Technology & Standards

Stack Técnico Documentado e Arquitetura Aberta

Zero caixa-preta. Zero vendor lock-in. Documentamos publicamente nossa arquitetura, stack tecnológico, integrações e práticas de desenvolvimento. Seus dados são seus — APIs abertas, export facilitado, integrações nativas. Open architecture não é marketing, é filosofia operacional.

API-First Architecture

150+ Integrações Nativas

Multi-Region Data Residency

Open Standards (REST + GraphQL)

Visão Geral da Arquitetura

Frontend Layer

Interface do usuário e aplicações client-side

Next.js 14 (React 18)

shadcn/ui + TailwindCSS

Zustand + React Query

Vercel / CloudFront CDN

SSR/SSG Hybrid

API Layer

APIs RESTful e GraphQL para comunicação

REST API: Express.js (Node.js)

GraphQL API: Apollo Server

OAuth 2.0 + JWT (RS256)

RBAC (Role-Based Access Control)

AWS API Gateway / Kong

Application Layer (Microservices)

Lógica de negócio em microserviços event-driven

Node.js 18+ / Python 3.11+

Event-driven architecture

REST + gRPC (sync)

RabbitMQ / AWS SQS (async)

Docker + Kubernetes (EKS)

Data Layer

Armazenamento, cache e processamento de dados

PostgreSQL 15 (AWS RDS)

Redis 7 (AWS ElastiCache)

Elasticsearch 8

AWS S3

BigQuery / Snowflake (analytics)

Infrastructure Layer

Cloud infrastructure e networking

AWS (multi-region)

CloudFront CDN

Route 53 DNS

Application Load Balancer

Datadog / Grafana + Prometheus

Stack Tecnológico Completo

Frontend

FrameworkNext.js 14

LanguageTypeScript

UI LibraryReact 18

StylingTailwindCSS 3

Componentsshadcn/ui

FormsReact Hook Form + Zod

StateZustand + React Query

ChartsRecharts / Chart.js

BuildTurbopack (Next.js native)

Backend

RuntimeNode.js 18 LTS / Python 3.11

FrameworkExpress.js / FastAPI

LanguageTypeScript / Python

API StandardsREST (OpenAPI 3.0) + GraphQL

ORMPrisma (Node.js) / SQLAlchemy (Python)

ValidationZod (TypeScript) / Pydantic (Python)

Database & Storage

RelationalPostgreSQL 15 (AWS RDS Multi-AZ)

CacheRedis 7 (AWS ElastiCache)

SearchElasticsearch 8

QueueRabbitMQ 3.12 / AWS SQS

Object StorageAWS S3 (Standard + Glacier)

CDNCloudFront

Infrastructure

CloudAWS (primary: sa-east-1, secondary: us-east-1)

ContainersDocker

OrchestrationKubernetes (Amazon EKS)

IaCTerraform

SecretsAWS Secrets Manager / Vault

NetworkingVPC, Subnets, Security Groups

Observability

MonitoringDatadog

MetricsPrometheus + Grafana

LoggingELK Stack

APMDatadog APM

Error TrackingSentry

UptimePingdom / UptimeRobot

Security

WAFAWS WAF (Web Application Firewall)

DDoS ProtectionAWS Shield

SecretsAWS Secrets Manager

EncryptionAWS KMS (Key Management Service)

Vulnerability ScanningQualys / Tenable

SIEMDatadog Security Monitoring

CI/CD

Version ControlGitHub

CIGitHub Actions

CDArgoCD (GitOps)

Container RegistryAmazon ECR

Artifact StorageAWS S3

Segurança e Criptografia (Detalhes Técnicos)

Encryption at Rest

Algorithm: AES-256-GCM

Database: RDS encryption enabled (KMS)

Object Storage: S3 Server-Side Encryption

Key Management: AWS KMS com automatic rotation (90 dias)

Encryption in Transit

Protocol: TLS 1.3 (minimum: TLS 1.2)

Cipher Suites: ECDHE-RSA-AES256-GCM-SHA384

Certificate: Let's Encrypt / AWS Certificate Manager

HSTS: enabled (max-age=31536000)

Application Security

Input Validation: Server-side validation obrigatória

SQL Injection: ORM usage + parameterized queries

XSS Protection: Content Security Policy (CSP)

CSRF Protection: CSRF tokens (SameSite cookies)

Authentication & Authorization

Protocol: OAuth 2.0 + OpenID Connect

Token: JWT (RS256 - asymmetric)

MFA: TOTP via Google Authenticator / Authy

Password Hashing: Argon2id

Integrações Nativas (150+)

Não fazemos 'integrações customizadas por projeto'. Desenvolvemos conectores nativos, testados e documentados que funcionam out-of-the-box.

