Pular para o conteúdo
Aeterne
Menu

Trust Center · Early access

Confiança se prova, não se promete

Não prometemos “zero brechas para sempre”. Prometemos processo, arquitetura e durabilidade do seu dado.

Conhecimento-zero do conteúdo

O CONTEÚDO do cofre é cifrado no seu aparelho: o servidor só guarda texto que não conseguimos ler. Seus dados de cadastro (nome, CPF, endereço) ficam cifrados em repouso como camada extra — só legíveis pelo servidor quando você os exibe.

Reconstrução só com herdeiros

Sua chave é dividida (Shamir) e só se recompõe nos aparelhos dos herdeiros. Nunca no servidor.

Acesso técnico, não titularidade

Entregamos acesso a credenciais. Não substitui testamento, inventário nem partilha — integra-se a eles.

Continuidade — sua herança não depende da nossa existência
O compromisso contra qualquer “rug pull”: se a Aeterne um dia encerrar, seus herdeiros ainda reconstroem o cofre — sem nós, sem servidor, sem permissão de ninguém.
  • Exportação offline perpétua. O cofre cifrado e os fragmentos de chave saem com você num arquivo que abre fora da Aeterne — para sempre.
  • Reconstrução do lado do cliente. Com a chave de recuperação e os fragmentos dos herdeiros, a abertura acontece no aparelho deles — nosso servidor nunca foi necessário para isso.
  • Núcleo de cripto aberto se encerrarmos. Nosso compromisso público: liberar o núcleo de criptografia em código aberto, para que a reconstrução seja auditável e replicável por qualquer pessoa.
  • Formatos documentados. O esquema do arquivo de exportação e o algoritmo de recomposição são especificados — nada de formato secreto que prende você.

Detalhamos o plano de continuidade — passo a passo de reconstrução e o pacto de encerramento — em /continuidade.

Compromissos de processo
O que fazemos continuamente — não um selo de marketing.
  • Auditoria de segurança interna, adversarial e contínua — achados verificados e corrigidos; auditoria externa independente em andamento.
  • Divulgação responsável com triagem em até 72h (safe harbor para pesquisa de boa-fé).
  • Projeto que assume o pior: minimizamos o raio de impacto de qualquer incidente.
  • Agentes autônomos especializados respondem por segurança, proteção de dados (DPO) e compliance — com validação independente pela auditoria externa.
Status de compliance
LGPD e GDPR para um app de dados de alto valor — com o que ainda falta dito em voz alta.

LGPD (Brasil)

Bases legais mapeadas · atendimento a pedidos de exclusão · canal de encarregado (DPO) ativo

GDPR (UE/EEE)

Direitos do titular · cláusulas-padrão (SCCs) para transferência · resposta em 72h

Pareceres de herança por país

Brasil (ITCMD/legítima/inventário/CNJ) · Europa-PT (Reg. 650/2012, MiCA) · EUA (RUFADAA) — emitidos

Notificação de incidentes

Plano de 72h (ANPD/autoridade) documentado

Sub-processadores

Lista transparente e versionada (abaixo)

SOC 2 / ISO 27001

No roadmap — certificação ainda não emitida

Documentos: Privacidade · Termos · Cookies. Exerça seus direitos (DSAR) no app, em Configurações → Seus dados, após entrar no cofre.

Identidade institucional
Quem opera a Aeterne e a fundação que recebe o Legado Vivo — dados verificáveis, não promessas. Sede em nível de município; registro completo sob solicitação.

Empresa operadora

Dados corporativos disponíveis sob solicitação a cuidamos@aeterne.app.

Instituto Aeterne

em formação

Fundação independente que recebe o Legado Vivo. Sua constituição formal está em andamento — razão social e CNPJ serão divulgados aqui assim que emitidos.

Auditoria externa
Auditoria de segurança independente em andamento, complementando a auditoria interna adversarial já realizada. Publicamos os detalhes aqui assim que o contrato for fechado — sem antecipar nomes ou datas que ainda não estão firmados.
Situação
Em andamento
Firma
A anunciar
Cronograma
A anunciar
Escopo
Revisão criptográfica + pentest de aplicação
Certificações & roadmap
O que ainda não temos, dito em voz alta — e enquadrado como compromisso, não omissão.

SOC 2 (Type II)

Ainda não — no roadmap. Compromisso público assim que a base de clientes corporativos justificar a auditoria contínua.

no roadmap

ISO/IEC 27001

Ainda não — no roadmap. Sistema de gestão de segurança da informação alinhado aos controles desde já, certificação formal planejada.

no roadmap

Auditoria de segurança externa

Em andamento — complementa a auditoria interna adversarial já realizada (detalhes no card acima).

no roadmap
Residência de dados & sub-processadores
Para o time de compliance (LGPD Art. 37 · GDPR Art. 28): onde cada dado vive e quem o toca. O texto cifrado do cofre é inteligível só no seu aparelho — nenhum sub-processador vê o conteúdo em claro.

