Política de Dados de Sandbox / HML

⚠️ Proibido enviar dados pessoais reais para o ambiente de homologação (HML / sandbox).

Por que essa restrição existe

Os ambientes api-hml.signdocs.com.br e app-hml.signdocs.com.br são exclusivamente para desenvolvimento e testes. A SignDocs Brasil:

• Não trata os dados de HML como produção do ponto de vista de retenção, segurança operacional ou compromisso de SLA.
• Pode eliminar documentos, transações e biometria de HML a qualquer momento, sem aviso.
• Pode usar dados de HML para diagnóstico técnico interno (logs estendidos, depuração).
• Não tem base legal LGPD que cubra tratamento de dado pessoal real em ambiente não-produtivo destinado a testes — então o dado real nunca deveria ser enviado em primeiro lugar.

Em outras palavras: o dado pessoal real em HML é uma anomalia legal mesmo quando o Titular consentiu, porque o consentimento foi para uma operação produtiva, não para entrar num ambiente de testes.

O que conta como dado pessoal real

Categoria	Pode ir para HML?
Seu próprio CPF, e-mail, telefone, biometria — para testar o produto que você está construindo	✅ Sim
CPF, e-mail, biometria de outras pessoas (mesmo com consentimento delas)	❌ Não
Documentos contendo cláusulas reais com terceiros identificados	❌ Não
Selfies, fotos de documento de identidade de terceiros	❌ Não
Dados sintéticos gerados por gerador de CPF de teste	✅ Sim
Fotos livres de direito (Pexels, Unsplash)	✅ Sim
E-mails descartáveis para você mesmo (testes+sd@suaempresa.com.br)	✅ Sim

Geradores de dados sintéticos recomendados

CPF de teste

Use os geradores do tipo "CPF válido para testes" — Receita Federal aceita CPFs sintéticos com dígitos verificadores corretos para testes técnicos desde que NÃO sejam usados para abrir conta, contratar ou identificar pessoa real.

CPFs reservados pela Receita para teste (sempre seguros):

000.000.000-00
111.111.111-11
... (qualquer sequência de mesmo dígito repetido) — todos inválidos por algoritmo, mas
funcionais para fluxos que aceitam o formato sem validar dígito.

Para fluxos que validam dígito, geradores como 4devs.com.br/gerador_de_cpf produzem CPFs sintéticos com dígito correto.

Biometria sintética

• Faces livres de direito: thispersondoesnotexist.com — fotos geradas por GAN, não correspondem a pessoa real.
• Liveness: o ambiente HML tem o feature flag forceSandboxSimulation que aceita placeholders quando o tenant é self-serve HML. Veja hosted-liveness-testing.md.
• Documentos de identidade: use templates fictícios — RG fake, CNH fake — disponíveis em sites de design para mockups. Nunca a foto real do seu RG.

Documentos PDF

PDFs com lorem ipsum + cláusulas genéricas. O verificador HML aceita qualquer PDF de até 10 MB. Não envie contratos reais de clientes para "testar como ficaria a interface".

Retenção em HML

Categoria	Retenção
Documentos	90 dias
Evidence Packs de HML	90 dias
Templates biométricos (sintéticos)	30 dias
Logs de aplicação de HML	30 dias
Tokens OAuth2 de HML	conforme expiração (15 min)

Após esses prazos, eliminação física. Se você precisa de retenção mais longa para certificação, abra ticket — Enterprise pode negociar HML dedicado com retenção customizada.

Wipe sob solicitação

Se você acidentalmente enviou dado pessoal real para HML — pode acontecer, especialmente em integrações que ainda têm bug de roteamento prod/HML — solicite eliminação imediata em dpo@signdocs.com.br informando:

• client_id HML afetado
• Janela de tempo do envio (UTC)
• Tipo de dado pessoal envolvido (CPF, biometria, documento)
• Identidade do Titular (para que possamos confirmar a eliminação a ele, se for o caso)

Eliminamos em até 5 dias úteis e enviamos confirmação. Notificamos a ANPD se exigido pelo art. 48 da LGPD.

Roteamento prod/HML — armadilhas comuns

Bugs típicos que vazam dado real para HML:

1. Variável de ambiente trocada: BASE_URL apontando para HML enquanto o cliente acredita estar em produção. Fix: validar startup do servidor com um log explícito do BASE_URL resolvido.
2. Retry para o ambiente errado: wrapper de retry que cai num fallback URL configurado para HML. Fix: nunca configurar HML como fallback de prod.
3. Cache compartilhado de tokens: tokens HML válidos sendo usados em chamadas a endpoints prod ou vice-versa. Fix: cache de tokens chaveado por (env, client_id).
4. CI/CD com credenciais embaralhadas: secret manager devolvendo credenciais HML para um pipeline de prod. Fix: nomear segredos com prefixo de ambiente claro (hml/..., prod/...).
5. Usuário interno fazendo demo "ao vivo" em HML com dado real do prospect: o caso mais comum. Fix: política interna explícita + script demo com dados sintéticos.

Relacionamento com a AUP

Esta política é parte da Política de Uso Aceitável §4. Violação pode levar a suspensão da credencial HML e, em casos graves (volume significativo, dados sensíveis, repetição), à suspensão contratual.