Credit as a Service: soluções com segurança e conformidade

Como avaliar segurança e conformidade em credit as a service

Última atualização: 14 de julho de 2026

Principais lições deste artigo

  • A Resolução Conjunta nº 16/2025 define um marco regulatório para operações de crédito via BaaS/CaaS, com prazo de adequação até 31 de dezembro de 2026.

  • Avaliar um provedor de credit as a service exige verificar cinco pilares: autorização BCB, segurança de APIs, conformidade LGPD/Open Finance, KYC/PLD e continuidade operacional.

  • Erros comuns incluem terceirização sem due diligence estruturada, ausência de DRP/BCP testado e APIs sem mTLS ou OAuth 2.0, o que expõe empresas a sanções regulatórias e falhas operacionais.

  • Uma empresa sem licença BCB pode oferecer crédito, desde que contrate um provedor autorizado que assuma a responsabilidade regulatória integral.

  • A infraestrutura de crédito da Celcoin já cobre os cinco pilares regulatórios e técnicos descritos neste guia; veja como ela funciona na prática.

1. Mercado de crédito e transformação digital no Brasil

O mercado de crédito brasileiro passa por uma transformação estrutural impulsionada pela digitalização, pela expansão do Open Finance e pela entrada de varejistas, ERPs e fintechs na oferta de produtos financeiros. Empresas de diferentes setores enxergam o crédito como alavanca de receita e fidelização. Essa demanda exige infraestruturas que combinem agilidade tecnológica com conformidade regulatória rigorosa.

A escolha de um provedor de CaaS é uma decisão estratégica de alto risco. Falhas na avaliação de segurança e conformidade expõem empresas a penalidades do Banco Central, vazamentos de dados, interrupções operacionais e perda de confiança do mercado. Antes de contratar qualquer provedor, uma empresa precisa entender os conceitos regulatórios que estruturam o mercado de CaaS no Brasil.

2. Conceitos fundamentais: SCD, IP, Resolução Conjunta 16/2025, LGPD e Open Finance

A Sociedade de Crédito Direto, ou SCD, é uma instituição financeira autorizada pelo BCB para conceder crédito com recursos próprios, emitir CCBs e realizar cessão de crédito. A Instituição de Pagamento, ou IP, opera contas de pagamento e serviços correlatos. Juntas, essas licenças formam a base regulatória de um provedor de CaaS completo.

A Resolução Conjunta nº 16/2025, publicada em novembro de 2025 pelo BCB e pelo Conselho Monetário Nacional, criou um marco regulatório específico para o modelo BaaS, que inclui operações de crédito em sua lista taxativa de serviços permitidos. A instituição prestadora autorizada assume a responsabilidade regulatória integral perante o BCB, incluindo governança, KYC, PLD/FT, segurança da informação e monitoramento contínuo dos clientes da entidade tomadora.

A LGPD, Lei nº 13.709/2018, exige consentimento livre, informado e inequívoco para o tratamento de dados pessoais em operações de crédito, com multas de até 2% da receita anual no Brasil, limitadas a R$ 50 milhões por infração. O Open Finance amplia o ecossistema de dados financeiros compartilhados mediante consentimento granular do consumidor, com validade máxima indefinida, ou superior a 12 meses, e revogação a qualquer momento.

3. Como avaliar um provedor de CaaS na prática?

Com esses conceitos definidos, uma empresa pode estruturar o processo de due diligence de um provedor de credit as a service em seis etapas:

  1. Verificação de licenças: confirme se o provedor possui autorização BCB ativa como SCD e/ou IP, consultando o cadastro público do Banco Central.

  2. Auditoria de segurança de APIs: solicite documentação sobre protocolos OAuth 2.0, mTLS, TLS 1.2 ou superior, gestão de certificados e conformidade com o perfil FAPI do Open Finance Brasil.

  3. Avaliação de controles para LGPD/Open Finance: verifique políticas de consentimento, trilhas de auditoria, base legal para cada tratamento de dados e mecanismos de portabilidade.

  4. Revisão de KYC/PLD: analise fluxos de onboarding, monitoramento contínuo, reporte ao COAF e aderência à Circular BCB 3.978/2020.

  5. Teste de continuidade operacional: exija evidências de DRP/BCP testados, RTO/RPO documentados e resultados de simulações de desastre.

  6. Gestão de terceiros: avalie como o provedor monitora seus próprios fornecedores de tecnologia, nuvem e infraestrutura crítica.

