Segurança
Como autenticamos requests, quais dados recebemos, o que guardamos e o que não guardamos.
Autenticação
Cada conta recebe uma API key no formato nd_ seguido de 30 caracteres base62 (a–z, A–Z, 0–9). O prefixo nd_ foi pensado para que a key seja fácil de detectar em logs, controle de versão, screenshots e relatórios de erro.
A key viaja no header HTTP X-API-Key de cada requisição. Não a coloque em query strings, fragmentos de URL ou no corpo da requisição — parâmetros URL aparecem em logs de servidor, histórico de navegador e referrer headers.
Todos os endpoints exigem HTTPS. Qualquer requisição que chegue por HTTP simples é rejeitada antes do processamento da autenticação. A rotação de keys não é self-serve durante o acesso antecipado — entre em contato e emitimos uma nova com janela de migração.
Transporte
TLS 1.2 ou superior é obrigatório em todos os endpoints. As versões TLS 1.0 e 1.1, além de SSLv2/v3, estão desabilitadas no balanceador. Não há fallback inseguro: uma negociação de protocolo antigo termina com encerramento da conexão.
O domínio normadata.io está incluído no HSTS preload com max-age=63072000 e includeSubDomains. Os navegadores carregam a lista pré-embarcada com Chrome, Firefox, Safari e Edge e recusam abrir qualquer conexão não-HTTPS para o domínio, mesmo que o usuário digite http:// manualmente.
Não expomos endpoints HTTP de redirecionamento para HTTPS nos hosts da API. Se seu cliente tenta http://api.normadata.io, recebe falha de conexão, não um redirect — isso evita ataques de protocol downgrade na primeira requisição.
Quais dados recebemos
Cada requisição à API contém três coisas: o valor que você quer validar (o CPF, o CNPJ, o email, o IBAN, etc.), sua API key no header X-API-Key e os headers HTTP padrão que seu cliente envia (User-Agent, Accept, Content-Type).
Não pedimos nome real, identidade ou metadata adicional. Não rodamos JavaScript do lado servidor coletando fingerprints, nem instalamos pixels ou cookies nos endpoints de API — os endpoints são JSON-in / JSON-out e nada mais.
Se você usar o dashboard web (quando disponível) ou seu navegador para ver esta página, aplicam-se as políticas descritas em /privacy. Esta página cobre apenas a superfície da API.
O que guardamos
| Dado | Retenção |
|---|---|
| Request payload (PII do seu input — CPF, CNPJ, email, etc.) | Processado em memória. NÃO persistido em disco nem em banco de dados. |
| API key activity (timestamps, path, status code, latência, hash da key) | 90 dias para auditoria e rate limiting. Sem o valor enviado. |
| Request ID + status code (sem payload) | 90 dias em logs operacionais para debugging e suporte. |
| Seu billing data (email, plano, método de pagamento tokenizado) | Enquanto sua conta estiver ativa, mais o período legal de retenção fiscal. |
| Métricas agregadas (volume, distribuição por tipo, taxas de erro) | Indefinidamente. Nunca vinculadas a valores individuais. |
O que NÃO fazemos
- Não retransmitimos seu input a terceiros. A validação ocorre 100% dentro do nosso stack — não chamamos APIs externas passando seu CPF ou CNPJ.
- Não vendemos dados. Nenhum input de clientes, nenhuma métrica de uso, nenhum identificador. Não temos contratos de data brokerage. Não temos programa de monetização de dados.
- Não usamos seu input para treinar modelos. Não temos modelos de ML treinados sobre payloads de clientes. A validação é 100% determinística — algoritmos publicados, não inferência estatística.
- Não consultamos registros governamentais com seu input. Não scrapeamos Receita Federal, AFIP, SAT ou nenhuma autoridade. Apenas verificamos que o formato do identificador é matematicamente válido.
- Não fazemos KYC, KYB ou AML. Normadata é pré-validação de formato — a camada que roda antes do seu provedor regulado. Não somos substituto de verificação de identidade.
Certificações
A Normadata está em acesso antecipado. NÃO temos SOC 2, ISO 27001 nem PCI-DSS certificados ainda. NÃO fazemos claims que não podemos respaldar.
Quando avançarmos, vamos publicar certificações reais com número de auditor e data de emissão. Até lá, o seguinte é o que SIM implementamos hoje:
- TLS 1.2+ com HSTS preload e monitoramento de certificate transparency.
- Isolamento de tenants por API key — cada key é única, hasheada em logs e revogável individualmente.
- Processamento de payloads em memória, sem persistência em disco dos valores enviados.
- Logs estruturados com retenção delimitada (90 dias) e sem PII de input.
- Backups criptografados da metadata de contas (billing, API keys) — não há backup de payloads porque eles não são persistidos.
- Acesso interno com MFA obrigatório e trilha de auditoria sobre qualquer ação administrativa.
Disclosure de vulnerabilidades
Se você descobrir uma vulnerabilidade de segurança na Normadata, reporte para security@normadata.io. Inclua descrição do problema, passos para reproduzir, impacto potencial e, se tiver, um PoC. security@normadata.io
Política de não-retaliation: não vamos iniciar ações legais contra pesquisadores que reportem de boa-fé, sem acessar dados de outros clientes, sem degradar o serviço e nos dando tempo razoável para responder antes de publicar.
Confirmamos o recebimento em 3 dias úteis. Seguimos uma política de divulgação coordenada de 90 dias — pedimos que você espere o fix ser publicado antes de tornar os detalhes públicos. Creditamos os reporters no changelog (com seu consentimento) quando o problema estiver resolvido.