Autenticação

Autenticação

Autentique na API WaBlast com uma chave Bearer wak_. Validações, erro 401 e gestão de chaves.

Toda chamada autenticada envia um header HTTP Bearer (RFC 6750):

Authorization: Bearer wak_<sua_chave>

Chaves sem o prefixo wak_ são rejeitadas imediatamente. A chave é criada no painel em /developers/keys.

Validações a cada request

A chave começa com wak_.
Existe no banco (lookup por hash).
Não está revogada (revokedAt nulo).
Não está expirada (expiresAt nulo ou no futuro).

O backend armazena apenas o hash SHA-256(pepper + chave); a comparação é feita em tempo constante.

Toda chamada autenticada resolve o usuário dono da chave e todas as queries são escopadas a esse usuário — não há acesso cross-tenant.

A chave é exibida uma única vez no momento da criação (formato wak_ + segredo base64url de 24 bytes ≈ 36 chars). Guarde-a em local seguro (vault, variável de ambiente, gerenciador de segredos).

Erro de autenticação (401)

{ "error": "Chave de API ausente, inválida ou revogada", "code": "UNAUTHENTICATED" }

HTTP	code	Quando
401	`UNAUTHENTICATED`	API key ausente, inválida, revogada ou expirada

Gerenciamento de chaves

A criação, listagem, revogação e rotação são feitas pelo painel em /developers/keys.

Criar — gera chave nova; texto puro exibido uma única vez.
Listar — mostra metadados (sem o segredo).
Revogar — marca revokedAt. Não pode ser desfeita.
Rotacionar — cria nova chave e revoga a antiga em transação atômica. O expiresAt é herdado. Texto puro da nova chave exibido uma única vez.

Versão 1.0 — Março de 2025

1. Das Partes e Definições

O presente Termo de Uso regula a relação entre o Contratante (usuário da Plataforma) e a WaBlast (Contratada). Para fins deste Termo, aplicam-se as seguintes definições:

Plataforma: Sistema SaaS de gateway que intermedia o acesso às APIs da Meta.
APIs Meta: Interfaces de programação disponibilizadas pela Meta para WhatsApp Business API, Instagram Graph API e Facebook Graph API.
Mensagens Aprovadas: Conteúdos previamente aprovados pela Meta conforme suas políticas de uso (ex.: templates HSM para WhatsApp).
Créditos / Saldo: Unidade de cobrança associada ao consumo das APIs dentro da Plataforma.
Usuário Final: Destinatário das mensagens enviadas pelo Contratante por meio da Plataforma.

2. Objeto

A Plataforma oferece um gateway de integração que permite ao Contratante:

Conectar-se às APIs da Meta (WhatsApp, Instagram e Facebook) por meio de uma interface unificada, segura e monitorada.
Enviar mensagens aprovadas (templates HSM, respostas, notificações e demais formatos autorizados pela Meta).
Gerenciar números de telefone, contas de negócios (WABA), páginas do Facebook e contas do Instagram via painel administrativo.
Monitorar em tempo real métricas de entrega, leitura, falhas e custos de uso das APIs.
Consumir serviços adicionais como webhooks configuráveis, roteamento inteligente, relatórios analíticos e integrações com CRMs.
Realizar pagamentos pelo consumo das APIs diretamente na Plataforma.

3. Condições de Uso das APIs da Meta

3.1 O Contratante reconhece e concorda que:

O uso da Plataforma é condicionado ao cumprimento das Políticas de Uso das Plataformas Meta, das Políticas do WhatsApp Business e das Diretrizes da Comunidade do Instagram e do Facebook.
O envio de mensagens ocorre exclusivamente dentro dos formatos e limites estabelecidos pela Meta.
A Meta pode, a qualquer momento e a seu exclusivo critério, suspender, alterar ou encerrar o acesso às suas APIs.
A Plataforma atua exclusivamente como intermediária técnica.

3.2 É expressamente vedado ao Contratante:

Enviar mensagens não solicitadas (spam) ou que violem as políticas de opt-in da Meta.
Usar a Plataforma para fins ilegais, fraudulentos, difamatórios ou discriminatórios.
Compartilhar, revender ou sublicenciar o acesso às APIs da Meta sem autorização.
Tentar contornar ou comprometer os sistemas de segurança da Plataforma ou da Meta.
Enviar conteúdo que promova violência, ódio, material adulto ou qualquer forma de conteúdo ilegal.

4. Cadastro e Responsabilidades do Contratante

4.1 Para utilizar a Plataforma, o Contratante deve:

Fornecer informações cadastrais verdadeiras, completas e atualizadas.
Manter sigilo sobre suas credenciais de acesso (login, senha, tokens de API).
Notificar imediatamente a Plataforma em caso de acesso não autorizado.
Possuir uma conta Meta Business Manager regularmente verificada e ativa.
Garantir que os Usuários Finais consentiram em receber mensagens (opt-in).

