Termos de Uso da API DripOS

Sumário

Definições
Aceitação e Vínculo Contratual
Escopo da API DripOS
Autenticação e Credenciais
Rate Limits e Quotas
Política de Uso Aceitável (AUP)
Uso Vedado e Abuso
Conteúdo Gerado por Cliente da API
Webhooks e Callbacks
Versionamento e Depreciação
Segurança e Notificação de Vulnerabilidade
Proteção de Dados (LGPD)
Suspensão, Banimento e Revogação
SLA e Disponibilidade
Logging, Auditoria e Monitoramento
Custos e Faturamento da API
Propriedade Intelectual
Indenização
Limitação de Responsabilidade
Disposições Gerais

Resumo: A API DripOS é a interface programática da plataforma DripHub, destinada a Produtores e desenvolvedores autorizados. Estes Termos definem como você se autentica, quais limites de uso se aplicam, o que é proibido fazer (scraping massivo, revenda da API, ataques), como tratamos seus dados e como suspendemos contas abusivas.

1. Definições

"API DripOS" ou "API": conjunto de endpoints HTTP/HTTPS, mecanismos de autenticação, webhooks e bibliotecas oficiais (SDKs), publicados pela DripHub para acesso programático às funcionalidades da Plataforma, com base URL atual em https://driphub.com.br/api/ e subdomínios correlatos.
"Cliente da API": pessoa física ou jurídica que consome a API, sendo: (i) o próprio Produtor, com credenciais emitidas em seu painel; ou (ii) desenvolvedor autorizado contratado pelo Produtor, atuando em nome dele com credenciais delegadas.
"Credencial": chave de API (API Key), token Bearer, par de chaves para assinatura HMAC ou outro mecanismo de autenticação emitido pela DripHub.
"Endpoint": URL específica que aceita uma operação (ex.: POST /api/produtos).
"Rate Limit": limite quantitativo de requisições em janela temporal, definido por endpoint, plano e Cliente.
"Quota": limite agregado por período (diário/mensal) sobre volume de requisições, dados retornados ou operações executadas.
"Webhook": evento HTTP que a DripHub envia para uma URL configurada pelo Cliente da API.
"Termos do Produtor": o documento Termos de Uso do Produtor, ao qual estes Termos da API se subordinam.

2. Aceitação e Vínculo Contratual

2.1. O acesso à API DripOS é facultado exclusivamente a Produtores ativos da Plataforma e a desenvolvedores autorizados por eles, mediante: (i) aceite eletrônico destes Termos no painel administrativo; (ii) geração de Credencial no painel; (iii) utilização efetiva da API. Qualquer requisição autenticada constitui manifestação de concordância com estes Termos na versão vigente.

2.2. Estes Termos são complementares e subordinados aos Termos do Produtor, à Política de Privacidade e ao Contrato de Operador LGPD (DPA), formando, em conjunto, o acordo contratual integral entre Cliente da API e DripHub. Em caso de conflito quanto ao uso programático da Plataforma, prevalecem estes Termos.

3. Escopo da API DripOS

3.1. A API DripOS permite, conforme as funcionalidades publicadas no painel e na documentação:

Consulta a produtos, ofertas, planos, cupons e checkouts do Produtor;
Criação, edição e arquivamento de produtos e ofertas;
Consulta a vendas, contatos, conversas, status de entrega e relatórios;
Operações em afiliados, integrações e configurações;
Integração com webhooks de eventos da Plataforma;
Outras operações documentadas em driphub.com.br/api/docs (ou URL equivalente vigente).

3.2. A API DripOS não é:

Gateway de pagamento — operações financeiras seguem o gateway próprio do Produtor (vide Seção 7 dos Termos do Produtor);
Interface pública anônima — todo acesso exige Credencial autenticada;
Substituta da Política de Privacidade — o Cliente da API permanece responsável por respeitar a LGPD em qualquer operação que faça com dados pessoais via API.

4. Autenticação e Credenciais

4.1. Tipos de Credencial

API Key estática (Authorization: Bearer <key>): para uso server-to-server.
Token de sessão: para integrações que utilizam OAuth ou autenticação delegada (quando disponível).
Assinatura HMAC (em endpoints sensíveis): cabeçalho X-DripOS-Signature contendo HMAC-SHA256 do corpo da requisição com chave secreta compartilhada.

4.2. Custódia e Confidencialidade

4.2.1. Credenciais são pessoais, intransferíveis e confidenciais. O Cliente da API obriga-se a armazená-las em meio seguro (cofre de segredos, variáveis de ambiente, gerenciadores de credenciais), nunca em código-fonte versionado, código cliente (browser/mobile sem proxy) ou em logs persistidos.

