Arquitetura com Foco em Privacidade

Confiança e Conformidade

O Caiioo é um software de execução local. Nós não processamos, armazenamos ou acessamos seus dados. Todo o processamento acontece no seu dispositivo, no seu navegador, sob seu controle.

Exportação Zero de Dados

Não somos Processadores de Dados

Ponto de Entrada Zero

Privacidade por Design

Certificação de Segurança ESOF

Como Funciona

O Caiioo é um aplicativo de software local e um sistema multiplataforma que roda inteiramente em dispositivos locais. Ao contrário das plataformas SaaS, a empresa não possui servidores que recebam, processem ou armazenem suas conversas, comandos, configurações, resultados ou anexos. Quaisquer conexões com serviços de IA de terceiros são feitas diretamente do seu dispositivo usando suas credenciais. Somos um fornecedor de software, e nossos únicos serviços em nuvem são para licenciamento e retransmissão privada criptografada.

Processamento de Dados e Privacidade

GDPR

Status de Não Processador

O Caiioo é um aplicativo de software de execução local. Ao contrário das plataformas SaaS, a empresa Caiioo não processa, armazena ou tem acesso aos dados manipulados pela extensão. Todo o processamento de dados ocorre dentro do ambiente local do navegador do usuário.

Sob o GDPR, o Caiioo é um Fornecedor de Software, não um Processador de Dados, pois não manipulamos dados pessoais em nome do cliente.

Exportação Zero

Exportação Zero de Dados

A extensão foi projetada para funcionar como um envelope seguro. Nenhuma informação confidencial, comandos ou dados pessoais são enviados aos servidores do caiioo.

Os únicos dados exportados para nossos sistemas limitam-se a metadados não sensíveis de faturamento e gerenciamento de conta: e-mail, nome de exibição e avatar.

HIPAA e Conformidade Regulatória

HIPAA

Não somos um Business Associate

O Caiioo não cria, recebe, mantém ou transmite Informações de Saúde Protegidas (PHI) conforme definido pela HIPAA. A extensão funciona como uma ferramenta local, semelhante a um editor de texto local ou navegador.

Como o Caiioo (a empresa) nunca tem acesso rotineiro aos dados processados pelo usuário, ele não se qualifica como um Associado de Negócios ou Subcontratado.

Conexão Direta

Conectividade Controlada pelo Usuário

Qualquer conexão com LLMs de terceiros é estabelecida diretamente do dispositivo do usuário. O Caiioo não atua como proxy ou intermediário para esses fluxos de dados. Suas chaves de API, suas credenciais, sua conexão direta.

Arquitetura de Segurança

SOC 2

Aplicabilidade do SOC 2

O Caiioo não hospeda, armazena ou gerencia dados de clientes. Como tal, uma auditoria SOC 2 Tipo II — que foca em controles de serviços em nuvem — não é aplicável ao nosso modelo de negócio. Nosso foco em segurança está em:

Integridade do Código — versões assinadas criptograficamente e trilha de auditoria aberta
Sandbox Segura — a arquitetura da extensão do navegador impõe isolamento estrito

GDPR

Conformidade com GDPR

Estamos em total conformidade com a GDPR por meio da Minimização de Dados e Privacy by Design. Ao garantir que nunca recebemos dados pessoais, eliminamos os riscos associados à residência de dados e transferências internacionais.

Minimização de Dados — coletamos apenas e-mail, nome e avatar para identificação da conta
Privacy by Design — a arquitetura torna impossível o acesso aos seus dados por nossa parte

Arquitetura Zero-Entry-Point

O Caiioo é um aplicativo cliente de Ponto de Entrada Zero. Ao executar inteiramente dentro do sandbox seguro do navegador e iniciar apenas conexões de saída autorizadas pelo usuário para provedores SaaS existentes, o Caiioo entrega recursos de IA sem expandir a superfície de ataque externa da organização.

Princípios de Segurança Arquitetural

A arquitetura do Caiioo elimina categorias inteiras de risco por design.

Sem Aumento na Superfície de Ataque

O Caiioo não atua como um servidor — é um agente do lado do cliente. A extensão não abre portas no dispositivo do usuário ou no firewall corporativo. Conexões com Google Workspace ou Cloud LLMs são iniciadas para fora a partir do navegador, usando os mesmos protocolos HTTPS/TLS já aprovados pela organização. Como não existe uma "Nuvem Caiioo" atuando como proxy, um invasor não pode violar a infraestrutura do Caiioo para obter acesso à rede interna do cliente.

