Tratamento de Dados
Um companheiro mais técnico da nossa Política de Privacidade. Se você quer saber exatamente como o sistema protege o acesso à sua leitura, esta é a página.
Modelo de dois tokens
Cada pedido tem dois tokens distintos, e eles fazem trabalhos diferentes.
- Token de acesso — uma string opaca aleatória que geramos quando seu pedido é criado. É o parâmetro em todo link que enviamos para você. Possuí-lo significa que você é o dono do pedido.
- Token de renderização — uma assinatura de curta duração derivada do token de acesso mais um segredo do servidor, válida por dez minutos. É usada internamente para que nosso renderizador de PDF prove que tem autorização para buscar o HTML do relatório. Nunca é armazenada.
Sem um token de renderização válido, as rotas do relatório servem uma visualização somente leitura ao consumidor em vez do PDF completo.
Como os links de e-mail permanecem válidos
Os links de e-mail não embutem URLs de download diretas. Eles apontam para nosso endpoint de reassinatura, que valida seu token de acesso e te redireciona para uma URL assinada de 15 minutos para o PDF no nosso object store. Isso significa que um e-mail de um ano atrás ainda funciona — mas um link encaminhado, interceptado em trânsito, expira em 15 minutos.
Criptografia
- Em trânsito: todo o tráfego é HTTPS. O site é servido atrás de um CDN com terminação TLS (Vercel + Cloudflare).
- Em repouso: nosso banco de dados (Neon Postgres) e object store (Cloudflare R2) criptografam dados em repouso usando a criptografia gerenciada de seus respectivos provedores.
- Segredos: chaves de assinatura de renderização, segredos de webhook da Stripe e tokens de provedor são armazenados nas variáveis de ambiente criptografadas da Vercel e nunca são logados.
TTLs dos tokens num relance
| Token | Tempo de vida | Finalidade |
|---|---|---|
| Token de acesso | Tempo de vida do pedido | Te identifica nos links de e-mail |
| Token de renderização | 10 minutos | Autoriza nosso renderizador de PDF |
| URL pré-assinada do R2 | 15 minutos | Download direto do PDF |
O que a IA vê
O modelo da narrativa recebe o mapa astronômico calculado (posições dos planetas, casas, aspectos). Ele não recebe seu nome, endereço de e-mail ou hora e local precisos de nascimento. Os números do mapa entram; a prosa sai. Usamos a API da Anthropic com a política de uso de dados publicada por eles.
Onde as coisas ficam
| Dado | Onde | Por quanto tempo |
|---|---|---|
| Linha do pedido (nome, e-mail, IDs da Stripe, status) | Neon Postgres | Até 7 anos (fiscal / AML) |
| Dados de nascimento e JSON do mapa calculado | Neon Postgres | Enquanto o pedido estiver ativo; excluído sob solicitação |
| JSON da narrativa (texto da leitura) | Neon Postgres | Enquanto o pedido estiver ativo; excluído sob solicitação |
| Relatório em PDF | Cloudflare R2 | Enquanto o pedido estiver ativo; excluído sob solicitação |
| Eventos de webhook da Stripe (log de idempotência) | Neon Postgres | Retidos para investigação de fraude / disputa |
| Eventos de analytics de funil | PostHog | Conforme retenção do PostHog |
| Relatórios de erro | Sentry | Conforme retenção do Sentry (tipicamente 30 a 90 dias) |
Exclusão sob solicitação
Quando você nos pede para excluir seus dados, removemos os dados de nascimento, JSON do mapa, JSON da narrativa e o objeto PDF. Mantemos um registro mínimo do pedido (seu nome, e-mail, ID de sessão da Stripe, valor, timestamps) para satisfazer requisitos de manutenção de registros financeiros — essas linhas envelhecem conforme nosso cronograma de retenção. Envie solicitações para hello@astra.report; atendemos em até 30 dias.
Backups
Nossos provedores de infraestrutura mantêm backups rotativos de seus sistemas para recuperação de desastres. Não controlamos diretamente essas janelas de backup; dados excluídos podem persistir brevemente nos backups dos provedores antes de envelhecerem conforme suas políticas.
Dúvidas
Dúvidas técnicas ou de segurança sobre esta página — hello@astra.report.