4.2.2. Em caso de comprometimento (vazamento, suspeita, perda), o Cliente da API obriga-se a rotacionar imediatamente a Credencial via painel e notificar a DripHub em até 24 (vinte e quatro) horas pelo e-mail seguranca@driphub.com.br.

4.3. Rotação

A DripHub recomenda rotação periódica de Credenciais (até a cada 90 dias) e poderá, a seu critério, forçar rotação em casos de risco identificado (anomalia, vazamento detectado em fontes públicas, comprometimento de infraestrutura).

5. Rate Limits e Quotas

5.1. A API DripOS aplica limites de uso para preservar a estabilidade da Plataforma e a equidade entre Clientes. Os limites vigentes estão publicados em driphub.com.br/api/docs#limits e podem ser ajustados mediante notificação prévia.

5.2. Valores de referência (sujeitos a atualização — consultar painel):

Categoria	Limite padrão	Janela
Leitura (GET) por endpoint	60 req	por minuto
Escrita (POST/PUT/DELETE)	30 req	por minuto
Endpoints de relatórios	10 req	por minuto
Total agregado por Credencial	10.000 req	por dia

5.3. Quando o limite é excedido, a API responde com HTTP 429 Too Many Requests e cabeçalhos Retry-After, X-RateLimit-Limit, X-RateLimit-Remaining e X-RateLimit-Reset. É obrigação do Cliente da API implementar backoff exponencial e respeitar os cabeçalhos — comportamento de "tight loop" após 429 será tratado como abuso (Seção 7).

5.4. Limites superiores podem ser concedidos mediante (i) plano enterprise; (ii) caso de uso devidamente justificado e aprovado; (iii) acordo comercial específico.

6. Política de Uso Aceitável (AUP)

Ao utilizar a API DripOS, o Cliente compromete-se a:

Utilizar a API exclusivamente para integrar sua própria operação (ou de seu cliente Produtor, no caso de desenvolvedor autorizado);
Implementar tratamento adequado de erros (retry com backoff, idempotência onde aplicável via Idempotency-Key);
Respeitar Rate Limits e Quotas, ajustando arquitetura quando necessário (filas, batching, cache);
Validar e sanitizar dados recebidos pela API antes de processá-los, especialmente quando exibidos a usuários finais (prevenção de XSS, injeção);
Manter as bibliotecas/SDKs oficiais (quando disponíveis) atualizados em versão segura e suportada;
Caching responsável — respeitar cabeçalhos Cache-Control e ETag retornados; não armazenar dados pessoais em cache além do necessário e sempre observando a LGPD;
Reportar bugs e vulnerabilidades por seguranca@driphub.com.br antes de qualquer divulgação pública (responsible disclosure — vide Seção 11);
Não fazer engenharia reversa para mapear endpoints não-documentados; uso de endpoints internos não-publicados é vedado (Seção 7);
Identificar adequadamente o Cliente em todas as requisições via cabeçalho User-Agent com nome do produto/versão (ex.: MeuAppDoProdutor/1.4 (https://meusite.com));
Cumprir todas as obrigações dos Termos do Produtor, em especial Conteúdo Proibido (Seção 12 daquele documento) e Comunicações (Seção 16).

7. Uso Vedado e Abuso

As práticas abaixo são vedadas e podem ensejar banimento imediato, sem notificação prévia, mais responsabilização civil e criminal cabíveis.

7.1. Abuso Técnico

Burlar, evadir ou tentar ofuscar Rate Limits e Quotas (rotação de IP, múltiplas contas, sleep aleatório para esconder padrões, etc.);
Ataques de negação de serviço (DoS/DDoS), seja proposital ou por integração mal configurada que cause "tight loop" persistente;
Tentativas de injeção de payloads maliciosos (SQL injection, XXE, deserialização insegura, command injection);
Acesso a endpoints internos não-documentados, recursos de outros Produtores, contas de teste ou áreas administrativas;
Engenharia reversa de mecanismos de autenticação ou de assinatura;
Scraping massivo de dados ou tentativa de exportação completa de bases (ex.: enumeração sequencial de IDs);
Compartilhar Credenciais entre Clientes distintos.

7.2. Abuso Comercial

Revender, sublicenciar ou expor a API DripOS como serviço próprio a terceiros sem acordo comercial específico com a DripHub;
Construir produto concorrente (clonar funcionalidades, replicar dados estruturais) a partir da API;
Utilizar a API para finalidades fraudulentas, ilegais, enganosas ou em violação das listas de Conteúdo Proibido dos Termos do Produtor;
Utilizar a API para envio de comunicações em massa sem o consentimento exigido (vide Seção 16 dos Termos do Produtor e regras WhatsApp/Meta);
Coletar dados de Compradores via API para finalidade diversa da operação do próprio Produtor (data brokering, treinamento de modelos de IA externos sem consentimento, perfilamento para terceiros).