O Envelope de Segurança

O Caiioo opera dentro do sandbox de extensão do Chrome/Edge. Isso fornece isolamento de processo — o software não pode acessar o sistema de arquivos do usuário ou outros aplicativos fora do navegador — e escopo de permissão, onde a extensão interage apenas com as páginas web específicas e APIs explicitamente concedidas pelo usuário.

Fluxo de Dados Não Custodial

O Caiioo (a empresa) nunca é parte na troca de dados. No modelo padrão, os dados fluem diretamente do navegador para o provedor de LLM. No modelo local, os dados nunca saem do dispositivo do usuário. Em ambos os cenários, os servidores do Caiioo apenas lidam com metadados relacionados ao status da assinatura — nunca com o conteúdo de comandos ou documentos.

Modelos de Implantação

Padrão (Nuvem Híbrida)

O navegador se conecta diretamente aos provedores de IA na nuvem e ao Google Workspace. A autenticação do Caiioo recebe apenas metadados de faturamento.

Air-Gapped (Totalmente Local)

Todo o processamento de AI via servidor Ollama local. A única conexão de saída é a validação de licença. Zero exportação de dados.

Verifique você mesmo

As alegações de privacidade nesta página são estruturais — elas se sustentam pela forma como o código é escrito, não pelo que prometemos. Publicamos os arquivos críticos de segurança em um repositório público para que qualquer pessoa possa ler, auditar ou referenciá-los.

Leia o código crítico de segurança no GitHub

O que está no repositório público

O módulo de conexão OAuth — prova que os tokens OAuth do Workspace são armazenados criptografados no seu dispositivo, não em nossos servidores.
O WebSocket Durable Object do relay — prova que o barramento de mensagens é criptografado de ponta a ponta; roteamos o texto cifrado, mas não podemos lê-lo.
O manipulador de troca de código OAuth — prova que é um proxy sem estado que não persiste tokens.
O esquema de banco de dados completo e as migrações — prova quais colunas temos e, mais importante, quais colunas não temos.
Uma narrativa ARCHITECTURE.md — vincula cada alegação de privacidade a um arquivo e linha específicos.

O que não está no repositório público

O orquestrador de agentes, a UI do painel lateral, os modos e prompts, as ferramentas de administração interna e os scripts de implantação permanecem proprietários. Eles não são fundamentais para as alegações de privacidade, e torná-los de código aberto é uma decisão separada.

Observe o tráfego de rede real

Se ler código não é o seu método de verificação preferido, execute um monitor de rede (Little Snitch no macOS, GlassWire no Windows, Wireshark em qualquer lugar) enquanto usa o caiioo. Seus dados do Workspace vão do seu dispositivo para o Google, e ponto final. O tráfego para nossa infraestrutura cobre uma lista pequena e enumerável de operações: troca de código OAuth, validação de licença, busca de conteúdo, o barramento de mensagens criptografado de dispositivo para dispositivo e webhooks de mensagens opcionais. Nenhum desses carrega o conteúdo do seu Workspace.

Veja a tabela completa de tráfego em nosso post no blog →

Encontrou um problema de segurança?

Tratamos pesquisadores de segurança como colaboradores. Envie um e-mail para [email protected] ou leia a política de divulgação completa em SECURITY.md no repositório de transparência. Comprometemo-nos a dar um reconhecimento em até dois dias úteis.

Arquitetura de Fluxo de Dados

Entenda onde seus dados residem e quem pode acessá-los.

Seu Dispositivo

Conversas e histórico
Chaves de API e credenciais
Configurações e preferências
Arquivos e anexos

Conexão Direta

Seu dispositivo se conecta diretamente aos provedores de IA (OpenRouter, Ollama, Gemini, etc.) usando suas credenciais. O Caiioo nunca está no meio desta conexão.

Servidores Caiioo

Sem dados de conversas
Sem informações pessoais
Apenas metadados de faturamento

Caiioo v. Serviços de IA na Nuvem

Menos saltos, sem cópias externas permanentes e processamento local reduzem as superfícies de ataque.