4.2 O Contratante é o único responsável pelo conteúdo das mensagens enviadas, pela gestão dos opt-ins/opt-outs e pelo cumprimento das leis aplicáveis.

5. Serviços, Planos e Pagamento

A Plataforma adota modelo de cobrança baseado em consumo (pay-as-you-go) e/ou planos de assinatura.
O Contratante deve manter saldo suficiente para garantir a continuidade dos envios.
Os valores são cobrados em Reais (BRL) e sujeitos a reajuste anual com aviso prévio de 30 dias.
Não são devidas restituições por créditos não utilizados, salvo nos casos previstos neste Termo.
Em caso de inadimplência superior a 5 dias úteis, a Plataforma poderá suspender o acesso.

6. Disponibilidade e SLA

A Plataforma envidará esforços comercialmente razoáveis para garantir disponibilidade de 99,5% ao mês, excluindo janelas de manutenção programada, indisponibilidades das APIs da Meta e casos de força maior.

7. Propriedade Intelectual

Todos os direitos relativos à Plataforma são de titularidade exclusiva da WaBlast.
O Contratante recebe licença de uso limitada, não exclusiva, intransferível e revogável.
O Contratante mantém todos os direitos sobre os dados e conteúdos que inserir na Plataforma.

8. Vigência e Rescisão

Este Termo entra em vigor na data de aceite e permanece vigente até que uma das partes o rescinda.
O Contratante pode cancelar sua conta a qualquer momento.
A Plataforma pode encerrar o acesso imediatamente em caso de violação deste Termo, uso fraudulento ou solicitação da Meta.
Rescisão por conveniência: qualquer das partes pode rescindir com aviso prévio de 30 dias, sem multa.

9. Limitação de Responsabilidade

A Plataforma não será responsável por danos indiretos, lucros cessantes, perda de dados, falhas das APIs da Meta, conteúdo enviado pelo Contratante ou penalidades impostas pela Meta.

10. Alterações do Termo

A Plataforma reserva-se o direito de alterar este Termo a qualquer momento, comunicando o Contratante com antecedência mínima de 15 dias. O uso continuado implica aceite das novas condições.

11. Foro e Lei Aplicável

Este Termo é regido pelas leis da República Federativa do Brasil. Fica eleito o foro da Comarca de Brasília/DF para dirimir quaisquer controvérsias.

Versão 1.0 — Março de 2025

Esta Política de Privacidade descreve como a WaBlast coleta, usa, armazena, compartilha e protege os dados pessoais do Contratante e dos Usuários Finais, em conformidade com a Lei Geral de Proteção de Dados (LGPD), o GDPR e demais legislações aplicáveis.

1. Controladora e Operadora de Dados

O Contratante atua como Controlador dos dados de seus Usuários Finais, sendo a WaBlast Operadora em relação a esses dados.

2. Dados Coletados

2.1 Dados do Contratante:

Dados cadastrais: razão social ou nome, CNPJ/CPF, endereço, e-mail, telefone.
Dados de acesso: IP de login, dispositivo, navegador, timestamps de sessão.
Dados financeiros: informações de pagamento (tokenizadas por gateway seguro — não armazenamos dados brutos de cartão).
Dados de uso: logs de requisições às APIs, templates cadastrados, volumes de envio, relatórios gerados.

2.2 Dados dos Usuários Finais (coletados em nome do Contratante):

Número de telefone (WhatsApp).
ID de usuário do Facebook/Instagram (quando aplicável).
Conteúdo das mensagens trocadas via Plataforma.
Metadados de entrega: timestamps, status de leitura, erros de envio.

2.3 Dados técnicos de operação das APIs da Meta:

Tokens de acesso (criptografados em repouso).
IDs de contas de negócios (WABA ID, Phone Number ID, Business ID).
Webhooks recebidos da Meta.

3. Compartilhamento de Dados

Meta Platforms, Inc.: Dados necessários para o funcionamento das APIs são transmitidos à Meta conforme exigido pela integração.
Provedores de infraestrutura: Servidores em nuvem, processadores de pagamento e ferramentas de monitoramento, todos sob acordos de confidencialidade.
Autoridades públicas: Quando exigido por lei, ordem judicial ou requisição de autoridade competente.

A WaBlast não vende, aluga ou comercializa dados pessoais de seus clientes ou Usuários Finais com terceiros para fins publicitários.

4. Transferência Internacional de Dados

Em razão da integração com a infraestrutura da Meta (sediada nos EUA) e provedores de nuvem internacionais, dados pessoais podem ser transferidos para fora do Brasil. Essas transferências ocorrem com base em cláusulas contratuais padrão aprovadas pela ANPD e Standard Contractual Clauses (SCCs).

