Pular para o conteúdo principal
O Tracer mantém uma trilha de auditoria completa e imutável de todas as decisões de validação. Este guia explica como o sistema de auditoria funciona e como consultar o histórico de validações para relatórios de conformidade.

Visão geral de conformidade

O Tracer foi projetado para atender aos requisitos de auditoria de regulamentações financeiras, incluindo:
RegulamentaçãoRequisitoComo o Tracer atende
SOX (Sarbanes-Oxley)Trilha de auditoria completa de decisões financeirasToda validação é registrada com contexto completo
GLBA (Gramm-Leach-Bliley)Proteção de dados financeiros do clienteDados criptografados em repouso e em trânsito
Auditoria geralCapacidade de reconstruir decisõesRegistros imutáveis com snapshots de entrada/saída

Arquitetura da trilha de auditoria

O Tracer registra cada decisão de validação com contexto completo para conformidade e investigação.

O que é registrado

Toda validação cria um registro de auditoria imutável contendo:
DadoDescrição
Snapshot da requisiçãoPayload de entrada completo como recebido
Snapshot da respostaResposta completa incluindo decisão e detalhes
DecisãoALLOW, DENY ou REVIEW
MotivoPor que a decisão foi tomada
Regras avaliadasTodas as regras que foram avaliadas
Regras correspondentesRegras que foram acionadas (se houver)
Detalhes de limiteInformações de uso para limites verificados
Tempo de processamentoQuanto tempo a validação levou
TimestampQuando a validação ocorreu

Garantias de imutabilidade

Registros de auditoria são write-once (escrita única):
  • Registros não podem ser modificados após a criação
  • Registros não podem ser excluídos (exceto por política de retenção)
  • Cada registro tem um ID de validação único para referência
A trilha de auditoria foi projetada para auditorias de conformidade. Você pode reconstruir exatamente o que aconteceu em qualquer validação, mesmo anos depois.

Retenção de dados

O Tracer retém dados de acordo com requisitos regulatórios e necessidades operacionais.

Períodos de retenção

Tipo de dadoPeríodo de retençãoMotivo
Registros de validaçãoMínimo de 7 anosRequisito de conformidade SOX/GLBA
Regras (ativas/inativas)IndefinidoContinuidade operacional
Regras (excluídas)Não retidoRemovidas permanentemente
LimitesIndefinidoContinuidade operacional
Logs de aplicação90 diasDebugging e troubleshooting

Considerações de conformidade

  • Requisito SOX: Manter registros por 7 anos a partir da data do relatório de auditoria
  • Requisito GLBA: Reter registros demonstrando conformidade com regras de privacidade
  • Exportação de dados: Registros podem ser exportados para sistemas de auditoria externos

Consultando histórico de validações

Use o endpoint GET /v1/validations para consultar validações históricas.

Consulta básica

GET /v1/validations
X-API-Key: {api_key}
Retorna as validações mais recentes (últimos 90 dias por padrão).

Consulta filtrada

GET /v1/validations?startDate=2026-01-01T00:00:00Z&endDate=2026-01-31T23:59:59Z&decision=DENY
X-API-Key: {api_key}

Filtros disponíveis

ParâmetroTipoDescrição
startDateRFC3339Início do intervalo de datas (inclusivo)
endDateRFC3339Fim do intervalo de datas (exclusivo)
decisionenumFiltrar por ALLOW, DENY ou REVIEW
accountIdUUIDFiltrar por conta
segmentIdUUIDFiltrar por segmento
portfolioIdUUIDFiltrar por portfólio
transactionTypeenumFiltrar por CARD, WIRE, PIX, CRYPTO
matchedRuleIdUUIDFiltrar por regra que correspondeu
exceededLimitIdUUIDFiltrar por limite que foi excedido

Requisito de formato de data

Parâmetros de data devem usar formato RFC3339 com timezone obrigatório. Formatos somente com data são rejeitados.
Válido: 
startDate=2026-01-01T00:00:00Z
startDate=2026-01-01T00:00:00-03:00
Inválido: 
startDate=2026-01-01  (rejeitado - faltando hora e timezone)

Paginação

Resultados usam paginação baseada em cursor. A resposta inclui campos nextCursor e hasMore para navegar pelos resultados.
ParâmetroPadrãoMáximoDescrição
limit1001000Resultados por página
cursor--Cursor de paginação da resposta anterior
Ao usar paginação por cursor, sortBy e sortOrder são fixados a partir da consulta original.