SaaS de IA Tradicional

Você

Seus comandos, arquivos, conversas, hábitos, preferências, contexto

↓

Tudo enviado para os servidores deles

Plataforma SaaS (Centralizada)

Dados de Todos os Usuários em UM único banco de dados

Fluxo de Treinamento Seus dados melhoram o modelo DELES

Análise Comportamental Perfil de uso, segmentação de anúncios

Acesso de Funcionários Equipe pode ler os chats

Parceiros Terceirizados Anunciantes, corretores de dados

Solicitações Legais/Gov Intimações, mandados

↓

Todos os dados fluem para baixo

Intermediário de Integração

SaaS Faz Proxy das Integrações Calendário, e-mail e arquivos passam PELA plataforma

Eles Veem Tudo Seus eventos, contatos, documentos — registrados e retidos

↓

Fluxo de IA Interno (Oculto de Você)

Modelos de IA Próprios Dados retidos para "melhoria do serviço"

Subprocessadores Dados encaminhados para IA de terceiros sem seu consentimento

Retenção de Logs Comandos armazenados por 30–90+ dias

Sem Garantias de ZDR Subprocessadores podem reter, registrar ou treinar com seus dados

Cada salto = outra cópia dos seus dados fora do seu controle

↓

VIOLAÇÃO DE DADOSMilhões expostos a partir de um único servidor

USO INDEVIDO CORPORATIVOMudanças de política, dados vendidos

VAZAMENTO NA CADEIA DE SUPRIMENTOSViolação em subprocessador expõe seus dados

VIGILÂNCIA GOVERNAMENTALMandados em massa, coleta massiva

CRIMINOSOSRoubo de identidade, fraude, extorsão

FUNCIONÁRIOS MAL-INTENCIONADOSAcesso interno para ler, copiar ou vender dados

6+cópias dos seus dados
em servidores que você não controla

SEUS DADOS RESIDEM EM:

Banco de dados central deles
Pipeline de treinamento deles
Sistemas de análise deles
Logs dos subprocessadores deles
Sistemas de parceiros deles
Serviços downstream desconhecidos

Caiioo (Privacidade em Primeiro Lugar + Retenção Zero de Dados)

Você

Seus comandos, arquivos, conversas, hábitos, preferências, contexto

↓

Permanece no dispositivo

SEU DISPOSITIVO — Tudo fica aqui

Seu Dispositivo (Local-First)

Seus Dados — APENAS seus

Consciência de Contexto Seus dados melhoram a precisão e o estilo em que o Caiioo responde a você

Agente de IA Executa localmente

Sincronização Privada com Criptografia E2E Seu Objeto Durável

Modelo de IA — Escolha seu Caminho

Opção A: Local (Ollama)

IA Totalmente no Dispositivo O modelo é executado localmente. Nada sai da sua máquina. Zero exposição de rede.

Permanece dentro do limite do dispositivo

Opção B: OpenRouter (ZDR)

ZDR Obrigatório Contratos corporativos garantem retenção zero

Sem Logs, Sem Armazenamento Prompts não são retidos pelo provedor

Sem Treinamento Tráfego de API excluído de treinamento

Troque a Qualquer Momento Claude, GPT, Gemini — sem fidelidade forçada

Prompt entra → Resposta sai → Nada é retido.
Apenas o prompt atual é enviado (sem estado). Garantido por contrato.

Externo — cruza o limite do dispositivo

Alcance seletivo — apenas o que o prompt exige, nada mais

Integrações de Ferramentas e API (BYOA)

Suas credenciais, conexão direta — conforme orientado por você

BYOA — Traga Sua Própria Conta

Seu OAuth, Sua Conexão Google Calendar, e-mail e arquivos conectam-se com SUAS credenciais diretamente à API do serviço

Sem Proxy SaaS O Caiioo nunca toca nos dados de sua integração. Eles ficam entre você e a API.

Sem Logs de Intermediários Calendário, contactos, ficheiros — tudo acedido diretamente. Sem cache ou retenção pelo caiioo.

0cópias permanentes dos seus dados
em servidores de terceiros

SEUS DADOS VIVEM EM:

Seu dispositivo

Só isso.

ZDR = Zero Retenção de Dados
Sem logs. Sem armazenamento. Sem treinamento.
Contratualmente imposto pelo OpenRouter.
O filtro ZDR do Caiioo garante apenas
modelos compatíveis com ZDR sejam exibidos.

