Conformidade com Normas de Segurança para Cartões Pré-pagos

Conformidade para emitir cartões pré-pagos white label

Última atualização: 4 de julho de 2026

Principais lições deste artigo

  • Ter um programa de cartões pré-pagos white label exige autorização do Banco Central. Operar sem licença ou sem um parceiro regulado expõe a empresa a sanções e riscos operacionais.

  • Adotar o modelo patrocinado via Banking as a Service transfere a responsabilidade regulatória para um provedor licenciado e permite que a empresa foque em produto e experiência do usuário.

  • Cuidar da conformidade envolve KYC, PLD/FT com base na Circular 3.978/2020, PCI DSS 4.0.1 obrigatório desde março de 2025 e adequação à LGPD em todo o ciclo de vida dos dados.

  • Seguir um checklist de dez etapas, da escolha do sponsor de BIN até a liquidação financeira, orienta a estruturação de programas de emissão white label.

  • Contar com a Celcoin permite que fintechs, bancos digitais, gestoras de fundos, varejistas e ERPs acessem infraestrutura regulatória completa e APIs modulares para lançar cartões white label com agilidade. Saiba mais.

Por que fintechs, varejistas e ERPs precisam entender conformidade regulatória

A emissão de instrumentos de pagamento pré-pagos no Brasil é atividade privativa de instituições autorizadas pelo Banco Central. Empresas que operam sem essa autorização, ou sem um parceiro devidamente licenciado, incorrem em irregularidade formal. Além do risco legal, a ausência de controles adequados de KYC, PLD e segurança de dados cria vulnerabilidades que aumentam fraudes e prejudicam a experiência do usuário final.

O modelo patrocinado via Banking as a Service resolve esse problema de forma estrutural. A empresa contratante passa a operar sob a licença e a governança do provedor regulado e não precisa construir uma instituição de pagamento própria do zero.

Conheça como a Celcoin resolve esse desafio com infraestrutura regulatória completa.

O que é cartão pré-pago white label e como funciona o modelo patrocinado

Um cartão pré-pago white label é um instrumento de pagamento eletrônico emitido com a marca da empresa contratante e sustentado pela infraestrutura regulatória e tecnológica de um provedor licenciado. O portador carrega previamente o saldo disponível, sem vínculo com limite de crédito rotativo.

No modelo de emissão própria, a empresa precisa obter autorização do Banco Central como Instituição de Pagamento na modalidade emissora de moeda eletrônica, negociar diretamente com bandeiras e processadoras e construir internamente toda a camada de compliance. No modelo patrocinado, o provedor, já autorizado como IP, patrocina o BIN junto à bandeira e assume a responsabilidade regulatória primária. Essa responsabilidade regulatória primária recai sobre o provedor da infraestrutura, que já possui licenças como instituição de pagamento ou emissor de moeda eletrônica.

Os principais atores do ecossistema são a instituição de pagamento licenciada, que atua como sponsor de BIN, a bandeira, como Visa, a processadora responsável pela autorização das transações e a empresa contratante, que detém a marca e o relacionamento com o usuário final.

Como funciona na prática a emissão white label

A emissão white label combina camadas operacionais interdependentes. Na camada de onboarding, o fluxo de KYC coleta e valida dados do portador, cruza informações com bases públicas e privadas, verifica listas de PEPs e sanções e classifica o cliente por perfil de risco. Na camada transacional, um motor de antifraude analisa cada operação em tempo real.

A emissão pode ser física, com embossing e personalização gráfica, ou virtual, com entrega imediata do número do cartão ao portador. A gestão de chargebacks segue os procedimentos da bandeira e exige documentação estruturada de cada disputa. A liquidação financeira ocorre dentro do arranjo de pagamento, com repasse dos valores conforme as regras do Sistema de Pagamentos Brasileiro regulado pelo Banco Central.

