Política de Uso Aceitável (AUP)

1. Aplicabilidade

Esta política se aplica a qualquer pessoa ou organização ("Integrador") que use os recursos técnicos da SignDocs Brasil, incluindo:

• API B2B em api.signdocs.com.br e api-hml.signdocs.com.br (e variantes mTLS)
• SDKs oficiais TypeScript, Python, Go, Java, PHP e .NET
• Node n8n oficial n8n-nodes-signdocs-brasil
• Templates Lovable e starter kits SignDocs Brasil
• Telegram Bot oficial @SignDocsBrasilBot
• Widget embutido em sign.signdocs.com.br e checkout hospedado
• Webhooks e endpoints de OAuth2

2. Usos proibidos

É vedado, sob pena de suspensão imediata e sem aviso:

• Atividades ilícitas ou fraudulentas: crime, discriminação, difamação, violação de direitos de terceiros
• Ataques de spoofing biométrico: uso de fotos, deepfakes, máscaras ou vídeo pré-gravado contra a validação biométrica
• Spam e phishing: envio em massa não solicitado, uso da infraestrutura de notificações para coleta indevida de credenciais
• Tratamento ilícito de dados pessoais: sem base legal LGPD (arts. 7 e 11), dados sensíveis sem consentimento, dados de menores em desconformidade com art. 14
• Engenharia reversa: descompilação, extração de código-fonte, análise de tráfego para reproduzir nosso serviço
• Testes de segurança não autorizados: pentest, fuzzing, brute force sem autorização escrita prévia (ver divulgação responsável)
• Distribuição de malware: scripts, executáveis ou conteúdo ofuscado em documentos enviados
• Abuso de recursos: uso desproporcional, contornar rate limits, DDoS, mineração de criptoativos
• White-labeling: reaproveitar a API como serviço concorrente sem acordo comercial com a SignDocs Brasil

3. Perfis de Assinatura e nível legal

A escolha do perfil correto é responsabilidade do Integrador conforme natureza, valor e risco do ato. A SignDocs Brasil fornece informação técnica, não aconselhamento jurídico. Tabela completa em api-assinatura-digital e na guia Perfis de Assinatura — Níveis Legais.

Perfil	Nível Legal (Lei 14.063/2020)	Recomendado para
CLICK_ONLY	Simples (art. 4 I)	Confirmações de baixo risco, termos, consentimentos
CLICK_PLUS_OTP	Simples a Avançada (art. 4 I/II)	Contratos de baixo a médio valor, propostas comerciais
BIOMETRIC	Avançada (art. 4 II)	KYC, abertura de conta, contratos de médio valor
BIOMETRIC_PLUS_OTP	Avançada (art. 4 II)	Operações financeiras de alto valor com dupla autenticação
DIGITAL_CERTIFICATE (ICP-Brasil A1/A3)	Qualificada (MP 2.200-2/2001 §1)	Atos fiscais, atos societários, peças judiciais
BIOMETRIC_SERPRO	Avançada (art. 4 II + Lei 14.063/2020 §2)	Conformidade regulatória, antifraude, KYC com validação governamental
BIOMETRIC_SERPRO_AUTO_FALLBACK	Avançada	Alta disponibilidade — usa biometria-only se SERPRO indisponível
BIOMETRIC_DOCUMENT_FALLBACK	Avançada	KYC baseado em comparação com documento de identidade
CUSTOM	Conforme avaliação técnica	Fluxos regulados específicos, mediante avaliação prévia da SignDocs Brasil

4. Sandbox e dados sintéticos

Os ambientes de homologação (HML / sandbox) são exclusivos para desenvolvimento e testes. É proibido o uso de dados pessoais reais (CPFs, nomes, biometrias, documentos) em sandbox, mesmo de Signatários que tenham consentido — a base legal LGPD não cobre o tratamento em ambiente não-produtivo destinado a testes. Use dados sintéticos, geradores oficiais de CPF de teste, fotografias livres de direitos para testes biométricos. Documentos gerados em sandbox não têm valor jurídico e podem ser eliminados pela SignDocs Brasil a qualquer momento. Detalhes na guia Política de dados de sandbox.

