Regulamento do Arranjo de Pagamento
Instituído pela Brapag Serviços Administrativos e Financeiros LTDA.
Por este regulamento (“Regulamento”), BRAPAG SERVIÇOS ADMINISTRATIVOS E FINANCEIROS LTDA, empresa com sede na Rua do Golfo, 211 Sala 11 – Centro Porto Seguro BA, CEP: 45.810-000, inscrita no CNPJ sob o nº 38.097.207/0001-07 (“Instituidora”), estabelece as regras de funcionamento que serão aplicáveis ao arranjo de pagamento (“Arranjo Brapag”).
Capítulo I – Objeto do Regulamento
Artigo 2º. Este Regulamento estabelece as regras e condições aplicáveis ao Arranjo Brapag e que deverão ser observadas por todos os usuários finais (“Usuários Finais”), estejam eles na qualidade de pagador (“Usuário Pagador”) ou recebedor (“Usuário Recebedor”). Parágrafo Único. Ao aceitar o contrato de credenciamento ao Arranjo Brapag , o pretendente, que pretende se tornar um Usuário Final, automaticamente concorda e aceita com todos os termos e condições deste Regulamento.
Capítulo II - Propósito do Arranjo
Artigo 3º. O Arranjo Brapag constitui um conjunto de procedimentos, normas e sistemas cujo propósito é permitir que os Usuários Pagadores utilizem do Instrumento de Pagamento emitido pela Instituidora, para a realização de Transações em Conta de Pagamento.
Parágrafo Primeiro. O Arranjo Brapag é caracterizado como um arranjo fechado, em que o credenciamento dos Usuários Finais, a gestão da Conta de Pagamento e a emissão do Instrumento de Pagamento são realizados exclusivamente pela Instituidora (art. 2º, inciso I, da Circular 3.682/13).
Parágrafo Segundo. Ainda, o Arranjo Brapag se caracteriza como um arranjo de pagamento, para a realização de transferência entre o Usuário Pagador e o Usuário Recebedor, posto que o serviço de pagamento está vinculado à liquidação de obrigações de pagamento de compra de bens, produtos e/ou serviços (art. 8º, inciso II, da Circular 3.682/13).
Parágrafo Terceiro. O relacionamento entre os Usuários Finais será por meio de conta de pagamento na modalidade pré-paga (“Conta de Pagamento”), assim considerada aquela na qual o Instrumento de Pagamento é disponibilizado para realizar Transação mediante o aporte prévio de recursos em moeda corrente nacional (reais), por parte do Usuário Final ou por terceiros em seu benefício (art. 9º da Circular 3.682/13).
Parágrafo Quarto. O carregamento da Conta de Pagamento pelo Usuário Pagador poderá ocorrer por qualquer das formas abaixo:
(a) Liquidação financeira na Conta de Pagamento Usuário Recebedor, por Transações oriundas de outros arranjos de pagamento, abertos ou fechados, com os quais o Arranjo Brapag seja autorizada a deter conta de liquidação;
(b) Pagamento de boleto bancário emitido pela Instituidora e com identificação única que permita a carga do valor pago na Conta de Pagamento do Usuário Final por ele próprio;
(c) Transferência de recursos diretamente para a conta corrente da Instituidora, por TEF, DOC ou TED, enviada pelo Usuário Final da Conta de Pagamento (com o mesmo CPF/MF ou CNPJ/MF); e
(d) Recebimento de recurso da Conta de Pagamento do Usuário Pagador, no âmbito do Arranjo Brapag ou de outro arranjo de pagamento com o qual a Brapag tenha interoperabilidade.
Capítulo III - Abrangência Territorial
Artigo 4º. O Arranjo Brapag é de abrangência doméstica, cuja emissão e utilização do Instrumento de Pagamento estão limitadas ao território nacional (art. 10, inciso I, da Circular 3.682/13).
Capítulo IV - Instrumento de Pagamento
Artigo 5º. Para realizar Transações no âmbito do Arranjo Brapag , a Instituidora irá emitir um Instrumento de Pagamento para cada Usuário Final, que será acessado por meio da plataforma tecnológica de propriedade da Instituidora.
Parágrafo Primeiro. A emissão de Instrumento de Pagamento se dará por meio do acesso dos Usuários Finais à Plataforma da Instituidora, em 02 (duas) etapas: (a) Credenciamento do Usuário Recebedor para a criação de conta de pagamento, mediante o fornecimento dos dados solicitados diretamente aos Usuários Recebedores, e que serão transmitidos à Instituidora; e (b) O carregamento do Instrumento de Pagamento emitido pela Instituidora ao Usuário Pagador, na forma de cartão virtual.
Parágrafo Segundo. Para credenciamento do Usuário Pagador, poderá ser necessária a complementação do cadastro, mediante o fornecimento à Brapag de dados pessoais e informações complementares, nos termos da legislação vigente.
Parágrafo Terceiro. A emissão do Instrumento de Pagamento apenas ocorrerá se o Usuário Final informar todos os dados pessoais e demais informações solicitadas, bem como se houver o cumprimento de todas as etapas do cadastro perante a Instituidora.
Parágrafo Quarto. O Instrumento de Pagamento será emitido pela Instituidora para a realização de uma única Transação, não podendo ser utilizado para Transações futuras.
Parágrafo Quinto. O acesso e utilização do Instrumento de Pagamento pode se dar por computador, smartphone, tablet ou demais dispositivos móveis com acesso à internet.
