o desafio
Produtos financeiros têm exigências de infraestrutura que a maioria dos setores não enfrenta ao mesmo tempo: LGPD, requisitos do Banco Central, rastreabilidade auditável de cada operação financeira, conformidade com APIs bancárias externas de alta criticidade e segurança como requisito de design, não como camada adicionada depois que o produto está em produção.
A YZY Digital chegou à Starta com o objetivo de sair de um processo operado manualmente por uma única pessoa para uma plataforma digital escalável, segura e com total autonomia para o cliente final. O desafio técnico era construir essa infraestrutura em um contexto de alta ambiguidade: o produto era inédito no mercado, não havia benchmark de arquitetura, as regras de negócio estavam sendo descobertas semana a semana e havia integrações críticas com APIs bancárias cujas regras e disponibilidade estavam parcialmente fora do controle da equipe.
Qualquer decisão arquitetural errada nesse contexto teria consequências difíceis de corrigir depois que o produto estivesse em produção com dados financeiros reais.
a solução
Decisão arquitetural: monolito estratégico com comunicação assíncrona
A escolha por arquitetura monolítica no estágio inicial foi uma decisão técnica deliberada, não uma limitação. Em um produto financeiro inovador com regras de negócio ainda em descoberta, centralizar a lógica reduz a superfície de falha, facilita auditoria e evita a complexidade operacional de microsserviços antes que as fronteiras do domínio estejam estabilizadas.
O ponto crítico da arquitetura foi o isolamento das APIs bancárias externas. A comunicação foi estruturada de forma assíncrona: a aplicação principal nunca aguarda resposta síncrona das APIs do banco parceiro. Esse desacoplamento eliminou bloqueios na aplicação principal causados por latência ou instabilidade bancária externa e criou um mecanismo controlado de reprocessamento automático em caso de falhas, preservando a estabilidade do domínio da aplicação independentemente do comportamento das APIs externas.
Infraestrutura e rede
A infraestrutura foi montada sobre AWS com camada de segurança Cloudflare, orquestrada via Portainer para gestão de containers e com pipeline de deploy automatizado via GitLab CI/CD.
VPC dedicada com sub-redes públicas e privadas, separando fisicamente os serviços de aplicação, dados e gestão. Instância EC2 hospedando o Portainer para gestão dos containers de API Backend em Node.js, Frontend em React/Next.js e n8n para integrações e automações internas. Security Groups com regras de inbound e outbound por serviço, garantindo que nenhum serviço acesse diretamente o que não precisa acessar.
A camada de borda foi configurada com Cloudflare para gerenciamento de DNS e SSL com TLS 1.3, proteção contra ataques via WAF, Rate Limit, Cache e Firewall L7 e encaminhamento seguro via proxy reverso para a VPC AWS. Nenhuma requisição chega diretamente à infraestrutura sem passar pela camada de proteção.
Banco de dados e armazenamento
Amazon RDS com PostgreSQL em instância Multi-AZ, criptografia em repouso habilitada e backups automáticos configurados. A opção Multi-AZ garante failover automático sem intervenção manual em caso de falha da instância primária, requisito crítico para uma plataforma financeira que não pode ter janelas de indisponibilidade não planejadas.
Amazon S3 para armazenamento de documentos fiscais, contratos, assets e artefatos de logs. AWS SES configurado para envio autenticado de e-mails transacionais. AWS Backup habilitado com snapshots automáticos de EC2, RDS e S3, com política de retenção e replicação entre regiões para garantia de recuperação mesmo em cenários de falha de região.
CI/CD e automação
Pipeline GitLab CI/CD com etapas sequenciais de build, test, push e deploy. Deploy contínuo diretamente no Portainer via API segura, com build automático dos containers e versionamento de imagens para rastreabilidade completa de cada versão publicada em produção. Logs e auditoria de deploys integrados ao pipeline, garantindo que qualquer publicação em produção seja rastreável com timestamp, versão e responsável.
Observabilidade e monitoramento
CloudWatch configurado para coleta de métricas de CPU, memória e latência das aplicações em todos os ambientes. Alarmes automáticos para falhas críticas em containers, banco de dados e rede, com notificações configuradas para o time de operações. Dashboards consolidados por ambiente para acompanhamento contínuo sem necessidade de acesso direto à infraestrutura.
Segurança e compliance
Criptografia de dados em trânsito e em repouso via AWS KMS. Gestão centralizada de segredos via AWS Secrets Manager, eliminando credenciais hardcoded em qualquer parte do código ou configuração. Controle de acesso por roles com princípio do menor privilégio e MFA obrigatório para acesso administrativo. Logs de auditoria armazenados em S3 com versionamento habilitado, garantindo imutabilidade do histórico de operações.
Trilhas de auditoria implementadas desde o primeiro dia de desenvolvimento, cobrindo cada operação financeira realizada no sistema com timestamp, usuário, ação e resultado. Esse histórico auditável é requisito tanto para conformidade com LGPD quanto para eventuais disputas com parceiros bancários.
Ambientes segregados
DEV, homologação e produção configurados de forma completamente isolada, com pipelines de promoção entre estágios e controle de ciclo de evolução por ambiente. Nenhuma funcionalidade chega a produção sem passar por homologação com dados controlados. Essa segregação foi especialmente crítica em um produto financeiro onde um deploy incorreto em produção poderia afetar operações financeiras reais de varejistas.
os resultados
Zero bugs críticos em produção. Homologação contínua pelo cliente a cada entrega incremental, com ajustes tratados antes do go-live e nenhuma pendência crítica na liberação final. 85,42% das entregas dentro do cronograma planejado. Os desvios ocorridos foram causados principalmente pela dependência das APIs do Banco Topázio e pelo refinamento progressivo das regras de negócio, identificados com antecedência, comunicados ao cliente e resolvidos por repriorização estruturada de escopo sem comprometer qualidade ou conformidade.
A arquitetura entregue sustenta hoje a operação da YZY Digital em seis estados brasileiros e está preparada para o crescimento previsto para 2026, incluindo a adquirência própria que a empresa iniciou neste ano e a expansão da base de varejistas atendidos.
![[STARTA] YZY Digital Financeiro](https://lp.starta.site/hs-fs/hubfs/%5BSTARTA%5D%20YZY%20Digital%20%20Financeiro.png?width=200&height=100&name=%5BSTARTA%5D%20YZY%20Digital%20%20Financeiro.png)
![[YZY] Apresentação Institucional (1)](https://lp.starta.site/hs-fs/hubfs/%5BYZY%5D%20Apresenta%C3%A7%C3%A3o%20Institucional%20%20(1).png?width=1280&height=720&name=%5BYZY%5D%20Apresenta%C3%A7%C3%A3o%20Institucional%20%20(1).png)
.png?width=1080&height=1080&name=%5BSTARTA%5D%20sicredi%20seguros%20desenvolvimento%20de%20solucoes%20digitais%20software%20aplicativos%20ia%20cloud%20aws%20(2).png)