitamos todos os direitos GDPR incluindo:

• Direito de acesso a dados pessoais
• Direito à retificação de dados imprecisos
• Direito ao apagamento (com exceções de retenção legal)
• Direito de restringir processamento
• Direito à portabilidade de dados

Cronograma de Resposta: Máximo 30 dias para solicitações de direitos

10.3 Segurança de Dados

• Criptografia para dados em trânsito e em repouso
• Controles de acesso e requisitos de autenticação
• Avaliações regulares de segurança
• Procedimentos de resposta a incidentes
• Requisitos de segurança de fornecedores

---

11. MANUTENÇÃO DE REGISTROS

11.1 Requisitos de Retenção

11.2 Segurança de Dados

• Armazenamento criptografado para todos os registros retidos
• Controles de acesso baseados em necessidade comercial
• Procedimentos regulares de backup e recuperação
• Exclusão segura após período de retenção

---

12. TREINAMENTO E CONSCIENTIZAÇÃO

12.1 Requisitos de Treinamento de Funcionários

Todos os Funcionários:

• Conscientização de segurança e melhores práticas
• Procedimentos de comunicação com cliente
• Protocolos de escalação
• Requisitos de proteção de dados

Equipe de Segurança:

• Detecção avançada de ameaças
• Técnicas de investigação
• Requisitos regulatórios
• Protocolos de interação com cliente

12.2 Educação Contínua

• Atualizações regulares de segurança e briefings
• Compartilhamento de melhores práticas da indústria
• Notificações de mudança regulatória
• Análise de estudo de caso e aprendizado

---

13. RESPOSTA A INCIDENTES

13.1 Tipos de Incidente e Resposta

Incidentes de Segurança:

• Contenção e investigação imediatas
• Notificação do cliente se afetado
• Preservação de evidências
• Notificação regulatória se necessário

Questões de Conformidade:

• Investigação e avaliação imediatas
• Comunicação e suporte ao cliente
• Coordenação com autoridades relevantes
• Implementação de melhoria de processo

Questões de Pagamento:

• Coordenação com provedores de pagamento
• Comunicação e suporte ao cliente
• Conformidade com requisitos do provedor
• Relatório regulatório se necessário

13.2 Procedimentos de Escalação

• Caminhos claros de escalação para diferentes tipos de incidente
• Envolvimento da alta gerência para questões significativas
• Consulta de conselho jurídico quando necessário
• Notificação de autoridade externa conforme necessário

---

14. GERENCIAMENTO DE FORNECEDORES

14.1 Requisitos de Fornecedores de Segurança

Todos os fornecedores de segurança e verificação devem manter:

• Certificações de conformidade apropriadas
• Medidas fortes de proteção de dados
• Avaliações regulares de segurança
• Capacidades de relatório de incidentes

14.2 Padrões de Provedor de Pagamento

Trabalhamos apenas com provedores de pagamento licenciados e regulamentados que mantêm:

• Programas completos de conformidade AML
• Capacidades de triagem de sanções
• Monitoramento de atividade suspeita
• Procedimentos de relatório regulatório

---

15. MELHORIA CONTÍNUA

15.1 Aprimoramento do Programa

Melhoramos continuamente nosso programa de segurança e conformidade através de:

• Avaliações regulares de risco
• Atualizações e melhorias de tecnologia
• Otimização de processo baseada em experiência
• Incorporação de feedback de clientes e parceiros

15.2 Adaptação Regulatória

• Monitoramento de mudanças regulatórias
• Atualizações de política conforme necessário
• Treinamento de funcionários sobre novos requisitos
• Melhorias de sistema para conformidade

---

16. COMUNICAÇÃO COM CLIENTE E TRANSPARÊNCIA

16.1 Comunicação Proativa

• Explicação clara de medidas de segurança
• Notificação de mudanças de política
• Conteúdo educacional sobre melhores práticas de segurança
• Atualizações regulares sobre melhorias de segurança

16.2 Apelos e Resolução de Disputas

Direito de Apelo: Clientes que discordam de nossas decisões de segurança ou conformidade têm o direito de apelar e solicitar revisão.

Processo de Apelo:

• Contate nossa equipe de conformidade diretamente com explicação detalhada de suas preocupações
• Revisaremos completamente as circunstâncias e o processo de tomada de decisão
• Mantemos uma abordagem de diálogo aberto e estamos comprometidos com resolução justa
• Cada caso é avaliado individualmente com consideração de todos os fatores relevantes
• Resposta fornecida em prazo razoável com explicação dos achados

Informações de Contato: [email protected]

Encorajamos comunicação direta para resolver qualquer mal-entendido ou abordar preocupações sobre nossos procedimentos de segurança.

• Canais dedicados de suporte de conformidade e segurança
• Procedimentos claros de escalação para disputas
• Comunicação regular durante investigações
• Explicação transparente de decisões

---

17. COOPERAÇÃO REGULATÓRIA

17.1 Engajamento com Autoridades

Mantemos relacionamentos cooperativos com:

• Unidade de Inteligência Financeira Estoniana
• Autoridade de Proteção de Dados Estoniana
• Agências de aplicação da lei
• Órgãos regulatórios internacionais conforme apropriado

17.2 Compartilhamento de Informações

• Resposta rápida a solicitações regulatórias legítimas e consultas de aplicação da lei
• Relatório de atividade suspeita quando identificada através de nosso monitoramento ou alertas de provedor de pagamento
• Cooperação com investigações AML e esforços de prevenção de crime financeiro
• Documentação de todas as interações regulatórias e atividades de conformidade
• Transferência de fundos para autoridades policiais quando exigido conforme requisitos legais e ordens judiciais

---

CONTROLE DE DOCUMENTO

Título do Documento: Política de Segurança, KYC e Conformidade
ID do Documento: POL-001-2025
Versão: 1.0
Classificação: Público
Idioma: Português Brasileiro

Matriz de Aprovação:

• Autor: Equipe de Segurança e Conformidade
• Revisor: Alta Gerência
• Aprovador: Diretor
• Data de Vigência: 01 de agosto de 2025
• Próxima Revisão: 01 de agosto de 2026

Distribuição:

• Publicado no site da empresa
• Disponível para todos os clientes e partes interessadas
• Fornecido às autoridades regulatórias mediante solicitação