Segurança

Três promessas sobre seus dados, e a engenharia que está atrás delas.

Open Finance é infraestrutura regulada pelo Banco Central. A Finnest trabalha dentro dela, não em volta dela.

Open Finance: o que é e como regula

Open Finance Brasil é o sistema, regulamentado pelo Banco Central, que permite o compartilhamento padronizado de dados financeiros entre instituições autorizadas, com a autorização do titular.

A Resolução BCB nº 32/2020 (e atualizações) define os requisitos técnicos, de segurança e de consentimento. A Finnest opera como participante por meio da parceira Pluggy, uma iniciadora credenciada.

Como autorizamos

Fluxo: você → seu banco → consentimento → token. Em nenhum momento a Finnest recebe ou armazena sua senha.

01
Você inicia
No app, você seleciona o banco que quer conectar.
02
Seu banco autoriza
Você é redirecionado ao seu próprio banco, autentica e marca quais dados autoriza compartilhar.
03
Token de acesso
O banco emite um token com escopo e prazo. A Finnest guarda só o token.
04
Sincronização
Com o token, a Finnest lê os dados autorizados, periodicamente.

Criptografia em detalhe

AES-256-GCM nos dados em repouso.
TLS 1.3 em todo o transporte (cliente, servidor, integrações).
Tokens de Open Finance vivem em colunas criptografadas.
Logs estruturados removem dados pessoais; campos sensíveis são redacted antes de qualquer pipeline de análise.

Configurações que você controla

Quatro controles no app que travam o sistema. Combine como quiser.

Wi-Fi confiável
Você marca redes confiáveis pelo BSSID. Operações sensíveis (criar rotina, executar transferência) só rodam quando o app está conectado a uma rede marcada.
Localização confiável
Geofencing pra ações sensíveis: você define raios de confiança e a Finnest bloqueia tentativas originadas de fora.
Autenticação em 2 fatores
Confirme execuções de Autopilot com OTP via app autenticador. Configurável por tipo de rotina.
Limite diário
Defina o volume máximo que o Autopilot pode mover por dia. Acima desse limite, a Finnest pausa as rotinas e te notifica.

Como o Autopilot é protegido em camadas

A cada execução, a Finnest aplica 5 validações em ordem. Se qualquer uma falhar, a execução é bloqueada e você é notificado.

01
Autorização prévia
Você consentiu no momento da criação da rotina.
02
Gatilho legítimo
A regra disparou de fato; nada é executado por engano.
03
Wi-Fi/localização ok
Se configurado, o app verifica antes de iniciar.
04
Saldo confere
A conta origem tem o valor necessário no momento da execução.
05
Limite diário ok
O cap diário ainda permite a operação.

Trilha de auditoria

Cada acesso aos seus dados é logado (quem, quando, qual endpoint, qual ID do consentimento). Os logs ficam disponíveis sob demanda via solicitação de export. A LGPD garante esse direito.

Em produção, esses logs alimentam alertas de anomalia (volume inesperado, IPs novos, padrões fora da curva).

LGPD em detalhe

Direito de acesso: peça uma cópia dos seus dados a qualquer momento.
Direito de correção: ajuste informações desatualizadas.
Direito de portabilidade: leve seus dados em formato estruturado.
Direito de esquecimento: solicite a eliminação dos seus dados. Após confirmação, a Finnest mantém apenas o mínimo legal exigido por retenção fiscal.

DPO: oi@finnest.com.br

Como revogar acesso

01
Pelo app
Perfil → Contas conectadas → toque em Desconectar no banco e confirme. Imediato e sem espera.
02
Pelo banco
Acesse o painel de consentimentos do seu banco, encontre 'Finnest' e revogue.
03
Sem ligar pra ninguém
Nenhum canal humano é necessário. Sem fidelidade. Sem multa.

Política de incidentes

Se algo der errado (vazamento, indisponibilidade, comportamento anômalo), a Finnest aciona o protocolo de resposta e notifica os afetados no prazo da LGPD (até 2 dias úteis, idealmente menos).

Notificação direta por email + alerta in-app para usuários afetados.
Comunicação à ANPD quando o incidente atender aos critérios da LGPD.
Pós-mortem público quando o impacto justificar.

