Como os seus dados fluem pelo Finkavo
Última revisão 2026-07-18
Esta página responde à pergunta que um utilizador português deve fazer antes de carregar qualquer coisa: quem vê os meus dados, onde ficam e como os retiro. Listamos todos os terceiros (subcontratantes) por onde os dados passam, o que fazem e onde os guardam. Se algo estiver em falta ou incorreto, escreva para security@finkavo.com e nós corrigimos publicamente.
O que tratamos
Seis categorias dos seus dados tocam o Finkavo: • Conta — email + hash de palavra-passe (Better-Auth) ou identidade OAuth ligada. • Perfil — residência, situação laboral, regime, data de chegada, códigos CAE / CIRS, contexto fiscal que introduz. • Documentos — ficheiros no Vault (PDFs, imagens) e cartas reencaminhadas para o seu endereço de inbox. • Conversas — perguntas + respostas do Ask, fontes citadas e reproduções. • Pagamentos — Stripe customer id + estado da subscrição (nunca vemos números de cartão). • Analytics — distinct-id mascarado + eventos de produto (cliques, visitas). Emails e texto livre nunca são enviados para analytics.
Subcontratantes
Todos os terceiros por onde os dados passam, ordenados pelo quanto tocam nos seus dados. Todos os fornecedores UE estão dentro da União; os quatro alojados nos EUA estão cobertos pelo EU-US Data Privacy Framework e, quando aplicável, por Cláusulas Contratuais-Tipo.
| Fornecedor | Objetivo | Região | Dados tocados | Retenção |
|---|---|---|---|---|
| Cloudflare Workers | Alojamento da app + edge compute | EU + global edge | Todos os pedidos passam pelo Worker | Logs de acesso 24h |
| Cloudflare R2 | Armazenamento cifrado de documentos (Vault + cartas recebidas) | Frankfurt (EU-West) | PDFs, imagens, cifrados em repouso | Até eliminar o documento ou a conta |
| CockroachDB Cloud | Base de dados principal | Frankfurt (aws-eu-central-1) | Conta, perfil, conversas, histórico do Ask, subscrições | Até eliminação da conta |
| Cloudflare Workers AI | Embeddings bge-m3 + respostas leves | EU edge | Texto da pergunta, texto dos chunks na consulta | Não retido após a resposta |
| OpenAI | Respostas LLM maiores para Ask e análise de cartas | United States | Texto da pergunta, excertos retornados, texto de documentos carregados (quando ativado) | Não retido após a resposta (default sem treino) |
| Resend | Email transacional (verificação, reset, lista de espera, lembretes) | United States | Endereço + corpo da mensagem | Logs de envio 30 dias na Resend |
| Stripe Payments Europe | Pagamentos e ciclo da subscrição | Ireland (EU) | Stripe customer id, estado do plano, email de faturação | Registos por política da Stripe + lei contabilística portuguesa |
| PostHog EU | Analytics de produto (visitas, cliques) | Frankfurt | Distinct-id mascarado, nome do evento, path. Email + texto livre nunca enviados. | 12 meses rolantes |
| Google (OAuth) | Autenticação Google OAuth + Google Calendar sync (opt-in) | Ireland (EU region) | Email + profile id no sign-in; eventos de calendário quando sync ativo | Refresh tokens OAuth até desligar |
| cron-job.org | Dispara os nossos crons agendados (refresh de corpus, lembretes) | Germany | Sem dados de utilizador — apenas um POST para /api/cron com segredo partilhado | Sem dados de utilizador |
| Tavily | Pesquisa web de fallback quando o corpus não cobre um tópico | United States | Apenas o texto da pesquisa | Não retido conforme termos da Tavily API |
Tabela revista a 2026-07-18. Comprometemo-nos a rever trimestralmente e sempre que adicionamos um subcontratante.
Processamento por IA
Ask, análise de cartas e extração de documentos do Vault usam fornecedores de LLM. Quando usa estas funcionalidades: • O texto da pergunta ou documento é enviado para Cloudflare Workers AI (embeddings, edge) e para OpenAI (respostas maiores, EUA). • O conteúdo dos documentos do Vault só sai do R2 quando escolhe extração no servidor. Se ativar 'Cifrar ponta-a-ponta com a minha palavra-passe' no upload, esse documento nunca é decifrado no servidor — a extração por IA fica desativada para ele. • Prompts, excertos retornados e respostas são guardados na nossa base de dados (CockroachDB) para lhe mostrarmos o recibo, permitirmos reprodução e melhorarmos a qualidade da retrieval. Não são partilhados além do fornecedor do modelo. • Não treinamos modelos com os seus dados. OpenAI e Cloudflare Workers AI oferecem por defeito não-treino no tráfego API; confiamos nesses defaults.
Cifra e eliminação
Dados em repouso: tudo em R2 e CockroachDB fica em volumes cifrados. Documentos do Vault são adicionalmente cifrados com uma chave por documento embrulhada por uma chave de encriptação de chaves (KEK). Se ativar o modo ponta-a-ponta com uma palavra-passe, só o seu dispositivo consegue desembrulhar a chave — o Finkavo não consegue decifrar esses documentos. Dados em trânsito: TLS 1.2+ em todas as ligações. Eliminação: 'Eliminar a minha conta' em /app/settings remove todas as linhas que temos sobre si em CockroachDB e todos os objetos no R2 associados ao seu userId. A eliminação é transacional — se qualquer objeto R2 falhar, as linhas ficam para a nova tentativa terminar (corrigido a 2026-07-17). Linhas da lista de espera são separadas; se se inscreveu antes de aderir precisam de email separado para hello@finkavo.com.
Reportar uma vulnerabilidade
Se encontrar algo que pareça um problema de segurança, escreva para security@finkavo.com. Inclua detalhe suficiente para reproduzir e o canal de contacto preferido; confirmamos cada report em 72h e coordenamos o timing de divulgação consigo antes de publicar a correção. Ainda não temos programa pago de recompensas, mas cada report válido recebe crédito público nesta página (com o seu consentimento).
Responsável e registo de alterações
Esta página é da responsabilidade do fundador (opefyre@gmail.com) e revista trimestralmente ou sempre que há uma alteração material na forma como os dados são tratados. Alterações materiais ficam registadas como commits no repositório do Finkavo e resumidas no topo desta página. Alterações substanciais desencadeiam email a todos os utilizadores ativos.