7.3. Abuso de Dados

Acessar, copiar, exportar ou tratar dados pessoais sem base legal LGPD adequada;
Combinar dados obtidos via API com fontes externas para reidentificação de titulares sem base legal específica;
Utilizar a API para vigilância indevida, inteligência competitiva sobre outros Produtores ou qualquer prática que ofenda direitos personalíssimos.

8. Conteúdo Gerado por Cliente da API

8.1. Todo dado criado, modificado ou submetido pelo Cliente da API via endpoints da API DripOS é tratado como Conteúdo do Produtor para fins dos Termos do Produtor (Seção 14 daquele documento), incluindo licença de uso, declaração de titularidade e indenização à DripHub por reclamações de terceiros.

8.2. O Cliente da API é o responsável legal e jurídico por todo o conteúdo que insere via API, independentemente de a inserção ser realizada manualmente ou por scripts automatizados.

9. Webhooks e Callbacks

9.1. Configuração

O Cliente da API pode registrar URLs para receber eventos da Plataforma (vendas concluídas, status atualizados, conversas recebidas etc.). Requisitos:

URL deve ser HTTPS com certificado válido (TLS 1.2+);
Endpoint deve responder em até 5 (cinco) segundos, retornando HTTP 2xx;
Validar assinatura via cabeçalho X-DripOS-Signature (HMAC-SHA256 do corpo com a chave secreta do webhook) antes de processar o evento — eventos sem assinatura válida devem ser rejeitados.

9.2. Idempotência e Retry

A DripHub reentrega webhooks com falha (HTTP 5xx, timeout, conexão recusada) em política de retry exponencial por até 24 horas. Cabeçalhos X-DripOS-Event-Id e X-DripOS-Delivery-Id permitem deduplicação — é obrigação do receptor implementar processamento idempotente.

9.3. Suspensão Automática

Webhook que apresenta falha superior a 80% das entregas por 24 horas é automaticamente suspenso e o Cliente da API recebe notificação no painel para reativar após corrigir o endpoint.

10. Versionamento e Depreciação

10.1. A API DripOS adota versionamento via prefixo de URL (ex.: /api/v1/..., /api/v2/...) ou cabeçalho X-DripOS-Version, conforme indicado na documentação.

10.2. Em caso de mudança não-retrocompatível, a DripHub:

Anuncia a depreciação com no mínimo 90 (noventa) dias de antecedência;
Mantém a versão antiga operacional durante o período de migração;
Comunica via e-mail e painel, e marca a versão como deprecated nos cabeçalhos de resposta (Deprecation: true, Sunset: <data>);
Provê guia de migração na documentação.

10.3. Mudanças retrocompatíveis (novos campos opcionais, novos endpoints, ampliação de limites) podem ocorrer a qualquer tempo sem aviso prévio.

11. Segurança e Notificação de Vulnerabilidade

11.1. A DripHub mantém programa de responsible disclosure. Vulnerabilidades identificadas devem ser comunicadas por seguranca@driphub.com.br com:

Descrição técnica do problema;
Passos de reprodução;
Impacto estimado;
(Opcional) PoC sem causar dano a dados de terceiros ou indisponibilidade.

11.2. A DripHub se compromete a (i) acusar recebimento em até 48 horas; (ii) classificar e iniciar tratamento em até 7 dias; (iii) corrigir vulnerabilidades críticas em prazo razoável; (iv) reconhecer publicamente o pesquisador, se desejado.

11.3. Pesquisadores que atuem de boa-fé dentro do escopo desta política não serão objeto de medidas legais por parte da DripHub, desde que não exfiltrem dados de terceiros, não comprometam disponibilidade, não monetizem a vulnerabilidade antes do disclosure e respeitem o prazo de coordenação.

12. Proteção de Dados (LGPD)

12.1. O Cliente da API é o Controlador dos dados pessoais que ele submete via API (na qualidade de Produtor ou agindo em nome dele). A DripHub atua como Operadora, nos termos do DPA.

12.2. Logs de uso da API DripOS (timestamps, endpoints, IP de origem, User-Agent, Credencial utilizada, código de resposta) são tratados pela DripHub como Controladora, com finalidade de segurança, auditoria, antifraude e cumprimento de obrigação legal, observada a base legal de legítimo interesse (art. 7º, IX da LGPD) e a Seção 6 da Política de Privacidade.

12.3. O Cliente da API obriga-se a obter as bases legais necessárias para todo dado pessoal que ele insere, atualiza ou consulta via API.