5. Segurança dos Dados

A WaBlast adota medidas técnicas e organizacionais para proteger os dados pessoais:

Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
Autenticação multifator (MFA) para acesso ao painel administrativo.
Controles de acesso baseados em perfil (RBAC).
Monitoramento contínuo de segurança com alertas automáticos.
Testes periódicos de penetração (pentests) e auditorias de segurança.
Plano de resposta a incidentes documentado e testado.

Em caso de incidente de segurança, a WaBlast notificará o Contratante em até 72 horas e a ANPD conforme exigido pela LGPD.

6. Direitos dos Titulares de Dados

Nos termos da LGPD e do GDPR, o Contratante e os Usuários Finais possuem os seguintes direitos:

Confirmação e Acesso: Confirmar a existência de tratamento e obter cópia dos dados.
Correção: Solicitar a correção de dados incompletos ou inexatos.
Anonimização, Bloqueio ou Eliminação: Dos dados desnecessários ou tratados em desconformidade.
Portabilidade: Receber os dados em formato estruturado e interoperável.
Eliminação: Solicitar a exclusão dos dados tratados com base em consentimento.
Revogação do consentimento: A qualquer momento, sem prejuízo aos tratamentos anteriores.
Oposição: Contestar tratamentos baseados em legítimo interesse.

7. Cookies e Tecnologias de Rastreamento

Cookies essenciais: Necessários para autenticação e funcionamento básico.
Cookies analíticos: Para medir o uso da Plataforma (dados anonimizados).
Cookies de preferências: Para salvar configurações do usuário.

8. Menores de Idade

A Plataforma não é direcionada a pessoas menores de 18 anos. Não coletamos intencionalmente dados de menores.

9. Atualizações desta Política

Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas ao Contratante por e-mail com antecedência mínima de 15 dias.

Em conformidade com a Lei n. 13.709/2018 (LGPD)

Nosso Compromisso

A WaBlast está comprometida com a proteção de dados pessoais e com o cumprimento integral da Lei Geral de Proteção de Dados (LGPD). Atuamos como Operadora de Dados em relação aos dados dos Usuários Finais de nossos clientes, e como Controladora dos dados cadastrais dos Contratantes.

Bases Legais Utilizadas

O tratamento de dados pessoais na WaBlast ocorre com base nas seguintes fundamentações legais previstas na LGPD:

Execução de contrato (Art. 7, V): Para prestação dos serviços contratados.
Consentimento (Art. 7, I): Quando aplicável, especialmente para comunicações de marketing.
Legítimo interesse (Art. 7, IX): Para melhorias na Plataforma e prevenção a fraudes.
Cumprimento de obrigação legal (Art. 7, II): Para atender requisitos fiscais, contábeis e regulatórios.

Medidas de Segurança Implementadas

Criptografia AES-256-GCM para tokens e dados sensíveis em repouso.
Criptografia TLS 1.2+ para todos os dados em trânsito.
Autenticação multifator (MFA) obrigatória no painel administrativo.
Controle de acesso baseado em perfis (RBAC) com princípio do mínimo privilégio.
Monitoramento contínuo com alertas automáticos de anomalias.
Pentests periódicos e auditorias de segurança.
Plano de resposta a incidentes documentado e testado.

Seus Direitos como Titular

Conforme a LGPD, você possui os seguintes direitos:

Acesso: Saber quais dados pessoais tratamos sobre você.
Correção: Solicitar atualização de dados incompletos ou incorretos.
Anonimização ou Eliminação: De dados desnecessários ou excessivos.
Portabilidade: Receber seus dados em formato estruturado.
Revogação do consentimento: Retirar sua autorização a qualquer momento.
Oposição: Contestar tratamentos que considere inadequados.
Informação: Saber com quem seus dados são compartilhados.

Retenção e Eliminação de Dados

Os dados pessoais são retidos apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados, respeitando obrigações legais e regulatórias. Após o encerramento da conta, os dados são eliminados em até 90 dias, exceto quando houver obrigação legal de retenção.

Transferência Internacional

Dados podem ser transferidos para servidores localizados fora do Brasil em razão da integração com a Meta (EUA) e provedores de infraestrutura em nuvem. Essas transferências são protegidas por cláusulas contratuais padrão e mecanismos reconhecidos pela ANPD.

Incidentes de Segurança

Em caso de incidente de segurança envolvendo dados pessoais, a WaBlast se compromete a:

Notificar o Contratante afetado em ate 72 horas.
Comunicar a ANPD conforme exigido pela legislação.
Adotar medidas corretivas imediatas para mitigar os impactos.

Encarregado de Dados (DPO)

Para exercer seus direitos ou esclarecer dúvidas sobre o tratamento de seus dados pessoais, entre em contato com nosso Encarregado de Proteção de Dados:

E-mail: [email protected]

Respondemos em até 15 dias úteis.