Parágrafo Sexto. No Arranjo Brapag não haverá a emissão de Instrumento de Pagamento físico, na forma de cartão plástico ou que utilize de outras tecnologias de identificação do Usuário Final (tais como identificação biométrica ou dispositivo transmissor e receptor por tecnologia wireless – Tag).
Capítulo V – Regras de Utilização da Conta de Pagamento
Artigo 6º. A abertura, administração e encerramento da Conta de Pagamento, de natureza transitória, será feita pela Instituidora, de acordo com a Legislação Aplicável.
Parágrafo Primeiro. Os instrumentos contratuais a serem celebrados com os Usuários Finais irão estabelecer as restrições de uso da Conta de Pagamento, dentre as quais se incluem:
(a) Os procedimentos a serem adotados para manter a regularidade dos cadastros dos Usuários Finais e para a prevenção aos crimes de lavagem de dinheiro e do combate ao financiamento do terrorismo.
(b) Os critérios e as condições para disponibilização de limites de Transação para cada Conta de Pagamento, de forma individualizada, obedecendo as melhores práticas de gestão de risco; e
(c) Os procedimentos aplicáveis para a utilização da Conta de Pagamento pelos Usuários Finais, com informações claras e precisas sobre a realização das Transações.
Parágrafo Segundo. A utilização das Contas de Pagamento se dará com os Instrumentos de Pagamento emitidos e aceitos nos termos deste Regulamento, sendo dever da Instituidora abrir, encerrar e manter os registros de crédito e débito realizados em cada Conta de Pagamento de forma individualizada.
Parágrafo Terceiro. A Instituidora poderá bloquear os Instrumentos de Pagamento dos Usuários Finais que não observarem qualquer restrição ou condição prevista nos instrumentos contratuais e da Legislação Aplicável.
Capítulo VI – Tipos de Transações de Pagamento
Artigo 7. O Arranjo Brapag possibilita que os Usuários Finais realizem transações de transferência de recursos de sua Conta de Pagamento (“Transações”) por qualquer das modalidades abaixo:
(a)Transferência de recursos, do Usuário Pagador para o Usuário Recebedor, entre Contas de Pagamento pré-pagas do Arranjo Brapag;
(b)Transferência de recursos do Usuário Pagador para a conta corrente, por TEF, DOC ou TED, do próprio Usuário Pagador (com o mesmo CPF/MF ou CNPJ/MF);
(c) Transferência de recursos do Usuário Pagador, para possibilitar o carregamento do Instrumento de Pagamento emitido pela Instituidora, na forma de cartão virtual; e
(d) Transferência de recursos, pelo Usuário Pagador, para Conta de Pagamento de mesma titularidade perante outros arranjos de pagamento, abertos ou fechados, com os quais o Arranjo Brapag tenha interoperabilidade.
Parágrafo Único. Para cumprir as exigências da Legislação Aplicável, qualquer Usuário Final poderá, a qualquer momento, solicitar o resgate dos recursos existentes em sua Conta de Pagamento, por meio da Transação indicada no item (b) acima.
Capítulo VII - Gestão dos Recursos mantidos na Conta de Pagamento
Artigo 8º. Os recursos creditados na Conta de Pagamento pelo Usuário Final serão mantidos em conta bancária de titularidade da Instituidora, em instituição financeira de primeira linha, e, nos termos da Legislação Aplicável, tais recursos:
(a) constituem patrimônio separado, que não se confunde com os da Instituidora;
(b) não respondem direta ou indiretamente por nenhuma obrigação da Instituidora, nem podem ser objeto de arresto, sequestro, busca e apreensão ou qualquer outro ato de constrição judicial em função de débitos de responsabilidade da Instituidor;
(c) não podem ser dados em garantia de débitos assumidos pela Instituidora; e
(d) não compõem o ativo da Instituidora, para efeito de falência ou liquidação judicial ou extrajudicial.
Parágrafo Primeiro. Os ônus ou bônus decorrentes da manutenção dos recursos do Usuário Final em conta bancária de titularidade da Instituidora não poderão ser imputáveis ao Usuário Final, assim como por ele reclamados.
Parágrafo Segundo. Os recursos mantidos na Conta de Pagamento não sofrerão qualquer tipo de acréscimo ou alteração, tais como correção monetária e juros, independentemente do período que ficarem depositados, salvo estipulação em contrário nos respectivos contratos com os Usuários Finais.
Parágrafo Terceiro. Os valores depositados na Conta de Pagamento devem ser utilizados para a realização de Transações de transferência, nos termos previstos neste Regulamento, sendo considerados pela Instituidora como recursos em trânsito de titularidade dos Usuários Finais.
Parágrafo Quarto. Após a realização das Transações, a Conta de Pagamento será automaticamente encerrada pela Instituidora, independente de aviso prévio.
Capítulo VIII - Regras para uso das Marcas
Artigo 9º. As Marcas serão utilizadas como elemento visual que identifica o Instrumento de Pagamento emitido com base neste Regulamento.
Parágrafo Primeiro. Em se tratando de um arranjo fechado, não haverá a concessão do direito de uso das Marcas a qualquer participante.
Parágrafo Segundo. A utilização das Marcas poderá ser autorizada pela Instituidora, mediante seu consentimento expresso, por Usuários Finais para indicação em ambiente físico ou virtual, quanto a aceitação do Instrumento de Pagamento.
