Casos de uso > Auditoria Regulatória — Plataforma de Evidências de Compliance

Auditoria Regulatória

O BACEN pediu evidências dos últimos 12 meses.
Quanto tempo leva para você responder?

Logs internos não são evidência. Sem assinatura digital, um log pode ser alterado — e o BACEN sabe disso. A PrismaData transforma cada consulta de GeoIP em um laudo criptograficamente assinado, buscável, auditável e verificável por qualquer parte.

5 anos
retenção obrigatória
Lei 9.613/98
Ed25519
assinatura verificável
por qualquer parte
minutos
para montar o dossiê
que antes levava semanas
O problema

Log interno não é evidência. É só um arquivo de texto.

Quando o BACEN audita e solicita prova de que a instituição monitorou a origem geográfica das operações, a resposta típica é: "temos logs". O problema é que logs internos não têm valor probatório por si sós — podem ser editados, sobrescritos ou simplesmente não existirem para todas as sessões. Uma evidência regulatória precisa ser gerada por terceiro independente e verificável sem depender do sistema da instituição.

5 anos
de guarda obrigatória de registros de operações e monitoramento prevista na Lei 9.613/98
Lei 9.613/1998, art. 10. Obrigação de manter cadastro e registros de operações por 5 anos
R$ 20 mi
multa máxima por infração — o custo de não ter evidência documentada é ordens de grandeza maior que o custo da solução
Lei 9.613/1998, art. 12. Multa aplicável por infração individual identificada
semanas
de trabalho manual para cruzar logs retroativamente com bases de GeoIP — sem garantia de que o resultado será aceito pelo regulador como evidência
Com a PrismaData: dossiê buscável em minutos, laudo PDF assinado e verificável por terceiros
agora
O BC está inspecionando todas as Instituições de Pagamento do Brasil com foco em PLD/FT. Fintechs foram classificadas como "risco aumentado" e PSAVs são o próximo alvo anunciado
Fonte: BC/Decon (Gerson Romantini), Finsiders Brasil, mar. 2026. Mais de 200 IPs sob inspeção simultânea
O cenário

É dia de auditoria. O fiscal do BACEN fez três perguntas.

São perguntas rotineiras de auditoria de PLD/FT. Sem uma plataforma de evidências, cada uma pode virar semanas de trabalho — ou uma resposta que o auditor não aceita.

Pergunta 1

"Mostre todas as operações originadas de países de alto risco nos últimos 12 meses."

Sem PrismaData
Cruzar logs de acesso com base de GeoIP retroativamente. Semanas de trabalho, resultado questionável.
Com PrismaData
Filtrar /reports?risk_level=high&period=12m. Resultado em segundos.
Pergunta 2

"Vocês conseguem provar que essa operação específica foi monitorada naquela data?"

Sem PrismaData
Apresentar log interno — que pode ter sido gerado agora, não na data da operação. Sem valor probatório.
Com PrismaData
Buscar pelo query_id e apresentar o JSON assinado com timestamp imutável. Assinatura verificável na hora.
Pergunta 3

"Posso verificar a autenticidade desse laudo independentemente, sem acessar o sistema de vocês?"

Sem PrismaData
Não. O auditor precisa confiar no sistema da instituição — o que é exatamente o que a auditoria questiona.
Com PrismaData
Sim. O QR code no laudo PDF aponta para api.prismadata.io/v1/identity/ipinfo/verify — verificação independente, sem login, por qualquer parte.
O que a API oferece

Três endpoints. Um dossiê completo de auditoria.

Além do endpoint principal de consulta, a PrismaData oferece endpoints dedicados para recuperação retroativa, geração de laudo PDF e verificação pública de assinatura.

