Nesta página
Segurança Arquitetura
Especificações técnicas sobre nossos protocolos de criptografia do lado do cliente (CSE) e infraestrutura de armazenamento zero-trust.
Noções básicas de segurança
- Criptografia de ponta a ponta no seu navegador — criptografada localmente antes do upload, para que o texto em claro nunca saia do seu dispositivo.
- A chave de criptografia/descriptografia é gerada no seu navegador e incorporada ao link compartilhado. A PrivateNote.ai nunca a recebe nem a armazena.
- Nossos servidores armazenam apenas texto cifrado e não possuem as chaves necessárias para descriptografá-lo.
Criptografia do lado do cliente
As notas são criptografadas localmente na memória do navegador antes da transmissão usando a Web Crypto API. O servidor vê apenas o texto cifrado resultante.
Gerenciamento de chaves
As notas privadas padrão codificam a chave bruta de 256 bits como Base64url no fragmento da URL (#...). Notas protegidas por senha encapsulam a chave de conteúdo com chaves derivadas por Argon2id.
O link compartilhado dá acesso à nota. Compartilhe-o apenas com os destinatários pretendidos.
Criptografia
Criptografia Simétrica
AES-256-GCM
Criptografia autenticada com tags de autenticação de 128 bits e dados autenticados adicionais (AAD) vinculando o ID da nota, a expiração e os limites de leitura. Chaves de 256 bits continuam sendo uma barreira prática, mesmo contra busca quântica de chaves no estilo Grover.
IV criptográfico de 12 bytes
Vetores de inicialização exclusivos evitam o reconhecimento de padrões em múltiplas notas.
Derivação de Chave (KDF)
Argon2id (perfil v2)
Notas protegidas por senha usam Argon2id com parâmetros de memória difícil (tempo = 3, memória = 64 MiB, paralelismo = 1) para aumentar o custo de força bruta, especialmente em invasores de GPU/ASIC.
Sal criptográfico de 16 bytes
Sal exclusivo por nota garante proteção contra ataques de mesa arco-íris.
Infraestrutura e Segurança Operacional
Armazenamento na jurisdição da UE
Os dados de autenticação, as notas encriptadas e os registos operacionais são armazenados na infraestrutura da jurisdição da UE.
Gerenciamento de estado atômico
Cloudflare Durable Objects fornecem consistência atômica para a lógica de leitura única, evitando condições de corrida e consumo duplo.
Sem cookies de rastreamento
Apátrida API. Nenhum pixel de publicidade ou rastreamento foi carregado.
Verificação de catraca
A verificação de solicitação somente humana evita a enumeração de notas de força bruta.
Cadeia de suprimentos e integridade
Como a criptografia é executada no seu navegador, o pacote de aplicativos que você carrega faz parte do modelo de confiança. Contamos com hospedagem estática, construções de CI fixas e proteções de navegador – não uma garantia contra um cliente comprometido, mas limites deliberados sobre o que pode ser executado.
Implantação e proteções do navegador
- Implantações de páginas estáticas Cloudflare com ativos de construção com hash de conteúdo do CI
- HTTP Política de segurança de conteúdo mais cabeçalhos de segurança; listas de permissões apenas onde os recursos exigem (catraca, AI CDNs no dispositivo, WASM)
- Instalações reproduzíveis de package-lock.json (npm ci em pipelines de implantação)
- HTTPS com HSTS (pré-carga) na borda via Cloudflare
- Nenhum anúncio ou scripts analíticos; JS de terceiros é principalmente Turnstile e carregamentos opcionais de AI CDN quando você usa esses recursos
Tratamento de dados de IA
A IA é opcional ao redigir uma nota — você nunca precisa dela para criar um link seguro. Ao usá-la, escolha entre IA privada no dispositivo e Cloud Assist opcional; cada opção tem limites de privacidade diferentes.
IA privada (no dispositivo)
Privacidade
Roda no seu navegador (WebLLM). O rascunho do texto não é enviado para a PrivateNote.ai nem para terceiros para inferência.
