Segurança

Política de Segurança da Informação

Norma · Ratio Sistemas Educacionais · Última atualização: abril de 2026

Princípio central: o conteúdo dos documentos é processado no navegador do usuário via Web Worker em thread isolada — nunca transmitido a servidores. Esta decisão de arquitetura elimina a principal categoria de dado sensível do escopo de tratamento da empresa.

1. Processamento local de documentos

O rascunho é salvo automaticamente no IndexedDB do navegador — banco de dados local, isolado por origem, acessível apenas pelo site norma-app.com.br no dispositivo do usuário. Nenhuma cópia é enviada ao servidor.

2. Criptografia de comunicação

HTTPS obrigatório em todas as rotas
TLS 1.2 ou superior em todas as conexões
HSTS (Strict-Transport-Security) com max-age de 2 anos e preload habilitado

3. Autenticação

Realizada pelo Clerk (certificação SOC 2 Type II). Tokens JWT assinados com RS256, validados server-side em todos os endpoints protegidos antes de qualquer operação. Nenhum dado é retornado sem verificação de identidade.

4. Controles de segurança implementados

Proteção	Implementação
XSS	Content Security Policy restritiva + escaping de dados de usuário antes de innerHTML
Clickjacking	X-Frame-Options: DENY
MIME sniffing	X-Content-Type-Options: nosniff
SQL injection	Queries parametrizadas em todos os endpoints
Rate limiting	30 requisições por 60 segundos por IP (estado centralizado em banco)
ZIP bomb	Limite de 50 MB comprimido / 200 MB expandido na importação de DOCX
ReDoS	Guard de comprimento antes de regex com backtracking
XML injection	Filtro de caracteres de controle U+0000–U+001F antes de gerar OOXML
Idempotência webhook	Verificação de stripe_session_id (cartão) e billing_id (PIX) antes de processar pagamento
Webhook PIX (AbacatePay)	Validação de secret na query string contra variável de ambiente no servidor
Gateways independentes	Stripe (cartão) e AbacatePay (PIX) com webhooks separados e validação própria

5. Reporte de vulnerabilidades

Para reportar uma vulnerabilidade de segurança, envie um e-mail para normaappmail@gmail.com com o assunto "Segurança — Norma". Respondemos em até 48 horas. Pedimos que não divulgue publicamente antes de recebermos e avaliarmos o relatório.

6. Contato

Ratio Sistemas Educacionais · CNPJ 65.560.944/0001-69
normaappmail@gmail.com