Depois de revisar esses seis passos, vale conferir como a infraestrutura full stack da Celcoin já cobre esses requisitos na prática. Conheça a solução de crédito da Celcoin.

4. Panorama do ecossistema e tendências regulatórias

O ecossistema de CaaS no Brasil envolve originadores, correspondentes bancários, gestoras de fundos, fintechs, varejistas e ERPs, todos dependentes de infraestruturas licenciadas para operar com segurança jurídica. As tendências regulatórias de 2025 e 2026 apontam para maior responsabilização das instituições prestadoras e para a eliminação de estruturas de contas agregadas, as chamadas contas-bolsão, com exigência de identificação individual de cada cliente final, conforme determinado pela Resolução Conjunta 16/2025 já mencionada.

As Resoluções BCB nº 538/2025 e CMN nº 5.274/2025, publicadas em dezembro de 2025 com prazo de adequação até 1º de março de 2026, elevaram o padrão de resiliência operacional exigido. Elas passam a demandar capacidade demonstrada de manutenção de serviços essenciais sob condições adversas, não apenas documentação de planos.

5. Cinco pilares de conformidade em credit as a service

Com o panorama regulatório traçado, cada um dos cinco pilares abaixo detalha o que uma empresa deve verificar ao avaliar um provedor.

Pilar 1: autorização do BCB, SCD ou IP

O provedor deve possuir licença ativa de SCD e/ou IP. Sob a Resolução Conjunta 16/2025, a entidade tomadora não precisa de licença própria, desde que contrate uma instituição prestadora autorizada que retenha a responsabilidade regulatória integral. A ausência de licença válida invalida toda a operação de crédito.

Perguntas para due diligence:

  • Qual é o número de autorização do BCB e qual a data da última renovação?

  • O provedor possui tanto SCD quanto IP, ou apenas uma das licenças?

  • Como o provedor documenta sua responsabilidade regulatória perante o BCB?

A escala de maturidade abaixo ajuda a posicionar o provedor avaliado.

Nível

Descrição

1

Sem licença BCB

2

Licença em processo de obtenção

3

Licença ativa, IP ou SCD, não ambas

4

Licença ativa, SCD e IP, com governança documentada

5

SCD e IP, participação direta no Pix e no Open Finance, com trilhas de auditoria regulatória completas

Pilar 2: segurança de APIs com OAuth 2.0, mTLS e TLS 1.2 ou superior

O perfil FAPI-1-Advanced do Open Finance Brasil exige OAuth 2.0 com OpenID Connect, Pushed Authorization Requests e autenticação via private_key_jwt como base para autenticação segura. O mTLS complementa esse modelo ao garantir confiança mútua entre os sistemas que trocam esses tokens em operações financeiras críticas. Certificações como PCI-DSS e ISO 27001, por sua vez, atestam que esses controles técnicos estão implementados de forma consistente.

Perguntas para due diligence:

  • As APIs utilizam OAuth 2.0 e mTLS com TLS 1.2 ou superior?

  • O provedor possui certificação PCI-DSS e/ou ISO 27001 vigente?

  • Existe gestão documentada de ciclo de vida de certificados, incluindo emissão, rotação e revogação?

Pilar 3: conformidade com LGPD e Open Finance

Cada dado consumido via Open Finance deve ter consentimento válido, finalidade registrada e rastreabilidade completa. O provedor precisa manter trilhas de auditoria acessíveis para suportar decisões automatizadas de crédito perante reguladores, clientes ou tribunais, conforme exigido pela LGPD e pelo fortalecimento da supervisão da ANPD via Lei nº 15.352/2026.

Perguntas para due diligence:

  • Como o provedor registra e gerencia o consentimento granular do consumidor final?

  • Existe DPO nomeado e política de DPIA para modelos de crédito de alto risco?

  • As trilhas de auditoria de tratamento de dados são imutáveis e acessíveis para auditoria regulatória?

Pilar 4: KYC e PLD contínuos

A Circular BCB 3.978/2020 define três níveis de diligência: simplificada para baixo risco, normal e reforçada para PEPs, países de alto risco e operações atípicas. O monitoramento deve ser contínuo, com atualização do perfil de risco sempre que houver mudança no comportamento do cliente. Relatórios ao COAF devem ser enviados em até 24 horas após a detecção de operação suspeita.

Perguntas para due diligence:

  • O provedor realiza screening contínuo contra listas OFAC, ONU e UE?

  • Como é feita a identificação e o monitoramento reforçado de PEPs?

  • O sistema de KYC detecta deepfakes e identidades sintéticas?

