Esta página resume práticas de segurança aplicadas ao Crivo API e ao dashboard público.
API keys
API keys devem ser tratadas como segredo. O Crivo exibe a chave completa apenas no momento de criação, armazena representação protegida no backend e permite revogação pelo dashboard.
Autenticação
O dashboard usa sessões autenticadas e cookies HTTP-only. Rotas de gestão exigem sessão de usuário; rotas públicas da API exigem API key válida.
Rate limit e abuso
Chamadas são limitadas por plano e por janela de tempo. Atividades suspeitas podem gerar bloqueio temporário, revogação de chaves ou suspensão de conta.
Reportar problema
Para reportar uma vulnerabilidade, envie detalhes para lucasmenesesbs@gmail.com. Evite divulgar publicamente até que o problema seja analisado.