Por onde começo com o Chaindoc?

Acesse o guia de Início Rápido. Ele o orienta na criação de uma conta, no upload do seu primeiro documento e no envio para assinatura. Leva cerca de cinco minutos se você já tiver um documento pronto.

Existe uma referência de API?

Sim. A referência de API abrange todos os endpoints, incluindo autenticação, upload de documentos, gerenciamento de signatários e configuração de webhooks. Cada endpoint inclui exemplos de solicitação e resposta que você pode testar no sandbox.

Quais SDKs estão disponíveis para o Chaindoc?

O Chaindoc possui SDKs para JavaScript/TypeScript, Python e Go. A página de SDKs e bibliotecas contém instruções de instalação e exemplos de código. Se o seu idioma não estiver listado, a REST API funciona com qualquer cliente HTTP.

Como funcionam os webhooks no Chaindoc?

O Chaindoc envia solicitações POST para o seu endpoint quando eventos ocorrem: documento assinado, visualizado, expirado e assim por diante. O guia de webhooks mostra como configurar endpoints, verificar assinaturas e lidar com tentativas de reenvio.

Preciso de uma conta para usar o sandbox do Chaindoc?

Sim, mas é gratuito. Cadastre-se em chaindoc.io e você terá acesso automático ao sandbox. Não é necessário cartão de crédito. O sandbox espelha a produção, então qualquer coisa que você construir lá funcionará da mesma forma quando alternar.

Onde posso encontrar exemplos de código do Chaindoc?

Cada página de documentação possui trechos de código inline. Para exemplos completos funcionais, a seção de guias inclui fluxos de assinatura de ponta a ponta, operações em massa e fluxos de trabalho baseados em templates com código copiar e colar.

Melhores práticas de segurança

Chaindoc criptografa documentos em repouso (AES-256) e em trânsito (TLS 1.3), verifica integridade na blockchain e registra cada ação. Aqui está o truque: você precisa configurar algumas coisas antes de entrar em produção.

A maior parte da segurança funciona automaticamente. Mas existem configurações que você deve ativar (MFA, restrições de IP) e hábitos que sua equipe precisa seguir (rotação de chaves, revisões de acesso). Este guia aborda tudo isso na prática.

Autenticação

Autenticação multifator

Ative MFA para todos, não só para administradores. É a medida mais efetiva que você pode tomar. Chaindoc suporta:

Apps autenticadores (TOTP) — Google Authenticator, Authy, 1Password
Códigos SMS — funciona, mas é menos seguro. Prefira apps autenticadores quando possível.
Chaves de segurança físicas (FIDO2/WebAuthn) — a opção mais robusta
Autenticação biométrica em dispositivos móveis

Políticas de senha

Se você não está usando SSO, exija senhas fortes. Chaindoc permite configurar comprimento mínimo (12+ caracteres recomendado), requisitos de complexidade, intervalos de expiração e bloqueio após tentativas falhas. Também é possível impedir o reuso das últimas 10 senhas.

Acesso baseado em funções

Dê às pessoas apenas o acesso que elas precisam. Chaindoc tem funções pré-definidas (Owner, Admin, Manager, Member, Guest, Auditor) e suporta funções personalizadas com permissões por ação. Revise as atribuições trimestralmente e remova o que não for mais necessário. Veja a documentação de gestão de equipes para configurar isso.

Criptografia

Em repouso

Todos os documentos são criptografados com AES-256 no armazenamento. Backups são criptografados com chaves separadas. As chaves de criptografia são gerenciadas por um KMS (serviço de gerenciamento de chaves) dedicado e rotacionadas trimestralmente.

Em trânsito

Toda conexão usa TLS 1.3. Conjuntos de cifra fracos estão desabilitados. Headers HSTS garantem que navegadores nunca façam downgrade para HTTP. Isso se aplica ao app web, à API e às transações blockchain.

Segurança de chaves de API

Chaves de API são a fonte mais comum de problemas de segurança. Uma chave secreta vazada concede acesso total à sua conta Chaindoc.

