Guarda ChuvaDigital
7 minutos·Saude, juridico e qualquer negocio com dados sensiveis

LGPD, criptografia e protecao de dados na Ana

A Ana foi construida com LGPD desde o dia zero — banco de dados no Brasil, criptografia, auditoria completa de quem acessa o que. Esta secao explica os controles disponiveis e como usar pra demonstrar conformidade.

Passo a passo

  1. 1

    Onde os dados ficam armazenados

    Todo o banco de dados (Postgres) roda em servidores no Brasil. Mensagens do WhatsApp, dados de clientes, agendamentos e historico de IA ficam em territorio brasileiro. Nao ha replicacao internacional.

  2. 2

    Criptografia em repouso e em transito

    Conexoes com o site sao HTTPS/TLS 1.3. O banco eh criptografado em repouso (AES-256-GCM em campos sensiveis). Senhas sao hasheadas com argon2id. Tokens de sessao expiram em 15min (access) e 7d (refresh) e ficam em cookie httpOnly.

  3. 3

    Verificacao em 2 etapas (2FA) opcional

    Ative em Configuracoes da conta > Seguranca > Ativar 2FA. Escaneie o QR no Google Authenticator (ou Authy, 1Password, Microsoft Authenticator — qualquer app TOTP padrao) e digite o codigo de 6 digitos pra confirmar. A plataforma gera 10 codigos de recuperacao em texto unico — baixe ou imprima e guarde, eles so aparecem 1 vez.

    Dica: Recomendamos 2FA pra qualquer conta com cobranca/billing ativos. Mesmo que sua senha vaze, o atacante precisaria do seu celular tambem.

    Atencao: Perdeu o celular e os codigos de recuperacao? A unica saida eh contato com suporte (dpo@guardachuva.digital) com prova de identidade — pode demorar dias. Salve os codigos em cofre de senhas ou imprima.

  4. 4

    Coleta de consentimento

    Apos a Ana receber a primeira mensagem de um cliente novo, ela registra automaticamente um pedido de consentimento (configuravel em Configurar Ana). Cliente responde com "concordo" ou "nao concordo". A resposta fica em Customer.consentGiven com data/hora.

  5. 5

    Acesso restrito por papel

    Sua equipe tem 4 papeis: Owner (tudo), Admin (quase tudo, sem billing), Attendant (so atende), Viewer (so le). Cada acao gera registro em AuditLog — voce ve quem viu/editou o que em /admin/audit-logs.

  6. 6

    Direito a apagar (artigo 18 LGPD)

    Se um cliente pedir pra remover dados, voce: 1) vai em Clientes, 2) procura pelo nome ou telefone, 3) clica em "Solicitar exclusao". A Ana agenda exclusao pra 30 dias depois (janela de retencao legal). Em /admin/audit-logs voce comprova a remocao.

  7. 7

    DPA (contrato de processamento)

    Para negocios de saude e juridico, oferecemos DPA pronto em PT-BR. Abra ticket em Suporte e solicitamos. Esta tudo formalizado: voce eh controlador, a Guarda Chuva eh operador.

  8. 8

    Encarregado de dados (DPO)

    Nosso DPO recebe contatos relacionados a LGPD em dpo@guardachuva.digital. Resposta em ate 15 dias uteis, conforme art. 41 da lei.

WhatsApp em si nao eh 100% sigiloso

O WhatsApp tem criptografia ponta-a-ponta entre celulares, mas como a Ana usa Baileys (WhatsApp Web), as mensagens passam pelo nosso servidor pra processamento da IA. Pra casos extremamente sensiveis (judiciais, terapia), recomende reuniao presencial ou videoconferencia em vez de WhatsApp.

Perguntas frequentes

Nao. As conversas nao vao pra treinamento. Quando voce usa OpenAI (em planos premium), as politicas da OpenAI tambem garantem que dados de API nao sao usados pra treinar (desde 2023). No gateway proprio (qwen3), nao ha treinamento — modelo eh fixo.

Leitura relacionada no blog