1. Aplicabilidade
Esta política se aplica a qualquer pessoa ou organização ("Integrador") que use os recursos técnicos da SignDocs Brasil, incluindo:
- API B2B em
api.signdocs.com.br e api-hml.signdocs.com.br (e variantes mTLS)
- SDKs oficiais TypeScript, Python, Go, Java, PHP e .NET
- Node n8n oficial
n8n-nodes-signdocs-brasil
- Templates Lovable e starter kits SignDocs Brasil
- Telegram Bot oficial
@SignDocsBrasilBot
- Widget embutido em
sign.signdocs.com.br e checkout hospedado
- Webhooks e endpoints de OAuth2
2. Usos proibidos
É vedado, sob pena de suspensão imediata e sem aviso:
- Atividades ilícitas ou fraudulentas: crime, discriminação, difamação, violação de direitos de terceiros
- Ataques de spoofing biométrico: uso de fotos, deepfakes, máscaras ou vídeo pré-gravado contra a validação biométrica
- Spam e phishing: envio em massa não solicitado, uso da infraestrutura de notificações para coleta indevida de credenciais
- Tratamento ilícito de dados pessoais: sem base legal LGPD (arts. 7 e 11), dados sensíveis sem consentimento, dados de menores em desconformidade com art. 14
- Engenharia reversa: descompilação, extração de código-fonte, análise de tráfego para reproduzir nosso serviço
- Testes de segurança não autorizados: pentest, fuzzing, brute force sem autorização escrita prévia (ver divulgação responsável)
- Distribuição de malware: scripts, executáveis ou conteúdo ofuscado em documentos enviados
- Abuso de recursos: uso desproporcional, contornar rate limits, DDoS, mineração de criptoativos
- White-labeling: reaproveitar a API como serviço concorrente sem acordo comercial com a SignDocs Brasil
3. Perfis de Assinatura e nível legal
A escolha do perfil correto é responsabilidade do Integrador conforme natureza, valor e risco do ato. A SignDocs Brasil fornece informação técnica, não aconselhamento jurídico. Tabela completa em api-assinatura-digital e na guia Perfis de Assinatura — Níveis Legais.
| Perfil | Nível Legal (Lei 14.063/2020) | Recomendado para |
|---|
| CLICK_ONLY | Simples (art. 4 I) | Confirmações de baixo risco, termos, consentimentos |
| CLICK_PLUS_OTP | Simples a Avançada (art. 4 I/II) | Contratos de baixo a médio valor, propostas comerciais |
| BIOMETRIC | Avançada (art. 4 II) | KYC, abertura de conta, contratos de médio valor |
| BIOMETRIC_PLUS_OTP | Avançada (art. 4 II) | Operações financeiras de alto valor com dupla autenticação |
| DIGITAL_CERTIFICATE (ICP-Brasil A1/A3) | Qualificada (MP 2.200-2/2001 §1) | Atos fiscais, atos societários, peças judiciais |
| BIOMETRIC_SERPRO | Avançada (art. 4 II + Lei 14.063/2020 §2) | Conformidade regulatória, antifraude, KYC com validação governamental |
| BIOMETRIC_SERPRO_AUTO_FALLBACK | Avançada | Alta disponibilidade — usa biometria-only se SERPRO indisponível |
| BIOMETRIC_DOCUMENT_FALLBACK | Avançada | KYC baseado em comparação com documento de identidade |
| CUSTOM | Conforme avaliação técnica | Fluxos regulados específicos, mediante avaliação prévia da SignDocs Brasil |
4. Sandbox e dados sintéticos
Os ambientes de homologação (HML / sandbox) são exclusivos para desenvolvimento e testes. É proibido o uso de dados pessoais reais (CPFs, nomes, biometrias, documentos) em sandbox, mesmo de Signatários que tenham consentido — a base legal LGPD não cobre o tratamento em ambiente não-produtivo destinado a testes. Use dados sintéticos, geradores oficiais de CPF de teste, fotografias livres de direitos para testes biométricos. Documentos gerados em sandbox não têm valor jurídico e podem ser eliminados pela SignDocs Brasil a qualquer momento. Detalhes na guia Política de dados de sandbox.
5. Credenciais (API keys e secrets)
- Credenciais (
client_id, client_secret, chaves privadas para JWT ES256) são confidenciais. Nunca devem ser commitadas em repositórios públicos ou privados, expostas em logs, em frontend ou em mensagens.