Ordenação

GET /v1/validations?sortBy=createdAt&sortOrder=DESC
ParâmetroOpçõesPadrão
sortBycreatedAt, processingTimeMscreatedAt
sortOrderASC, DESCDESC

Obtendo detalhes de validação

Recupere detalhes completos para uma validação específica usando GET /v1/validations/{validationId}. A resposta contém tudo necessário para entender uma decisão de validação:
  • Snapshot da requisição: O payload de entrada completo como recebido
  • Snapshot da resposta: Resposta completa incluindo decisão e motivo
  • Regras avaliadas: Todas as regras que foram verificadas
  • Regras correspondentes: Regras que foram acionadas (se houver)
  • Detalhes de limites: Informações de uso para limites verificados
  • Timestamps: Quando a validação ocorreu e tempo de processamento

Cenários de relatórios de conformidade

Consultas comuns para relatórios de auditoria e conformidade.

Cenário 1: Investigação de auditoria

“Por que esta transação foi negada em 15 de janeiro?” 
GET /v1/validations/{validationId}
A resposta mostra a requisição exata recebida, todas as regras avaliadas, qual regra ou limite causou a negação, e o timestamp.

Cenário 2: Relatório mensal de conformidade

“Mostrar todas as transações negadas para contas corporativas em janeiro” 
GET /v1/validations?startDate=2026-01-01T00:00:00Z&endDate=2026-02-01T00:00:00Z&decision=DENY&segmentId=corporate-segment-uuid&limit=1000

Cenário 3: Análise de eficácia de regra

“Quais transações foram negadas por uma regra de fraude específica?” 
GET /v1/validations?matchedRuleId=fraud-rule-uuid&decision=DENY&limit=1000

Cenário 4: Revisão de utilização de limite

“Quais transações excederam limites de gastos este mês?” 
GET /v1/validations?startDate=2026-01-01T00:00:00Z&endDate=2026-02-01T00:00:00Z&exceededLimitId=daily-limit-uuid

Melhores práticas para conformidade

Recomendações para manter a prontidão para auditorias.

Manutenção de registros

  • Armazene IDs de validação nos seus registros de transação para fácil referência cruzada
  • Registre o requestId que você envia para o Tracer para correlação
  • Exporte regularmente se você precisa de registros em sistemas de auditoria externos

Preparação para auditoria

  • Teste consultas antes da temporada de auditoria para garantir que você consegue recuperar os dados necessários
  • Verifique intervalos de data funcionam corretamente com seus requisitos de timezone
  • Documente o alinhamento da sua política de retenção com a retenção de 7 anos do Tracer

Fluxo de trabalho de investigação

Ao investigar uma transação específica:
  1. Encontre o ID de validação dos seus logs de transação ou histórico do Tracer
  2. Recupere detalhes completos usando GET /v1/validations/
  3. Revise o snapshot da requisição para ver quais dados foram fornecidos
  4. Verifique regras correspondentes para entender por que a decisão foi tomada
  5. Verifique status do limite se limites estavam envolvidos

Comportamento fail-open e auditoria

O Tracer usa uma abordagem fail-open configurável por padrão:
CenárioComportamento padrãoRegistro de auditoria
Nenhuma regra correspondeALLOWRegistrado com motivo “no_match”
Banco de dados temporariamente indisponívelALLOW com avisoRegistrado se possível; alerta gerado
Timeout de avaliaçãoALLOW com avisoRegistrado com motivo “timeout”
O comportamento fail-open pode ser configurado para fail-closed em ambientes de alta segurança. Contate seu administrador para opções de configuração.
Todas as decisões, incluindo aquelas tomadas durante operação degradada, são registradas na trilha de auditoria quando possível. Se uma decisão não puder ser registrada (falha catastrófica), alertas são gerados para revisão manual.

Referência rápida

Endpoints-chave e informações de retenção.

Endpoints

OperaçãoMétodoEndpoint
Listar validaçõesGET/v1/validations
Obter validaçãoGET/v1/validations/{validationId}

Resumo de retenção

DadoRetenção
Registros de validação7+ anos
Regras/limites ativosIndefinido
Logs de aplicação90 dias