Última atualização: 17 de julho de 2026 · Lei nº 13.709/2018 (LGPD)
Esta política explica, sem rodeios, quais dados o Aetheris Audit coleta, por que coleta, com quem compartilha e o que você pode exigir a respeito. Se algo aqui não estiver claro, escreva para laufsavio108@gmail.com.
O controlador é a pessoa jurídica inscrita no CNPJ acima. Razão social e endereço completo constam do registro público da Receita Federal, consultáveis pelo próprio CNPJ.
Somos um agente de tratamento de pequeno porte. Conforme a Resolução CD/ANPD nº 2/2022, não há Encarregado (DPO) formalmente nomeado — o e-mail acima é o canal oficial para qualquer assunto relativo aos seus dados, e as solicitações são tratadas pelo próprio titular da empresa.
| Dado | De onde vem | Guardamos? |
|---|---|---|
| Você digita ao auditar ou criar conta | Sim | |
| Senha | Você cria | Sim, criptografada (via Supabase Auth) — nunca vemos |
| Nome, CPF/CNPJ, telefone, CEP e nº | Checkout da assinatura | Não. Vão direto ao Asaas |
| Dados do cartão | Checkout da assinatura | Não. Trafegam para o Asaas e não são gravados |
| URL do repositório auditado | Você digita | Sim |
| URL do site no scan gratuito | Você digita | Sim |
| Resultado da auditoria | Gerado por nós | Sim (ver seção 3) |
| Endereço IP | Sua requisição | Transitório — só para limite de uso e anti-robô |
Não usamos Google Analytics, pixel do Meta, nem qualquer ferramenta de rastreamento ou publicidade. Não criamos perfis comportamentais e não vendemos dados a ninguém.
O ponto que mais importa para quem nos contrata:
Ao auditar um repositório, baixamos os arquivos na memória do servidor, processamos e descartamos. Não gravamos o seu código-fonte — nem em disco, nem em banco de dados, nem em backup.
Do resultado, guardamos apenas: caminhos de arquivo (ex: app/api/rota.ts), a descrição da falha, a explicação e a correção sugerida. O conteúdo dos seus arquivos não fica armazenado em lugar nenhum sob nosso controle.
Para separar falha real de falso positivo, enviamos à Anthropic (Claude) a lista de suspeitas e trechos do código relevante — limitados aos arquivos citados nas suspeitas, com teto aproximado de 45 mil caracteres por auditoria. É um envio necessário: sem ler o código, a IA não tem como dizer se a falha é real.
Esse envio ocorre via API comercial da Anthropic, cujos termos preveem que os dados enviados não são usados para treinar modelos. A Anthropic está nos Estados Unidos — veja a seção 5.
Consequência prática: só audite repositórios cujo código você tem autorização para submeter a um serviço terceirizado. Se o seu repositório contém segredos, dados de terceiros ou material sob acordo de confidencialidade, avalie isso antes de auditar. Hoje suportamos apenas repositórios públicos.
| Finalidade | Base legal (LGPD art. 7º) |
|---|---|
| Criar sua conta e entregar a auditoria | Execução de contrato (inciso V) |
| Cobrar a assinatura | Execução de contrato (inciso V) |
| Emitir nota e guardar registros fiscais | Obrigação legal (inciso II) |
| Limite de uso, anti-robô e prevenção a fraude | Legítimo interesse (inciso IX) |
| Guardar registros de acesso da aplicação | Obrigação legal — Marco Civil, art. 15 |
Não vendemos nem cedemos seus dados. Compartilhamos apenas com os fornecedores necessários para o serviço funcionar (operadores):
| Fornecedor | Para quê | País |
|---|---|---|
| Anthropic | Verificação das falhas com IA (recebe trechos de código) | Estados Unidos |
| Vercel | Hospedagem e execução da aplicação | Estados Unidos |
| Supabase | Banco de dados e autenticação | Estados Unidos (us-east-1) |
| Asaas | Processamento de pagamento (Pix e cartão) | Brasil |
| Cloudflare | Proteção anti-robô (Turnstile) — recebe seu IP | Estados Unidos |
| GitHub | Download do repositório público auditado | Estados Unidos |
Transferência internacional (LGPD art. 33): como você vê acima, a maior parte do tratamento ocorre nos Estados Unidos — inclusive o envio de trechos do seu código à Anthropic e o armazenamento da sua conta e das suas auditorias no Supabase (região us-east-1, Norte da Virgínia). Apenas o processamento de pagamento (Asaas) ocorre no Brasil. Ao usar o Aetheris Audit você está ciente disso. A transferência é necessária para a execução do contrato que você celebra conosco (art. 33, inciso IX) — sem ela, não há como entregar a auditoria.
Medidas técnicas que aplicamos hoje:
Sobre o que guardamos: os achados de uma auditoria descrevem vulnerabilidades do seu software. Tratamos isso como dado sensível do ponto de vista de negócio e o protegemos como tal. Se preferir não manter esse histórico, você pode pedir a exclusão a qualquer momento (seção 8).
Nenhum sistema é inviolável. Em caso de incidente com risco relevante aos seus direitos, comunicaremos você e a ANPD conforme o art. 48 da LGPD.
A LGPD (art. 18) garante que você peça, a qualquer momento:
Escreva para laufsavio108@gmail.com. Respondemos em até 15 dias. Podemos pedir uma confirmação de identidade antes de atender — é para proteger você de alguém se passando por você.
Você também pode reclamar diretamente à ANPD (Autoridade Nacional de Proteção de Dados) em gov.br/anpd.
Usamos apenas cookies estritamente necessários: os que mantêm sua sessão depois do login e os que o Cloudflare Turnstile usa para distinguir gente de robô. Não há cookies de publicidade, analytics ou rastreamento.
Por serem indispensáveis ao funcionamento do serviço, esses cookies dispensam consentimento prévio — e é por isso que você não vê um banner de cookies aqui. Bloqueá-los no navegador impede o login de funcionar.
O Aetheris Audit não se destina a menores de 18 anos e não coletamos dados de crianças e adolescentes intencionalmente. Se identificarmos um cadastro nessa condição, excluiremos os dados.
Podemos atualizar este documento. Se a mudança for relevante — nova finalidade, novo fornecedor que receba seus dados ou nova transferência internacional — avisaremos por e-mail antes de valer. A data no topo indica a versão vigente.