Auditoria de eventos
Toda mudança de estado em qualquer recurso da BlendFi é gravada em um registro imutável de auditoria. Por que existe, o que cobre, o que isso garante para a sua organização.
A BlendFi mantém um registro de auditoria append-only com toda mudança de estado em recursos da plataforma: criação de usuário, mudança de KYC, criação e consumo de cotação, transição de transação, transição de conversão, processamento de webhook, ações administrativas. Cada evento é imutável e retido por anos.
Por que existe
Três forças desenham o registro de auditoria:
- Retenção regulatória. A BlendFi é regulada pelo Banco Central. A regulação determina disponibilidade de registros para o regulador por pelo menos cinco anos. O registro de auditoria é a fonte durável dessa obrigação.
- Monitoramento contínuo. A regulação exige visibilidade ininterrupta da atividade institucional. Um stream uniforme e append-only de eventos é o mecanismo que sustenta esse requisito.
- Forense e suporte. Quando um parceiro reporta que uma cotação foi consumida de forma inesperada, ou um operador precisa saber quem aprovou um KYC, o registro é a fonte autoritativa. Ele responde a pergunta canônica: quem fez o que, em qual recurso, em qual instante, e como o recurso ficou antes e depois.
O princípio de design: auditamos no ponto da decisão de negócio, não no nível do banco de dados. Cada evento representa uma decisão acontecida, não uma operação SQL. É isso que regulador, suporte e parceiro efetivamente querem ler.
O que é registrado
Toda mutação em recurso da plataforma emite um evento:
- Ciclo de vida de usuário: criação, atualização, soft-delete, início de submissão de KYC, mudança de status de KYC.
- Ciclo de vida de cotação: criação, consumo, expiração, cancelamento.
- Ciclo de vida de transação e conversão: cada transição de estado, incluindo terminais de falha.
- Processamento de webhook: cada evento externo que resultou em mudança de estado.
- Ações administrativas: overrides operacionais, resoluções, suspensões.
O que não entra nesse registro:
- Leituras (
GET). A auditoria cobre mudanças de estado, não acessos. - Tentativas de autenticação falhas. Vão para o log de segurança, não para o trail de negócio.
- Cálculos intermediários internos que não persistem estado.
O que cada evento carrega
Cada evento tem campos uniformes que tornam a leitura forense direta:
- Ator: quem realizou a ação (chave de API da organização, operador BlendFi, sistema interno, serviço externo, usuário final).
- Ação: nome estável e legível da operação, no formato
recurso.evento. Exemplos:user.created,quote.consumed,conversion.completed,user.kyc_approved. - Recurso: tipo e identificador do recurso afetado.
- Estado anterior e estado posterior: snapshot sanitizado dos campos que mudaram. Identificadores e dados sensíveis (CPF completo, segredos, chaves) ficam de fora por design.
- Contexto:
request_idcorrelacionando ao request HTTP que originou a ação, IP e user-agent quando aplicável. - Carimbo de tempo: instante da decisão, em UTC.
Invariantes
Estas garantias valem para todo evento. São contratuais:
- Append-only. A tabela de eventos rejeita
UPDATE,DELETEeTRUNCATE, inclusive para super-usuários. Correções acontecem emitindo novos eventos que descrevem a correção, jamais mutando os anteriores. - Toda mudança de estado em recurso emite exatamente um evento. Operações idempotentes (retentativa com mesma
Idempotency-Key) não re-emitem. - Sem PII e segredos no registro. Snapshots são sanitizados na origem. CPF nunca aparece em texto plano; segredos de webhook nunca aparecem; chaves de API nunca aparecem.
- Nomes de ação são estáveis. Fazem parte do contrato operacional. Novos nomes podem ser adicionados, nunca renomeados.
O que isso garante para a sua organização
Em qualquer disputa, incidente ou auditoria, a BlendFi consegue reconstruir cronologicamente quem fez o quê em cada recurso ligado à sua organização. Combinado com a retenção plurianual, isso é a base do argumento de compliance que sua integração herda automaticamente ao operar pela BlendFi.
Como sua organização interage com o registro
A consulta ao registro hoje é feita pelo time da BlendFi:
- Suporte e investigação. Em chamados de suporte, o time da BlendFi consulta o registro pelo
request_idou peloiddo recurso e devolve a cronologia das transições. Se você compartilhourequest_idno contato (todo erro retorna um), a investigação é direta. - Pedidos de auditoria formal. Em casos que exijam evidência documental (auditoria interna, requisição regulatória), o time gera o relatório a partir do registro com o escopo solicitado.
API de consulta direta em breve
Um endpoint público para a sua organização consultar o próprio histórico de auditoria está no roadmap. Hoje, o canal é via suporte. Quando o endpoint chegar, esta página vai apontar para ele.
Próximos passos
- Webhooks: cada evento de webhook que você recebe tem um evento correspondente no registro.
- Erros e retentativas: toda resposta de erro carrega
request_id, que é a chave para localizar a sua chamada no registro.
Limites de transação
Como a BlendFi limita o volume de transações em duas camadas, um teto por operação na plataforma e um teto diário e mensal por usuário em tiers, e como solicitar alteração.
Monitoramento on-chain e risco
Todo depósito de USDT é avaliado em tempo real antes de ser aceito. Como funciona, o que protege, o que sua integração observa.
