Política Anti Fraude
A ImpulsePay opera com múltiplas camadas de detecção e prevenção a fraudes para proteger clientes, parceiros e a integridade do ecossistema de pagamentos.
Última atualização:
1Objetivo
Esta Política define os princípios, responsabilidades e controles adotados pela ImpulsePay para prevenir, detectar e responder a atividades fraudulentas no uso de seus serviços de processamento de pagamentos, protegendo clientes, parceiros comerciais e a integridade do sistema financeiro.
2Definição de Fraude
Para fins desta Política, fraude abrange: uso não autorizado de credenciais de terceiros para realização de transações; falsificação de identidade no cadastro (identity fraud); chargebacks fraudulentos (friendly fraud); criação de contas falsas ou sintéticas; manipulação de webhooks ou respostas de API; lavagem de dinheiro via plataforma; e qualquer ato intencional para obter vantagem indevida sobre a ImpulsePay, seus clientes ou parceiros.
3Engine de Detecção em Tempo Real
Operamos uma engine de detecção de fraudes em tempo real que analisa cada transação com base em: velocidade transacional (velocity check); geolocalização e consistência com o perfil histórico; device fingerprinting e análise comportamental; pontuação de risco por machine learning (ML); consulta em listas de CPF/CNPJ fraudulentos; e correlação com padrões de fraude conhecidos no setor.
4Controles Preventivos
Adotamos controles preventivos em múltiplas camadas: autenticação multifator (MFA) para acesso ao painel e operações sensíveis; assinatura HMAC-SHA256 em todos os webhooks; rate limiting por IP e por chave de API; CAPTCHA em fluxos de onboarding; validação de documentos com tecnologia OCR e liveness check; e bloqueio automático de contas com comportamento anômalo.
5Monitoramento Contínuo
Monitoramos continuamente as transações processadas para identificar padrões suspeitos, incluindo: picos atípicos de volume em janelas curtas de tempo; tentativas de transação com documentos ou contas divergentes; múltiplas falhas de autenticação consecutivas; transações originadas de IPs em listas negras ou redes anônimas (Tor/VPN); e padrões de split inconsistentes com o modelo de negócio declarado.
6Gestão de Chargebacks
A ImpulsePay mantém processo estruturado de gestão de chargebacks e disputas, incluindo: análise de evidências para contestação; histórico transacional para comprovação de legitimidade; bloqueio preventivo de contas com índice de disputas acima do tolerável; e comunicação imediata ao parceiro sobre disputas abertas. Altíssimas taxas de chargeback podem resultar em encerramento da conta.
7Resposta a Incidentes de Fraude
Ao identificar fraude confirmada, o protocolo de resposta inclui: bloqueio imediato da conta ou transação suspeita; notificação ao cliente afetado no menor prazo possível; abertura de investigação interna com coleta de evidências; comunicação às autoridades competentes quando necessário (Polícia Civil/Federal, BACEN, COAF); e implementação de controles adicionais para evitar recorrência.
8Responsabilidades dos Clientes
Os clientes e parceiros da ImpulsePay têm a responsabilidade de: implementar controles adequados em seus próprios sistemas para prevenir o uso indevido da API; manter credenciais (API Keys) em ambiente seguro e jamais em repositórios públicos; reportar imediatamente ao suporte qualquer suspeita de uso indevido de suas credenciais; e adotar as melhores práticas de segurança recomendadas na documentação técnica.
9Limitação de Responsabilidade por Fraude
A ImpulsePay não se responsabiliza por fraudes decorrentes de negligência do cliente na guarda de suas credenciais de acesso, falhas de segurança nos sistemas do próprio cliente/parceiro, ou fraudes perpetradas por terceiros fora do ambiente ImpulsePay. Em casos de fraude interna (falha de controle da ImpulsePay), analisamos cada caso individualmente.
10Melhoria Contínua
O programa anti fraude é revisado trimestralmente com base nos dados de incidentes detectados, novas tipologias identificadas no setor, relatórios de inteligência compartilhados por parceiros e entidades do setor financeiro, e evoluções tecnológicas em attacks de engenharia social, sintéticos e de account takeover.
Dúvidas sobre esta política? Entre em contato com nosso time de conformidade.