ERPs

25+ integrações

CRMs

15+ integrações

Contabilidade

12+ integrações

Bancos

18+ integrações

BI & Analytics

8+ integrações

E-commerce

15+ integrações

Payment Gateways

12+ integrações

HR & People

10+ integrações

Marketing

10+ integrações

Outros

25+ integrações

Como Funcionam

Autenticação: OAuth 2.0 (preferred) ou API Key

Setup: Wizard guiado (connect em < 5 minutos)

Sincronização: Real-time via webhooks ou scheduled

Mapeamento: Automático + customizável

Error handling: Retry automático + alertas

Logs: Histórico completo de sincronizações

APIs Públicas Documentadas

REST API v1

https://api.commande.com/v1

Authentication: Bearer token (JWT) via OAuth 2.0

Format: JSON

Standards: OpenAPI 3.0 (Swagger)

Versioning: URI versioning (/v1, /v2)

GraphQL API

https://api.commande.com/graphql

Authentication: Bearer token no header

Introspection: Enabled (para clientes autenticados)

Playground: Disponível em dev/staging

Rate Limits

Standard tier

100

requests/minute

Premium tier

1,000

requests/minute

Enterprise tier

10,000

requests/minute (custom)

Endpoints Principais (exemplos)

GET    /v1/companies              # Listar empresas
GET    /v1/companies/{id}         # Detalhes de uma empresa
POST   /v1/transactions           # Criar transação
GET    /v1/metrics/saas           # Obter métricas SaaS
GET    /v1/reports/financial      # Relatórios financeiros
POST   /v1/integrations/sync      # Forçar sincronização
GET    /v1/webhooks               # Listar webhooks
POST   /v1/webhooks               # Criar webhook

Acessar API Docs (Swagger)Ver SDK Examples

Residência de Dados e Soberania

🇧🇷

Brasil (São Paulo) - Primary

Default

AWS Region: AWS sa-east-1

Compliance: LGPD

Latência: ~10-30ms

🇺🇸

United States (Virgínia) - Secondary

AWS Region: AWS us-east-1

Compliance: SOC 2 Type II

Latência: ~20-50ms (US users)

🇪🇺

Europe (Frankfurt) - GDPR Ready

AWS Region: AWS eu-central-1

Compliance: GDPR

Latência: ~15-40ms (EU users)

Como Funciona

1. Você escolhe a região primária ao contratar

2. Dados nunca saem dessa região (exceto se opt-in cross-region replication)

3. Backup local na mesma região (+ optional cross-region replication)

4. Processamento local: Aplicação roda na mesma região dos dados

Práticas de Desenvolvimento e Qualidade

Code Quality

• Test Coverage: > 80%

• Static Analysis: SonarQube

• Code Review: 2 approvals obrigatório

• Linting: ESLint, Pylint

• Formatting: Prettier

Testing

• Unit Tests: Jest, Pytest

• Integration Tests: Supertest

• E2E Tests: Playwright

• Load Testing: k6

• Security Testing: OWASP ZAP

CI/CD Pipeline

• Version Control: GitHub

• CI: GitHub Actions

• CD: ArgoCD (GitOps)

• Deployment: 2-3x/semana

• Lead Time: < 4 horas

Padrões Abertos e Interoperabilidade

Commitment: Zero Vendor Lock-in

Seus dados são seus — você pode exportá-los a qualquer momento em formatos padrão.

Data Export

Formatos: JSON, CSV, XML, Parquet

Escopo: Todos os seus dados

Acesso: Self-service via portal

Agendamento: Export automático diário/semanal

Retention: Exports disponíveis por 30 dias

API Standards

REST: Richardson Maturity Model Level 3

GraphQL: Schema público, introspection enabled

Webhooks: CloudEvents compatible

Authentication: OAuth 2.0 / OpenID Connect

Data Portability

• Seu contrato não prende seus dados

• Terminação: Dados exportáveis por 90 dias

• Assistência: Ajudamos na migração (sem custo)

• Delete: Após 90 dias, deletados permanentemente

Open Source Contributions

• Contribuímos para projetos OSS que usamos

• Alguns de nossos tools internos são open source

Ver no GitHub →

Quer Entender Como Integramos com Seu Stack Atual?

Agende conversa técnica com nossa equipe de engineering. Mostramos arquitetura, APIs e como nos conectamos ao seu ERP, CRM e sistemas legados.

Agendar Demo Técnico Ver Documentação de APIs