Os controles reais que protegem seus documentos.

Criptografia AES-256 em repouso

Documentos carregados são escritos no MinIO com criptografia do lado do servidor SSE-S3 por padrão. A produção (Railway) executa o MinIO com KMS habilitado, portanto o SSE-S3 é sempre aplicado. Em implantações auto-hospedadas não suportadas sem KMS, o MinIO pode recorrer a gravações não criptografadas — essa é uma escolha de implantação, não uma degradação silenciosa na produção.

backend/app/services/storage_service.py · upload_file()

TLS 1.2+ em trânsito

Cada salto de rede — do navegador para a borda da Vercel, da borda para o backend da Railway, do backend para os provedores de LLM — usa TLS. HSTS com max-age=63072000 e includeSubDomains está definido no domínio apex.

Sem treinamento nos seus dados

O DocTalk encaminha chamadas de LLM através do OpenRouter. Seus documentos e perguntas nunca são usados pelo DocTalk para treinar modelos. A retenção do lado do provedor depende do modelo upstream (DeepSeek / Mistral) — para garantir zero retenção, confiamos na configuração de privacidade no nível da conta do OpenRouter (controle operacional, ainda não aplicado por código no nível da requisição), e podemos restringir ainda mais com uma lista de permissões de provedores sob solicitação.

Validação de arquivo por magic-byte

Os uploads são validados com base nos bytes de assinatura do arquivo, não nas extensões. Um .pdf com uma carga executável dentro é rejeitado na ingestão — você não pode enganar o analisador renomeando um arquivo.

backend/app/services/upload_service.py · magic-byte check

Proteção SSRF na ingestão de URL

Quando você insere uma URL para resumir, o backend valida o destino contra uma lista de permissões de hosts públicos e rejeita qualquer solicitação para intervalos de IP privados, endereços link-local ou endpoints de metadados de nuvem (169.254.169.254, etc).

backend/app/core/url_validator.py

Limites de taxa em endpoints anônimos

Os endpoints públicos (visualizações compartilhadas, leituras anônimas) têm limites de taxa por IP. O IP real do cliente é encaminhado da borda da Vercel para nosso backend com uma assinatura HMAC-SHA256 vinculada a um carimbo de data/hora por requisição, para que o backend possa autenticar a origem do proxy e rejeitar tentativas de falsificação de cabeçalho. Isso não é uma defesa contra um MITM ativo no nível da rede — o TLS lida com essa camada. Os usuários autenticados ignoram a limitação de taxa por IP.

backend/app/core/rate_limit.py · shared_view_limiter, anon_read_limiter

Exportação completa de dados

A partir do seu Perfil → Conta, você pode exportar todos os seus documentos e dados de sessão. A exportação inclui tudo o que o DocTalk armazena sobre você, em formatos portáteis.

Exclusão de conta

Você pode excluir sua conta a partir de Perfil → Conta. Todos os documentos, sessões, histórico de bate-papo, embeddings e registros de cobrança são removidos; a conta não é recuperável após a exclusão.

Isolamento de usuário

Cada documento e sessão é escopo do user_id do seu proprietário na camada de banco de dados e armazenamento vetorial. Não há namespace compartilhado, nenhuma coleção de toda a organização por padrão, e o isolamento é aplicado no momento da consulta — não apenas no momento da renderização.