Entrar
Documento Legal

Política de Conhecimento do Parceiro (KYP)

Documento oficial da Marcha, operada por MARCHA HUB DE SOLUCOES LTDA. Versão integral disponível diretamente nesta página.

Título do documentoPolítica de Conhecimento do Parceiro (KYP)
Razão SocialMARCHA HUB DE SOLUCOES LTDA
CNPJ07.811.335/0001-39
EndereçoAV BRIG FARIA LIMA, 1811, ANEXO ESC 1119
BairroJARDIM PAULISTANO
Cidade/EstadoSAO PAULO - SP
CEP01.452-001
Natureza JurídicaSociedade Empresária Limitada
PorteME
VersãoV1.0.01
AprovadorDiretoria Executiva
Data da Aprovação20/01/2026
Próxima Revisão
Responsável pela PolíticaZijie Pan
Classificação da InformaçãoInterna

1.Objetivo e Escopo

  1. Objetivo Esta Política de Conhecimento do Parceiro (KYP) estabelece os procedimentos, controles e responsabilidades para identificação, verificação e monitoramento de parceiros comerciais e estratégicos da MARCHA HUB DE SOLUCOES LTDA. O objetivo é blindar a Marcha contra riscos operacionais, reputacionais e de compliance (PLD/FT e Segurança Cibernética) inerentes ao compartilhamento de tecnologia e de dados sensíveis.
  2. Escopo
    1. Todos os parceiros comerciais da Marcha, incluindo Parceiros White Label (Licenciados da Tecnologia), Integradores Tecnológicos (com acesso a APIs críticas), Fornecedores de Infraestrutura Crítica (Cloud) e Parceiros Estratégicos (Instituições de Pagamento/Adquirentes).
    2. Todos os responsáveis pelos processos de parcerias, desde a prospecção até a gestão do relacionamento e offboarding.
  3. Finalidades
    1. Prevenir o relacionamento com parceiros envolvidos em atividades ilícitas, reforçando as Políticas de PLD/FT.
    2. Mitigar o risco operacional e a exposição da Propriedade Intelectual (PI) da Marcha.
    3. Assegurar a conformidade regulatória e a transferência de responsabilidade contratual nos acordos de licenciamento (White Label).
    4. Proteger a reputação e integridade da instituição, garantindo o alinhamento de compliance e cultural.

2.Base Legal e Regulatória

Consolida-se o arcabouço jurídico-regulatório aplicável, cujo cumprimento é imperativo para a legitimidade dos procedimentos KYP.

  1. Legislação Aplicável
    1. Lei nº 9.613/1998: Lei de Lavagem de Dinheiro (fundamenta a diligência PLD/FT).
    2. Lei nº 12.865/2013: Lei dos Arranjos de Pagamento (regula o setor de atuação).
    3. Lei nº 13.709/2018 (LGPD): Regula o compartilhamento e a proteção de dados pessoais (aplicável à transferência de dados de KYC).
    4. Lei nº 12.846/2013: Lei Anticorrupção (fundamenta a verificação de integridade).
    5. Circular BACEN nº 3.978/2020: Política de Conformidade (base para a gestão de riscos e compliance do parceiro).
    6. Resolução BCB nº 119/2021: Política de Gerenciamento de Riscos.
  2. Regulamentações do Banco Central (Referencial)
    1. Resolução nº 4.893/2021: Política de Segurança Cibernética (base para a avaliação de segurança tecnológica dos parceiros).
    2. Resolução BCB nº 80/2021: Arranjos de Pagamento.
  3. Órgãos Reguladores
    1. Banco Central do Brasil (BCB): Supervisor principal (indiretamente, via parceiros IPs).
    2. Conselho de Controle de Atividades Financeiras (COAF): Unidade de Inteligência Financeira (foco na PLD/FT do parceiro).
    3. Autoridade Nacional de Proteção de Dados (ANPD): Proteção de dados pessoais (foco na adequação do parceiro à LGPD).

