Anonimato por padrão
Sem IP, fingerprint ou cookies de identificação. Reporter pode optar por se identificar.
Segurança
Como cuidamos do canal — e dos dados de quem confia em vocês.
Linguagem direta, sem juridiquês. As decisões técnicas estão aqui — abertas para auditoria.
Criptografia em trânsito e em repouso
TLS 1.3 obrigatório. Banco e arquivos com AES-256 em repouso.
Hospedado no Brasil
Infra em região BR (São Paulo). Dados pessoais nunca saem do país sem AOP.
Isolamento por tenant
Cada empresa em namespace lógico. Investigador só vê o que seu papel permite.
Trilha auditável imutável
Toda ação registrada com timestamp e ator. Exportável em PDF assinado.
Sem treinamento em dados de tenant
Nenhum relato, mensagem ou anexo é usado para treinar modelos.
Subprocessadores
Quem mais toca em quê.
Lista pública e versionada. Atualizamos com 30 dias de antecedência via e-mail e changelog público.
- AWS (São Paulo) — infraestrutura, banco, S3 criptografado.
- Anthropic — intake assistido. Não treinam em dados de tenant. Anexos nunca enviados.
- Asaas — pagamento. Apenas dados do(a) admin pagador.
- Resend — e-mails transacionais. Sem conteúdo do relato.
Encontrou uma falha?
Mande pra security@appitu.com.br — chave PGP no rodapé. Respondemos em até 1 dia útil.