Política de Segurança da Informação
1. Processamento local de documentos
O rascunho é salvo automaticamente no IndexedDB do navegador — banco de dados local, isolado por origem, acessível apenas pelo site norma-app.com.br no dispositivo do usuário. Nenhuma cópia é enviada ao servidor.
2. Criptografia de comunicação
- HTTPS obrigatório em todas as rotas
- TLS 1.2 ou superior em todas as conexões
- HSTS (Strict-Transport-Security) com max-age de 2 anos e preload habilitado
3. Autenticação
Realizada pelo Clerk (certificação SOC 2 Type II). Tokens JWT assinados com RS256, validados server-side em todos os endpoints protegidos antes de qualquer operação. Nenhum dado é retornado sem verificação de identidade.
4. Controles de segurança implementados
| Proteção | Implementação |
|---|---|
| XSS | Content Security Policy restritiva + escaping de dados de usuário antes de innerHTML |
| Clickjacking | X-Frame-Options: DENY |
| MIME sniffing | X-Content-Type-Options: nosniff |
| SQL injection | Queries parametrizadas em todos os endpoints |
| Rate limiting | 30 requisições por 60 segundos por IP (estado centralizado em banco) |
| ZIP bomb | Limite de 50 MB comprimido / 200 MB expandido na importação de DOCX |
| ReDoS | Guard de comprimento antes de regex com backtracking |
| XML injection | Filtro de caracteres de controle U+0000–U+001F antes de gerar OOXML |
| Idempotência webhook | Verificação de stripe_session_id (cartão) e billing_id (PIX) antes de processar pagamento |
| Webhook autenticação | Validação de secret via comparação segura a tempo constante (resistente a timing attacks) em todos os webhooks de pagamento |
| Gateways independentes | Stripe (cartão) e AbacatePay (PIX) com webhooks separados e validação própria |
5. Reporte de vulnerabilidades
Para reportar uma vulnerabilidade de segurança, envie um e-mail para normaappmail@gmail.com com o assunto "Segurança — Norma". Respondemos em até 48 horas. Pedimos que não divulgue publicamente antes de recebermos e avaliarmos o relatório.
6. Contato
Ratio Sistemas Educacionais · CNPJ 65.560.944/0001-69
normaappmail@gmail.com
5. Continuidade e backup
O banco de dados operacional (Neon Postgres) é mantido com backups automáticos gerenciados pela Neon, com retenção e point-in-time recovery conforme a política do provedor (neon.tech/docs/introduction/backups). Em caso de falha de infraestrutura, o objetivo de recuperação é retomar a operação em até 72 horas. O conteúdo dos documentos do usuário não está sujeito a esse processo — permanece exclusivamente no dispositivo do usuário e não é gerenciado pelo servidor.
6. Resposta a incidentes e notificação (art. 48, LGPD)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Norma seguirá o procedimento abaixo:
- Contenção imediata: isolamento do vetor de acesso não autorizado assim que identificado
- Comunicação à ANPD: no prazo máximo de 3 dias úteis após a ciência do incidente, nos termos da Resolução CD/ANPD nº 15/2024
- Notificação aos titulares afetados: por e-mail cadastrado, com descrição do incidente, categorias de dados envolvidos, riscos identificados e medidas adotadas — dentro do mesmo prazo ou imediatamente após a comunicação à ANPD
- Relatório pós-incidente: documentação interna das causas, impacto e medidas corretivas adotadas
O canal de contato para incidentes é o encarregado de dados: dponormaapp@gmail.com
7. Reporte de vulnerabilidades
Para reportar uma vulnerabilidade de segurança, envie um e-mail para normaappmail@gmail.com com o assunto "Segurança — Norma". Respondemos em até 48 horas. Pedimos que não divulgue publicamente antes de recebermos e avaliarmos o relatório.
8. Contato
Encarregado de Proteção de Dados: Herbert B. R. Sorg Ludka — dponormaapp@gmail.com
Ratio Sistemas Educacionais · CNPJ 65.560.944/0001-69 · Blumenau, SC
normaappmail@gmail.com