Glossário
Compliance & Regulatório
Seção intitulada “Compliance & Regulatório”AML (Anti-Money Laundering): Lavagem de dinheiro. Conjunto de práticas para prevenção, monitoramento e reporte de atividades suspeitas.
BCB: Banco Central do Brasil. Regulador prudencial das VASPs no Brasil (Lei 14.478/2022).
COAF: Conselho de Controle de Atividades Financeiras. Recebe SARs/ROSs no Brasil (Lei 9.613/1998).
CSNU: Conselho de Segurança da ONU. Listas de sanções internacionais obrigatórias.
DeCripto: Declaração de Operações com Criptoativos (RFB IN 2291/2025). Reporte mensal/anual obrigatório à Receita Federal.
DSAR (Data Subject Access Request): Solicitação de Acesso do Titular (LGPD Art. 18). Cliente pede dados pessoais que a empresa tem dele.
FATF / GAFI: Financial Action Task Force / Grupo de Ação Financeira. Padrões internacionais AML/CFT. Mantém listas “Black” e “Grey” de jurisdições.
IVMS101: InterVASP Messaging Standard 101. Schema para troca de dados de Travel Rule entre VASPs.
KYC (Know Your Customer): Conheça seu Cliente. Validação de identidade de pessoa física na entrada.
KYB (Know Your Business): Conheça seu Negócio. KYC para pessoa jurídica (sócios, beneficiário final, CNPJ).
KYT (Know Your Transaction): Monitoramento contínuo de transações para detecção de risco.
LGPD: Lei Geral de Proteção de Dados (Lei 13.709/2018). Equivalente brasileiro ao GDPR.
OFAC: Office of Foreign Assets Control (EUA). Mantém a SDN List, lista de sanções financeiras americanas.
PEP: Pessoa Exposta Politicamente. Requer due diligence reforçada.
ROS (Reporte de Operação Suspeita): Equivalente brasileiro do SAR; comunicado obrigatório ao COAF.
SAR (Suspicious Activity Report): Reporte de atividade suspeita ao regulador (COAF no Brasil).
Travel Rule: Obrigação de VASPs trocarem dados originador/beneficiário em transferências ≥ limite (R$ 1.000 BR / USD 1.000 FATF).
VASP (Virtual Asset Service Provider): Prestador de Serviço de Ativos Virtuais. Inclui exchanges, brokers, custodians, OTC desks.
Produto Sentinex
Seção intitulada “Produto Sentinex”Sentinex Score: Score 0-100 calculado em 5 dimensões (fingerprint, wallet, counterparty, amount, behavioral) que sintetiza risco de uma transação ou cliente.
SentinexPrint™: Fingerprint de dispositivo proprietário em 7 camadas (canvas, audio, fonts, WebGL, comportamento, network, sinais avançados). Substituto de FingerprintJS.
Decision: Veredito do motor de risco para uma transação. Valores: APPROVE, REVIEW, REJECT.
Risk Tier: Classificação categórica de risco. Para clientes: GREEN / AMBER / RED. Para wallets: LOW / MEDIUM / HIGH / CRITICAL.
KYC Tier: Nível de verificação do cliente. Valores canônicos: BASIC (email + nome), STANDARD (CPF validado), ENHANCED (PEP screening + bureau completo + doc upload).
Alert: Notificação gerada quando uma regra dispara. Tem severidade (LOW/MEDIUM/HIGH/CRITICAL) e ciclo OPEN → ASSIGNED → ESCALATED → RESOLVED.
Case: Agrupamento de múltiplos alertas relacionados ao mesmo cliente ou padrão. Gerenciado por compliance.
Tenant: Cliente isolado da plataforma (uma VASP). Todo recurso é particionado por tenant_id.
Module Gating: Sistema de entitlements: tenant só acessa endpoints dos módulos contratados (KYT, KYC, Travel Rule, COAF, DeCripto, BCB FX).
Técnico / API
Seção intitulada “Técnico / API”Cursor: String opaque usada em paginação. Codifica posição estável no resultset. Não decodifique manualmente.
HMAC SHA-256: Hash com chave secreta usado para assinar webhooks. Comprovação de origem + integridade.
Idempotency-Key: Header que torna POSTs retry-safe. Mesma key + mesmo body = mesma resposta (sem efeito duplicado).
Request ID: Identificador único de cada chamada HTTP. Volta no header X-Request-ID e nos erros. Use ao abrir suporte.
Rate Limit Window: Janela de tempo (geralmente 60s) em que o limite de requisições é contado. Reset em X-RateLimit-Reset (unix timestamp).
Soft delete: Remoção lógica (deleted_at IS NOT NULL) que preserva o registro para audit trail. A LGPD permite: exclusão física só após o período de retenção regulatório (5 anos).
Webhook DLQ (Dead Letter Queue): Fila de eventos que falharam após 3 tentativas. Disponível para replay manual.
Blockchain
Seção intitulada “Blockchain”Address attribution: Identificação de qual entidade controla um endereço (exchange conhecida, mixer, serviço de sanção, etc).
Clustering: Técnica de agrupar endereços controlados pela mesma entidade usando heurísticas (common-input, change-output, etc).
Mixer / Tumbler: Serviço que mistura transações de múltiplos usuários para obfuscar origem (ex: Tornado Cash, Wasabi). Frequentemente associado a lavagem.
On-chain: Dados públicos registrados na blockchain (transações, saldos, smart contracts).
Off-chain: Movimentações internas da VASP que não tocam a blockchain (livros próprios). Ainda assim devem ser reportadas (Travel Rule).
Pig butchering: Tipologia de fraude: scammer cria relacionamento (geralmente romântico) e gradualmente induz vítima a “investir” em plataforma falsa.
Drainer: Smart contract malicioso que esvazia carteira da vítima assim que ela assina aprovação genérica.