1. Processamento local de documentos

O rascunho é salvo automaticamente no IndexedDB do navegador — banco de dados local, isolado por origem, acessível apenas pelo site norma-app.com.br no dispositivo do usuário. Nenhuma cópia é enviada ao servidor.

2. Criptografia de comunicação

3. Autenticação

Realizada pelo Clerk (certificação SOC 2 Type II). Tokens JWT assinados com RS256, validados server-side em todos os endpoints protegidos antes de qualquer operação. Nenhum dado é retornado sem verificação de identidade.

4. Controles de segurança implementados

ProteçãoImplementação
XSSContent Security Policy restritiva + escaping de dados de usuário antes de innerHTML
ClickjackingX-Frame-Options: DENY
MIME sniffingX-Content-Type-Options: nosniff
SQL injectionQueries parametrizadas em todos os endpoints
Rate limiting30 requisições por 60 segundos por IP (estado centralizado em banco)
ZIP bombLimite de 50 MB comprimido / 200 MB expandido na importação de DOCX
ReDoSGuard de comprimento antes de regex com backtracking
XML injectionFiltro de caracteres de controle U+0000–U+001F antes de gerar OOXML
Idempotência webhookVerificação de stripe_session_id (cartão) e billing_id (PIX) antes de processar pagamento
Webhook autenticaçãoValidação de secret via comparação segura a tempo constante (resistente a timing attacks) em todos os webhooks de pagamento
Gateways independentesStripe (cartão) e AbacatePay (PIX) com webhooks separados e validação própria
<<<<<<< HEAD

5. Reporte de vulnerabilidades

Para reportar uma vulnerabilidade de segurança, envie um e-mail para normaappmail@gmail.com com o assunto "Segurança — Norma". Respondemos em até 48 horas. Pedimos que não divulgue publicamente antes de recebermos e avaliarmos o relatório.

6. Contato

Ratio Sistemas Educacionais · CNPJ 65.560.944/0001-69
normaappmail@gmail.com

=======

5. Continuidade e backup

O banco de dados operacional (Neon Postgres) é mantido com backups automáticos gerenciados pela Neon, com retenção e point-in-time recovery conforme a política do provedor (neon.tech/docs/introduction/backups). Em caso de falha de infraestrutura, o objetivo de recuperação é retomar a operação em até 72 horas. O conteúdo dos documentos do usuário não está sujeito a esse processo — permanece exclusivamente no dispositivo do usuário e não é gerenciado pelo servidor.

6. Resposta a incidentes e notificação (art. 48, LGPD)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Norma seguirá o procedimento abaixo:

  1. Contenção imediata: isolamento do vetor de acesso não autorizado assim que identificado
  2. Comunicação à ANPD: no prazo máximo de 3 dias úteis após a ciência do incidente, nos termos da Resolução CD/ANPD nº 15/2024
  3. Notificação aos titulares afetados: por e-mail cadastrado, com descrição do incidente, categorias de dados envolvidos, riscos identificados e medidas adotadas — dentro do mesmo prazo ou imediatamente após a comunicação à ANPD
  4. Relatório pós-incidente: documentação interna das causas, impacto e medidas corretivas adotadas

O canal de contato para incidentes é o encarregado de dados: dponormaapp@gmail.com

7. Reporte de vulnerabilidades

Para reportar uma vulnerabilidade de segurança, envie um e-mail para normaappmail@gmail.com com o assunto "Segurança — Norma". Respondemos em até 48 horas. Pedimos que não divulgue publicamente antes de recebermos e avaliarmos o relatório.

8. Contato

Encarregado de Proteção de Dados: Herbert B. R. Sorg Ludka — dponormaapp@gmail.com
Ratio Sistemas Educacionais · CNPJ 65.560.944/0001-69 · Blumenau, SC
normaappmail@gmail.com

>>>>>>> 7f166c80f237e52aa5e8c783d1033a93229b4090