Pilar 5: continuidade operacional com DRP e BCP

As Resoluções CMN 4.893 e BCB 85 exigem BIA formal, RTO/RPO documentados, backups criptografados com testes semestrais e simulações completas de desastre. A Resolução BCB 538/2025 reforça a exigência de isolamento físico e lógico de ambientes críticos e testes periódicos de penetração independentes.

Perguntas para due diligence:

  • Com que frequência o DRP/BCP é testado e quais são os resultados documentados?

  • Quais são os RTO e RPO definidos para os serviços de crédito?

  • Como o provedor gerencia riscos de concentração em fornecedores de nuvem e tecnologia?

6. Erros comuns e pontos de atenção

Muitas falhas de conformidade em CaaS têm origem na terceirização sem due diligence estruturada. Contratar um provedor sem verificar sua cadeia de fornecedores de tecnologia expõe a empresa a riscos regulatórios indiretos, e a dependência excessiva de fornecedores sem avaliação de risco adequada é considerada fragilidade crítica pelo BCB.

Essa falta de verificação costuma se repetir em outras frentes. Planos de DRP/BCP documentados mas não testados não atendem às exigências regulatórias e não garantem recuperação real em caso de incidente. Da mesma forma, autenticação por chave de API isolada ou HTTP Basic é insuficiente para operações financeiras reguladas, o que expõe dados sensíveis a interceptação.

Estruturas de conta agregada, as contas-bolsão, são proibidas pela Resolução Conjunta 16/2025, com prazo de adequação até 31 de dezembro de 2026, já citado neste artigo. Na mesma linha, modelos white-label que ocultam a instituição licenciada não são mais permitidos após esse prazo de adaptação.

7. Aplicações por perfil de empresa

A avaliação dos cinco pilares deve ser calibrada conforme o perfil da empresa.

  • Fintechs e bancos digitais priorizam o pilar de autorização BCB, usando a licença do provedor, e a segurança de APIs para lançamento ágil de produtos. A ausência de licença própria torna a escolha do provedor a decisão regulatória mais crítica.

  • Varejistas e ERPs concentram o foco na integração técnica, com APIs modulares e white-label, e na conformidade LGPD, dado o volume de dados de clientes finais tratados em operações de BNPL e crédito consignado.

  • Gestoras de fundos e originadores exigem máxima atenção ao pilar de KYC/PLD, com rastreabilidade de recebíveis e identificação de beneficiários finais, e à continuidade operacional, pois falhas afetam diretamente a integridade da carteira e a relação com investidores.

8. Celcoin: solução full-stack de CaaS

A Celcoin não oferece empréstimos para consumidores. A empresa fornece a infraestrutura tecnológica para que outras empresas ofereçam produtos de crédito aos seus clientes.

A Celcoin opera como SCD e IP, é participante direta no Pix e Iniciadora de Pagamentos no Open Finance, atendendo aos cinco pilares regulatórios descritos neste guia em uma única plataforma full stack. A solução abrange toda a jornada de crédito, da originação à cobrança, com APIs modulares, KYC/AML integrados, conformidade LGPD, monitoramento baseado em IA e infraestrutura escalável em nuvem. A neutralidade é um princípio operacional: a Celcoin não favorece nenhuma gestora de fundos em detrimento de outra, garantindo equidade no acesso a originação e taxas competitivas.

A tabela abaixo resume como cada funcionalidade da plataforma se traduz em benefício prático para empresas que avaliam um provedor de CaaS.

Funcionalidade da Celcoin

Benefício para sua empresa

APIs modulares

Integrações mais rápidas, reduzindo custos e prazos de desenvolvimento.

Experiência e suporte ao desenvolvedor

Documentação, SDKs e sandboxes reduzem ciclos de integração e custos de engenharia.

Capacidade de lançamento rápido

Módulos pré-construídos e entrega via SaaS aceleram lançamentos, melhorando o tempo para geração de receita.

Distribuição white-label e embutida

Suporte a produtos financeiros com marca própria.

Escalabilidade com confiabilidade

Alta disponibilidade e escala em nuvem mantêm os serviços funcionando mesmo com altos volumes.

Cobertura de pagamentos, incluindo crédito

Oferecer pagamentos e crédito na mesma plataforma aumenta conversão, ARPU e fidelização.

Acesso a dados e personalização

Dados via Open Finance permitem ofertas personalizadas, melhorando conversão e retenção.

Compliance como princípio

KYC, AML e relatórios integrados reduzem risco regulatório e aceleram ciclos de vendas.