Finnest como app conectado a assistentes de IA

A Finnest pode ser conectada a assistentes como o ChatGPT, permitindo que você consulte seus dados financeiros diretamente na conversa. Entenda como essa integração funciona e como seus dados são protegidos nesse canal. Quando você usa esse canal, o caminho dos seus dados é sempre:

ChatGPTOAuth (Finnest)Servidor MCP (Finnest)PluggyBancos

Arquitetura e caminho dos dados+
O assistente jamais fala diretamente com os bancos. Toda comunicação passa pelo servidor MCP autenticado da Finnest, que valida sua identidade via OAuth antes de atender qualquer requisição. Pluggy é o intermediário regulado pelo Open Finance que conecta o servidor da Finnest às instituições financeiras.
O que é compartilhado com o assistente+
O assistente acessa apenas o que você solicita, no momento da solicitação. Nenhum dado é transmitido de forma antecipada ou em bloco:
- Saldos e extratos são retornados sob demanda, somente quando você pergunta
- Credenciais bancárias, tokens de acesso e dados brutos das instituições nunca saem do servidor da Finnest
- O assistente recebe respostas estruturadas (ex.: saldo atual, lista de transações), não acesso direto às APIs bancárias
- Histórico de conversas fica sujeito à política de privacidade do assistente que você utiliza (ex.: ChatGPT), não da Finnest
Criptografia e armazenamento de tokens+
Os mesmos padrões de criptografia que protegem o aplicativo Finnest se aplicam ao canal do assistente:
- Dados em repouso protegidos com AES-256
- Comunicação em trânsito protegida com TLS 1.3
- As credenciais bancárias e os tokens de Open Finance permanecem exclusivamente no servidor da Finnest e nunca são entregues ao assistente. O acesso do assistente é feito por tokens OAuth de escopo limitado; o login e a autorização seguem o fluxo OAuth padrão, processado com segurança no navegador do usuário via HTTPS
- Tokens têm validade limitada e são renovados automaticamente sem reexposição de credenciais
Escopos, permissões e aprovação de transferências+
Ao conectar o assistente, você autoriza escopos específicos via OAuth. Ferramentas de leitura (consulta de saldo, extratos, investimentos) são distintas das ferramentas de escrita (transferências, agendamentos):
- Leitura de dados financeiros: habilitada após consentimento OAuth
- Movimentações financeiras via chat: exigem aprovação explícita dentro da conversa
Fluxo de aprovação para transferências via assistente:
- Toda transferência via assistente exige sua aprovação explícita no chat: o assistente apresenta os termos exatos da operação e só executa após a sua confirmação textual, com um identificador de aprovação de uso único e expiração curta. Nenhum valor é movido sem essa etapa.
- Para transferências de alto valor (iguais ou acima do limite configurado para biometria), o design previsto prepara os termos no chat e redireciona você ao aplicativo Finnest para confirmação por biometria. Esse controle adicional está em implementação e ainda não está ativo nesta versão.
O objetivo desse design é que movimentações de alto valor exijam verificação biométrica no dispositivo antes de serem concluídas.
Controle do usuário e direitos LGPD+
Você mantém controle total sobre o app conectado a qualquer momento:
- Revogar o consentimento OAuth diretamente nas configurações do assistente (ex.: ChatGPT → Configurações → Apps conectados)
- Desconectar o app conectado pelo aplicativo Finnest em Configurações → Conexões
- Solicitar exclusão dos dados associados ao consentimento a qualquer momento
Seus direitos pela LGPD:
- Acesso às informações tratadas via canal do assistente
- Correção de dados incompletos ou desatualizados
- Portabilidade e exclusão dos seus dados
- Revogação do consentimento a qualquer tempo, sem ônus
Para exercer seus direitos, entre em contato pelo e-mail oi@finnest.com.br.
Conformidade regulatória+
O canal do assistente opera sob as mesmas obrigações regulatórias que regem toda a plataforma Finnest:
- LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018): coleta, tratamento e compartilhamento de dados pessoais apenas com base legal e consentimento explícito
- Open Finance regulado pelo Banco Central do Brasil (BACEN): conexões com instituições financeiras seguem as normas do ecossistema Open Finance, incluindo padrões de segurança e consentimento definidos pelo BACEN
- Resolução BCB nº 85/2021: requisitos de segurança cibernética aplicáveis a instituições participantes do Open Finance

