Entrar
Documento Legal

Política de Conhecimento do Fornecedor (KYS)

Documento oficial da Marcha, operada por MARCHA HUB DE SOLUCOES LTDA. Versão integral disponível diretamente nesta página.

Título do documentoPolítica de Conhecimento do Fornecedor (KYS)
Razão SocialMARCHA HUB DE SOLUCOES LTDA
CNPJ07.811.335/0001-39
EndereçoAV BRIG FARIA LIMA, 1811, ANEXO ESC 1119
BairroJARDIM PAULISTANO
Cidade/EstadoSAO PAULO - SP
CEP01.452-001
Natureza JurídicaSociedade Empresária Limitada
PorteME
VersãoV1.0.01
AprovadorDiretoria Executiva
Data da Aprovação20/01/2026
Próxima Revisão
Responsável pela PolíticaZijie Pan
Classificação da InformaçãoInterna

1.Objetivo e Escopo

  1. Objetivo Esta Política de Conhecimento do Fornecedor (KYS – Know Your Supplier) estabelece os procedimentos, controles e responsabilidades para a identificação, verificação e monitoramento de todos os fornecedores, consultores e prestadores de serviços da MARCHA HUB DE SOLUCOES LTDA. O objetivo principal é blindar a Marcha contra riscos de contágio que possam comprometer a segurança cibernética, a Propriedade Intelectual (PI), a continuidade operacional do Gateway e o compliance regulatório (LGPD e PLD/FT).
  2. Escopo
    1. Todos os fornecedores de bens e serviços, com foco especial em Fornecedores de Tecnologia e Infraestrutura (Cloud Computing, Hosting, soluções de Software).
    2. Prestadores de serviços terceirizados, consultores e assessores externos.
    3. Fornecedores de soluções de Risco (Antifraude, KYC Digital).
    4. Todos os responsáveis pelas áreas de Compras, Tecnologia, Risco e Compliance no processo de contratação.
  3. Finalidades
    1. Mitigar Risco Operacional e Cibernético: Assegurar que os fornecedores críticos atendam aos padrões de Disponibilidade e Segurança da Informação da Marcha.
    2. Proteger Dados (LGPD): Garantir que fornecedores que atuam como Operadores de Dados Pessoais adotem medidas de segurança compatíveis.
    3. Integridade: Prevenir o relacionamento com fornecedores envolvidos em atividades ilícitas, corrupção ou PLD/FT.
    4. Garantir a Continuidade: Assegurar que fornecedores críticos possuam Planos de Continuidade de Negócios (PCN) e DRP (Disaster Recovery Plan) eficazes.

2.Base Legal e Regulatória

Consolida-se o arcabouço jurídico-regulatório aplicável que impõe o dever de diligência sobre a cadeia de fornecimento, sendo o cumprimento destes diplomas imperativo para a legitimidade dos procedimentos KYS.

  1. Legislação Aplicável
    1. Lei nº 13.709/2018 (LGPD): Fundamento para a diligência de fornecedores que atuam como Operadores de Dados.
    2. Lei nº 12.846/2013 (Lei Anticorrupção): Base para a verificação de integridade e antecedentes dos fornecedores.
    3. Lei nº 9.613/1998 (Lei de Lavagem de Dinheiro): Fundamenta a checagem de antecedentes financeiros dos sócios.
    4. Circular BACEN nº 3.978/2020: Política de Conformidade (base para a gestão de riscos e compliance).
    5. Resolução BCB nº 119/2021: Política de Gerenciamento de Riscos.
  2. Regulamentações do Banco Central (Referencial Técnico)
    1. Resolução nº 4.893/2021: Política de Segurança Cibernética (base para a avaliação técnica dos fornecedores de TI).
    2. Resolução BCB nº 80/2021: Arranjos de Pagamento (contexto de atuação do Gateway).
  3. Órgãos Reguladores
    1. Autoridade Nacional de Proteção de Dados (ANPD): Supervisor da LGPD (foco na responsabilização do Controlador pela escolha do Operador).
    2. Conselho de Controle de Atividades Financeiras (COAF): Unidade de Inteligência Financeira.