3.Definições

  1. Termos Gerais
    1. Parceiro: Pessoa jurídica que mantém relacionamento comercial ou tecnológico relevante com a Marcha.
    2. KYP (Know Your Partner): Conjunto de procedimentos para identificação, verificação e conhecimento dos parceiros.
    3. Due Diligence: Processo de investigação e verificação detalhada das informações do parceiro.
    4. Integrador Tecnológico: Empresa que desenvolve soluções utilizando APIs críticas e o Gateway da Marcha.
    5. White Label: Parceiro que licencia a tecnologia da Marcha para operar com sua própria marca.
  2. Classificação de Risco (Risco de Contágio)
    1. Risco Baixo: Parceiros com integração limitada (APIs públicas) e baixo impacto operacional.
    2. Risco Médio: Parceiros com relacionamento relevante e impacto moderado nas operações, sem acesso direto a sistemas críticos.
    3. Risco Alto: Parceiros estratégicos, Parceiros White Label, com alto impacto operacional e acesso a dados sensíveis ou código-fonte.
  3. Tipos de Parceiro (Relevância para a Marcha)
    1. Parceiro Tecnológico Crítico: Empresas com integração ampla à PI (APIs, ambientes de staging ou cloud).
    2. White Label (Licenciado): Parceiro que assume a responsabilidade regulatória perante o cliente final.
    3. Parceiro Estratégico: Instituições de Pagamento (IPs), Adquirentes ou Bureaus de Risco (Celcoin, Serasa).

4.Estrutura de Governança

Dispõe-se sobre a arquitetura de governança corporativa em matéria de KYP, assegurando independência funcional e fluxo de reporte tempestivo.

  1. Responsabilidades da Diretoria
    1. Aprovar e revisar periodicamente esta política.
    2. Assegurar recursos adequados para implementação dos sistemas de diligência tecnológica.
    3. Definir a estratégia de risco em relação ao compartilhamento da PI.
    4. Aprovar formalmente relacionamentos com Parceiros de Risco Alto.
  2. Comitê de Parcerias (Compliance e Risco)
    1. Composição: Diretor de Compliance, Diretor Comercial, Responsável pela Área de Risco e Jurídico, e Gerente de Tecnologia/Segurança.
    2. Atribuições: Monitorar a implementação desta política; Analisar casos de risco elevado (PLD/FT, sanções); Aprovar Parceiros de Risco Alto e Parceiros com Integração Ampla.
  3. Área de Compliance
    1. Responsabilidades: Implementar e manter os procedimentos KYP; Realizar as verificações de integridade (screening); Monitorar a conformidade regulatória dos parceiros críticos (LGPD, PLD).
  4. Área de Parcerias e Canais
    1. Responsabilidades: Coletar a documentação do parceiro; Aplicar o Questionário de Conhecimento (KYP); Conduzir processos de seleção; Gerenciar o relacionamento e a performance comercial.

5.Classificação de Parceiros

Fixa-se a metodologia de avaliação baseada em risco que segmenta parceiros por fatores críticos.

  1. Matriz de Risco (Fatores-Chave)
    1. Fatores de Risco por Tipo de Parceria (Foco na PI e Risco Regulatório) ● Risco Baixo: Fornecedores de soluções complementares ou softwares não essenciais. ● Risco Médio: Integradores com APIs amplas que acessam dados de clientes, mas não o código-fonte. ● Risco Alto: Parceiros White Label (assunção de risco regulatório/cliente final) e Integradores com acesso crítico (sistemas de liquidação ou deploy).
    2. Fatores de Integração ● Integração Limitada (Risco Baixo): Uso de APIs públicas básicas, sem acesso a dados sensíveis. ● Integração Ampla (Risco Alto): Acesso a sistemas críticos, compartilhamento de bases de dados ou integração operacional profunda com risco de downtime sistêmico.
  2. Impacto Estratégico
    1. Alto Impacto (Risco Alto): Relacionamento crítico para a continuidade da operação do Gateway (Ex: Provedor Cloud ou parceiro de liquidação).

6.Procedimentos de Identificação

Normatizam-se as etapas de seleção e contratação para diferentes tipos de parceiros.