Parágrafo Terceiro. A autorização de utilização das Marcas será restrita ao desenvolvimento das atividades intrínsecas ao Arranjo Brapag , sendo vedada a sua utilização em atividades estranhas ao ou não autorizadas neste Regulamento.
Parágrafo Quarto. A Instituidora, nos instrumentos contratuais que serão celebrados com os Usuários Finais, irá estabelecer os padrões, regras e restrições de utilização das Marcas.
Parágrafo Quinto: A Instituidora poderá permitir aos Usuários Finais, em contratos específicos, a utilização do Arranjo Brapag sem a identificação visual da Marcas perante os terceiros com os quais o Usuário Final se relaciona (modelo White Label ou Check-out Transparente).
Capítulo IX - Modalidades de Participantes
Artigo 10. Por se tratar de um arranjo fechado, a Instituidora será a única participante do Arranjo Brapag , atuando como emissora do Instrumento de Pagamento, credenciadora dos Usuários Finais, prestadora dos serviços de rede e instituição domicílio.
Parágrafo Primeiro. A Instituidora consegue cumprir todas as obrigações incumbidas às instituições domicílio, nos termos da Legislação Aplicável.
Parágrafo Segundo. Para as Transações que importem em transferência para outro arranjo ou conta corrente do Usuário Recebedor, a instituição domicílio será de livre escolha do Usuário Final, podendo ser uma instituição financeira ou de pagamento, desde que de acordo com as regras do Bacen.
Parágrafo Terceiro. As regras do Arranjo Brapag garantem que: (i) não existe discriminação em relação a qualquer instituição que pode atuar como instituição domicílio; e (ii) os prazos máximos para disponibilização dos recursos para livre movimentação pelo Usuário Recebedor são cumpridos.
Capítulo X – Processo de Autorização da Transação de Pagamento
Artigo 11. As Transações realizadas entre os Usuários Finais, no âmbito do Arranjo Brapag, deverão obedecer às regras estabelecidas neste Regulamento, sendo que a autorização será dada pela Instituidora.
Parágrafo Primeiro. A Transação é considerada autorizada no momento em que a Instituidora, por meio das tecnologias de acesso ao Arranjo Brapag, altera o estado da Transação para “completed” e, por conseguinte, realiza o débito na Conta de Pagamento do Usuário Pagador, que será devidamente informado ao Usuário por e-mail.
Parágrafo Segundo. A Transação poderá ser rejeitada pela Instituidora, mediante a alteração do status da transação para “rejected”, nos casos em que: (i) não houver recursos suficientes na Conta de Pagamento do Usuário Pagador; (ii) o Usuário Pagador deixar de fornecer as informações suficientes ou fornecer informações incorretas para a Transação, incluindo a identificação do Usuário Recebedor; e/ou (iii) houver indícios de fraude ou suspeita ou ato ilícito, de acordo com os termos previstos neste Regulamento e na Legislação Aplicável. Nesses casos, o Usuário também será informado por e-mail.
Parágrafo Quarto. A Instituidora garante que haverá uma mudança do estado da Transação para cada pedido de autorização recebido.
Parágrafo Quinto. Quando não for acatada a ordem de realização da Transação de forma automática, o Usuário Final deverá entrar em contato com a Instituidora, por meio de um dos canais de atendimento disponíveis.
Capítulo XI – Motivos para a Devolução das Transações de Pagamento
Artigo 12. Além dos motivos para rejeição das Transações, conforme acima indicado, poderá haver a devolução da Transação pelos seguintes motivos:
(a)Duplicidade da Transação: quando, por algum motivo técnico ou por repetição desnecessária da operação por parte do Usuário Pagador, a Transação for duplicada; sempre e quando o usuário não tenha utilizado o referido valor duplicado
(b) Valor Indevido: quando o usuário consiga comprovar que o valor e/ou modalidade da Transação são indicados de maneira equivocada pelo Usuário Pagador;
(c)Solicitação do Usuário Pagador: quando o Usuário Pagador não reconhece a Transação realizada em sua Conta de Pagamento; sempre e quando presente documentação suficiente capaz de comprovar a alegação.
(d)Identificação de alguma irregularidade na Transação: a Instituidora, de acordo com os procedimentos de validação e regras de segurança previstas neste Regulamento, deixa de autorizar a Transação ao identificar alguma irregularidade;
(e)Desistência ou Cancelamento: quando o Usuário Recebedor solicitar o cancelamento da Transação, devendo o Usuário apresentar motivos para o cancelamento; e, ainda, quando diante de algum motivo suspeito, a conta também é cancelada.
(f)Devolução do Recebedor: quando a instituição de pagamento ou instituição financeira do destinatário não reconhecer a transferência solicitada pelo Usuário Pagador e proceder a devolução da respectiva quantia.
Parágrafo Primeiro. Com a solicitação de devolução da Transação pelo Usuário Pagador, de acordo com os motivos acima indicados, será aberto um procedimento de disputa, a ser analisado pela Instituidora por meio de processo interno e nos termos da Legislação Aplicável.
Parágrafo Segundo. Após a solicitação de devolução da Transação, o Usuário Pagador será comunicado para fornecer documentos que possam corroborar suas alegações e, se o caso, prestar esclarecimento complementares.
Parágrafo Terceiro. A Instituidora informará o Usuário Recebedor sobre a solicitação de devolução da Transação, a fim de que ofereça resposta fundamentada e acompanhada dos documentos necessários.