FAQ específica de segurança

E se a Finnest fechar amanhã?+
Seus dados na Finnest são apagados sob solicitação. Suas autorizações no Open Finance ficam no painel do banco, e você revoga lá mesmo. Nenhum dado é vendido em nenhuma hipótese.
Vocês vendem meus dados?+
Não. O modelo de negócio é assinatura. A política de privacidade detalha cada caso de uso autorizado.
Pesquisadores podem reportar bugs?+
Sim. Envie para oi@finnest.com.br. Trabalhamos com disclosure responsável e creditamos quem encontra.
Vocês têm certificações?+
Operamos sobre Open Finance regulado pelo BACEN e seguimos a LGPD. Quando obtivermos certificações adicionais (ISO 27001, SOC 2), elas serão listadas aqui.

Open Finance: o que é e como regula

Open Finance Brasil é o sistema, regulamentado pelo Banco Central, que permite o compartilhamento padronizado de dados financeiros entre instituições autorizadas, com a autorização do titular.

Como o Autopilot é protegido em camadas

A cada execução, a Finnest aplica 5 validações em ordem. Se qualquer uma falhar, a execução é bloqueada e você é notificado.

Autorização prévia

Você consentiu no momento da criação da rotina.

Gatilho legítimo

A regra disparou de fato; nada é executado por engano.

Wi-Fi/localização ok

Se configurado, o app verifica antes de iniciar.

Saldo confere

A conta origem tem o valor necessário no momento da execução.

Limite diário ok

O cap diário ainda permite a operação.

Trilha de auditoria

Cada acesso aos seus dados é logado (quem, quando, qual endpoint, qual ID do consentimento). Os logs ficam disponíveis sob demanda via solicitação de export. A LGPD garante esse direito.

Em produção, esses logs alimentam alertas de anomalia (volume inesperado, IPs novos, padrões fora da curva).

LGPD em detalhe

Direito de acesso: peça uma cópia dos seus dados a qualquer momento.

Direito de correção: ajuste informações desatualizadas.

Direito de portabilidade: leve seus dados em formato estruturado.

Direito de esquecimento: solicite a eliminação dos seus dados. Após confirmação, a Finnest mantém apenas o mínimo legal exigido por retenção fiscal.

Política de incidentes

Se algo der errado (vazamento, indisponibilidade, comportamento anômalo), a Finnest aciona o protocolo de resposta e notifica os afetados no prazo da LGPD (até 2 dias úteis, idealmente menos).

Notificação direta por email + alerta in-app para usuários afetados.

Comunicação à ANPD quando o incidente atender aos critérios da LGPD.

Pós-mortem público quando o impacto justificar.

Finnest como app conectado a assistentes de IA

ChatGPTOAuth (Finnest)Servidor MCP (Finnest)PluggyBancos

Arquitetura e caminho dos dados+

O assistente jamais fala diretamente com os bancos. Toda comunicação passa pelo servidor MCP autenticado da Finnest, que valida sua identidade via OAuth antes de atender qualquer requisição. Pluggy é o intermediário regulado pelo Open Finance que conecta o servidor da Finnest às instituições financeiras.

O que é compartilhado com o assistente+

O assistente acessa apenas o que você solicita, no momento da solicitação. Nenhum dado é transmitido de forma antecipada ou em bloco:

Saldos e extratos são retornados sob demanda, somente quando você pergunta
Credenciais bancárias, tokens de acesso e dados brutos das instituições nunca saem do servidor da Finnest
O assistente recebe respostas estruturadas (ex.: saldo atual, lista de transações), não acesso direto às APIs bancárias
Histórico de conversas fica sujeito à política de privacidade do assistente que você utiliza (ex.: ChatGPT), não da Finnest

Criptografia e armazenamento de tokens+

Os mesmos padrões de criptografia que protegem o aplicativo Finnest se aplicam ao canal do assistente:

Dados em repouso protegidos com AES-256
Comunicação em trânsito protegida com TLS 1.3
As credenciais bancárias e os tokens de Open Finance permanecem exclusivamente no servidor da Finnest e nunca são entregues ao assistente. O acesso do assistente é feito por tokens OAuth de escopo limitado; o login e a autorização seguem o fluxo OAuth padrão, processado com segurança no navegador do usuário via HTTPS
Tokens têm validade limitada e são renovados automaticamente sem reexposição de credenciais