  1. Processo de Seleção Disciplina-se o fluxo de coleta de informações, verificação documental e validação de capacidade técnica e de compliance antes do início do relacionamento.
    1. Informações Básicas ● Dados da Empresa: Razão social, CNPJ, Website e Atividade Principal. ● Informações dos Sócios: Identificação completa dos sócios, participação societária e Verificação de PEPs (Pessoas Politicamente Expostas).
    2. Informações Complementares ● Capacidade Comercial/Técnica: Experiência no mercado de pagamentos, Certificações e Estrutura da equipe técnica. ● Situação Financeira: Faturamento anual, Demonstrações financeiras (para capacidade de investimento) e Histórico de inadimplência.
  2. Questionário de Conhecimento (KYP) Impõe-se a aplicação de questionários detalhados.
    1. Conformidade e Governança (Foco no Risco Contratual)
    2. Possui políticas de compliance implementadas (PLD/FT e LGPD)?
    3. Possui Certificações de Segurança (ISO 27001, PCI-DSS)?
    4. Já foi objeto de investigações ou sanções (CADE, BACEN)?
  3. Validação de Informações Define-se o rol de consultas obrigatórias a bases oficiais, bureaus de crédito e listas restritivas.
    1. Consultas Obrigatórias: CNPJ na Receita Federal, Consulta ao SERASA/SPC (para sócios e empresa), Certidões negativas trabalhistas, Verificação em Listas de Sanções Internacionais (OFAC/ONU) e Consulta ao CEIS (Cadastro de Empresas Inidôneas).

7.Documentação Exigida

Estabelecem-se os requisitos documentais mínimos e complementares.

  1. Documentos Obrigatórios
    1. Documentação Societária: Contrato social consolidado, Cartão CNPJ atualizado.
    2. Documentação Fiscal e Trabalhista: Certidões negativas de débitos federais, estaduais e trabalhistas.
  2. Documentos Complementares (conforme risco)
    1. Risco Médio/Alto (Tecnológico/Regulatório) — Due Diligence Reforçada: ● Relatórios de Auditoria Independente (demonstrando a segurança de dados). ● Políticas de compliance e Código de Ética do parceiro. ● Apólices de seguro (responsabilidade civil, E&O) compatíveis com o risco da parceria.
    2. Parceiros Estratégicos (Foco na PI): ● Política de Segurança da Informação detalhada (para acesso à PI). ● Certificações de segurança (ISO 27001, PCI-DSS, se aplicável). ● Planos de Continuidade de Negócios (PCN) e DRP (Disaster Recovery Plan).

8.Verificação e Validação

Regulamenta-se o processo de verificação e os critérios de aprovação.

  1. Processo de Verificação
    1. Verificação Automática: Aplicada a Risco Baixo (Validação de CNPJ e Ausência em listas restritivas).
    2. Verificação Manual: Exigida para Risco Médio/Alto e Parceiros Estratégicos. Procedimentos: Pesquisa em fontes abertas, contato com referências, Parecer fundamentado do Compliance.
  2. Níveis de Due Diligence
    1. Due Diligence Simplificada (Risco Baixo): Verificação básica de documentação.
    2. Due Diligence Padrão (Risco Médio): Verificação completa e consulta a bureaus de crédito.
    3. Due Diligence Reforçada (Risco Alto): Verificação detalhada de antecedentes, Visita técnica às instalações (para Parceiros Críticos/Cloud) e Aprovação obrigatória pelo Comitê.
  3. Critérios de Aprovação
    1. Aprovação Automática: Risco Baixo e documentos válidos.
    2. Aprovação com Restrições: Risco Médio, com imposição de controles adicionais (Ex: Limites de acesso à API reduzidos e SLAs mais rigorosos).
    3. Aprovação pelo Comitê: Obrigatória para Risco Alto, Parceiros Estratégicos e casos com histórico de restrições superadas.

9.Monitoramento Contínuo

Institui-se a obrigação de monitoramento de performance e conformidade contínuo.

  1. Atualização Cadastral
    1. Periodicidade: Risco Baixo: Anual; Risco Médio: Semestral; Risco Alto/Estratégicos: Trimestral.
    2. Gatilhos para Atualização: Mudança na estrutura societária, vencimento de certificações de segurança (ISO/PCI), surgimento de restrições financeiras ou Incidentes de Segurança/Conformidade.
  2. Monitoramento de Performance (Indicadores Críticos)
    1. Indicadores de Risco: Envolvimento em processos judiciais, problemas de Segurança da Informação (ex: vulnerabilidades não corrigidas), e descumprimento de obrigações contratuais.