Parágrafo Quarto. A Instituidora irá proferir a decisão final sobre a solicitação de decisão da Transação, no prazo necessário para análise das alegações e documentos, que poderá variar a depender da complexidade.
Parágrafo Quinto. Cada Usuário Final terá o prazo de 10 (dez) dias, contados da comunicação pela Instituidora, para encaminhar os esclarecimentos e documentos que corroborem suas alegações. A ausência de envio dos documentos neste prazo será considerada automaticamente como desistência da devolução da Transação ou de sua impugnação, conforme aplicável.
Parágrafo Sexto. O cancelamento da Transação poderá ser solicitado tanto pelo Usuário Pagador quanto o Usuário Recebedor, desde que os recursos ainda não tenham sido transferidos pelas formas estabelecidas neste Arranjo.
Capítulo XII - Compensação e Liquidação das Transações de Pagamento
Artigo 13. Assim que forem atingidos os critérios previstos na Legislação Vigente, a Instituidora irá utilizar para suas liquidações sistema de compensação e liquidação centralizada.
Parágrafo Único: Na hipótese de liquidação centralizada, a Instituidora será responsável pela adoção das medidas necessárias para tal procedimento.
Capítulo XIII – Prazo para Liquidação das Transações e Disponibilização de Recursos
Artigo 14. Os recursos creditados na Conta de Pagamento do Usuário Recebedor serão disponibilizados para uso em até 2 (dos) dia útil após terem sido confirmados para a Instituidora por sua instituição financeira.
Artigo 15. No âmbito do Arranjo Brapag, a liquidação das Transações entre as Contas de Pagamento e a disponibilização de recursos ao Usuário Pagador será realizada no 5 dias da autorização da Transação.
Artigo 16. A liquidação da Transação mediante resgate dos recursos da Conta de Pagamento, com transferência para uma conta bancária ou conta de pagamento em outro arranjo de pagamento, será efetuada em até 05 (cinco) dias úteis.
Capítulo XIV – Riscos Inerentes ao Arranjo Brapag
Artigo 17. No Arranjo Brapag, por se tratar de um arranjo fechado e sem participantes, apenas a Instituidora corre riscos financeiros.
Artigo 18. Os Usuários Finais do Arranjo Brapag estão sujeitos aos riscos de fraude, diante da possibilidade de utilização indevida do Instrumento de Pagamento.
Artigo 19. Os Usuários Finais também estão expostos a riscos operacionais, tendo em vista que o funcionamento do Arranjo Brapag depende de hardwares, softwares e serviços de tecnologia prestados por terceiros, sendo que a Plataforma tecnológica de propriedade da Instituidora pode apresentar falhas ou interrupções.
Parágrafo Único: Para mitigar os riscos de fraude e operacionais, a Instituidora irá adotar as medidas preventivas indicadas nesteRegulamento e que contemplam:
(a)Utilização de mecanismos de proteção e de segurança da informação, de redes, de sítios eletrônicos, servidores e canais de comunicação, mediante a adoção de tecnologia constantemente atualizada e utilização de sistema que garanta o sigilo e a inviolabilidade das informações trafegadas no Arranjo Brapag;
(b) Mecanismos de rastreamento das Transações e de filtros pré-estabelecidos para a detecção de fraudes no ato da realização da Transação;
(c) Proteção dos dados trafegados entre as Contas de Pagamento, mediante a adoção de criptografia eletrônica; e
(d)Adoção de plano de recuperação de desastres, possibilitando manutenção das atividades da Instituidora na ocorrência de eventos de caso fortuito e de força maior.
Capítulo XV - Estrutura das Tarifas e Outras Formas de Remuneração
Artigo 20. Por se tratar de arranjo fechado, o Arranjo Brapag não prevê qualquer modalidade de remuneração entre os participantes.
Artigo 21. Enquanto os recursos forem mantidos na Conta de Pagamento não estarão sujeitos à cobrança de tarifas e outras formas de remuneração (em conjunto “Tarifas”).
Parágrafo Único: A Instituidora poderá, a qualquer momento, mediante alteração dos instrumentos contratuais respectivos e comunicação prévia aos Usuários Finais, cobrar Tarifas pela emissão do Instrumento de Pagamento e realização das Transações.
Capítulo XVI - Responsabilidades da Instituidora do Arranjo Brapag
Artigo 22. No âmbito do Arranjo Brapag, como a própria Instituidora emite o Instrumento de Pagamento, credencia os Usuários Finais e realiza a liquidação das Transações, apenas a Instituidora terá responsabilidades, que se encontram abaixo indicadas:
(a)Definir as regras e os procedimentos aplicáveis ao Arranjo Brapag;
(b)Gerir o Arranjo Brapag e custodiar os recursos mantidos em Conta de Pagamento dos Usuário Finais;
(c)Autorizar e rejeitar as Transações entre os Usuário Pagadores e os Usuário Recebedores;
(d)Prestar as informações necessárias aos Usuários Finais para correta identificação das Transações realizadas na Conta de Pagamento;
(e) Analisar e decidir disputas entre os Usuários Finais;
(d)Atuar de maneira preventiva e, se necessário, de maneira corretiva em casos de fraudes, crimes financeiros ou lavagem de dinheiro;
(e) Atender e dar suporte aos Usuários Finais em casos de dúvidas técnicas e operacionais com relação às Transações; e
(f) Observar e cumprir as normas de proteção e segurança de dados das Transações.
