API para Empresas (B2B)

Versão 1.0 — 12 de maio de 2026

⚠️ Rascunho. Este texto está publicado para fins de transparência durante o período de desenvolvimento. Será revisado por advogado antes da versão definitiva.

Estes termos são para clientes B2B (empresas que integram a API no próprio produto). Se você é uma pessoa física usando o app, consulte os Termos de Uso e a Política de Privacidade.

Termos de Serviço

Partes

Operador: Leonardo Ribeiro Azevedo, domiciliado em Brasília/DF, operador do flowapp-boletos.
Cliente: pessoa jurídica que contrata acesso à API (o "Controlador").

Objeto

O Operador fornece ao Cliente uma API de leitura, validação, decodificação e enriquecimento de boletos brasileiros para integração no produto SaaS do Cliente. O serviço não realiza pagamentos e não é regulado pelo Banco Central do Brasil.

Escopo de uso autorizado

A API pode processar boletos da operação da pessoa jurídica — aluguel, fornecedores, mensalidades de software, tributos da empresa.

Vedado: processar boletos pessoais de funcionários, sócios ou clientes finais PF sem consentimento específico; repassar ou sublicenciar acesso; usos ilegais ou de massa.

Rate limit e cotas

Padrão: 60 requisições/minuto por api-key. Limites customizados mediante acordo comercial. Excedido: 429 Too Many Requests com header Retry-After.

SLA

Métrica	Valor
Disponibilidade-alvo	99,5% ao mês
Janela de manutenção	Comunicada com 48h de antecedência
Notificação de incidente	Até 48h após confirmação

Limitação de responsabilidade

Serviço fornecido "como está".
Erros de OCR podem ocorrer; o Cliente deve validar dados críticos.
Responsabilidade total limitada ao valor pago nos últimos 12 meses.

Vigência e rescisão

Vigência indeterminada. Rescisão por qualquer parte com aviso prévio de 30 dias por e-mail. Rescisão imediata pelo Operador em caso de uso indevido grave.

Foro

Comarca de Brasília/DF.

DPA — Acordo de Processamento de Dados

Anexo aos Termos de Serviço acima. Aplicável a todos os clientes B2B.

Papéis

Papel	Quem
Controlador	O Cliente B2B
Operador	flowapp-boletos (Leonardo Ribeiro Azevedo)
Sub-operadores	Hetzner (infraestrutura), Resend (e-mail)

Dados tratados

Dados do boleto: valor, vencimento, banco, beneficiário (CNPJ/razão social).
CPF do pagador quando presente (caso minoritário no B2B).
Identificadores técnicos: tenant_id, account_id, timestamps, IP.

Imagens originais não são armazenadas.

Localização dos dados

Servidores da Hetzner, Nuremberg, Alemanha. Transferência internacional com base no consentimento do Controlador ao assinar este DPA (LGPD art. 33, VIII) e na adequação de fato (Alemanha sob GDPR ≥ LGPD).

Medidas de segurança

TLS 1.2+ em todas as comunicações.
Banco de dados sem porta exposta ao host (acesso só pela rede interna Docker).
Isolamento lógico de tenants em todas as queries.
Logs sem CPF, e-mail completo ou conteúdo de boleto.
Audit log de operações sensíveis.
Atualizações de segurança automáticas.

Retenção

Padrão 12 meses, configurável pelo Cliente até 60 meses (cumprimento de obrigação fiscal — CTN art. 173/174). Após rescisão: dados do tenant excluídos em até 90 dias, exceto o legalmente obrigatório.

Incidentes

Notificação ao Cliente em até 48 horas após confirmação. O Cliente é responsável por notificar a ANPD e os titulares quando exigido.

Sub-operadores

Sub-operador	Função	Localização
Hetzner Online GmbH	Infraestrutura	Nuremberg, Alemanha (GDPR, ISO 27001)
Resend, Inc.	E-mail transacional	EUA (SCCs)
BrasilAPI	Consulta pública de CNPJ	Brasil

Mudanças de sub-operadores serão comunicadas com 30 dias de antecedência.

Contato e assinatura do DPA

Para assinar o DPA e receber sua api-key, entre em contato:

privacidade@flowapp.app.br