Segurança e privacidade no QR-Verse
Você merece saber exatamente como seus dados são armazenados, processados e protegidos. Sem promessas vagas, apenas fatos. O QR-Verse opera em infraestrutura hospedada na UE, é compatível com o GDPR e oferece controle total sobre seus dados.
Infraestrutura
Onde seus dados ficam armazenados e como são servidos.
Hospedagem na UE (Hetzner, Alemanha)
Os servidores do aplicativo rodam em data centers da Hetzner na Alemanha. Seus dados não saem da União Europeia.
Hetzner Online GmbH, Nuremberga & Falkenstein, DE
Banco de dados (Supabase / PostgreSQL)
Todos os dados de QR code e contas de usuário são armazenados no PostgreSQL com Row Level Security ativada. Backups automáticos diários com recuperação point-in-time.
Região UE, criptografado em repouso (AES-256)
CDN e proteção DDoS (Cloudflare)
Todo o tráfego passa pelo Cloudflare para cache de borda, disponibilidade global e mitigação de DDoS. O Cloudflare processa dados sob termos conformes ao GDPR.
Rede anycast, 300+ PoPs globalmente
Criptografia
Proteção de dados em trânsito e em repouso.
Em trânsito
- TLS 1.2+ obrigatório em todas as conexões
- HSTS (HTTP Strict Transport Security) ativado
- Redirecionamento automático de HTTP para HTTPS
- Cookies seguros com atributos SameSite e Secure
Em repouso
- Criptografia AES-256 para dados armazenados
- Hash bcrypt para senhas (nunca armazenadas em texto puro)
- Backups de banco de dados criptografados
- Dados de pagamento processados pela Stripe - nunca vemos números de cartão
O que coletamos e o que não coletamos
Transparência sobre cada dado.
O que coletamos
- Endereço de e-mail da conta
- Conteúdo do QR code e URLs de destino
- Analytics de escaneamento: tipo de dispositivo, localização a nível de cidade, timestamp
- Informações de pagamento processadas pela Stripe (nunca vemos números de cartão)
- Endereço IP durante a criação da conta (apenas para segurança, não armazenado por longo prazo)
O que não coletamos
- Histórico de navegação das páginas de destino do scan
- Identidade pessoal de quem escaneia seus QR codes
- Dados biométricos de qualquer tipo
- Dados de rastreadores de terceiros em páginas de scan (não utilizamos nenhum)
- Dados de localização mais precisos do que o nível de cidade
- Perfis de redes sociais ou rastreamento entre plataformas
Conformidade com o GDPR
Seus direitos sob o GDPR e como os respeitamos.
Direito de acesso
Você pode solicitar uma exportação completa de todos os dados que temos sobre você a qualquer momento nas configurações da sua conta.
Direito de portabilidade
Exporte seus QR codes, dados de escaneamento e informações de conta em formatos padrão (CSV, JSON). Seus dados, do seu jeito.
Direito ao apagamento
Exclua sua conta e todos os dados associados a qualquer momento. A exclusão é permanente e irreversível após o período de carência de 30 dias.
Sem venda de dados
Não vendemos, alugamos nem compartilhamos seus dados pessoais com terceiros para fins de marketing ou publicidade. Ponto final.
Analytics opt-in para quem escaneia
As analytics de escaneamento são opt-in para as pessoas que escaneiam seus QR codes. Nenhum cookie persistente é definido nas páginas de scan.
Acordo de processamento de dados
Clientes Business podem solicitar um DPA (Acordo de Processamento de Dados) enviando e-mail para [email protected].
O que acontece quando você cancela
Queremos que você confie que seu trabalho está seguro, mesmo se você sair.
QR codes continuam redirecionando
Seus QR codes dinâmicos continuam funcionando após o cancelamento. Não interrompemos as cadeias de redirecionamento só porque a assinatura expirou.
Analytics pausadas, não excluídas
As analytics de escaneamento são pausadas quando você volta para o plano gratuito. Seus dados históricos são mantidos e ficam acessíveis novamente se você reativar.