(g)Criar campanhas de marketing e realizar publicidade para a divulgação das Marcas e do Arranjo Brapag;
(h) Gerar a agenda de repasse caso a liquidação das Transações venha a ser realizada em grade centralizada; e
(i) Demais responsabilidades estabelecidas neste Regulamento, nos instrumentos contratuais a serem celebrados com os Usuários Finais e na Legislação Aplicável.
Parágrafo único. Por se tratar de um arranjo fechado, não haverá responsabilidades para os participantes.
Capítulo XVII - Governança dos Processos Decisórios
Artigo 23. Diante da inexistência de participantes, as regras do Arranjo Brapag estabelecidas pela Instituidora e prevista neste Regulamento se aplicam apenas aos Usuários Finais.
Parágrafo Primeiro. A Instituidora possui mecanismos de governança corporativa que asseguram a transparência das decisões, bem como canais de atendimento aos Usuários finais e ao Bacen. Qualquer dúvida, questionamento ou proposta de alteração deste Regulamento, que venha a ser apresentada pelo Bacen ou pelos Usuários Finais, será submetida aos sócios da Instituidora, que poderão formar um comitê específico para deliberar sobre as propostas apresentadas.
Parágrafo Segundo. O comitê poderá ser formado por diretores, funcionários, colaboradores e assessores externos, que deverão possuir experiência e especialidade necessárias, de acordo com a matéria envolvida.
Parágrafo Terceiro. O comitê a ser formado pela Instituidora terá competência para dirimir quaisquer dos assuntos abaixo relacionados:
(a)O propósito, a modalidade e a abrangência territorial do Arranjo Brapag;
(b) As características dos Instrumentos de Pagamentos utilizados no Arranjo Brapag;
(c) Os mecanismos de gerenciamento de riscos incorridos pelos Usuários Finais; e
(d) Os procedimentos para liquidação das Transações e a disponibilização de recursos aos Usuários Finais.
Parágrafo Quarto. As alterações que forem acordadas nos termos deste capítulo serão submetidas previamente à autorização do Bacen e somente produzirão efeitos se forem devidamente autorizadas. As demais alterações, que não tiverem que ser submetidas à autorização prévia do Bacen, serão informadas aos Usuários Finais com antecedência de 30 (trinta) dias.
Capítulo XVIII - Penalidades do Arranjo Brapag
Artigo 24. Este Regulamento estabelece padrões de conduta a serem adotados pela Instituidora e, por se tratar de arranjo fechado e em que não há outros participantes, não haverá a imposição de penalidades por descumprimento ou violação de padrões estabelecidos no Arranjo Brapag.
Artigo 25. A Instituidora, para garantir a integridade e confiabilidade do Arranjo Brapag, irá estabelecer penalidades pecuniárias para o descumprimento das obrigações pelos Usuário Finais, as quais, sem prejuízo de outras que vierem ser pactuadas nos instrumentos contratuais próprios, irão tratar sobre:
(a) O descumprimento de qualquer obrigação, financeira ou não-financeira, perante a Instituidora e que possa pôr em risco efetivo pagamento ou liquidação das Transações realizadas no âmbito do Arranjo Brapag;
(b) A participação em fraudes pelos Usuários Finais; e
(c) O descumprimento de qualquer condição estabelecida neste Regulamento, nos respectivos instrumentos contratuais ou na Legislação Aplicável.
Parágrafo Primeiro. Uma vez verificada a ocorrência de qualquer um dos eventos acima indicados, a Instituidora poderá suspender imediatamente o Usuário Final, de forma preventiva, até o momento em que houver o cumprimento da obrigação.
Parágrafo Segundo: A suspensão do Usuário Final implicará no imediato bloqueio, conforme aplicável: (i) da aceitação dos Instrumentos de Pagamento; ou (ii) do credenciamento do Usuário Final.
Parágrafo Terceiro. Além da suspensão acima indicada, a Instituidora poderá: (i) aplicar penalidades pecuniárias (multas compensatórias ou moratórias, juros legais e correção monetária); (ii) reter os valores mantidos em Conta de Pagamento ou; (iii) descredenciar os Usuário Finais.
Parágrafo Quarto. Sempre será assegurado o direito de defesa do Usuário Final, salvo quando for necessário aplicar a penalidade imediatamente, a fim de assegurar a segurança e integridade do Arranjo Brapag .
Capítulo XIX – Condições para Terceirização de Atividades
Artigo 26. É facultado à Instituidora contratar serviços de terceiros para prestar serviços inerentes e necessários ao Arranjo Brapag . A contratação de terceiros será regida pelos seguintes critérios:
(a) Avaliação cadastral sobre os aspectos de idoneidade, capacidade e especialidade;
(b) Avaliação de dados econômicos e financeiros, sobre a capacidade financeira;
(c) Custos dos serviços prestados oferecidos;
(d) Aceitação incondicional das políticas de controles internos da Instituidora, assim como dos termos de confidencialidade e dos níveis de serviços estabelecidos para aqueles serviços contratados;
(e) Padrões mínimos relativos à prevenção à lavagem de dinheiro e ao combate ao financiamento do terrorismo, prevenção contra fraudes no processamento da liquidação das Transações e gerenciamento de continuidade de negócios, incluindo plano de recuperação de desastres;
(f) Manutenção contínua dos serviços prestados, incluindo a adequação da infraestrutura da prestação do serviço de acordo com a expectativa de aumento do volume de Transações realizadas pelo Arranjo Brapag;
(g) Adoção de tecnologia necessária para proteção da confidencialidade das informações das Transações e dos Usuários Finais.
