Segurança e operação

A chave não é salva em texto puro.

Secret key para backend; public key para widget/frontend com escopos limitados e origem permitida.

Cartão é processado pela Stripe.

Limite por minuto e mensal por plano, com bloqueio automático ao exceder.

HSTS, CSP, bloqueios de rotas sensíveis, backup diário do SQLite e rotação de logs.

Checkout via Stripe, webhook assinado, provisionamento automático de API key e desativação por eventos de assinatura vencida/cancelada.