Security
Última atualização: 17/05/2026
1. Visão geral
O Kaiku processa dados sensíveis de bem-estar: conversas, humor, medições de saúde e reflexões sobre relacionamento. Protegemos esses dados em várias camadas, de modo que, mesmo se o banco de dados vazasse, as mensagens criptografadas permaneceriam ilegíveis sem a chave. Esta página descreve as camadas técnicas concretas de proteção que mantemos continuamente.
AES-256-GCM Encryption
Messages, memories and other sensitive content are encrypted using AES-256-GCM.
Automatic Anonymization
Summaries are anonymized. Real names never stored in titles.
Access Control
74 Row Level Security rules protect user data.
AI Security
Your messages are not used to train AI models.
You Are in Control
Download data, set auto-deletion, or delete everything.
7. Localização dos dados — UE
Todos os dados de banco e de análise são armazenados em servidores na UE. Provedores de IA ficam parcialmente nos Estados Unidos, mas as transferências usam Standard Contractual Clauses (decisão da Comissão UE 2021/914) e, quando aplicável, o EU-US Data Privacy Framework. Lista exata de provedores: ver Política de Privacidade.
8. Quais dados são coletados
O mínimo possível — só o necessário para funcionar. Coletamos conversas, preferências do usuário e dados de saúde se você conectar uma pulseira ou smartwatch. A localização não é coletada, a menos que você compartilhe o trajeto GPS de um treino. Contatos não são coletados, a menos que você os adicione. A análise de produto funciona apenas com o seu consentimento e coleta estatísticas de uso pseudonimizadas (visualizações de página, uso de recursos) — sem o seu nome ou o conteúdo das mensagens; ver a Política de Cookies.
9. Conformidade
Com o que nos comprometemos:
- ✓GDPR Art. 9 — consentimento explícito para tratamento de dados sensíveis
- ✓AES-256-GCM — criptografia em repouso
- ✓TLS 1.3 — criptografia em trânsito
- ✓Dados localizados na UE
- ✓DPIA — avaliação de impacto à proteção de dados realizada
- ✓Limite de requisições — proteção contra DDoS
- ✓Logs de auditoria — acessos são registrados
- ✓Exclusão definitiva em até 30 dias após a solicitação
10. Violações de segurança
Se uma violação de dados pessoais provavelmente representar risco aos seus direitos, notificamos a autoridade supervisora sem demora indevida e, quando viável, em até 72 horas após a detecção (GDPR Art. 33), e você sem demora indevida se a violação provavelmente representar um alto risco aos seus direitos (Art. 34) — em linguagem clara. A notificação descreve a natureza da violação, as possíveis consequências, as medidas tomadas e um ponto de contato.