Construído do zero pra atender requisitos de segurança e compliance de times de performance sérios. Dados no Brasil. PII hasheada. Auditoria por evento.
As três principais regulações de privacidade cobertas.
Lei Geral de Proteção de Dados (Brasil). Residência de dados em São Paulo, flag de consentimento por evento, direito ao esquecimento em < 24h.
General Data Protection Regulation (UE). Base legal documentada, DPA assinado pra clientes europeus, opt-out granular.
California Consumer Privacy Act (USA). Direito de saber, deletar e opt-out de venda. Resposta a requests em < 48h.
Como protegemos cada evento desde a coleta até a entrega.
Tokens OAuth e payloads de PII criptografados com AES-256-GCM (criptografia autenticada). Chaves rotacionadas automaticamente a cada 90 dias. Tokens descriptografados apenas no momento do uso — jamais logados.
Todos os endpoints forçam HTTPS via HSTS. Modo Strict completo via Cloudflare com certificate pinning de origem. Mesmo redirect HTTP é bloqueado.
Email, telefone e identificadores são hasheados via SHA-256 antes da transmissão. Dados em texto puro nunca saem do banco. Match Quality preservado.
Cada entrega registrada com status HTTP, corpo da resposta, latência e metadados de origem. Aprofunde em qualquer transação em segundos. Retenção configurável.
Filtro de bots por User-Agent, deduplicação por IP+timestamp, blacklist de datacenters (AWS/GCP/Azure batendo no pixel), rate limit por IP. Eventos sujos não chegam ao destino.
Chaves de criptografia rotacionadas a cada 90 dias por política interna. Tokens OAuth refresh automaticamente. Re-keying transparente, sem downtime.
Disponibilizamos Data Processing Agreement assinado pra todos os clientes Business. Envie a versão da sua empresa pra revisão ou use a nossa.