Segurança e privacidade dos dados

Visão geral

O Whisperer escuta suas chamadas, por isso adotamos uma abordagem conservadora com seus dados: armazenamos apenas o necessário para histórico e busca, oferecemos um modo em que nada é salvo e protegemos o acesso com base no princípio fail-closed (negar por padrão). Esta página explica o que é armazenado e onde, como funciona o modo privado sem registros (no-logs), quais mecanismos protegem seus dados e como excluí-los.

Os princípios centrais: o painel de sobreposição é invisível no compartilhamento de tela, os arquivos ficam armazenados localmente no seu Mac e o acesso aos dados de outros usuários é bloqueado por verificações de propriedade. Não afirmamos ter certificações que o produto não possui — apenas as medidas que estão de fato implementadas.

Quando usar

  • Você está avaliando o Whisperer do ponto de vista da privacidade antes de usá-lo em chamadas de trabalho.
  • Você quer entender o que é salvo após uma sessão e o que não é.
  • Você precisa ter uma conversa sensível e não deixar rastros (modo no-logs).
  • Você quer excluir seus dados ou entender seus direitos sobre eles (GDPR).

O que é armazenado e onde

  • A transcrição e as respostas do modelo são salvas para histórico e busca em sessões anteriores — exceto as sessões em modo no-logs (veja abaixo).
  • A base de conhecimento (notas) é mantida até você mesmo excluí-la.
  • Arquivos (por exemplo, materiais) são armazenados localmente: não há armazenamento externo de objetos (S3).
  • Tokens de acesso do cliente no macOS são armazenados no Keychain e criptografados.

Modo no-logs (privado)

O modo no-logs (efêmero) é um modo de sessão para conversas sensíveis:

  1. A transcrição e as respostas do modelo não são gravadas no banco de dados.
  2. Após o término da sessão, os dados associados são excluídos.
  3. Os minutos ainda são consumidos da sua cota (um contador separado, no_logs_minutes_used) — você economiza armazenamento, não tempo.

Use o no-logs quando o conteúdo da conversa importa mais do que o histórico: negociações sob NDA, temas pessoais ou médicos, entrevistas confidenciais.

Como os dados são protegidos

O Whisperer é construído sobre o princípio de segurança por padrão:

  1. Fail-closed. Se um direito de acesso não for explicitamente confirmado, o acesso é negado — não concedido "por via das dúvidas".
  2. Verificações de propriedade. Você vê apenas suas próprias sessões, notas e configurações; uma requisição ao identificador de outro usuário é rejeitada.
  3. Validação de entrada. Dados externos são validados antes do processamento.
  4. Isolamento de contexto do usuário. Os dados que você fornece ao assistente são tratados como material de referência e não podem sobrepor instruções de nível de sistema.
  5. Tokens no Keychain. No macOS, os tokens do cliente são criptografados e ficam no Keychain do sistema, não em arquivos de texto simples.
  6. Token de WebSocket no cabeçalho. O token é passado no cabeçalho Authorization, e não na URL/query — assim ele não vaza para os logs de servidores e proxies.
  7. Gerenciamento de sessões por token. Uma versão de token (token_version) invalida tokens antigos quando a senha é alterada ou ao sair de todos os dispositivos; o cookie de refresh é httpOnly, com proteção CSRF (double-submit).
  8. Segredos no .env. Chaves e senhas não são armazenadas no código.

Exclusão de dados e GDPR

  1. Exclusão de sessões. As sessões e seu histórico podem ser excluídos no painel web — isso remove as transcrições e respostas associadas.
  2. Exclusão de notas. A base de conhecimento é mantida até você excluí-la; excluir uma nota também a remove do índice RAG.
  3. Não deixar rastros de antemão. Para manter os dados de uma conversa específica totalmente fora do armazenamento, execute a sessão no modo no-logs.
  4. Exclusão completa da conta e solicitações de direitos do titular dos dados são tratadas pelo suporte: escreva ao suporte com um pedido para excluir ou exportar seus dados.

Capturas de tela

📸 [Captura de tela: o botão de alternância do modo no-logs nas configurações da sessão]

📸 [Captura de tela: o histórico de sessões no painel com a ação "Excluir"]

📸 [Captura de tela: a sobreposição ausente na janela de compartilhamento de tela]

Erros comuns

  • Achar que o no-logs economiza minutos. Os minutos são consumidos normalmente; apenas os dados não são salvos.
  • Esperar que uma sessão comum não seja salva. Fora do no-logs, a transcrição e as respostas são salvas para histórico e busca.
  • Supor que excluir uma nota a deixa nas sugestões. Excluí-la remove a nota tanto da base de conhecimento quanto do índice RAG.
  • Procurar um botão "excluir conta" no painel. A exclusão completa da conta é tratada pelo suporte.

Boas práticas

  • Para conversas sensíveis, ative o no-logs com antecedência — "apagar depois" o que já foi salvo é mais difícil do que não gravar em primeiro lugar.
  • Limpe regularmente o histórico das sessões que você não precisa mais.
  • Não coloque segredos (senhas, tokens) no contexto do usuário e nas notas — isso é enviado ao modelo como parte do prompt.
  • Use uma senha forte e saia de todos os dispositivos se suspeitar de um comprometimento: isso invalida os tokens emitidos.
  • Lembre-se de que a sobreposição é invisível no compartilhamento de tela, mas o áudio audível da outra pessoa ainda é reconhecido — tenha isso em mente em chamadas em grupo.

Artigos relacionados