Capítulo XX – Requisitos Operacionais
Requisitos Mínimos de Segurança da Informação
Artigo 27. A Instituidora irá adotar os procedimentos necessários para garantir a integridade, confidencialidade, autenticidade e disponibilidade das informações prestadas pelos Usuários Finais no âmbito do Arranjo Brapag.
Parágrafo Primeiro. A Instituidora irá manter a segurança da informação, com acessos e controles segregados e será responsável pela adoção dos processos internos e fiscalização dos Prestadores de Serviço envolvidos.
Parágrafo Segundo. Caberá à área de segurança da informação da Instituidora coordenar, restringir e monitorar a aplicação das políticas e procedimentos de segurança da informação, em especial nas seguintes atividades:
(a) Administração das Contas de Pagamento dos Usuários Finais e gerenciamento de autenticação das Transações;
(b) Monitoramento e controle de todos os acessos às informações dos Usuários Finais e Transações realizadas no âmbito do Arranjo Brapag ;
(c) Manter atualizado todo o diagrama de network de dados, incluindo os networks wireless (o diagrama deve incluir a data da sua última atualização e o nome do funcionário que realizou tal atualização); e
(d) Restringir o acesso físico às redes de network, ponto de acesso de wireless, gateway e dispositivos portáteis.
Parágrafo Quarto. Caberá à área de recursos humanos da Instituidora assegurar que os funcionários que terão acesso a sistemas, networks e dados recebam o treinamento adequado com relação à política de segurança da informação.
Parágrafo Quinto. O acesso aos dados pelos funcionários da Instituidora possui diferentes níveis de autorização, de acordo com cada função específica, de modo que os funcionários que possuem acesso somente a visualização de dados em um nível particular, poderão acessar tais dados até aquele nível ou a níveis inferiores.
Parágrafo Sexto. Todos os acessos aos sistemas da Instituidora devem ocorrer mediante a indicação de login por cada funcionário, de forma a identificar quando e onde os dados foram acessados, inclusive com a restrição de acesso à determinados dados por funcionários não autorizados, conforme previsto na “Política de Gerenciamento de Dados da Brapag”.
Parágrafo Sétimo. O controle de acesso aos dados segue a “Política de Classificação e Controle de dados da Brapag”, na qual constam as regras relacionadas com: (i) classificação de dados; (ii) acesso aos dados; (iii) processo de requisição de acesso a dados; (iv) segurança física de materiais e mídia, contendo informações confidenciais e sensíveis; (v) autenticação de usuários e sistemas; (vi) gerenciamento de contas e acessos, incluindo responsabilidades dos funcionários da área de segurança da informação e dos administradores do sistema; (vii) retenção de dados; (viii) disposição dos dados; e (iv) política de arquivos físicos e eletrônicos, incluindo armazenamentos, inventário e destruição periódica de dados.
Gerenciamento da Continuidade dos Negócios
Artigo 28. Para atender a Legislação Aplicável, a Instituidora implementou e manterá em vigor um “Plano de Continuidade do Negócio” que é dividido em 03 (três) partes: (i) recuperação de desastres; (ii) continuidade do negócio; e (iii) continuidade do gerenciamento do negócio que contempla:
Parágrafo único. O “Plano de Continuidade do Negócio” da Instituidora contempla as seguintes atividades e rotinas:
(a) Coordenação de pessoas chave em todo o processo de recuperação;
(b) Identificação, supervisão e revisão das atividades críticas essenciais durante o processo de recuperação;
(c) Estipulação de um programa de treinamento perante todos os funcionários e Prestadores de Serviço no processo de recuperação;
(d) Revisão e atualização periódica dos planos, recursos e processos para garantir as mudanças e atualizações de processos críticos, funções e documentações que estão incluídas na política de continuidade do negócio;
(e) Coordenação de testes quadrimestrais e anuais do plano e elaboração de relatórios para o corpo executivo,
(f) Divulgação de todas as atualizações e mudanças no plano para os funcionários e Prestadores de Serviço envolvidos;
(g) Manutenção de contato com Prestadores de Serviço para garantir o suporte necessário durante um processo de recuperação;
(h) Planejamento de contingências entre a área de tecnologia e outras áreas de de negócios da Instituidora;
(i) Administração e tomada de decisões estratégicas durante qualquer incidente;
(j) Estipulação de processos críticos do negócio;
(k) Identificação de funções e responsabilidades necessárias para a recuperação de funções críticas do negócio e os tempos dessas recuperações;
(l) Identificação dos recursos e ativos necessários para a recuperação dos negócios e estipulação dos prazos respectivos;
(m) Estipulação de estruturas de comunicação claras após o incidente; e
(n) Estipulação de cronogramas de prioridades para minimizar qualquer interrupção dos serviços prestados aos Usuários Finais.
Mecanismos de contingência quando da indisponibilidade de sistemas
Artigo 29. A Instituidora possui uma “Política de Continuidade do Negócio”, pelo qual constam os procedimentos para a manutenção de suas atividades e operações, identificando uma estratégia de funções e responsabilidades, times de trabalho, atividades e procedimentos gerais para responder a qualquer evento anormal que afete a performance normal e a disponibilidade dos serviços a serem prestados no âmbito Arranjo Brapag.