Panorama regulatório em 2026 do Banco Central

A Lei nº 12.865/2013 dispõe sobre os arranjos de pagamento e as instituições de pagamento integrantes do Sistema de Pagamentos Brasileiro e conferiu ao Banco Central autoridade para regular, autorizar e supervisionar essas instituições e arranjos. Sob esse marco, as IPs emissoras de moeda eletrônica operam dentro de arranjos abertos, como os operados por Visa e Mastercard, que exigem interoperabilidade e regras padronizadas pelo instituidor do arranjo.

Para PLD/FT, a Circular nº 3.978/2020 do Banco Central substituiu a Circular nº 3.461/2009. Administradoras de cartões estão sujeitas à supervisão do COAF para obrigações de PLD/FT sob a Lei nº 9.613/1998, mas não à supervisão do Banco Central.

Além das obrigações de prevenção à lavagem de dinheiro, programas de cartões precisam atender requisitos específicos de segurança de dados. Em relação à segurança de dados de portadores, o PCI DSS 4.0.1 é o padrão contratual exigido pelas bandeiras. Os requisitos do PCI DSS 4.0.1 que eram recomendações até fevereiro de 2025 tornaram-se obrigatórios a partir de 31 de março de 2025. A LGPD, Lei nº 13.709/2018, complementa esse quadro ao regular o tratamento de dados pessoais dos portadores em todas as etapas do ciclo de vida do cartão.

Checklist de conformidade para emitir cartões pré-pagos white label

  1. Definir o modelo operacional: escolher entre emissão própria, que requer autorização de IP junto ao Banco Central, ou modelo patrocinado via BaaS, que opera sob a licença do provedor.

  2. Selecionar um sponsor de BIN autorizado: buscar um provedor que seja IP licenciada pelo Banco Central na modalidade emissora de moeda eletrônica e que tenha contrato ativo com a bandeira escolhida.

  3. Implementar política de KYC: estruturar coleta e validação de dados cadastrais, verificação em listas de PEPs e sanções, classificação de risco do portador e revisão periódica do perfil.

  4. Estruturar programa de PLD/FT: adotar política interna baseada em risco, monitoramento contínuo de transações, procedimentos de comunicação ao COAF e treinamento de equipe, em linha com a Circular nº 3.978/2020.

  5. Garantir conformidade com PCI DSS 4.0.1: mapear o ambiente de dados do portador, realizar análise de lacunas, implementar controles técnicos e procedurais e obter Attestation of Compliance no nível correspondente ao volume transacional.

  6. Adequar o tratamento de dados à LGPD: definir bases legais para cada finalidade de tratamento, estabelecer política de retenção e descarte e garantir mecanismos de exercício de direitos dos titulares.

  7. Integrar motor de antifraude: aplicar análise em tempo real de transações, regras de bloqueio e alertas automáticos para operações atípicas.

  8. Configurar gestão de chargebacks: documentar o fluxo de disputas conforme as regras da bandeira, com prazos e responsabilidades definidos contratualmente.

  9. Estabelecer governança de dados e APIs: controlar acessos, manter logs de auditoria, versionar APIs e definir plano de resposta a incidentes.

  10. Definir fluxo de liquidação: acordar com o provedor o repasse de valores, a conciliação diária e os relatórios regulatórios exigidos pelo Banco Central.

Boas práticas de arquitetura de APIs, governança de dados e escolha de parceiros

A avaliação de um parceiro para emissão de cartões deve considerar cobertura de licenças regulatórias, profundidade da documentação de APIs, disponibilidade de sandbox para testes, histórico de conformidade com o Banco Central e capacidade de escalar junto com o crescimento da operação.

Erros comuns nessa jornada incluem subestimar o escopo do PCI DSS. Toda entidade que armazena, processa ou transmite dados de portadores está no escopo, independentemente do volume. Outro erro frequente é misturar recursos de clientes com patrimônio próprio em estruturas de conta não individualizadas, prática vedada pelo Banco Central. Muitas empresas também ignoram atualizações regulatórias, como as novas obrigações do PCI DSS 4.0.1 que passaram a ser mandatórias em 2025.