5. Credenciais (API keys e secrets)

• Credenciais (client_id, client_secret, chaves privadas para JWT ES256) são confidenciais. Nunca devem ser commitadas em repositórios públicos ou privados, expostas em logs, em frontend ou em mensagens.
• Armazene em gerenciador de segredos (AWS Secrets Manager, HashiCorp Vault, GCP Secret Manager, etc.) com cifração em trânsito e repouso.
• Rotação obrigatória a cada 12 meses, e imediatamente em caso de exposição, saída de pessoa-chave ou mudança ambiental relevante.
• Princípio do menor privilégio: chaves separadas por aplicação, ambiente (sandbox vs produção) e função (servidor vs cliente).
• A SignDocs Brasil pode revogar qualquer credencial a qualquer momento em caso de uso indevido, exposição ou suspeita de fraude. Detalhes operacionais em Rotação de Chaves.

6. Rate Limiting e Quotas

• WAF aplica 2 000 requisições por IP a cada 5 minutos em endpoints públicos como /oauth2/token.
• Quotas por tenant variam por plano. Headers RateLimit-Limit, RateLimit-Remaining, RateLimit-Reset e Retry-After são retornados em todas as respostas.
• Em caso de 429 use backoff exponencial respeitando Retry-After.
• Abuso recorrente leva a: throttling automático → suspensão temporária da chave → suspensão contratual.
• Para necessidades pontuais (campanhas, picos de carga), abra ticket em suporte@signdocs.com.br com pelo menos 5 dias úteis de antecedência. Detalhes na guia Rate Limiting.

7. Webhooks

• Endpoints de webhook devem ser HTTPS com certificado válido
• Validação obrigatória da assinatura HMAC-SHA256 enviada no header X-SignDocs-Signature
• Processamento idempotente usando o campo eventId — eventos podem ser entregues mais de uma vez
• Tolerar reordenação de eventos
• Resposta 2xx em até 5 segundos; processamento pesado deve ser enfileirado
• Retry exponencial até 24 horas; após isso, dead-letter
• O segredo do webhook é mostrado uma única vez no momento da criação. Guarde com segurança.

8. Integrador como Controlador LGPD

Quando o Integrador determina os meios e finalidades do tratamento de dados de Signatários, ele atua como Controlador (LGPD art. 5 VI) e a SignDocs Brasil como Operador (art. 5 VII). Isso significa que o Integrador deve:

• Estabelecer e documentar a base legal do tratamento (arts. 7 e 11 LGPD)
• Informar Titulares de forma clara que a SignDocs Brasil atua como Operador
• Assinar o DPA (Acordo de Tratamento de Dados) — ver /dpa.html
• Atender direitos do Titular (LGPD art. 18) — acesso, correção, eliminação, portabilidade
• Comunicar a ANPD em caso de incidente quando exigido (art. 48)

9. Suspensão e Encerramento

A SignDocs Brasil pode suspender o uso da API e dos SDKs, com ou sem aviso prévio dependendo da gravidade, em caso de:

• Suspeita de uso fraudulento ou ilícito
• Comprometimento de credenciais
• Risco à integridade ou disponibilidade da Plataforma
• Ordem judicial ou regulatória
• Inadimplência
• Violação desta AUP

Em casos de risco crítico, a suspensão é imediata; o aviso é feito posteriormente quando legalmente possível.

10. Reporte de Abuso e Vulnerabilidades

Vulnerabilidades de segurança devem ser reportadas via programa de divulgação responsável. Reportes de abuso (spam, phishing, fraude usando a infraestrutura SignDocs Brasil) para security@signdocs.com.br.

11. Licenciamento dos SDKs

Os SDKs oficiais são licenciados de forma worldwide, não-exclusiva, não-transferível e revogável, exclusivamente para integração com a Plataforma SignDocs Brasil. Não é permitida redistribuição, fork público sob outra marca ou uso para construir serviço concorrente. Contribuições da comunidade são aceitas via repositórios oficiais com termos do projeto. O node n8n oficial herda restrições da licença fair-code do n8n core (Sustainable Use License) — ver detalhes no README do n8n node.

12. Atualizações

Mudanças materiais nesta AUP são notificadas com 15 dias de antecedência. Versões anteriores ficam arquivadas em /arquivo/. O documento integra os Termos de Uso por referência.