Comparação de Risco Concreta: Superfície de Ataque por Cenário

Cenário de Risco	SaaS Tradicional	Caiioo	Superfície de Ataque
Violação de Dados Centralizada Atacante compromete a infraestrutura do servidor	✘ Chats, arquivos e dados pessoais de milhões de usuários expostos em um único evento. DB centralizado = alvo principal.	✔ Não existe armazenamento centralizado para violar. Os dados de cada usuário vivem apenas em seu dispositivo. O risco do dispositivo individual permanece, mas sem exposição em massa.	● ALTAvs● MÍNIMA
Retenção de Dados no Pipeline de IA Seus prompts armazenados nos logs do provedor	✘ SaaS retém prompts por 30–90+ dias para "melhoria do serviço". Subprocessadores também podem reter.	✔ OpenRouter impõe ZDR — sem retenção de logs, sem armazenamento. Modelos locais não retêm nada.*	● ALTAvs● MÍNIMA
Vazamento na Cadeia de Suprimentos / Subprocessador Dados encaminhados para IA de terceiros sem consentimento	✘ SaaS pode rotear dados através de subprocessadores desconhecidos. Sem garantias de ZDR no fluxo posterior.	✔ O ZDR do OpenRouter cobre todos os provedores exibidos quando o filtro ZDR está ligado. Modelos locais não têm exposição à rede.	● ALTAvs● MÍNIMA
Treinamento de Modelo com Seus Dados Conversas privadas usadas para treinar IA	✘ Opção de desativação enterrada nas configurações, geralmente ativa por padrão para níveis de consumidor. Subprocessadores podem treinar com dados retidos.	✔ Provedores ZDR não têm dados para treinar. Tráfego de API excluído contratualmente. Modelos locais nunca saem do dispositivo.	● ALTAvs● MÍNIMA
Spearphishing / Ataques de Identidade Conversas de IA vazadas alimentam ataques direcionados	✘ Chats violados revelam interesses, agendas, contatos e estilo de escrita — ideal para phishing direcionado.	✔ Sem armazenamento no servidor = sem dados em massa para atacantes. Existe um processamento breve em trânsito, mas sem dados persistentes para exfiltrar.	● ALTAvs● MÍNIMA
Perfil Comportamental e de Uso Dados de uso agregados em perfis	✘ Políticas de privacidade normalmente permitem análise de uso, compartilhamento de dados com parceiros e perfil comportamental.	✔ Sem pipeline de análise. Sem acesso de parceiros. Sem logs retidos. O Caiioo processa localmente; o OpenRouter não armazena conversas.	● ALTAvs● MÍNIMA
Solicitações Governamentais / Legais Intimações, mandados e ordens de dados em massa	✘ A empresa deve cumprir. Logs retidos e registros de subprocessadores podem ser todos exigidos judicialmente.	✔ Sem dados no servidor para intimar — provedores ZDR não retêm nada. O Private Sync é criptografado E2E.	● ALTAvs● MÍNIMA
Mudanças Unilaterais de Política / Termos de Uso Empresa expande retroativamente o uso de dados	✘ Eles detêm seus dados. Termos de Uso retroativos podem expandir o uso para treinamento, publicidade ou compartilhamento.	✔ O Caiioo não possui dados para monetizar. Provedores ZDR não retêm nada. Mudanças de política não podem afetar o que nunca foi armazenado.	● ALTAvs● MÍNIMA

* Este gráfico assume que o filtro ZDR do Caiioo está ativado. Quando o modo ZDR está ligado, o Caiioo mostra apenas modelos de IA para os quais o OpenRouter impõe contratualmente a retenção zero de dados — provedores que não oferecem ZDR são automaticamente excluídos da lista de modelos.

A DIFERENÇA FUNDAMENTAL

O SaaS tradicional cria um honeypot centralizado de dados íntimos, e então os passa por uma cadeia opaca de subprocessadores sem garantias de retenção zero de dados.

O Caiioo mantém os dados no seu dispositivo, executa IA localmente via Ollama ou roteia chamadas através do gateway ZDR do OpenRouter, e se conecta a ferramentas diretamente com suas próprias credenciais (BYOA) — garantindo que zero cópias permanentes de seus dados existam em qualquer servidor.

