Transparência Total

Segurança e Privacidadedos Seus Dados

Você confia seus dados financeiros e pessoais ao Focca-Ai. Esta página detalha exatamente como protegemos essas informações.

Resumo Executivo

Seus dados são criptografados em trânsito (TLS 1.3) e em repouso (AES-256). Processamento de IA acontece via OpenAI com DPA assinado. Banco de dados isolado por usuário. Backups criptografados diários. Zero acesso humano sem autorização expressa. Logs de auditoria completos. Conformidade LGPD 100%.

Criptografia

Em Trânsito (TLS 1.3)

Toda comunicação entre você e nossos servidores usa TLS 1.3 (Transport Layer Security). Conexões HTTP são automaticamente redirecionadas para HTTPS. Certificados SSL renovados automaticamente.

Técnico: TLS 1.3 com ECDHE-RSA-AES256-GCM-SHA384, Perfect Forward Secrecy, HSTS habilitado

Em Repouso (AES-256)

Dados armazenados no banco de dados são criptografados usando AES-256-GCM. Chaves de criptografia rotacionadas a cada 90 dias e armazenadas em HSM (Hardware Security Module) separado.

Escopo: Gastos, receitas, metas, lembretes, conversas contextuais, categorias

WhatsApp (Criptografia Ponta-a-Ponta)

Mensagens entre você e o WhatsApp Business API são criptografadas ponta-a-ponta pelo próprio WhatsApp (Signal Protocol). Nós recebemos as mensagens já descriptografadas via API oficial do Meta para processar seu pedido.

Controles de Acesso

Segregação de Dados

Cada usuário tem dados completamente isolados. Queries no banco incluem obrigatoriamente `user_id`. Impossível acessar dados de outro usuário mesmo com falha de código. Validação em múltiplas camadas (aplicação + banco).

Acesso Administrativo

Zero acesso humano aos seus dados sem autorização expressa. Equipe técnica só acessa dados com seu consentimento por escrito (via WhatsApp) para suporte específico. Todo acesso gera log de auditoria permanente.

Logs incluem: quem acessou, quando, qual dado, motivo, duração

Autenticação Multi-Fator

Sistemas internos protegidos com autenticação multi-fator (MFA) obrigatória. Acesso ao banco de dados requer VPN + chave SSH + token temporário. Sessões expiram após 1 hora de inatividade.

Auditoria e Logs

  • Logs de acesso: Todo acesso ao banco, APIs e sistemas internos. Retenção: 1 ano.
  • Logs de modificação: Criação, edição, exclusão de dados. Imutáveis (append-only).
  • Monitoramento: Alertas automáticos para acessos anormais, falhas repetidas, tentativas de acesso não autorizado.
  • Você pode solicitar: Exportação completa dos seus logs de acesso via WhatsApp.

Terceiros (Processadores)

Mercado Pago

Mercado Pago (Pagamentos)

Processamento de pagamentos via Mercado Pago (PCI-DSS Level 1 certificado). Nós NÃO armazenamos dados de cartão. Transações 3D Secure para maior segurança.

Política de Privacidade Mercado Pago →

OpenAI (Processamento IA)

IA usa API da OpenAI para entender texto/áudio/foto. DPA (Data Processing Agreement) assinado. OpenAI não treina modelos com seus dados. Retenção: 30 dias para debug, depois deletado.

OpenAI Privacy Policy →

AWS (Infraestrutura)

Hospedagem em AWS (região São Paulo - sa-east-1). SOC 2 Type II, ISO 27001, PCI DSS certificado. Backups criptografados diários com retenção de 90 dias.

AWS Compliance →

Meta (WhatsApp Business API)

Canal de comunicação oficial. Meta processa mensagens apenas para entregar ao destinatário. Criptografia ponta-a-ponta do WhatsApp mantida.

WhatsApp Business Policy →

Política de Incidentes

Em Caso de Violação de Dados

1. Detecção (0-2h)

Sistemas de monitoramento detectam anomalia. Equipe de segurança notificada automaticamente.

2. Contenção (2-6h)

Isolar sistemas afetados. Revogar credenciais comprometidas. Backup imediato de evidências.

3. Investigação (6-24h)

Análise forense completa. Identificar escopo: quais dados, quantos usuários, como aconteceu.

4. Notificação (24-48h)

Usuários afetados: Notificação via WhatsApp com detalhes do incidente e ações recomendadas.
ANPD: Notificação à Autoridade Nacional de Proteção de Dados conforme LGPD (72h).
Transparência: Publicação de relatório público (sem dados sensíveis).

5. Remediação (48h+)

Correção da vulnerabilidade. Implementação de controles adicionais. Auditoria completa.

Histórico: Até a data de publicação desta página (21/01/2026), zero violações de dados foram registradas.

Como Exportar e Deletar Seus Dados

Exportar Dados (CSV)

Você pode solicitar exportação completa dos seus dados a qualquer momento:

Passo 1: Envie no WhatsApp:

"Quero exportar meus dados"

Passo 2: Receba confirmação com prazo:

"✓ Solicitação registrada! Você receberá o arquivo CSV com todos seus dados em até 48 horas."

Passo 3: Arquivo enviado por WhatsApp:

Formato: ZIP criptografado (senha enviada separadamente)
Conteúdo: gastos.csv, receitas.csv, metas.csv, lembretes.csv, categorias.csv
Prazo: Máximo 48 horas úteis

Deletar Conta e Dados

Você pode solicitar exclusão permanente:

Passo 1: Envie no WhatsApp:

"Quero deletar minha conta"

Passo 2: Confirme exclusão:

"⚠️ Atenção: Isso deletará TODOS seus dados permanentemente. Digite CONFIRMAR para prosseguir."

O que acontece:

  • Imediato: Acesso bloqueado, dados marcados para exclusão
  • 15 dias: Período de arrependimento (pode reativar)
  • Após 15 dias: Exclusão permanente e irreversível
  • Exceção: Dados fiscais mantidos 5 anos (lei brasileira)

Certificações e Conformidade

LGPD

100% conforme Lei Geral de Proteção de Dados (Lei 13.709/2018)

ISO 27001

Infraestrutura AWS com certificação ISO 27001 (segurança da informação)

PCI-DSS

Pagamentos via Mercado Pago (PCI-DSS Level 1 certificado)

SOC 2 Type II

Controles auditados por terceiros independentes

Dúvidas sobre Segurança?

Nossa equipe está disponível para responder perguntas técnicas sobre proteção de dados

Falar com Equipe de SegurançaVer Política de Privacidade
1