13. Suspensão, Banimento e Revogação

A DripHub poderá, a seu critério e mediante fundamentação a posteriori se urgente:

Throttling — reduzir o Rate Limit aplicável a uma Credencial;
Suspensão temporária — bloquear a Credencial por período definido;
Revogação — invalidar permanentemente a Credencial;
Banimento — bloquear o Cliente da API em todas as suas Credenciais e impedir a emissão de novas.

Acionamento das medidas pode decorrer de: violação destes Termos, abuso técnico ou comercial (Seção 7), inadimplemento da taxa de plataforma (vide Seção 8 dos Termos do Produtor), ordem judicial ou administrativa, risco material à integridade da Plataforma ou de terceiros.

14. SLA e Disponibilidade

14.1. A DripHub envidará esforços razoáveis para manter a API DripOS com disponibilidade-alvo de 99,5% (noventa e nove vírgula cinco por cento) ao mês, agregada, excluindo: (i) janelas de manutenção programada comunicadas com 24h de antecedência; (ii) indisponibilidades de provedores terceiros (gateways, AI, Meta, Cloudflare); (iii) caso fortuito e força maior; (iv) ataques cibernéticos a infraestrutura.

14.2. O status em tempo real está em driphub.com.br/status. Eventual descumprimento de SLA não enseja indenização automática, ressalvada a Seção 19.

15. Logging, Auditoria e Monitoramento

15.1. A DripHub mantém logs detalhados de todas as requisições à API DripOS (endpoint, método, status, IP, User-Agent, Credencial parcial, tempo de resposta, payload-hash quando aplicável) pelo prazo mínimo de 6 (seis) meses (Marco Civil da Internet, art. 15) e pelo prazo necessário ao cumprimento de obrigações de segurança, antifraude e legais.

15.2. A DripHub poderá analisar tais logs para detectar padrões de abuso, anomalias e ataques, podendo aplicar medidas da Seção 13 automaticamente em casos críticos.

15.3. O Cliente da API pode solicitar exportação de seus próprios logs de uso pelo painel ou por dpo@driphub.com.br, observados os direitos LGPD.

16. Custos e Faturamento da API

16.1. O uso da API DripOS dentro dos limites do plano contratado pelo Produtor não gera custo adicional além da taxa de plataforma (Seção 8 dos Termos do Produtor).

16.2. Caso a DripHub passe a oferecer planos enterprise com limites estendidos, recursos premium (rate limits maiores, suporte prioritário, SLA garantido contratualmente, acesso a recursos beta), a contratação observará condições comerciais publicadas e adendo específico a estes Termos.

17. Propriedade Intelectual

17.1. A DripHub mantém todos os direitos sobre a API DripOS, seus endpoints, documentação, especificação OpenAPI, SDKs oficiais, mascotes/logos e marcas relacionadas. O Cliente da API recebe licença limitada, não-exclusiva, intransferível e revogável para consumir a API conforme estes Termos.

17.2. O Cliente da API pode mencionar publicamente que utiliza a API DripOS para integrar sua operação, observada a vedação a uso indevido da marca (não usar como nome do próprio produto, não confundir consumidores).

18. Indenização

O Cliente da API obriga-se a defender, indenizar e isentar a DripHub, suas controladoras, controladas, coligadas, sócios, administradores, empregados e prepostos, de toda e qualquer reclamação, processo, perda, dano, multa, custa, honorário advocatício ou despesa decorrente, direta ou indiretamente, de: (i) violação destes Termos; (ii) violação dos Termos do Produtor; (iii) violação de direitos de terceiros (PI, dados pessoais, honra) decorrente do uso da API; (iv) sanções regulatórias por uso inadequado.

19. Limitação de Responsabilidade

Aplica-se à API DripOS a mesma limitação prevista na Seção 22 dos Termos do Produtor — cap monetário equivalente ao maior valor entre (i) a soma das taxas pagas nos 12 meses anteriores ou (ii) R$ 10.000,00, excluídos danos indiretos (lucros cessantes, perda de chance, danos consequenciais).

20. Disposições Gerais

20.1. Alterações. A DripHub poderá modificar estes Termos a qualquer tempo. Alterações materiais serão comunicadas com 15 (quinze) dias de antecedência. Versões anteriores ficam em /landing/legal/historico-versoes.html.

20.2. Foro. Aplica-se o foro da Comarca de São Paulo/SP, conforme Seção 32 dos Termos do Produtor.

20.3. Contato.
Suporte técnico da API: api@driphub.com.br
Segurança / vulnerabilidades: seguranca@driphub.com.br
Encarregado (DPO): dpo@driphub.com.br

Versão: 1.0 · Vigência: 11 de maio de 2026
Aceite: registrado no painel administrativo ao gerar primeira Credencial e a cada nova versão material.
Hash do documento (SHA-256): a ser computado na publicação