A arquitetura de APIs precisa seguir padrões REST, com autenticação robusta, criptografia em trânsito e em repouso e controle granular de permissões por escopo de operação.

Aplicações por tipo de empresa

Fintechs em estágio inicial ganham velocidade ao usar o modelo patrocinado, pois conseguem lançar um cartão pré-pago com marca própria em semanas, sem o custo e o tempo de obtenção de licença própria. À medida que a operação cresce, a mesma infraestrutura suporta a migração para licença própria sem necessidade de reescrever a base tecnológica.

Varejistas usam cartões white label para criar programas de fidelidade, oferecer benefícios exclusivos e capturar dados de comportamento de compra dos clientes. Esses dados geram novas fontes de receita e reduzem a dependência de bandeiras de terceiros para a gestão da experiência.

ERPs incorporam cartões pré-pagos diretamente nas plataformas de gestão. Essa integração permite que clientes empresariais realizem pagamentos, controlem despesas corporativas e automatizem conciliações financeiras dentro do próprio software, o que aumenta retenção e diferenciação competitiva.

Como a Celcoin oferece infraestrutura regulatória completa

A Celcoin opera com portfólio completo de licenças e tecnologia proprietária e oferece APIs modulares para que empresas possam prover serviços bancários completos, de contas digitais e cartões até liquidação, compliance e relatórios regulatórios. Para a emissão de cartões white label, a Celcoin fornece infraestrutura tecnológica, operacional e regulatória, com integração à bandeira Visa, antifraude, embossing, gestão de disputas, emissão física e virtual e compartilhamento de BIN. Empresas sem licença própria operam sob a licença da Celcoin. Empresas já licenciadas integram sua própria autorização ao Core Banking da Celcoin.

A Celcoin medeia mais de R$ 30 bilhões em transações mensalmente e atende mais de 6 mil clientes entre fintechs, bancos digitais, ERPs e varejistas.

Funcionalidade da Celcoin

Benefício para sua empresa

APIs modulares

Integrações mais rápidas, com redução de custos e prazos de desenvolvimento.

Experiência e suporte ao desenvolvedor

Documentação, SDKs e sandboxes que reduzem ciclos de integração e custos de engenharia.

Capacidade de lançamento rápido

Módulos pré-construídos e entrega via SaaS aceleram lançamentos e reduzem o tempo para geração de receita.

Distribuição white label e embutida (embedded)

Suporte a produtos financeiros com marca própria.

Escalabilidade com confiabilidade

Solução com alta disponibilidade e escalável na nuvem, que mantém serviços funcionando mesmo com altos volumes e protege a receita.

Cobertura de diversas possibilidades de pagamentos, incluindo crédito

Oferta de pagamentos e emissão de crédito que aumenta conversão, ARPU e fidelização.

Acesso a dados e personalização

Dados e análises via Open Finance que permitem ofertas personalizadas e melhoram conversão e retenção.

Compliance e conformidade como princípio

KYC, AML e relatórios integrados que reduzem risco regulatório e aceleram ciclos de vendas.

Prevenção de fraude e controles de risco

Monitoramento baseado em IA e autenticação robusta que reduzem estornos, perdas e exposição regulatória.

Parcerias e integrações

Parcerias e integrações com bancos, redes e fintechs que ampliam cobertura, recursos e velocidade de entrada no mercado.

A Celcoin não oferece nenhum tipo de empréstimo para consumidores. A Celcoin fornece a infraestrutura tecnológica para que empresas consigam ofertar produtos de crédito aos seus clientes.

Veja como a Celcoin oferece toda essa infraestrutura tecnológica e operacional.

Perguntas frequentes sobre emissão de cartões white label

É legal emitir cartões pré-pagos white label sem ter licença própria de instituição de pagamento?