GET /v1/identity/reports Busca retroativa com filtros 
GET /v1/identity/reports
  ?risk_level=high
  &country_code=RU,KP,IR
  &is_sanctioned=true
  &period_start=2025-01-01
  &period_end=2025-12-31
  &page=1&limit=100

// Retorna lista paginada de consultas com todos os campos,
// incluindo query_id para geração de laudo individual
GET /v1/identity/report/{query_id} Laudo PDF com QR code 
GET /v1/identity/report/550e8400-e29b-41d4-a716-446655440000
  ?format=pdf

// Retorna PDF com:
// — Todos os campos da consulta original
// — Timestamp imutável da consulta
// — Assinatura Ed25519 impressa
// — QR code apontando para api.prismadata.io/v1/identity/ipinfo/verify
POST api.prismadata.io/v1/identity/ipinfo/verify Verificação pública — sem autenticação 
// Endpoint público — qualquer parte pode verificar:
// BACEN, Polícia Federal, auditores externos
// sem precisar de login ou acesso ao sistema da instituição

// Request body:
{
  "signed_response": "{ ...JSON completo retornado pela API... }"
}

// Response:
{
  "query_id": "550e8400-e29b-41d4-a716-446655440000",
  "signature_valid": true,
  "signed_at": "2026-03-01T14:32:05.123Z",
  "key_id": "prismadata-signing-key-2026-01",
  "tampered": false
}
Como funciona

Da operação ao dossiê auditável — sem trabalho manual

Cada consulta feita durante o monitoramento operacional já é automaticamente um registro auditável. Quando a auditoria chega, o dossiê já existe.

FASE OPERACIONAL (contínua) Login / Transação IP consultado em tempo real API PrismaData Classifica + Assina Ed25519 Registro Auditável query_id gerado Retido por 5 anos Motor de Risco Alerta ou aprovação operacional normal Auditoria solicitada FASE DE AUDITORIA (sob demanda) Busca Retroativa /reports?risk=high &period=12m Laudo PDF /report/{query_id} QR code incluso Verificação Pública api.prismadata.io/ v1/…/verify Sem login Dossiê completo entregue em minutos — assinado por terceiro independente
Governança

Por que a assinatura digital muda tudo para o compliance

A diferença entre um log interno e um laudo assinado digitalmente não é técnica — é jurídica. Um log pode ser produzido a qualquer momento. Um JSON com assinatura Ed25519 e timestamp só pode ter sido gerado no momento da consulta, pelo detentor da chave privada.

Imutabilidade criptográfica

Qualquer alteração no JSON — um caractere sequer — invalida a assinatura Ed25519. O auditor pode verificar isso em segundos, sem precisar confiar na instituição auditada.

Verificação sem dependência

O endpoint api.prismadata.io/v1/identity/ipinfo/verify é público e não exige autenticação. O BACEN, a Polícia Federal ou um auditor externo pode verificar a assinatura sem solicitar acesso ao sistema da instituição.

5 anos de retenção garantida

Todas as consultas são retidas pelo prazo exigido pela Lei 9.613/98. A rotação de chaves não afeta a verificabilidade histórica — cada laudo registra o key_id utilizado, e a chave pública correspondente permanece acessível.

Laudo PDF para o dossiê

Cada laudo gerado via /report/{query_id} é um documento formal com assinatura impressa, timestamp e QR code de verificação — pronto para ser anexado ao processo de auditoria ou enviado ao regulador.

Resultado

Auditoria resolvida em minutos. Dossiê com selo criptográfico.

minutos
para montar o dossiê de 12 meses — o que antes levava semanas de levantamento manual
5 anos
de histórico auditável retido automaticamente, alinhado ao prazo legal da Lei 9.613/98
verificável
por qualquer parte — BACEN, PF, auditores externos — sem depender do sistema da instituição

Referências:
¹ Lei 9.613/1998, art. 10. Obrigação de manutenção de cadastro e registros por prazo mínimo de 5 anos.
² Lei 9.613/1998, art. 12. Multa de até R$ 20 milhões por infração às obrigações de PLD/FT.
³ BACEN, Circular 3.978/2020. Exige abordagem baseada em risco e monitoramento documentado de canais digitais.
⁴ BC/Decon (Gerson Romantini), Finsiders Brasil, mar. 2026. BC inspeciona todas as IPs do Brasil com foco em PLD/FT; fintechs classificadas como "risco aumentado".

Quando o BACEN perguntar, você quer ter a resposta em minutos.

Converse com a PrismaData. Enquanto o BC inspeciona todas as IPs do Brasil e o Selo de Prevenção a Fraudes (Febraban/Fin) expande para fintechs, entregamos compliance geográfico auditável em uma única API — com assinatura digital, laudo PDF e verificação pública.