10.Parceiros Estratégicos e Correspondentes

Dispõem-se procedimentos específicos para parceiros de maior risco.

  1. Definição e Categorias
    1. Parceiros Tecnológicos Críticos: Integradores com acesso amplo a APIs, Desenvolvedores de soluções White Label e Provedores de infraestrutura crítica.
  2. Procedimentos Específicos
    1. Due Diligence Reforçada: Exigência de Demonstrações financeiras auditadas, Certificações de segurança (ISO 27001, PCI-DSS) e Planos de Continuidade de Negócios (PCN).
    2. Aprovação: Aprovação obrigatória do Comitê, Parecer técnico e jurídico fundamentado e estabelecimento de SLAs rigorosos (para downtime).

11.Controles Especiais

Determina-se salvaguardas adicionais para parceiros com acesso a informações críticas.

  1. Controles de Acesso (Segurança Cibernética)
    1. Princípios: Menor privilégio necessário, Segregação de ambientes (Produção/Desenvolvimento) e Autenticação Multifator obrigatória.
  2. Monitoramento de Sistemas
    1. Controles Técnicos: Monitoramento de acessos em tempo real (Logs) e Análise de comportamento de usuário (para detectar anomalias no acesso a APIs).
  3. Controles Contratuais (Transferência de Risco)
    1. Cláusulas Obrigatórias: Conformidade com regulamentações (LGPD, PLD), Direito de auditoria pela Marcha sobre os sistemas do parceiro e Responsabilidade por danos e incidentes (indenização Hold Harmless).
  4. Gestão de Parceiros Estratégicos (Risco de Saída)
    1. Planos de Transição e Saída: Deve ser estabelecido um plano de contingência para o encerramento da parceria, garantindo a migração segura dos dados e a continuidade da operação.

12.Sistema de Informações

  1. Gestão de Documentos
    1. Segurança: Criptografia de dados, Controle de acesso e Retenção de documentos pelo prazo legal (mínimo de 5 anos após o término da parceria).
  2. Relatórios Gerenciais
    1. Relatórios de Risco: Distribuição por classificação, Alertas gerados e Incidentes de conformidade (PLD/LGPD) para a Alta Administração.

13.Treinamento e Capacitação

Impõe-se programa anual de formação contínua.

  1. Programa de Treinamento
    1. Público-Alvo: Equipe de Parcerias e Canais, Área de Compliance e Equipe de TI (para Integrações).
  2. Conteúdo Específico
    1. Compliance: Análise avançada de riscos (identificação de red flags PLD/FT).
    2. Parcerias e Canais: Aspectos legais contratuais e Procedimentos de seleção.

14.Auditoria e Controles Internos

Prevê-se a realização de auditorias internas periódicas.

  1. Auditoria Interna
    1. Escopo: Efetividade dos controles KYP, Qualidade da documentação e Adequação da classificação de risco.
    2. Periodicidade: Auditoria completa anual e revisões por amostragem trimestrais.
  2. Controles de Segunda Linha
    1. Compliance: Monitoramento independente, Testes de efetividade e Análise de indicadores de risco.

15.Disposições Finais

  1. Vigência e Revisão Esta política entra em vigor na data de sua aprovação pela Diretoria e sua revisão ordinária é obrigatória em periodicidade mínima anual.
  2. Responsabilidades e Sanções
    1. Diretoria: Responder pela efetividade da política.
    2. Parceiros: O descumprimento pode resultar em Suspensão temporária da parceria e Rescisão contratual, além de Aplicação de penalidades contratuais (multas por descumprimento de SLA/Segurança).
  3. Documentos Relacionados
    1. Política de Prevenção à Lavagem de Dinheiro (PLD).
    2. Política de Segurança da Informação e Cibernética.
    3. Política de Privacidade e Proteção de Dados Pessoais.
    4. Código de Ética e Conduta.
Esta página apresenta a versão integral e oficial deste documento em formato HTML. Opcionalmente, você pode baixar a versão em PDF.
← Voltar para Termos & Políticas