Depois de salvar
Seu texto é processado localmente. Somente a nota criptografada é enviada — o prompt de IA não vai para nossos servidores.
Requisitos do dispositivo
Quando há suporte, carregamos Qwen3 0.6B ou Gemma 2 2B em desktops compatíveis com WebGPU. Espere até ~1 GB de armazenamento do navegador para os pesos do modelo e memória de GPU suficiente para executá-los. Muitas vezes não funciona em celulares ou laptops mais fracos — use o Cloud Assist ou escreva sem IA.
Configuração pela primeira vez
O primeiro uso pode baixar pesos quantizados (até ~1 GB) de CDNs públicos (por exemplo, Hugging Face ou jsDelivr) — separados do upload da nota criptografada. Sessões posteriores podem reutilizar pesos armazenados em cache.
Cloud Assist (hospedado)
Privacidade
Roda no Cloudflare Workers AI (Google Gemma 4 26B). Você precisa aceitar explicitamente — o rascunho em texto claro sai do seu dispositivo. Nada é enviado até você confirmar o Cloud Assist.
Depois de salvar
Somente a nota criptografada é enviada. Durante a redação, seu prompt passa pelo PrivateNote.ai Worker em texto claro — nós não o armazenamos, mas nossa borda processa essa solicitação antes da Cloudflare.
Requisitos do dispositivo
Qualquer navegador moderno com conexão de rede — sem necessidade de GPU ou grande armazenamento local. Usado quando a IA privada não pode ser executada no seu dispositivo ou quando você escolhe a redação hospedada.
Configuração pela primeira vez
Nada é necessário. Sem download de modelo, etapa de instalação ou cache local — aceite e envie um rascunho quando solicitado.
Modelo de ameaça e limitações
Um modelo de ameaça útil indica o que protegemos, contra quem protegemos, o que presumimos, quais controles se aplicam – e o que explicitamente não cobrimos. As proteções apresentadas anteriormente nesta página são mapeadas para a seção 4; as seções 1–3 e 5 definem os limites.
O que protegemos
Nota em texto simples
Chaves de criptografia
Garantias de leitura única
Expiração e limites de leitura
Dados da conta do usuário
Credenciais de autenticação
Suposições
- O dispositivo e o navegador do usuário são confiáveis ao criptografar ou descriptografar.
- O navegador implementa corretamente o Web Crypto.
- O TLS para nossa origem funciona conforme o esperado.
- O código do aplicativo entregue não foi modificado de forma maliciosa (consulte Cadeia de suprimentos e integridade).
- O link da nota é compartilhado apenas com os destinatários pretendidos.
O que cobrimos
- Comprometimento de servidor ou banco de dados (somente texto cifrado em repouso)
- Administradores maliciosos ou curiosos acessando notas armazenadas
- Violação do provedor de armazenamento ou infraestrutura
- Interceptação de rede de tráfego de notas (TLS mais texto cifrado)
- Enumeração automatizada de notas e abuso (catraca, limites de taxas)
- Tentativas de força bruta contra notas protegidas por senha (Argon2id)
- Tentativas de controle de conta (sessões HTTPOnly, rotação no login, limites de taxa, TOTP opcional, intensificação para ações confidenciais)
- Segunda busca ou repetição de notas lidas uma vez (consumo atômico na primeira visualização)
O que não cobrimos
- Malware em dispositivos remetentes ou destinatários
- Extensões de navegador maliciosas
- Sistemas operacionais comprometidos
- Software de captura de tela ou gravação
- Monitoramento da área de transferência
- Compartilhando a nota completa URL (incluindo a chave #fragment) em canais inseguros ou com partes não autorizadas
- Comprometimento do aplicativo JavaScript entregue
- Ataques de phishing contra usuários
- Engenharia social
- Inferência do Cloud Assist quando você aceita (processamento de rascunho de texto simples por terceiros)
Integridade Técnica
Priorizamos a clareza e garantias de segurança mensuráveis em detrimento das afirmações de marketing.