Parágrafo Primeiro. A política inclui as seguintes fases: preparação, ocorrência, ativação, regime, reconstrução, retorno e escala de comunicações.
Parágrafo Segundo. A política também inclui contingências, para continuidade de provedores de tecnologia, processadores de pagamentos e processos internos de operação.
Mecanismos de Detecção e Acompanhamento de Fraudes Financeiras e de Transações Suspeitas
Artigo 31. A Instituidora irá utilizar de tecnologias e sistemas com o objetivo de monitorar as Transações realizadas pelos Usuários Finais no âmbito do Arranjo Brapag e tentar evitar a prática de fraudes.
Parágrafo Primeiro. O monitoramento será realizado para mitigar os riscos de fraude e otimizar os serviços que serão prestados no âmbito do Arranjo Brapag, cabendo à Instituidora, de forma contínua, extrair as informações para geração de relatórios de fraude.
Parágrafo Segundo. A Instituidora também irá se utilizar de diversas ferramentas tecnológicas fornecidas por terceiros (tais como, Newrelic, Google Analytics, Nagios, ELK Stack, dentre outras) e que serão integradas com os seus sistemas internos, para monitorar e gerar alertas sobre a utilização anormal do Arranjo Brapag, por meio das quais será possível realizar: (i) a medição do tempo de resposta; (ii) o monitoramento do percentual de erros dos serviços; (iii) o monitoramento do uso de recursos das aplicações; (iv) o monitoramento da utilização do sistema da Instituidora e sua interface com os sistemas utilizados pelos Usuários Finais.
Parágrafo Terceiro. A Instituidora se utiliza de diferentes análises de prevenção de fraudes, mediante: (i) criação de listas de Usuários Finais com comportamentos anormais; (ii) checagens de “velocity”, com a finalidade de monitorar a quantidade de Transações realizadas por um mesmo Usuário Final; e (iii) criação de uma base de dados de Usuários Finais que realizaram Transações suspeitas ou não aprovadas.
Parágrafo Quarto. No processo de detecção de fraudes, a Instituidora irá se utilizar de informações baseadas em geolocalização e verificação de Internet Protocol - IP dos Usuários Finais, que incluem: latitude, longitude, cidade, região e país, para comparar dados de diferentes regiões de diferentes provedores de IPs.
Parágrafo Quinto. A Instituidora também irá se utilizar de outros procedimentos para a análise das Transações e detecção de fraudes, tais como: (i) device fingerprining; (ii) fraud scrubbing system; (iii) point-to-point encryption; (iv) tokenizacao; (v) verificação de cookies compartilhados; (vi) rule engine, que permite a tomada de decisão em condições complexas; (vii) checagens de velocidade, frequência na utilização do Instrumento de Pagamento, endereço de IP e correlação de endereço de registro do Usuário Final com o endereço de realização da Transação; (viii) confirmação do e-mail e número de telefone dos Usuários Finais; e (ix) gerenciamento de processos de disputa entre Usuários Finais.
Parágrafo Sexto. Além da utilização de ferramentas tecnológicas e procedimentos acima indicados, a Instituidora periodicamente irá realizar auditorias internas, por meio de checagens manuais, com o objetivo de mitigação de riscos relacionados à fraude, as quais incluirão:
(a) Consulta do CPF/MF e CNPJ/MF dos Usuários Finais: para utilização do Arranjo Brapag todos os Usuários Finais deverão necessariamente ser pessoas físicas ou jurídicas e com registro regular perante o Ministério da Fazenda. Para verificar a regularidade dos registros, a Instituidora irá se utilizar de ferramentas tecnológicas fornecidas por terceiros e que irá verificar os registros dos Usuários Finais no momento do cadastro para utilização do Instrumento de Pagamento no período entre 30 (trinta) a 90 (noventa) dias;
(b) Criação de “Blacklist” para os Usuários Finais que tenham realizado cadastro ou Transações com suspeita de fraude ou que possuam relação com outros Usuários Finais que efetivamente realizaram Transações fraudulentas, a ser apurado mediante os procedimentos de segurança previstos neste Regulamento ou mediante denúncias de terceiros;
(c) Criação de “Greylist” para o Usuários Finais que atingiram os limites máximos para a realização de Transações ou que necessitam enviar documentação adicional para regularidade dos cadastros no Arranjo Brapag;
(d) Validação de cookies por meio da análise de histórico de Transações de novos Usuários Finais, incluídos aqueles incluídos na Blacklist ou Grey List, cujas Transações serão autorizadas mediante análise manual pela Instituidora;
(e) Definição de limites máximos para grupos de Usuários Finais em que forem identificados critérios de riscos específicos, os quais terão reduzidos os limites de valores das Transações até que haja a confirmação de informações cadastrais e envio de documentos, ou mediante o cumprimento de outros requisitos de segurança (que irão considerar o histórico de Transações e tempo de permanência no Arranjo Brapag);
(f) Análise manual de Transações com o objetivo de prevenir fraudes com recursos financeiros oriundos de fontes ilícitas. Nesses casos, as Transações somente serão aprovadas caso os Usuários Finais possam comprovar a origem dos recursos.