- Armazene em gerenciador de segredos (AWS Secrets Manager, HashiCorp Vault, GCP Secret Manager, etc.) com cifração em trânsito e repouso.
- Rotação obrigatória a cada 12 meses, e imediatamente em caso de exposição, saída de pessoa-chave ou mudança ambiental relevante.
- Princípio do menor privilégio: chaves separadas por aplicação, ambiente (sandbox vs produção) e função (servidor vs cliente).
- A SignDocs Brasil pode revogar qualquer credencial a qualquer momento em caso de uso indevido, exposição ou suspeita de fraude. Detalhes operacionais em Rotação de Chaves.
6. Rate Limiting e Quotas
- Limites operacionais (rate limit por IP, quotas por tenant) são publicados e mantidos atualizados na documentação técnica em docs.signdocs.com.br/guias/rate-limiting. Variações operacionais não constituem alteração material desta AUP.
- Quotas por tenant variam por plano. Headers
RateLimit-Limit, RateLimit-Remaining, RateLimit-Reset e Retry-After são retornados em todas as respostas.
- Em caso de 429 use backoff exponencial respeitando
Retry-After.
- Abuso recorrente leva a: throttling automático → suspensão temporária da chave → suspensão contratual.
- Para necessidades pontuais (campanhas, picos de carga), abra ticket em suporte@signdocs.com.br com pelo menos 5 dias úteis de antecedência. Detalhes na guia Rate Limiting.
7. Webhooks
- Endpoints de webhook devem ser HTTPS com certificado válido
- Validação obrigatória da assinatura HMAC-SHA256 enviada no header
X-SignDocs-Signature
- Processamento idempotente usando o campo
eventId — eventos podem ser entregues mais de uma vez
- Tolerar reordenação de eventos
- Resposta 2xx em até 5 segundos; processamento pesado deve ser enfileirado
- Retry exponencial até 24 horas; após isso, dead-letter
- O segredo do webhook é mostrado uma única vez no momento da criação. Guarde com segurança.
7-A. Integração via plataformas low-code de orquestração
7-A.1. Escopo
Esta cláusula aplica-se a Integradores que utilizam plataformas low-code de orquestração ("Plataformas de Orquestração") como camada intermediária entre seus sistemas e a API da SignDocs Brasil. São consideradas Plataformas de Orquestração, sem caráter exaustivo: n8n, Make (antiga Integromat), Zapier, Microsoft Power Automate, Workato, Pipedream, Tray.io, IFTTT e demais ferramentas de mesma natureza, sejam autohospedadas ou em modalidade SaaS.
7-A.2. Responsabilidade integral do Integrador
O Integrador que utiliza Plataforma de Orquestração permanece integralmente responsável pelas obrigações desta AUP, em especial quanto a:
- Proteção de credenciais (cláusula 5), vedando-se sua exposição em interfaces visuais, painéis compartilhados, repositórios públicos de templates ou logs de execução.
- Respeito a rate limits e quotas (cláusula 6), com configuração de retry exponencial e tratamento adequado de respostas HTTP 429.
- Implementação de webhooks idempotentes e seguros (cláusula 7), ainda quando os webhooks sejam processados por nodes ou módulos da Plataforma de Orquestração.
- Conformidade integral com a LGPD, conforme cláusula 8, em especial quanto a base legal, finalidade específica, compartilhamento de dados com Sub-operadores próprios e atendimento aos direitos dos Titulares.
- Adequação do perfil de autenticação ao ato jurídico subjacente, conforme cláusula 3 desta AUP.
7-A.3. Distinção contratual
A SignDocs Brasil não é parte da relação contratual estabelecida entre o Integrador e a Plataforma de Orquestração. Os termos de uso, política de privacidade, regime de licenciamento, SLA, foro, responsabilidade civil e demais condições da Plataforma de Orquestração são autônomos e devem ser analisados pelo Integrador antes de sua adoção. Em particular, o Integrador é responsável por verificar:
- Se o regime de licenciamento da Plataforma de Orquestração permite o uso pretendido — observando-se que algumas Plataformas de Orquestração (como o n8n, sob Sustainable Use License) restringem o uso comercial, embedding e revenda do software.