3.Definições

  1. Termos Gerais
    1. Fornecedor: Pessoa física ou jurídica que provê bens ou serviços à Marcha.
    2. KYS (Know Your Supplier): Conjunto de procedimentos para identificação, verificação e conhecimento dos fornecedores.
    3. Due Diligence: Processo de investigação e verificação detalhada das informações do fornecedor.
    4. Fornecedor Crítico: Prestador de serviços essencial que, em caso de falha, compromete a Disponibilidade do Gateway, a Integridade do código-fonte ou a Confidencialidade dos dados.
    5. SLA (Service Level Agreement): Acordo de nível de serviço que define padrões de qualidade e performance, especialmente em relação ao uptime e segurança.
  2. Classificação de Risco
    1. Risco Baixo: Fornecedores de bens e serviços básicos sem acesso a informações sensíveis.
    2. Risco Médio: Fornecedores com acesso limitado a sistemas ou informações importantes.
    3. Risco Alto/Crítico: Fornecedores estratégicos com amplo acesso a sistemas, dados ou operações essenciais (Ex: Cloud Providers, Software Developers).

4.Estrutura de Governança

Dispõe-se sobre a arquitetura de governança corporativa em matéria de KYS, atribuindo competências indelegáveis às áreas de defesa.

  1. Responsabilidades da Diretoria A Diretoria é responsável por aprovar e revisar periodicamente esta política, definir o apetite ao risco da instituição e supervisionar a efetividade dos controles KYS, garantindo os recursos tecnológicos e humanos para a due diligence.
  2. Comitê de Fornecedores (Risco e Compliance)
    1. Composição: Diretor de Compliance, Gerente de Compras, Responsável pela Área de Risco, Representante da Área de Tecnologia (TI/Cibersegurança) e Jurídico.
    2. Atribuições: Analisar e aprovar formalmente Fornecedores de Risco Alto/Crítico; Avaliar a adequação do PCN e das certificações de segurança do fornecedor; Propor melhorias nos procedimentos de KYS.
  3. Área de Compliance (Segunda Linha)
    1. Responsabilidades: Implementar os procedimentos KYS, realizar as verificações de integridade e PLD/FT dos sócios do fornecedor e monitorar a conformidade regulatória contínua.
  4. Área de Compras e Tecnologia (Primeira Linha)
    1. Responsabilidades: Coletar a documentação inicial, aplicar o Questionário de KYS e garantir que os contratos incluam os SLAs e as cláusulas de segurança/LGPD obrigatórias.

5.Classificação de Fornecedores

Fixa-se a metodologia de avaliação baseada no Impacto na Continuidade Operacional e no Nível de Acesso aos Ativos da Marcha.

  1. Matriz de Risco (Fatores-Chave)
    1. Fatores de Risco por Tipo de Serviço (Foco na Tecnologia) ● Risco Alto/Crítico: Provedores de nuvem, Empresas de segurança da informação, Desenvolvedores de software crítico, Fornecedores de soluções de PLD/FT.
    2. Fatores de Acesso ● Acesso Limitado (Risco Baixo): Sem acesso a sistemas internos. ● Acesso Amplo (Risco Alto): Acesso a sistemas críticos de pagamento, bases de dados de clientes (LGPD) ou infraestrutura de TI essencial.
  2. Criticidade Operacional
    1. Crítico (Risco Alto): Serviços essenciais às operações do Gateway; Impacto severo e poucas alternativas viáveis no mercado.

6.Procedimentos de Identificação

Normatizam-se as etapas de seleção e contratação, abrangendo coleta de dados, validação documental e verificação de antecedentes.

  1. Processo de Seleção Disciplina-se o fluxo de coleta de informações sobre a Razão Social, CNPJ, Informações dos Sócios e o Histórico profissional (PEPs).
  2. Questionário de Conhecimento (KYS) Impõe-se a aplicação de questionários detalhados, com foco na capacidade técnica de segurança e compliance.
    1. Conformidade e Governança: Questionamentos sobre a existência de políticas de PLD/FT, Programa de Integridade e a designação de DPO.
  3. Validação de Informações Define-se o rol de consultas obrigatórias a bases oficiais.
    1. Consultas Obrigatórias: CNPJ na Receita Federal, Consulta ao SERASA/SPC, Certidões negativas trabalhistas, Consulta ao CEIS (Cadastro de Empresas Inidôneas) e Verificação em Listas de Sanções.

7.Documentação Exigida

Estabelecem-se os requisitos documentais mínimos e complementares segundo o grau de risco.