Prevenção de fraude e controles de risco

Monitoramento baseado em IA e autenticação robusta reduzem estornos, perdas e exposição regulatória.

Ecossistema de parceiros da Celcoin

Parcerias e integrações com bancos, redes e fintechs garantem melhor cobertura e velocidade de entrada no mercado.

9. FAQ

O que muda para operações de crédito com a Resolução Conjunta 16/2025?

Como mencionado, a norma exige que a instituição prestadora autorizada pelo BCB assuma responsabilidade integral por governança, KYC, PLD/FT, segurança da informação e monitoramento dos clientes finais, mesmo quando o crédito é ofertado por uma entidade tomadora sem licença própria. Contratos existentes devem ser adaptados até 31 de dezembro de 2026; após essa data, operações não conformes ficam sujeitas a suspensão pelo Banco Central. A norma também proíbe contas-bolsão e exige identificação individual de cada cliente final pela instituição licenciada.

Quais protocolos de segurança são obrigatórios para APIs de crédito no Brasil?

Para operações integradas ao Open Finance, o perfil FAPI-1-Advanced exige OAuth 2.0 com OpenID Connect, Pushed Authorization Requests, autenticação via private_key_jwt e assinatura de mensagens com o algoritmo PS256. O mTLS é recomendado para comunicação segura entre serviços em operações financeiras críticas. Toda comunicação deve usar TLS 1.2 ou superior, com gestão documentada de certificados. Para operações com dados de cartão, o PCI-DSS impõe requisitos adicionais de criptografia, segmentação de rede e monitoramento contínuo. Certificações como ISO 27001 e SOC 2 validam a maturidade do programa de segurança do provedor.

Como a LGPD se aplica ao compartilhamento de dados em operações de crédito via Open Finance?

O tratamento de dados pessoais para análise de crédito requer consentimento livre, informado e inequívoco, sem caixas pré-marcadas, com especificação clara de finalidade, uso e prazo de armazenamento. No Open Finance, o consentimento deve ser granular por categoria de dado, com validade máxima indefinida, ou superior a 12 meses, e revogável a qualquer momento pelo consumidor. A instituição receptora dos dados deve usá-los exclusivamente para a finalidade declarada, manter rastreabilidade completa e suportar o direito de portabilidade. Para modelos de crédito baseados em IA, a LGPD exige um Relatório de Impacto à Proteção de Dados antes do início do processamento.

Quais são os requisitos mínimos de KYC e PLD para provedores de credit as a service?

A Circular BCB 3.978/2020 define três pilares obrigatórios de KYC: identificação do cliente, verificação da autenticidade de documentos e avaliação de risco. O monitoramento deve ser contínuo, com atualização do perfil de risco sempre que houver mudança no comportamento do cliente. Operações suspeitas devem ser reportadas ao COAF em até 24 horas após a detecção. Para pessoas jurídicas, o KYB exige validação do CNPJ, análise do quadro societário e identificação do beneficiário final, a pessoa física que efetivamente controla a empresa. PEPs e clientes de países de alto risco exigem diligência reforçada, com aprovação de alta gestão e monitoramento intensificado. Documentos sujeitos a obrigações de PLD/FT devem ser retidos por 10 anos.

O que deve conter um plano de continuidade operacional para operações de crédito reguladas pelo BCB?

As Resoluções CMN 4.893 e BCB 85 exigem uma Análise de Impacto nos Negócios formal, com identificação de processos críticos e definição de RTO e RPO. O plano deve incluir backups criptografados com testes de restauração semestrais, comitê de crise com autoridade de decisão documentada e simulações completas de failover para ambiente secundário ou nuvem. As Resoluções BCB 538/2025 e CMN 5.274/2025 elevaram esse padrão ao exigir capacidade demonstrada, não apenas documentada, de manutenção de serviços essenciais, além de testes periódicos de penetração independentes e trilhas de auditoria seguras. Planos desatualizados ou não testados expõem o provedor a sanções regulatórias do Banco Central.

Uma empresa sem licença BCB pode oferecer crédito usando a infraestrutura de um provedor de CaaS?

Sim. A empresa pode oferecer crédito sem possuir licença própria, desde que contrate uma instituição prestadora autorizada, com SCD e/ou IP ativa, que assuma a responsabilidade regulatória integral perante o BCB. Essa instituição responde por governança, KYC, PLD/FT e segurança da informação, enquanto a entidade tomadora foca na distribuição do produto ao cliente final.