// segurança da plataforma

Certificado fiscal é dado crítico.
Tratamos como tal.

Seu certificado A1 assina documentos com valor jurídico. Esta página documenta como o engineAPI protege esse dado — e todos os outros — em cada etapa do ciclo de vida.

TLS 1.2+todas as conexões
AES-256certificados A1 em repouso
SHA-256hash das API Keys
72hnotificação de incidente (LGPD)
// pilares de segurança

Como protegemos seus dados

Criptografia em trânsito

TLS 1.2+
  • TLS 1.2 mínimo em todas as conexões externas (endpoints, dashboard, webhooks)
  • HTTPS obrigatório — HTTP é redirecionado automaticamente
  • Certificados Let's Encrypt com renovação automática
  • HSTS habilitado nos domínios principais

Criptografia em repouso

AES-256
  • Certificados digitais A1 (PFX) armazenados com AES-256
  • Senha do certificado A1 não armazenada em texto puro — criptografada separadamente
  • Dados sensíveis em banco (CNPJ, dados de pagamento de plano) nunca em texto claro
  • Volumes de armazenamento com criptografia ativada no nível do provedor

Autenticação e autorização

JWT + SHA-256
  • JWT com expiração configurável para sessões de dashboard
  • API Keys geradas com entropia criptograficamente segura
  • API Keys armazenadas apenas como hash SHA-256 — nem nós vemos o valor original após emissão
  • RBAC com papéis OWNER / ADMIN / VIEWER por partner
  • SSO via Google OAuth 2.0 (apenas e-mails de parceiros cadastrados)

Auditoria e rastreabilidade

Full audit log
  • Todos os acessos à API logados com IP, timestamp, API Key e payload summary
  • Log de emissão por documento com chave SEFAZ e código de retorno
  • Alertas automáticos para padrões anômalos de uso (spike de requisições, IPs novos)
  • Retenção de logs mínima de 90 dias para documentos fiscais
// certificado digital A1

Ciclo de vida do certificado A1

O certificado A1 é o ativo mais sensível do emissor — ele assina documentos com valor jurídico perante o SEFAZ. O fluxo abaixo detalha como ele é tratado.

01

Upload do PFX

O parceiro faz upload do certificado A1 (arquivo .pfx) pelo dashboard ou via API. O arquivo é transmitido via TLS e nunca exposto em logs.

02

Criptografia imediata

O PFX é imediatamente criptografado com AES-256 antes de ser persistido. A senha do certificado é armazenada separadamente, também criptografada.

03

Uso em memória

No momento da assinatura do XML, o certificado é decriptografado em memória, usado para assinar e descartado. Nunca gravado em disco descriptografado.

04

Expiração monitorada

O dashboard exibe a data de expiração de cada certificado. Alertas automáticos via e-mail são enviados 30, 15 e 7 dias antes do vencimento.

// importante

O valor original da senha do certificado A1 não é acessível mesmo para a equipe da engineAPI após o cadastro. Se o parceiro perder a senha, precisará recadastrar o certificado com a senha correta.

// conformidade

LGPD — Lei 13.709/2018

O engineAPI opera como Operadora de dados dos emissores dos parceiros e como Controladora dos dados dos próprios parceiros, em conformidade com a LGPD.

Base legal
Art. 7º, V (execução de contrato) e Art. 7º, II (cumprimento de obrigação legal — transmissão de documentos ao SEFAZ)
Papel da engineAPI
Operadora de dados em relação aos dados dos emissores dos parceiros. Controladora em relação aos dados dos próprios parceiros.
Notificação de incidente
72 horas para notificar ANPD e titulares afetados em caso de incidente com dados pessoais (LGPD Art. 48).
DPO
privacidade@engineapi.com.br — encarregado disponível para exercício de direitos LGPD Art. 18.
Transferência internacional
Provedores de cloud (AWS/VPS) com cláusulas contratuais padrão aprovadas. LGPD Art. 33, II.
Retenção
Documentos fiscais retidos pelo prazo legal mínimo (5 anos). Dados de conta retidos até solicitação de exclusão ou término do contrato.
Política de Privacidade completaDPA — Contrato de Processamento de Dadosprivacidade@engineapi.com.br
// responsible disclosure

Encontrou uma vulnerabilidade?

Agradecemos pesquisadores de segurança que reportam responsavelmente. Não temos programa formal de bug bounty, mas reconhecemos publicamente quem nos ajuda a manter a plataforma segura.

01

Envie um e-mail para seguranca@engineapi.com.br com descrição detalhada da vulnerabilidade

02

Aguarde confirmação de recebimento em até 48 horas úteis

03

Dê-nos prazo razoável para corrigir antes de divulgação pública (coordinated disclosure)

04

Não publique dados de clientes ou documentos fiscais encontrados durante a pesquisa

Contato de segurança
seguranca@engineapi.com.br
Prazo de resposta: até 48 horas úteis.
Não use este canal para suporte técnico ou dúvidas comerciais.
// infraestrutura

O que rodamos

Stack

NestJS + TypeScript no backend. PostgreSQL 16 com conexões TLS. Redis para cache e filas. Docker + PM2 para isolamento de processos.

Cloud

Infraestrutura em VPS/cloud com criptografia de volume ativa. Rede privada entre serviços (banco, cache e API sem exposição pública desnecessária). Acesso SSH apenas via chave pública.

Monitoramento

Sentry para rastreamento de erros (sem dados fiscais em stack traces). Métricas de disponibilidade em tempo real no status público. Alertas automatizados para anomalias de latência e taxa de erro.

O que ainda não temos

Somos transparentes: não temos certificação ISO 27001 ou SOC 2 ativa. Temos os controles técnicos documentados aqui, mas não a auditoria formal. Se isso for requisito para sua empresa, fale com nosso comercial.

// segurança por padrão, não por opção

Alguma dúvida sobre
as nossas práticas?

Fale com nosso time técnico. Se você tem requisitos de segurança específicos para a sua empresa, podemos conversar sobre o que já temos e o que está no roadmap.

Falar com o time de segurançaContato comercial ↗
SobrePrivacidadeDPAHome