Termos de Uso da API Capivara

Termos de Uso da API Capivara

Versão 1.0.0 · Vigência a partir de 22 de maio de 2026

Este documento regula especificamente o uso da API pública da Capivara (endpoints /v1/*) e complementa os Termos B2B.

Ao gerar uma API Key e aceitar este documento, eu, na qualidade de administrador autorizado da empresa cadastrada, declaro:

1. Da chave de acesso

1.1. A chave gerada (formato cap_live_xxxxxxxx) é confidencial e identifica a empresa cadastrada em todas as chamadas.

1.2. A chave em texto puro é mostrada apenas uma vez no momento da criação. A Capivara guarda apenas o hash SHA-256 — não há como recuperar uma chave perdida (será necessário gerar outra).

1.3. Comprometo-me a:

• Armazenar a chave em local seguro (variáveis de ambiente, secret manager)
• Nunca expor a chave em código frontend, repositório público ou logs
• Revogar imediatamente qualquer chave suspeita de comprometimento
• Não compartilhar a chave com pessoas fora da equipe autorizada da empresa

1.4. Qualquer uso feito com a chave é atribuído à empresa cadastrada. A empresa responde por todas as consultas realizadas com a chave, ainda que por terceiros que tenham obtido acesso indevido.

2. Do uso técnico

2.1. A API segue padrão REST com autenticação Bearer. Detalhes em /docs/api.

2.2. Rate limit padrão: 60 chamadas/min por chave. Status 429 retorna Retry-After.

2.3. Idempotência: enviar external_reference único garante que o mesmo target+plano não seja cobrado duas vezes.

2.4. Cache 24h: consulta repetida (mesmo target + mesmo plano) em até 24h não debita créditos.

3. Das obrigações pela finalidade

3.1. Cada chamada à API herda a finalidade implícita declarada nos Termos B2B aceitos pela empresa.

3.2. Quando o uso da API for para finalidade diferente (ex: nova vertical de negócio), a empresa deve registrar a nova base legal em sua documentação interna (LGPD Art. 37).

3.3. A Capivara registra em log:

• Cada chamada à API com IP, timestamp, chave usada, payload
• Resultado (status code, consultation_id quando aplicável)

Esses logs ficam por 6 meses.

4. Do webhook

4.1. A empresa pode cadastrar URLs de webhook em /empresa/webhooks para receber eventos:

• consultation.completed
• consultation.failed
• payment.confirmed

4.2. Os webhooks são assinados com HMAC-SHA256. A empresa deve validar a assinatura no recebimento (timing-safe).

4.3. Retry exponencial: tentamos entregar 6 vezes (1m, 5m, 30m, 2h, 6h, 24h). Após isso, marcamos como esgotado.

4.4. A URL do webhook deve ser HTTPS em produção. URLs http não são aceitas.

5. Da segurança

5.1. É expressamente proibido:

• Tentar realizar engenharia reversa da API
• Tentar enumerar chaves de outras empresas
• Tentar bypass de rate limit usando múltiplas chaves coordenadas
• Realizar scraping massivo da Plataforma fora da API
• Distribuir ou compartilhar a documentação confidencial não publicada

5.2. A Capivara monitora padrões anômalos e pode bloquear chaves preventivamente em caso de:

• Volume incompatível com perfil contratado
• Padrão de query semelhante a coleta massiva sem finalidade comercial clara
• Tentativa de exploração de vulnerabilidades

6. Da disponibilidade

6.1. A API opera em regime best effort. Sem SLA contratual de disponibilidade, salvo contrato enterprise específico.

6.2. Manutenções programadas comunicadas no /docs/api com 24h de antecedência.

7. Da revogação

7.1. A empresa pode revogar suas chaves a qualquer momento em /empresa/api.

7.2. A Capivara pode revogar chaves em caso de:

• Violação destes Termos
• Suspeita de comprometimento
• Inadimplência da empresa

8. Dos dados do aceite

Ao gerar a chave e aceitar estes Termos, registramos em log auditável (consent_logs):

• ID do usuário admin que gerou a chave
• Empresa associada
• IP e user-agent
• Hash deste documento
• Texto completo desta versão
• Timestamp

Esse log fica por 5 anos.

Ao aceitar estes Termos da API, declaro ser administrador autorizado, ter lido integralmente este documento e me comprometer com o uso seguro e legítimo da chave que será gerada.