Padrões Mínimos Operacionais para a Prevenção a Ilícitos, Lavagem de Dinheiro e Combate ao Financiamento do Terrorismo
Artigo 32. A Instituidora adota políticas e procedimentos eficazes, por meio de uma estrutura permanente de mecanismos de controle e vigilância que visam evitar ou minimizar riscos de operações de lavagem de dinheiro e outros ilícitos financeiros, tais como:
(a) Processo “Conheça seu Cliente” (KYC): as informações cadastrais coletadas junto ao próprio Usuário Final são validadas e compradas com as informações públicas fornecidas pelo banco de dados de terceiros, inclusive aquela obtidas pela a lista da US Office of Foreign Assets Control – OFAC. A partir deste processo são identificados Usuário Finais considerados Pessoas Expostas Politicamente (PEP); e
(b) Processo de Monitoramento das Transações: procedimento sistêmico, baseado nas regras definidas pela Instituidora, para permitir a identificação de Transações consideradas suspeitas a partir dos valores envolvidos e/ou de sua frequência.
Parágrafo Primeiro: Dentre os controles adotados pela Brapag para a prevenção à lavagem de dinheiro: (i) a Instituidora implementou uma política baseada nos riscos de lavagem de dinheiro e fraude cambial; (ii) as políticas e procedimentos serão revisados e atualizados periodicamente, para garantir sua eficiência e adequação aos serviços prestados no âmbito do Arranjo Brapag; e (iii) as revisões serão realizadas semestralmente ou sempre que se fizer necessário para o atendimento da Legislação Aplicável.
Parágrafo Segundo. A política de prevenção à lavagem de dinheiro da Instituidora compreende os seguintes critérios: (i) políticas e procedimentos; (ii) avaliação e gestão de riscos; (iii) política de aceitação do Usuário Final; (iv) procedimentos de manutenção de registros, elaboração de relatórios e divulgação de informações; (v) manual de gerenciamento financeiro; (vi) política de funcionários e Prestadores de Serviço; e (vii) obrigações e responsabilidades da Instituidora.
Parágrafo Terceiro. Dentre outros procedimentos a serem adotados pela Instituidora, será realizada a identificação dos Usuários Finais que possam ser considerados como terroristas ou que façam parte de qualquer organização terrorista, de acordo com as listas divulgadas pela Organização das Nações Unidas, The Office of Foreign Assets Control - OFAC, Reino Unido, União Europeia ou por outra organização pública ou privada, cuja relação tenha sido tornada pública.
Capítulo XXI - Interoperabilidade com outros arranjos de pagamento
Artigo 33. Considera-se interoperabilidade entre o Arranjo Brapag e outros arranjos de pagamento os mecanismos que viabilizem, por meio de regras, procedimentos e tecnologias compatíveis, a transferência de recursos, inclusive de moeda eletrônica entre diferentes arranjos de pagamento.
Artigo 34. Sempre que possível, a Instituidora buscará implementar a interoperabilidade com outros arranjos, respeitadas as peculiaridades de suas operações e o recíproco interesse das partes envolvidas e dos Usuários Finais.
Artigo 35. É condição para a implementação da interoperabilidade entre diferentes arranjos a compatibilidade de sistemas operacionais, incluindo mensageria, redes, sistemas de contingência e outros quesitos de cunho tecnológico.
Artigo 36. A interoperabilidade entre o Arranjo Brapag e outros arranjos de pagamento se dará mediante o cumprimento das seguintes regras e condições:
(a) Não será feita nenhuma diferença de tratamento no âmbito do arranjo Brapag entre os demais arranjos de pagamento, sejam eles abertos ou fechados;
(b) Os Usuários Finais dos diversos arranjos interoperantes devem poder utilizar-se de uma única Conta de Pagamento;
(c) Deverão ser estabelecidos mecanismos de controle e acompanhamento das Transações, com amplo acesso às informações necessárias para que cada um cumpra as suas obrigações no fluxo operacional de maneira pontual, precisa e segura;
(d) Os contratos firmados deverão conter a identificação dos diversos riscos envolvidos na operação.
(e) A responsabilidade da Instituidora do Arranjo Brapag está limitada à liquidação da Transação na conta de pagamento da instituidora do outro arranjo, sendo de sua exclusiva responsabilidade a liquidação de transações perante os participantes e recebedores do seu arranjo;
(f) As Marcas da Instituidora não poderão ser utilizadas pelos participantes e recebedores do outro arranjo, exceto se de outra forma expressamente previsto no respectivo contrato;
(g) No âmbito do Arranjo Brapag, a identificação da Transação indicará somente o nome da instituidora do outro arranjo, sem qualquer referência aos participantes e recebedores deste outro arranjo; e
(h) De forma a viabilizar a interoperabilidade, permitindo a troca de informações e o fluxo de recursos entre os arranjos, a instituidora do outro arranjo deverá contar com infraestrutura operacional e sistemas compatíveis com aqueles previstos neste Regulamento.
Parágrafo Único. Adicionalmente, os acordos de interoperabilidade deverão prever, no mínimo: (i) os direitos e as obrigações entre os instituidores dos arranjos envolvidos; (ii) mecanismos que permitam ao Usuário Final a utilização de uma única Conta de Pagamento para a realização das Transações; (iii) as modalidades de participantes de cada arranjo que forem envolvidas na interoperabilidade; (iv) as responsabilidades atribuídas aos instituidores dos arranjos; e (v) as limitações impostas aos arranjos de pagamento pelo Bacen e Legislação Aplicável.