Documento legal

Política de Segurança

Última atualização: 18 de junho de 2026

A Nucleo Pay adota medidas técnicas e organizacionais para proteger dados, transações financeiras e a integridade de nossa plataforma. Esta Política descreve como garantimos segurança no uso do painel, API, webhooks e checkout.

1. Compromisso com a segurança

Nosso objetivo é oferecer um ambiente confiável para recebimento de pagamentos PIX, com controles de acesso, monitoramento e práticas alinhadas ao mercado de pagamentos digitais no Brasil.

2. Proteção de dados em trânsito e em repouso

• Comunicações com a plataforma utilizam criptografia TLS (HTTPS) em todas as páginas e endpoints da API
• Senhas e credenciais sensíveis não são armazenadas em texto puro
• Tokens de API são gerados de forma segura e podem ser revogados a qualquer momento pelo usuário
• Dados financeiros e de identificação são tratados com controles de acesso restritos

3. Autenticação e controle de acesso

• Acesso ao painel exige autenticação com credenciais individuais
• Tokens de API são pessoais e intransferíveis — não compartilhe com terceiros
• Recomendamos revogar imediatamente tokens comprometidos ou não utilizados
• Sessões podem expirar após período de inatividade para reduzir riscos de acesso indevido

4. API e integrações

4.1 Uso seguro da API

• Todas as requisições devem incluir o header Authorization: Bearer SEU_TOKEN
• Nunca exponha tokens de API em código público, repositórios abertos ou no frontend de produção
• Prefira variáveis de ambiente (NUCLEOPAY_API_TOKEN) em servidores backend
• Utilize HTTPS em todas as integrações e endpoints de webhook

4.2 Webhooks

• Cada webhook recebe um secret exclusivo exibido apenas no momento da criação
• Valide a assinatura X-NucleoPay-Signature (HMAC SHA256 do body) antes de processar eventos
• Rejeite payloads sem assinatura válida ou de origem desconhecida
• Implemente idempotência no seu sistema para evitar processamento duplicado de eventos

5. Checkout e pagamentos PIX

• Cobranças PIX são processadas por adquirentes parceiros regulados
• Dados de cartão não se aplicam ao fluxo PIX; informações de pagamento seguem o padrão do Banco Central
• O checkout da Nucleo Pay utiliza conexão segura e boas práticas de exibição de QR Code e copia-e-cola
• Vendedores são responsáveis por informar corretamente valores e descrições das cobranças

6. Prevenção a fraudes e monitoramento

• Monitoramos atividades suspeitas, falhas de autenticação e padrões anômalos de uso
• Podemos bloquear temporariamente contas ou transações em caso de indícios de fraude ou violação dos termos
• Logs de API podem registrar endpoints e tokens mascarados para diagnóstico de erros

7. Infraestrutura

• A plataforma opera em provedores de nuvem com controles de rede, backup e disponibilidade
• Atualizações de segurança são aplicadas de forma contínua nos componentes críticos
• Acesso administrativo à infraestrutura é restrito e auditável

8. Responsabilidades do usuário

Ao utilizar a Nucleo Pay, você concorda em:

• Manter suas credenciais e tokens em sigilo
• Utilizar senhas fortes e exclusivas para sua conta
• Notificar imediatamente em caso de suspeita de acesso não autorizado
• Cumprir a legislação aplicável ao seu negócio e aos dados de seus clientes
• Não utilizar a plataforma para atividades ilícitas, lavagem de dinheiro ou fraudes

9. Incidentes de segurança

Em caso de incidente que possa afetar seus dados ou transações, adotaremos medidas de contenção, investigação e, quando exigido pela LGPD, comunicação aos titulares afetados e à Autoridade Nacional de Proteção de Dados (ANPD).

Reporte vulnerabilidades ou suspeitas de incidente para: contato@nucleopay.com.br.

10. Boas práticas para integradores

• Armazene tokens apenas em ambientes seguros (servidor, secrets manager)
• Implemente rate limiting e validação de entrada no seu backend
• Teste webhooks em ambiente de homologação antes de produção
• Mantenha dependências e bibliotecas HTTP atualizadas
• Consulte nossa documentação de API para exemplos seguros de integração

11. Limitações

Nenhum sistema é 100% imune a riscos. A Nucleo Pay emprega esforços razoáveis e proporcionais para proteger a plataforma, mas não pode garantir segurança absoluta diante de fatores externos ao nosso controle, como comprometimento das credenciais do usuário ou falhas em sistemas de terceiros.

12. Atualizações

Esta Política pode ser revisada periodicamente. A versão vigente estará sempre disponível nesta página com a data de atualização.

13. Contato

Questões sobre segurança da plataforma:

contato@nucleopay.com.br