Como mantemos seu código privado

1. As quatro camadas que construímos

Cada camada é auditável de forma independente. Você pode verificar qualquer afirmação lendo nosso scanner open source, nosso log de auditoria ou nossa documentação de infra.

• Scan client-side via GitHub Actions — Scanner roda dentro do seu CI runner. A gente só recebe findings estruturados (caminho, linha, algoritmo). Seu código-fonte nunca sai da sua infra.
• Fallback só-memória (zero persistência) — Quando processamento server-side é inevitável, código fica em RAM, é escaneado, e o container é destruído. Sem escrita em disco, sem logs, sem caches.
• Núcleo do scanner open source — Núcleo é MIT-licensed no GitHub com builds reproduzíveis. Compile você mesmo e verifique que o hash bate com o que rodamos em produção.
• Log de auditoria por acesso — Cada acesso interno gera entrada visível pra você. Você vê quem olhou seus findings, quando e por quê — com hashes criptográficos.

2. O que NÃO coletamos

Por arquitetura, não por promessa. Os seguintes dados jamais entram nos nossos sistemas:

• Seu código-fonte (só caminhos, linhas e nomes de algoritmos dos findings)
• Conteúdo dos seus repos, branches, histórico ou commits
• Dados pessoais da sua equipe além do que o Clerk precisa pra autenticar
• Sua informação de pagamento (Stripe lida com cartões direto — a gente nunca vê)
• Seu IP vinculado ao conteúdo do scan (só agregado pra rate-limiting)

3. O que coletamos (e por quê)

Só o mínimo necessário pra rodar o produto:

• Metadata de findings — caminho, linha, algoritmo, severidade. Serve pra renderizar seu relatório.
• Padrões agregados anônimos — ex: "% de repos LATAM com RSA-2048". Alimenta o dataset Fase 1. Jamais ligado a um cliente.
• Dados de conta — email (via Clerk), nome da org. Login e billing.
• Log de auditoria — cada acesso interno (timestamp, ator, ação). Visível pra você, retido 12 meses.

4. Seus direitos

Disponíveis pelo seu dashboard ou por email:

• Exportar — baixe todos seus findings e log de auditoria em JSON ou CSV.
• Deletar — apague todos os dados sob demanda. Confirmamos a deleção em até 7 dias.
• Acessar — você vê quem internamente acessou seus findings, quando e por quê.
• Portabilidade — exportação CBOM CycloneDX 1.7 disponível Q2 2026.

5. Sub-processadores

Usamos estes terceiros. Cada um é contratualmente obrigado a respeitar nossos compromissos de privacidade:

• Anthropic (Claude API) — Análise LLM. Trechos de código processados em memória, não logados pela Anthropic conforme política de uso de dados deles.
• Neon (Postgres) — Metadata de findings. Regiões EU + US. Criptografado em repouso.
• Clerk — Só autenticação. Sem dados de scan.
• Resend — Email transacional. Sem dados de scan no corpo, só links.
• Cloudflare R2 — Hosting de assets estáticos (relatórios). Criptografado, URLs assinadas apenas.
• Vercel — Hosting da app. Sem dados de scan persistidos no edge.
• PostHog (self-hosted EU) — Analytics anônimo. Sem PII, sem conteúdo de scan.
• Sentry — Monitoramento de erros. PII removida antes do envio.

6. Postura data-first da Fase 1

QuantumScan é grátis pra todos os design partners durante a Fase 1 (até a janela de enforcement do DORA, ~Q3-Q4 2026). Em troca, coletamos padrões agregados anônimos dos seus scans pra construir o primeiro dataset benchmark de criptografia LATAM. Você mantém propriedade dos seus dados de scan. Padrões agregados jamais podem ser revertidos pra identificar seus repos.

7. Conformidade

Nossa roadmap está alinhada com as regulações que você precisa atender:

• LGPD — Proteção de dados brasileira. Encarregado registrado.
• GDPR — Controlador de dados na UE. DPA disponível sob solicitação.
• DORA — Reporte de resiliência operacional via inventário PQC.
• NIS2 — Evidência de cripto-agilidade pro Artigo 21.
• SOC 2 Tipo II — Em progresso, alvo Q4 2026.

Dúvidas?

Escreva pra gente. A gente responde em 1 dia útil. Pra solicitações DPA, ponha "DPA" no assunto.