  1. Documentos Obrigatórios Documentação Societária e Fiscal (CNPJ, Contrato social consolidado, Certidões negativas de débitos).
  2. Documentos Complementares (Fornecedores Críticos)
    1. Due Diligence Reforçada: Demonstrações financeiras auditadas, Certificações de segurança (ISO 27001, PCI-DSS), Relatórios de auditoria independente, Planos de Continuidade de Negócios (PCN) e Apólices de seguro (responsabilidade civil, E&O) compatíveis com o risco.

8.Verificação e Validação

Regulamenta-se o processo de verificação e os critérios de aprovação, assegurando rastreabilidade decisória.

  1. Processo de Verificação
    1. Verificação Automática: Aplicada a Risco Baixo.
    2. Verificação Manual: Exigida para Risco Médio/Alto, incluindo Parecer fundamentado da Área de Compliance e TI.
  2. Níveis de Due Diligence
    1. Due Diligence Simplificada (Risco Baixo): Verificação básica.
    2. Due Diligence Reforçada (Risco Alto): Verificação detalhada de antecedentes, Auditoria Técnica In Loco (visita) ou remota das instalações e Aprovação obrigatória pelo Comitê.
  3. Critérios de Aprovação
    1. Aprovação pelo Comitê: Obrigatória para Fornecedores Críticos, Contratos de alto valor ou histórico de restrições superadas.

9.Monitoramento Contínuo

Institui-se a obrigação de atualização cadastral periódica e de monitoramento de performance.

  1. Atualização Cadastral
    1. Periodicidade: Fornecedores Críticos: Trimestral ou imediatamente após Gatilhos para Atualização (Ex: Vencimento de certificações, Incidente de segurança).
  2. Monitoramento de Performance Monitoramento do cumprimento de SLAs (Ex: Uptime e tempo de resposta) e Indicadores de Risco (Ex: Problemas de segurança da informação, Envolvimento em processos judiciais).

10.Fornecedores Críticos e Estratégicos

Esta seção é dedicada aos fornecedores de maior risco à PI e à operação.

  1. Infraestrutura Tecnológica Crítica: Provedores de nuvem, Desenvolvedores de software crítico e Fornecedores de soluções de PLD/FT.
  2. Procedimentos Específicos: Exigência de Certificações de Segurança (ISO 27001, PCI-DSS) e Planos de Continuidade de Negócios (PCN).
  3. Aprovação: Aprovação obrigatória do Comitê de Fornecedores, Parecer técnico e Plano de contingência obrigatório.

11.Controles Especiais

Determina-se salvaguardas adicionais.

  1. Controles de Acesso (Cibersegurança): Menor privilégio necessário, Segregação de ambientes e Autenticação Multifator obrigatória para acesso a APIs e sistemas críticos.
  2. Controles Contratuais (Transferência de Risco): Os contratos devem incluir Cláusula de Direito de Auditoria (pela Marcha) e Cláusula de Penalidade/Indenização (multas por descumprimento de SLA/Segurança).

12.Sistema de Informações

Todos os documentos de KYS devem ser armazenados de forma segura e inalterável.

  1. Retenção: Registros mantidos pelo prazo mínimo de 5 (cinco) anos após o término do relacionamento.
  2. Segurança: Armazenamento digital seguro, com criptografia e controle de acesso (LGPD).

13.Treinamento e Capacitação

  1. Programa Anual: Treinamento anual obrigatório para as áreas de Compras, Tecnologia e Compliance sobre as diretrizes KYS e o mapeamento de riscos de terceiros.

14.Auditoria e Controles Internos

O programa KYS será submetido a auditorias para validar a eficácia dos controles.

  1. Auditoria Interna: Revisão periódica da efetividade dos controles KYS e adequação da classificação de risco.
  2. Controles de Segunda Linha: Monitoramento independente realizado pela área de Compliance sobre a documentação de KYS.

15.Disposições Finais

  1. Vigência e Revisão: Esta Política entra em vigor na data de sua aprovação e será revista anualmente.
  2. Sanções: O descumprimento desta política por fornecedores pode resultar em Suspensão temporária dos serviços, Rescisão contratual e Aplicação de penalidades contratuais (multas por falha de segurança ou descumprimento de SLA).
  3. Documentos Relacionados: Política de PLD, Política de Segurança Cibernética, Política de Privacidade.
Esta página apresenta a versão integral e oficial deste documento em formato HTML. Opcionalmente, você pode baixar a versão em PDF.
← Voltar para Termos & Políticas