Kaiku
LEGAL

Security

Última atualização: 17/05/2026

1. Visão geral

O Kaiku processa dados sensíveis de bem-estar: conversas, humor, medições de saúde e reflexões sobre relacionamento. Protegemos esses dados em várias camadas, de modo que, mesmo se o banco de dados vazasse, as mensagens criptografadas permaneceriam ilegíveis sem a chave. Esta página descreve as camadas técnicas concretas de proteção que mantemos continuamente.

AES-256-GCM Encryption

Messages, memories and other sensitive content are encrypted using AES-256-GCM.

Automatic Anonymization

Summaries are anonymized. Real names never stored in titles.

Access Control

74 Row Level Security rules protect user data.

AI Security

Your messages are not used to train AI models.

You Are in Control

Download data, set auto-deletion, or delete everything.

7. Localização dos dados — UE

Todos os dados de banco e de análise são armazenados em servidores na UE. Provedores de IA ficam parcialmente nos Estados Unidos, mas as transferências usam Standard Contractual Clauses (decisão da Comissão UE 2021/914) e, quando aplicável, o EU-US Data Privacy Framework. Lista exata de provedores: ver Política de Privacidade.

8. Quais dados são coletados

O mínimo possível — só o necessário para funcionar. Coletamos conversas, preferências do usuário e dados de saúde se você conectar uma pulseira ou smartwatch. A localização não é coletada, a menos que você compartilhe o trajeto GPS de um treino. Contatos não são coletados, a menos que você os adicione. A análise de produto funciona apenas com o seu consentimento e coleta estatísticas de uso pseudonimizadas (visualizações de página, uso de recursos) — sem o seu nome ou o conteúdo das mensagens; ver a Política de Cookies.

9. Conformidade

Com o que nos comprometemos:

  • GDPR Art. 9 — consentimento explícito para tratamento de dados sensíveis
  • AES-256-GCM — criptografia em repouso
  • TLS 1.3 — criptografia em trânsito
  • Dados localizados na UE
  • DPIA — avaliação de impacto à proteção de dados realizada
  • Limite de requisições — proteção contra DDoS
  • Logs de auditoria — acessos são registrados
  • Exclusão definitiva em até 30 dias após a solicitação

10. Violações de segurança

Se uma violação de dados pessoais provavelmente representar risco aos seus direitos, notificamos a autoridade supervisora sem demora indevida e, quando viável, em até 72 horas após a detecção (GDPR Art. 33), e você sem demora indevida se a violação provavelmente representar um alto risco aos seus direitos (Art. 34) — em linguagem clara. A notificação descreve a natureza da violação, as possíveis consequências, as medidas tomadas e um ponto de contato.