🆕 Agora com proxy mTLS ephemeral — acesso real aos portais

Certificado digital A1
sem risco de vazamento

Seu colaborador acessa PJe, e-CAC e Gov.br com o certificado da empresa — sem jamais receber o arquivo .pfx. Controle total, rastreabilidade completa.

33+
Portais suportados
0
.pfx enviados por e-mail
100%
Acessos auditados
AES-256
Criptografia em repouso
O Problema

Como escritórios gerenciam
certificados hoje

E por que isso representa risco jurídico, financeiro e de LGPD.

📧

Arquivo .pfx por e-mail ou WhatsApp

A chave privada do titular trafega por mensageiros sem criptografia de ponta a ponta, exposta a capturas e vazamentos.

💻

Instalado em dezenas de máquinas

Cada colaborador instala o certificado localmente. Ex-funcionários continuam com a chave mesmo após demissão.

🔍

Zero rastreabilidade

Impossível saber quem assinou o quê, quando e de onde. Auditoria é inviável. Responsabilidade é difusa.

⚖️

Risco LGPD e responsabilidade civil

Uso indevido do certificado por ex-colaborador pode gerar ações judiciais contra o titular. Sem logs, sem defesa.

Como Funciona

Do upload ao acesso —
sem o .pfx na máquina do colaborador

1

Admin faz upload do .pfx no painel

O certificado é cifrado com AES-256-GCM (envelope DEK/KEK) e armazenado com segurança no servidor. A senha é validada em memória e descartada — nunca persiste.

✓ Senha nunca armazenada
2

Admin define política de acesso por colaborador

Qual certificado, quais portais, faixa de horário (ex.: seg–sex 08h–18h), período de vigência. O colaborador aceita o termo de responsabilidade digital.

✓ Controle granular
3

Colaborador clica "Acessar" na extensão Chrome

A extensão verifica permissão em tempo real: horário, dia da semana, vigência, portais permitidos. Acesso negado gera toast com motivo.

✓ Validação em tempo real
4

Proxy mTLS executa o handshake com o portal

A chave privada é descriptografada em memória RAM (tmpfs) por menos de 1ms, usada no handshake TLS e descartada. O portal autentica o colaborador sem que a chave nunca toque sua máquina.

✓ Chave nunca sai do servidor
5

Todo acesso registrado em log imutável

Audit log append-only com quem acessou, qual portal, quando e de qual IP. Tentativas bloqueadas também são registradas. Log disponível no painel admin com filtros.

✓ Rastreabilidade total
Funcionalidades

Tudo que você precisa
para certificados com segurança

🏦

Cofre de Certificados

Upload de múltiplos .pfx com criptografia de envelope AES-256-GCM. CPF e CNPJ mascarados nos metadados. Status de validade monitorado automaticamente.

👥

Gestão de Colaboradores

Cadastro com 2FA obrigatório. Concessões granulares por certificado, portal, horário, dia da semana e vigência. Revogação imediata com efeito instantâneo.

🔐

Proxy mTLS Ephemeral

Autenticação com certificado A1 em portais mTLS sem instalar o .pfx. Chave privada em RAM por menos de 1ms. Cookies de sessão injetados pela extensão Chrome.

📋

Auditoria Append-Only

Log imutável de todos os eventos: uploads, concessões, acessos, bloqueios, revogações. Filtros por ação, usuário, data e recurso. Exportação futura.

📊

Dashboard em Tempo Real

Certificados vencendo em 30 dias, termos pendentes de aceite, acessos e tentativas bloqueadas hoje. Números absolutos, sem percentuais enganosos.

🧩

Extensão Chrome MV3

Popup 3 abas: Certificados, Portais e Histórico. Login com 2FA. Status do proxy em tempo real. Tokens em chrome.storage.session (volátil). Build para Web Store.

🏢

Multi-Tenant

Isolamento por schema PostgreSQL. Cada escritório/empresa é um tenant independente com seus certificados, colaboradores e logs completamente separados.