Escopos, permissões e aprovação de transferências+

Ao conectar o assistente, você autoriza escopos específicos via OAuth. Ferramentas de leitura (consulta de saldo, extratos, investimentos) são distintas das ferramentas de escrita (transferências, agendamentos):

Leitura de dados financeiros: habilitada após consentimento OAuth
Movimentações financeiras via chat: exigem aprovação explícita dentro da conversa

Fluxo de aprovação para transferências via assistente:

Toda transferência via assistente exige sua aprovação explícita no chat: o assistente apresenta os termos exatos da operação e só executa após a sua confirmação textual, com um identificador de aprovação de uso único e expiração curta. Nenhum valor é movido sem essa etapa.
Para transferências de alto valor (iguais ou acima do limite configurado para biometria), o design previsto prepara os termos no chat e redireciona você ao aplicativo Finnest para confirmação por biometria. Esse controle adicional está em implementação e ainda não está ativo nesta versão.

O objetivo desse design é que movimentações de alto valor exijam verificação biométrica no dispositivo antes de serem concluídas.

Controle do usuário e direitos LGPD+

Você mantém controle total sobre o app conectado a qualquer momento:

Revogar o consentimento OAuth diretamente nas configurações do assistente (ex.: ChatGPT → Configurações → Apps conectados)
Desconectar o app conectado pelo aplicativo Finnest em Configurações → Conexões
Solicitar exclusão dos dados associados ao consentimento a qualquer momento

Seus direitos pela LGPD:

Acesso às informações tratadas via canal do assistente
Correção de dados incompletos ou desatualizados
Portabilidade e exclusão dos seus dados
Revogação do consentimento a qualquer tempo, sem ônus

Para exercer seus direitos, entre em contato pelo e-mail oi@finnest.com.br.

Conformidade regulatória+

O canal do assistente opera sob as mesmas obrigações regulatórias que regem toda a plataforma Finnest:

LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018): coleta, tratamento e compartilhamento de dados pessoais apenas com base legal e consentimento explícito
Open Finance regulado pelo Banco Central do Brasil (BACEN): conexões com instituições financeiras seguem as normas do ecossistema Open Finance, incluindo padrões de segurança e consentimento definidos pelo BACEN
Resolução BCB nº 85/2021: requisitos de segurança cibernética aplicáveis a instituições participantes do Open Finance

FAQ específica de segurança

E se a Finnest fechar amanhã?+

Seus dados na Finnest são apagados sob solicitação. Suas autorizações no Open Finance ficam no painel do banco, e você revoga lá mesmo. Nenhum dado é vendido em nenhuma hipótese.

Vocês vendem meus dados?+

Não. O modelo de negócio é assinatura. A política de privacidade detalha cada caso de uso autorizado.

Pesquisadores podem reportar bugs?+

Sim. Envie para oi@finnest.com.br. Trabalhamos com disclosure responsável e creditamos quem encontra.

Vocês têm certificações?+

Operamos sobre Open Finance regulado pelo BACEN e seguimos a LGPD. Quando obtivermos certificações adicionais (ISO 27001, SOC 2), elas serão listadas aqui.

Três promessas sobre seus dados, e a engenharia que está atrás delas.

Open Finance: o que é e como regula

Como autorizamos

Criptografia em detalhe

Configurações que você controla

Wi-Fi confiável

Localização confiável

Autenticação em 2 fatores

Limite diário

Como o Autopilot é protegido em camadas

Trilha de auditoria

LGPD em detalhe

Como revogar acesso

Política de incidentes

Finnest como app conectado a assistentes de IA

FAQ específica de segurança

Três promessas sobre seus dados, e a engenharia que está atrás delas.

Open Finance: o que é e como regula

Como autorizamos

Criptografia em detalhe

Configurações que você controla

Wi-Fi confiável

Localização confiável

Autenticação em 2 fatores

Limite diário

Como o Autopilot é protegido em camadas

Trilha de auditoria

LGPD em detalhe

Como revogar acesso

Política de incidentes

Finnest como app conectado a assistentes de IA

FAQ específica de segurança