Hospedagem e banco de dados (Turso)

Guardam o texto cifrado e os dados de conta · Estados Unidos — Leste (aws-us-east-1)

Operacional

Pagamentos (Stripe)

Processa a assinatura — nunca vê o conteúdo do cofre · EUA / União Europeia — cláusulas-padrão (SCCs)

Operacional

E-mail (Resend)

Envia os avisos do gatilho de inatividade · Brasil — São Paulo

Operacional

Anexos (Cloudflare R2)

Armazena arquivos já cifrados no seu aparelho · Rede global — cifrado em repouso

Operacional

Assistente de IA (Anthropic)

Orienta o preenchimento — nunca recebe segredos do cofre · EUA — cláusulas-padrão (SCCs)

Operacional

Fluxo de dados. O banco (Turso/libSQL, AWS aws-us-east-1) guarda apenas ciphertext e dados de conta. Pagamentos pela Stripe (EUA/UE, transferência por SCCs) nunca recebem conteúdo do cofre. Avisos do gatilho por e-mail (Resend, São Paulo). Anexos cifrados no seu aparelho ficam no Cloudflare R2 (cifrados em repouso). O assistente de IA (Anthropic, EUA, SCCs) recebe só metadados de UI — nunca segredos do cofre.

Transferências internacionais usam cláusulas-padrão (SCCs). O conteúdo sensível atravessa essas fronteiras já cifrado de ponta a ponta — o que sai do seu aparelho é texto que ninguém na cadeia consegue ler.

Maturidade do produto
Honestidade radical: estamos em early access. O produto é funcional e já passou por auditoria de segurança interna (revisão adversarial, achados corrigidos), e a auditoria de segurança externa está em andamento. O que ainda evolui aparece marcado como tal. Como em qualquer cofre novo, mantenha sempre um backup independente das suas seeds e senhas mais críticas.

Cifragem de ponta a ponta no seu aparelho — nem a Aeterne consegue ler

Registros em AEAD XChaCha20-Poly1305-IETF; envelope de chave/recuperação em XSalsa20-Poly1305 (secretbox); Argon2id; envelope híbrido pós-quântico (X25519 + ML-KEM-768)

pronto

Sua chave mestra é dividida entre os herdeiros e só se recompõe nos aparelhos deles

Shamir Secret Sharing + chave de recuperação offline

pronto

Gatilho de inatividade com revisão humana para casos de alto valor

dead-man's switch + console de emergência com quórum (M-de-N)

pronto

Herdeiros confirmam identidade no próprio aparelho a cada passo sensível

chaves geradas no device + prova de posse (proteção anti-IDOR)

pronto

Registro inviolável de cada liberação, verificável de forma independente

trilha de auditoria HMAC encadeada + log de transparência Merkle (RFC 6962) com raiz assinada por chave assimétrica dedicada (Ed25519)

pronto

Acesso sem senha por biometria (passkeys), com bloqueio progressivo contra ataques

WebAuthn + rate-limit e lockout distribuídos entre servidores

pronto

Seus dados sob LGPD e GDPR, com exclusão a pedido

pedido de exclusão explícita (DSAR) + cabeçalhos CSP/HSTS

pronto

Pareceres de herança para Brasil, Europa e Estados Unidos

BR (ITCMD/legítima/inventário) · UE-PT (Reg. 650/2012, MiCA) · EUA (RUFADAA)

pronto

Contas de produção conectadas: banco, e-mail e armazenamento de anexos

Turso (banco vivo) · Resend (domínio verificado) · Cloudflare R2 (anexos cifrados)

pronto

Pagamentos ativos, com cobrança real e segura

Stripe — assinatura anual em BRL, conta brasileira

pronto

Estado crítico durável e replicado entre os servidores

rate-limit, bloqueios e log de transparência em banco replicado; sobrevivem a reinício

pronto

Raiz do registro de transparência assinada por chave dedicada, verificável por qualquer um

STH com assinatura assimétrica Ed25519 — chave SEPARADA do segredo de sessão; chave pública publicada em /api/transparency para auditoria externa

pronto

Cada liberação é ancorada em registro público imutável — nem quem detém a chave reescreve sem ser observado

cada transição do gatilho ancora a raiz assinada (STH) no log público Sigstore Rekor — append-only, imutável, FORA do nosso controle; verificável por qualquer um em search.sigstore.dev

pronto

Auditoria de segurança externa independente

em contratação — complementa a auditoria interna adversarial já realizada

em progresso
Divulgação responsável
Encontrou uma falha? Queremos saber antes de qualquer outra pessoa.

Escreva para security@aeterne.app. Operamos sob safe harbor: pesquisa de boa-fé nunca é penalizada. Fazemos a triagem em até 72 horas e priorizamos a correção pela gravidade.

Para pesquisadores: nossa política legível por máquina está em security.txt (padrão RFC 9116).

Quer verificar você mesmo o log de transparência? O passo a passo — da chave pública à raiz ancorada no Sigstore Rekor — está em Como auditar a transparência.

Empresa AI-first, operada por agentes autônomos e validada por auditoria externa. Cifragem que não conseguimos ler — mantenha sempre um backup independente das suas chaves.