Emitir cartões pré-pagos white label sem licença própria é legal quando a operação ocorre sob a licença de um provedor BaaS devidamente autorizado pelo Banco Central como Instituição de Pagamento na modalidade emissora de moeda eletrônica. Nesse modelo, a empresa contratante opera com sua própria marca, enquanto a responsabilidade regulatória primária recai sobre o provedor licenciado. A Lei nº 12.865/2013 e as normas do Banco Central permitem esse arranjo, desde que os contratos entre as partes delimitem de forma clara as responsabilidades de cada ator.

Quanto tempo leva para lançar um cartão white label via BaaS?

O prazo para lançar um cartão white label via BaaS varia conforme a complexidade da integração e a prontidão da empresa contratante. Com um provedor BaaS que disponibiliza APIs bem documentadas, sandboxes e módulos pré-construídos, algumas empresas conseguem ir a mercado em poucas semanas. Operações mais complexas, com customizações extensas ou necessidade de migração de sistemas legados, podem levar até três meses.

O fator determinante costuma ser a disponibilidade da equipe técnica da empresa contratante e a qualidade da documentação do provedor.

Quais são os custos aproximados de conformidade com PCI DSS para um programa de cartões?

Os custos de conformidade com PCI DSS variam conforme o nível exigido, que é determinado pelo volume anual de transações. Entidades com mais de 6 milhões de transações por ano, classificadas como Nível 1, precisam de auditoria presencial por um Qualified Security Assessor e de emissão de Report on Compliance, o que gera custos mais elevados. Volumes menores permitem o uso de Self-Assessment Questionnaires, com custo significativamente inferior.

No modelo BaaS patrocinado, o provedor cobre parte substancial do escopo PCI DSS, o que reduz o ônus de conformidade da empresa contratante.

Como a LGPD se aplica ao programa de cartões pré-pagos?

A LGPD incide sobre todo o ciclo de vida dos dados do portador, da coleta no onboarding ao descarte após o encerramento do cartão. O tratamento inclui armazenamento durante a vigência, compartilhamento com processadoras e bandeiras e registro de logs.

A empresa contratante e o provedor BaaS respondem em conjunto pelo tratamento adequado desses dados. As partes precisam definir bases legais para cada finalidade de tratamento, estabelecer política de retenção, garantir mecanismos de exercício de direitos dos titulares e manter registros de atividades de tratamento.

É possível migrar um programa de cartões existente para a infraestrutura da Celcoin?

A migração de um programa de cartões existente para a infraestrutura da Celcoin é possível e segue um processo estruturado. A Celcoin conta com equipe dedicada para suporte à migração e trabalha para minimizar o impacto operacional.

O prazo depende da complexidade da estrutura atual. Operações mais simples podem ser migradas em uma semana, enquanto estruturas com maior volume de dados históricos e integrações legadas podem demandar até três meses. A empresa migrada mantém a mesma base tecnológica caso decida obter licença própria no futuro, sem necessidade de nova migração.

Síntese dos principais aprendizados sobre conformidade e infraestrutura regulada

Emitir cartões pré-pagos white label no Brasil exige atenção simultânea a quatro camadas regulatórias. A empresa precisa de autorização do Banco Central, via licença própria ou modelo patrocinado, de conformidade com PLD/FT sob a Circular nº 3.978/2020, de certificação PCI DSS 4.0.1 e de adequação à LGPD.

O modelo patrocinado via BaaS reduz de forma relevante o tempo e o custo de entrada ao transferir a responsabilidade regulatória primária para o provedor licenciado. Esse arranjo permite que a empresa contratante concentre recursos no desenvolvimento do produto e na experiência do usuário final.

A escolha do parceiro BaaS é uma decisão estratégica. O provedor precisa cobrir licenças, tecnologia, compliance e escalabilidade em uma única plataforma e acompanhar a empresa desde o lançamento até eventual obtenção de licença própria.

Descubra a solução completa da Celcoin para emissão de cartões white label.