Exporte antes de excluir
Você pode exportar todos os seus QR codes, dados de scan e informações de conta a qualquer momento - inclusive após o cancelamento, durante o período de carência de 30 dias.
Período de carência de 30 dias
Após o cancelamento, sua conta permanece totalmente acessível por 30 dias. Depois disso, a conta é arquivada (não excluída imediatamente) por mais 60 dias.
Divulgação responsável
Encontrou um problema de segurança? Queremos saber.
Contato: [email protected]
Envie-nos um e-mail com descrição do problema, passos para reproduzir e sua avaliação da gravidade. Chave PGP disponível mediante solicitação.
Confirmação em 48 horas
Nos comprometemos a confirmar cada relato de segurança em até 48 horas. Para vulnerabilidades críticas, buscamos ter um patch em 7 dias.
Pesquisadores de boa-fé protegidos
Não tomaremos ações legais contra pesquisadores de segurança que divulguem vulnerabilidades de boa-fé, sigam nossas diretrizes e não acessem ou modifiquem dados de usuários.
Hall da fama
Pesquisadores que divulgam responsavelmente vulnerabilidades válidas são creditados em nosso hall da fama de segurança (com permissão).
Perguntas frequentes
O QR-Verse está em conformidade com o GDPR?
Sim. O QR-Verse é construído para estar em conformidade com o GDPR. Nossos servidores são hospedados na Alemanha (UE), processamos apenas dados necessários, fornecemos direitos completos de exportação e exclusão, não usamos rastreadores de terceiros e não vendemos dados de usuários. Clientes Business podem solicitar um Acordo de Processamento de Dados.
Onde meus QR codes são armazenados?
Todos os dados de QR code são armazenados em um banco de dados PostgreSQL hospedado no Supabase na região UE. O banco de dados usa Row Level Security para que cada usuário possa acessar apenas seus próprios dados. Os backups são criptografados e armazenados na mesma região UE.
O que acontece com meus dados se eu cancelar?
Quando você cancela, seus QR codes continuam redirecionando. As analytics são pausadas, mas seus dados históricos são mantidos. Você tem um período de carência de 30 dias com acesso total à conta para exportar tudo. Depois disso, a conta é arquivada por mais 60 dias antes da exclusão permanente.
Vocês vendem dados de usuários?
Não. Não vendemos, alugamos nem compartilhamos dados de usuários com terceiros para fins de marketing ou publicidade. Nosso modelo de negócios são as assinaturas. Seus dados são usados exclusivamente para fornecer o serviço QR-Verse a você.
Meus dados de escaneamento são anônimos?
Sim. Coletamos tipo de dispositivo, navegador, sistema operacional, localização aproximada a nível de cidade e timestamp. Não coletamos nomes, endereços de e-mail ou qualquer informação pessoalmente identificável das pessoas que escaneiam seus QR codes. Nenhum cookie é definido nas páginas de scan.
Como vocês lidam com vulnerabilidades de segurança?
Problemas de segurança devem ser reportados para [email protected]. Confirmamos os relatórios em 48 horas, priorizamos correções com base na gravidade e protegemos pesquisadores de boa-fé de ações legais. Atualmente não temos programa de recompensas, mas mantemos um hall da fama.
Posso exportar meus dados?
Sim. Você pode exportar seus QR codes e analytics de scan como CSV ou JSON a qualquer momento nas configurações da sua conta. Disponível em todos os planos, incluindo o gratuito. Você também pode solicitar uma exportação completa dos dados da conta entrando em contato com o suporte.
Terceiros têm acesso aos meus dados de QR code?
Nossos parceiros de infraestrutura (Hetzner para hospedagem, Supabase para banco de dados, Cloudflare para CDN, Stripe para pagamentos) têm acesso limitado e necessário como parte da prestação do serviço. Nenhum desses parceiros tem permissão para usar seus dados para seus próprios fins. Não compartilhamos dados com anunciantes, corretores de dados ou plataformas de analytics.
Comece a criar QR codes seguros
Hospedado na UE, em conformidade com o GDPR e transparente sobre cada dado. Grátis para começar.