Segurança de Grau Empresarial Sem a Complexidade Empresarial
A Firma.dev protege os seus documentos com criptografia ao nível bancário, controlos de acesso rigorosos e uma infraestrutura preparada para conformidade. Construído para equipas que necessitam de segurança sem a dor de cabeça de aquisições.
Firma.dev funciona na infraestrutura da AWS na União Europeia
A AWS mantém as certificações SOC 2 Tipo II, ISO 27001 e HIPAA. Todos os dados dos clientes são armazenados em centros de dados na UE.
As cópias de segurança são realizadas a cada 60 segundos com recuperação pontual. Todas as cópias de segurança são encriptadas e armazenadas na UE. A versão histórica completa está disponível para cada documento.
O estado do sistema é público em status.Firma.dev. Não oferecemos SLAs formais neste momento.
Autenticação e Controlo de Acesso
Autenticação da API
Todas as solicitações de API requerem autenticação baseada em chave. Os limites de taxa protegem contra abusos. Ver detalhes do limite de taxa.
Login do painel
O Google e o SSO do GitHub são suportados. O controlo de acesso baseado em funções permite que os proprietários das contas definam o que os membros da equipa podem ver e fazer.
Firma.dev protege os signatários ao longo do processo de assinatura
Links de assinatura únicos
Cada signatário recebe uma URL exclusiva vinculada ao seu pedido de assinatura. Os links não podem ser compartilhados ou reutilizados por outros signatários.
Expiração do link
Os links de assinatura expiram após 7 dias por padrão. Você pode configurar janelas de expiração personalizadas (em horas) ao criar modelos.
Para detalhes de implementação, veja a documentação do pedido de assinatura.
Todos os pedidos de webhook são assinados usando HMAC SHA-256
Cada pedido inclui:
X-Firma-Signaturecom o seu segredo de assinatura atualX-Firma-Signature-Oldcom o seu segredo anterior durante o período de carência de rotação de 7 dias
Pode recuperar o seu segredo de assinatura a partir do painel de controlo e rodá-lo através da API. Verifique sempre as assinaturas dos webhooks para evitar falsificações. Veja o guia de Webhooks.
Identidade do assinante e endereço de email
Timestamp de cada ação (visualizada, assinada, concluída)
Endereço IP do signatário
Hash do documento para deteção de adulteração
Registo de consentimento confirmando o acordo do assinante
Estado de conclusão e geração de certificado
Os registos de auditoria não podem ser modificados ou eliminados. Pode recuperá-los através da API para revisões de conformidade, disputas legais ou auditorias internas.
Validade da assinatura eletrónica
Firma.dev produz assinaturas eletrónicas legalmente vinculativas sob:
Lei ESIGN e UETA (Estados Unidos)
Assinaturas eletrónicas são legalmente equivalentes a assinaturas manuscritas para a maioria das transações.
eIDAS SES e AdES (União Europeia)
A Firma.dev suporta Assinaturas Eletrónicas Simples e Assinaturas Eletrónicas Avançadas com trilhas de auditoria à prova de adulteração e identificação do assinante.
eIDAS do Reino Unido
As assinaturas eletrónicas permanecem válidas sob a legislação da UE mantida.
Proteção de dados
O consentimento do signatário é capturado e registado antes de qualquer assinatura ser aplicada.
RGPD (União Europeia)
Todos os dados são armazenados na UE. A Firma.dev atua como um processador de dados em seu nome. Um Acordo de Processamento de Dados está disponível para todos os clientes. Ajudamos com os pedidos de Titulares de Dados conforme necessário.
HIPAA (Estados Unidos)
A Firma.dev funciona na infraestrutura AWS compatível com HIPAA, tornando-a adequada para documentos relacionados à saúde. Se precisar de um Acordo de Associação Comercial, contacte o suporte.
Normas de segurança
A Firma.dev é concebida com os princípios SOC 2 em mente. As certificações SOC 2 Tipo II e ISO 27001 estão no nosso plano.
Processamento e Retenção de Dados
Acordo de Processamento de Dados
Um Acordo de Processamento de Dados está disponível para todos os clientes aqui. Cópias assinadas estão disponíveis mediante pedido. Contacte o suporte.
Retenção e Eliminação de Dados
Os documentos são retidos indefinidamente, a menos que solicite a eliminação. Os clientes podem solicitar a eliminação completa da conta e dados a qualquer momento.
Controlo de Acesso ao Pessoal
O acesso aos dados dos clientes é limitado ao pessoal específico da Firma.dev. Ver o conteúdo dos documentos requer permissão explícita ao nível da conta.
Testes de Segurança e Resposta a Incidentes
Empregamos testers de intrusão a tempo inteiro e revisores de código para identificar vulnerabilidades antes de chegarem à produção. Políticas internas de resposta a incidentes estão implementadas e são testadas regularmente.
Firma.dev
VS
D
Docusign
Divulgação Responsável
Agradecemos relatórios de vulnerabilidades de investigadores de segurança. Se descobrir um potencial problema de segurança, por favor, entre em contacto connosco em security@firma.dev. Analisamos todos os relatórios e respondemos prontamente.