- Se a Plataforma de Orquestração celebra Acordo de Tratamento de Dados (DPA) compatível com a operação pretendida, especialmente quando houver tráfego de dados pessoais sensíveis (LGPD, art. 5º, II) pelos workflows.
- Se há transferência internacional de dados pela hospedagem da Plataforma de Orquestração, e qual o mecanismo aplicável (Cláusulas-Padrão ANPD, decisão de adequação ou outras hipóteses do art. 33 da LGPD).
7-A.4. Vedações específicas
No contexto da utilização de Plataformas de Orquestração, é vedado ao Integrador:
- Compartilhar publicamente templates, workflows, receitas ou cenários que contenham Chaves de API ou Client Secrets em texto claro, mesmo que parcialmente ofuscados.
- Operar a API da SignDocs Brasil por meio de conta de Plataforma de Orquestração compartilhada com terceiros não autorizados pelo Integrador.
- Permitir que workflows de produção tramitem em ambiente de Plataforma de Orquestração que vede o uso de dados sensíveis em sua política, quando os fluxos efetivamente envolverem biometria, validação SERPRO ou demais dados sensíveis.
- Estabelecer chamadas à API SignDocs Brasil a partir de instâncias da Plataforma de Orquestração executadas em ambiente de teste ou desenvolvimento da própria Plataforma — utilizando, em tais casos, exclusivamente a Sandbox da SignDocs Brasil com chaves
sk_test e dados sintéticos.
7-A.5. Suporte e responsabilidade técnica
Em caso de falha operacional decorrente da Plataforma de Orquestração — indisponibilidade, comportamento inesperado de nodes, alteração de versão ou descontinuação de funcionalidades —, o Integrador deve dirigir-se primeiramente ao suporte da Plataforma de Orquestração. A SignDocs Brasil fornece suporte estritamente em relação à API e aos SDKs oficiais, e poderá colaborar em diagnóstico cruzado mediante demanda razoável e em escopo proporcional ao Plano contratado.
8. Integrador como Controlador LGPD
Quando o Integrador determina os meios e finalidades do tratamento de dados de Signatários, ele atua como Controlador (LGPD art. 5 VI) e a SignDocs Brasil como Operador (art. 5 VII). Isso significa que o Integrador deve:
- Estabelecer e documentar a base legal do tratamento (arts. 7 e 11 LGPD)
- Informar Titulares de forma clara que a SignDocs Brasil atua como Operador
- Aceitar o DPA (Acordo de Tratamento de Dados) — ver /dpa.html. Aceito por click-through no painel para todos os planos B2B (Iniciante, Avançado, Enterprise), por pessoa jurídica.
- Atender direitos do Titular (LGPD art. 18) — acesso, correção, eliminação, portabilidade
- Comunicar a ANPD em caso de incidente quando exigido (art. 48)
9. Suspensão e Encerramento
A SignDocs Brasil pode suspender o uso da API e dos SDKs, com ou sem aviso prévio dependendo da gravidade, em caso de:
- Suspeita de uso fraudulento ou ilícito
- Comprometimento de credenciais
- Risco à integridade ou disponibilidade da Plataforma
- Ordem judicial ou regulatória
- Inadimplência
- Violação desta AUP
Em casos de risco crítico, a suspensão é imediata; o aviso é feito posteriormente quando legalmente possível.
10. Reporte de Abuso e Vulnerabilidades
Vulnerabilidades de segurança devem ser reportadas via programa de divulgação responsável. Reportes de abuso (spam, phishing, fraude usando a infraestrutura SignDocs Brasil) para security@signdocs.com.br.
11. Licenciamento dos SDKs
Os SDKs oficiais são licenciados de forma worldwide, não-exclusiva, não-transferível e revogável, exclusivamente para integração com a Plataforma SignDocs Brasil. Não é permitida redistribuição, fork público sob outra marca ou uso para construir serviço concorrente. Contribuições da comunidade são aceitas via repositórios oficiais com termos do projeto. O node n8n oficial herda restrições da licença fair-code do n8n core (Sustainable Use License) — ver detalhes no README do n8n node.
12. Atualizações
Mudanças materiais nesta AUP são notificadas com 15 dias de antecedência. Versões anteriores ficam arquivadas em /arquivo/. O documento integra os Termos de Uso por referência.