📜

Termo de Responsabilidade

Cada colaborador assina digitalmente antes do primeiro acesso. Registro com timestamp no audit log. Prova jurídica de aceite de uso.

Portais Suportados

33+ portais jurídicos
e governamentais

🔐 = requer mTLS (autenticação com certificado). Novos portais adicionados mensalmente.

⚖️ Tribunais / Justiça

PJe (todos os TJs) e-SAJ (TJSP, TJSC, TJMS) PROJUDI (TJGO, TJPR, TJMT) EPROC (TRF4, TRF1) SEEU PJe Calc Tucujuris (TJAP) TST STF STJ

🏛️ Receita / Governo

e-CAC (Receita Federal) Gov.br eSocial REDESIM SEFAZ (por estado) Conectividade Social (CAIXA) SISCOMEX eConsig PGFN

🔗 Outros

Juntas Comerciais (JUCEG, JUCESP) INSS (Meu INSS) DETRAN (por estado) e-Notariado Cartórios digitais
Planos

Simples e transparente

Sem taxa de setup. Cancele quando quiser. Todos os planos incluem suporte via WhatsApp.

Starter
R$ 149/mês
Para escritórios pequenos ou teste em produção.
  • Até 5 certificados A1
  • Até 10 colaboradores
  • Extensão Chrome inclusa
  • Audit log completo
  • Suporte WhatsApp
  • Proxy mTLS automático
  • Multi-tenant
  • API de integração
MAIS POPULAR
Profissional
R$ 349/mês
Para escritórios em crescimento com múltiplos certificados.
  • Até 20 certificados A1
  • Até 50 colaboradores
  • Extensão Chrome inclusa
  • Audit log completo
  • Suporte WhatsApp prioritário
  • Proxy mTLS automático
  • Multi-tenant
  • API de integração
Enterprise
Sob consulta
Para contabilidades, grupos jurídicos e implantadores.
  • Certificados ilimitados
  • Colaboradores ilimitados
  • Extensão Chrome inclusa
  • Audit log completo
  • Suporte dedicado
  • Proxy mTLS automático
  • Multi-tenant (revenda)
  • API de integração

Todos os planos com teste gratuito de 14 dias · Sem cartão de crédito

Segurança

Projetado como custodiante
de chave privada de terceiros

Cada decisão de arquitetura foi tomada tendo a chave privada como o ativo mais sensível do sistema.

🔑

Chave privada nunca em disco em claro

Escrita em /dev/shm (RAM tmpfs) por menos de 1ms durante o handshake mTLS e deletada no finally antes de qualquer await.

🛡️

Criptografia de envelope AES-256-GCM

Cada .pfx cifrado com DEK (chave de dados) aleatória única. DEK cifrada pela KEK (variável de ambiente — nunca no banco).

🌐

Proxy na rede interna Docker

O serviço proxy nunca é exposto publicamente. key_pem trafega apenas via rede Docker interna no mesmo host VPS.

📋

Audit log append-only

Nenhum endpoint de edição ou exclusão de registros. Todo acesso, bloqueio e sessão mTLS é registrado com IP e user-agent.

⏱️

Revogação imediata

Ao revogar uma concessão, o próximo request da extensão já é bloqueado. Sem delay, sem cache. Ex-colaborador cortado na hora.

🔒

Tokens voláteis na extensão

JWT armazenado em chrome.storage.session — descartado automaticamente ao fechar o browser. Nada persiste no dispositivo do colaborador.

🤝

Termo de responsabilidade digital

Colaborador só acessa após aceite registrado no audit log com timestamp. Prova jurídica de que foi informado e concordou.

🏠

Multi-tenant isolado

Cada tenant tem schema PostgreSQL próprio. Impossível acesso cruzado entre escritórios por bug ou injeção de schema.

Contato

Pronto para eliminar o
.pfx no e-mail?

Fale agora com nossa equipe e tenha o CertFlow funcionando ainda hoje.

Atendimento via WhatsApp · Resposta em até 2 horas em dias úteis

ou
[email protected]