Zero venda de dados

Nunca vendemos, alugamos ou compartilhamos seus dados com terceiros para fins comerciais.

Criptografia AES-256

Todas as chaves secretas 2FA são criptografadas antes de serem armazenadas. Nem nós conseguimos ler.

Sem rastreamento

Não usamos pixels de rastreamento, cookies de terceiros nem ferramentas de análise comportamental.

Dados que coletamos

Coletamos apenas o mínimo necessário para o funcionamento do serviço:

  • Nome e endereço de e-mail — fornecidos ao fazer login com Google ou Magic Link, usados para identificação e envio de alertas de acesso.
  • Foto de perfil — obtida do Google (quando aplicável), usada apenas para exibição visual na interface.
  • Chaves secretas TOTP — fornecidas por você ao cadastrar serviços 2FA. São criptografadas com AES-256-CBC antes de qualquer armazenamento.
  • Endereço IP e User Agent — registrados em cada login para fins de segurança e auditoria de acesso.
  • Logs de atividade — data/hora de login e ações como exportação de backup, mantidos por 90 dias.

Não coletamos: senha, dados banceiros, documentos de identidade, localização geográfica, histórico de navegação ou qualquer dado não listado acima.

Como usamos os dados

Os dados coletados são usados exclusivamente para:

  • Autenticar e identificar você com segurança no sistema
  • Gerar e exibir seus códigos TOTP no painel
  • Enviar alertas de login por e-mail a cada acesso detectado
  • Registrar tentativas de login para detecção de atividade suspeita
  • Permitir backup e restauração dos seus serviços cadastrados

Nenhum dado é utilizado para publicidade, marketing, criação de perfis comportamentais ou qualquer finalidade não descrita neste documento.

Armazenamento e segurança

Adotamos múltiplas camadas de proteção:

  • Criptografia AES-256-CBC para todas as chaves secretas TOTP armazenadas no banco de dados
  • HTTPS obrigatório em todas as comunicações (TLS 1.2+)
  • Hash SHA-256 para tokens de acesso e links mágicos
  • Proteção OWASP Top 10 contra injeção SQL, XSS, CSRF e outros ataques
  • Rate limiting por IP para prevenir ataques de força bruta
  • Sem armazenamento de senhas de usuários — sistema 100% passwordless

Em caso de incidente de segurança que afete seus dados, você será notificado por e-mail dentro de 72 horas, conforme exigido pela LGPD.

Extensão para Chrome — iDLock Authenticator

A extensão do iDLock AuthN 2FA para Google Chrome funciona de forma completamente offline e independente:

  • Armazenamento local exclusivo — as chaves secretas cadastradas na extensão ficam salvas apenas no chrome.storage.local do seu navegador, no seu dispositivo.
  • Zero comunicação com servidores externos — a extensão não faz nenhuma requisição de rede. Os códigos TOTP são gerados localmente via Web Crypto API nativa do Chrome.
  • Sem coleta de dados — a extensão não coleta, transmite nem compartilha qualquer dado do usuário.
  • Permissões utilizadas:
    • storage — para salvar suas chaves localmente
    • clipboardWrite — para copiar o código com um clique
    • notifications — para alertar sobre código prestes a expirar
    • alarms — para sincronizar o timer de 30 segundos do TOTP

A extensão não usa código remoto. Todo o código é empacotado localmente e não carrega scripts externos.

Compartilhamento com terceiros

Não vendemos, alugamos nem compartilhamos seus dados pessoais com terceiros, exceto nas seguintes situações estritamente necessárias:

  • Google OAuth — usado para autenticação. O Google fornece seu nome, e-mail e foto. Consulte a Política de Privacidade do Google.
  • Serviço de e-mail transacional — usado para envio de alertas de login e magic links. Apenas o endereço de e-mail é transmitido.
  • Obrigação legal — podemos divulgar dados se exigido por lei, ordem judicial ou autoridade competente.

Cookies

Utilizamos apenas cookies essenciais para o funcionamento do sistema:

Cookie Finalidade Duração
session Manter a sessão autenticada do usuário Até sair ou expirar (3600 seg)
theme Salvar preferência de tema claro/escuro Persistente (localStorage)

Não utilizamos cookies de rastreamento, publicidade ou análise comportamental de terceiros.

Seus direitos — LGPD

Em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), você tem os seguintes direitos:

  • Acesso — solicitar uma cópia de todos os dados que temos sobre você
  • Correção — corrigir dados incorretos ou desatualizados
  • Exclusão — solicitar a exclusão completa da sua conta e dados
  • Portabilidade — exportar seus dados em formato JSON pelo painel (Configurações → Exportar Backup)
  • Revogação de consentimento — a qualquer momento, sem penalidade
  • Oposição — opor-se a qualquer tratamento de dados

Para exercer qualquer direito, entre em contato pelo e-mail abaixo. Respondemos em até 15 dias úteis.

Retenção de dados

  • Dados da conta — mantidos enquanto a conta estiver ativa
  • Logs de login — 90 dias, depois excluídos automaticamente
  • Logs de backup — 180 dias
  • Tokens expirados — excluídos automaticamente após o vencimento
  • Conta inativa — contas sem serviços cadastrados e sem login por mais de 60 dias podem ser removidas automaticamente

Ao excluir sua conta, todos os dados associados são removidos permanentemente e de forma irreversível.

Menores de idade

O iDLock AuthN 2FA é destinado a usuários com 18 anos ou mais. Não coletamos intencionalmente dados de menores de idade. Se você acredita que um menor forneceu dados ao nosso sistema, entre em contato para que possamos removê-los imediatamente.

Contato

Para dúvidas, solicitações ou exercício dos seus direitos relacionados a esta Política de Privacidade:

Esta política pode ser atualizada periodicamente. Mudanças significativas serão comunicadas por e-mail. O uso continuado do serviço após a atualização implica aceitação dos novos termos.