Seus dados financeiros, protegidos por princípio

Todas as comunicações entre o seu navegador e o servidor do Encaixei acontecem sobre HTTPS com TLS 1.2 ou superior. O certificado é validado pela autoridade certificadora pública do Cloudflare. Você verifica o cadeado no navegador a qualquer momento.

Os dados em repouso ficam em banco de dados PostgreSQL gerenciado, hospedado no Render (região de Oregon, EUA). O disco do banco é criptografado pelo provedor de infraestrutura. Senhas nunca são armazenadas em texto puro, usamos hash bcrypt com salt por usuário.

Você pode ativar autenticação em duas etapas (TOTP) nas configurações da conta. Funciona com qualquer app autenticador padrão (Google Authenticator, Authy, 1Password, Bitwarden). Recomendamos ativação especialmente se você usa o app no mesmo dispositivo onde o e-mail de recuperação está logado.

Cada conta enxerga apenas seus próprios dados. Esse isolamento é feito em três camadas: na consulta ao banco (todo modelo financeiro tem uma chave estrangeira para o usuário e um filtro forçado), no token de autenticação (JWT vinculado ao usuário, expirando em curto prazo) e em revisão de código (toda nova rota passa por checagem específica de cross-account access).

O Encaixei é uma empresa brasileira sujeita à Lei Geral de Proteção de Dados (Lei 13.709/2018). Você tem o direito de:

• Acessar seus dados pessoais armazenados
• Corrigir dados inexatos ou desatualizados
• Solicitar exclusão de conta e dos dados associados
• Solicitar portabilidade dos dados em formato comum
• Revogar consentimento a qualquer momento
• Reclamar à Autoridade Nacional de Proteção de Dados (ANPD)

Para exercer qualquer um desses direitos, escreva para a nossa equipe. Atendemos no prazo previsto na LGPD (15 dias úteis).

Os detalhes técnicos de tratamento de dados estão em Política de Privacidade.

Não. O Encaixei é um app de controle financeiro manual. Você cadastra suas receitas e gastos. Não usamos Open Finance, não pedimos credenciais bancárias, não acessamos extratos automaticamente. A escolha é deliberada: para a maioria dos usuários, registro manual gera mais consciência financeira do que importação automática, e elimina uma classe inteira de risco de segurança.

Se um incidente de segurança afetar seus dados pessoais, comunicamos à Autoridade Nacional de Proteção de Dados (ANPD) e aos usuários afetados conforme prevê a LGPD, com descrição da natureza do incidente, dos dados envolvidos e das medidas tomadas. Não dissimulamos comunicação para evitar dano de imagem; transparência é o único caminho compatível com a missão do produto.

Pesquisadores de segurança e usuários atentos são bem-vindos. Reporte privadamente para a nossa equipe com detalhes para reprodução. Respondemos no prazo de 72 horas úteis e mantemos contato durante todo o triagem.