Regras de gerenciamento de chaves

Nunca coloque chaves secretas (`sk_`) em código client-side. Elas pertencem apenas ao seu backend. Armazene chaves em variáveis de ambiente ou um gerenciador de secrets (não no seu repositório). Use chaves de teste (`sk_test_`) em desenvolvimento. Rotacione chaves de produção a cada 90 dias. Se uma chave vazar, revogue imediatamente no dashboard.

Chaves públicas (`pk_`) são projetadas para uso no frontend e têm acesso somente leitura, então são seguras para incluir em bundles client-side. Para mais sobre tipos de chaves, consulte o guia de integração de API.

Verificação na blockchain

Cada documento publicado recebe um hash escrito na blockchain. É essa a parte à prova de adulteração. Mesmo que alguém acesse o banco de dados diretamente, não conseguiria modificar um documento sem que o hash na blockchain se tornasse inválido.

Hashes de documentos são registrados no momento da publicação e em cada mudança de estado (assinaturas, anulação, etc.)
Recibos de transação são armazenados com o documento para fácil verificação
Qualquer pessoa pode verificar independentemente um documento contra o registro da blockchain
O registro é permanente — sobrevive mesmo se a Chaindoc deixar de existir

Para documentos de alto valor, vale a pena verificar o registro na blockchain após a assinatura para confirmar que tudo corresponde.

Segurança de webhooks

Se você está usando webhooks, verifique a assinatura HMAC em toda requisição recebida. Sem isso, alguém poderia enviar eventos falsos para seu endpoint. O guia de webhooks tem o código de verificação.

Compliance

A infraestrutura da Chaindoc é certificada SOC 2 Tipo II. Dependendo do seu setor, você pode precisar configurar definições adicionais:

GDPR — opções de residência de dados (UE, EUA, Ásia), direito ao esquecimento, portabilidade de dados. Políticas de retenção de documentos lidam com exclusão automática.
HIPAA — logging de auditoria e controles de acesso para documentos de saúde. Contate o suporte para obter um BAA.
SOC 2 — controles de segurança estão documentados. Auditorias anuais de terceiros são realizadas.
eIDAS / ESIGN Act / UETA — compliance de assinaturas está integrado para os três tipos de assinatura.
ISO 27001 — práticas de gestão de segurança da informação estão alinhadas com ISO 27001.

Logging de auditoria

Chaindoc registra cada ação: logins, acesso a documentos, edições, eventos de assinatura, mudanças de permissão e chamadas de API. Logs são armazenados em um sistema à prova de adulteração e retidos por pelo menos um ano (mais tempo se sua política de retenção exigir).

Você pode exportar logs de auditoria para revisões externas de compliance. Tentativas de login falhas e atividades suspeitas disparam alertas se você configurou monitoramento.

Monitoramento e resposta a incidentes

Configure alertas para tentativas de login falhas, atividade incomum de API e escalada de permissões. Chaindoc integra com sistemas SIEM se sua equipe de segurança usar um.

Tenha um plano de resposta a incidentes pronto. Saiba quem contactar, o que desligar e como comunicar uma violação. Teste o plano pelo menos uma vez por ano. Para incidentes de segurança envolvendo Chaindoc, contacte security@chaindoc.com.

Checklist de pré-produção

Execute isto antes de entrar em produção:

MFA habilitado para todas as contas
Políticas de senha configuradas (12+ caracteres, bloqueio após 5 falhas)
Funções atribuídas com acesso de menor privilégio
Criptografia AES-256 confirmada (habilitada por padrão)
TLS 1.3 aplicado em todos os endpoints
Chaves de API armazenadas em variáveis de ambiente ou gerenciador de secrets
Chaves de teste substituídas por chaves de produção
Rate limiting configurado para endpoints de API
Verificação HMAC de webhooks implementada
Logging de auditoria habilitado e período de retenção definido
Monitoramento de segurança e alertas configurados
Plano de resposta a incidentes documentado
Backups testados (tente uma restauração)
Requisitos de compliance documentados e atendidos

O que fazer em seguida

Gestão de equipes — configure funções e controle de acesso
Assinaturas — entenda tipos de assinatura e compliance
Integração de API — proteja sua implementação de API
Webhooks — verificação HMAC e tratamento de eventos
Documentos — controle de acesso e políticas de retenção

Documentação