Como o Caiioo protege minha privacidade?

O Caiioo foi projetado desde o início como uma plataforma de agentes focada na privacidade. Aqui estão as proteções concretas integradas em cada camada do produto.

Privacidade por Linhagem

O Caiioo foi arquitetado por Fellows of Information Privacy (FIP), especialistas em segurança certificados CISSP, profissionais de privacidade certificados CIPP e profissionais de governança de IA certificados AIGP, em consulta com consultores de proteção de dados — tornando-o a primeira plataforma de agentes verdadeiramente privacy-by-design construída do zero.

Nº	Princípio de Privacidade	O Que Construímos	Como Funciona
1	Minimização de Dados	Minimização Radical de Dados	Coletamos apenas seu endereço de e-mail e nome de exibição para faturamento da conta. Nenhum dado de uso, nenhum histórico de navegação, nenhum conteúdo de conversa, nenhuma análise — nada mais. Jamais.
2	Aviso e Consentimento	Consentimento de Ação Just-in-Time	Antes que a IA execute qualquer ação impactante ou se conecte a um terceiro externo, o Caiioo exibe uma notificação clara mostrando a intenção, detalhes da ação e nível de risco — exigindo sua aprovação explícita.
3	Portabilidade de Dados	Portabilidade Total de Dados	Seus dados pertencem a você e podem ser exportados a qualquer momento através do sistema integrado de backup e restauração. Você nunca fica preso — leve suas conversas, ajustes e configurações com você.
4	Confidencialidade e Integridade	Sincronização Privada Criptografada com Conhecimento Zero	Criptografia AES-256-GCM com derivação de chave PBKDF2 (100.000 iterações). Dados armazenados no seu Google Drive, encapsulados em uma criptografia que nem o Google consegue ler. Se você perder sua senha, nem nós poderemos recuperá-la.
5	Limitação de Finalidade	Zero Analytics e Telemetria	Sem serviços de analytics, sem pixels de rastreamento, sem coleta de eventos ou relatórios de erros externos. Temos visibilidade zero sobre como você utiliza o produto.
6	Consentimento e Transparência	Solicitações de Permissão Incrementais	Escopos de OAuth são solicitados apenas quando você usa uma funcionalidade específica pela primeira vez — não antecipadamente. Explicação clara do que está sendo solicitado e o porquê, todas as vezes.
7	Direito ao Esquecimento (Art. 17)	Direito ao Esquecimento	Ferramentas abrangentes de exclusão de dados, desde precisão cirúrgica até limpeza total. Apague conversas individuais, limpe caches ou remova todos os dados completamente — você controla o que fica.
8	Limitação de Armazenamento	Mantenha o Importante, Descarte o Resto	Ao contrário de plataformas que forçam a exclusão de tudo ou nada, o Caiioo permite que você marque o que manter e descarte automaticamente o resto. Políticas de retenção configuráveis limpam os dados acumulados ao longo do tempo.
9	Privacidade por Design e Padrão	Arquitetura Local-First	Execute modelos de IA localmente com Ollama, reconhecimento de voz no dispositivo (Whisper) e TTS (Kokoro), armazenando tudo localmente. Opera completamente offline — zero dados precisam sair da sua máquina.
10	Limitação de Armazenamento	Seleção de Modelos com Zero Data Retention	Filtre e selecione modelos de IA com políticas de ZDR — o provedor processa sua solicitação e a descarta imediatamente. Sem logs, sem treinamento, sem retenção.
11	Direitos do Titular dos Dados	Controles de Localização Granulares	Escolha entre não compartilhar localização, precisão em nível de cidade ou detalhes completos de endereço. Desative com um clique — todos os dados de localização em cache são apagados imediata e permanentemente.
12	Transparência	Ações de IA Transparentes	Cada ferramenta que pode escrever, modificar, enviar ou excluir dados requer sua aprovação explícita. Ferramentas de apenas leitura (pesquisar, navegar, resumir) funcionam sem interrupção. Você vê a intenção, os detalhes da ação e o nível de risco antes que qualquer coisa com efeitos colaterais seja executada. Nada consequente é oculto ou automático.

Dúvidas sobre nossa postura de segurança?

Leia nossa Política de Privacidade completa para informações detalhadas sobre como os dados fluem pela extensão, ou comece a usar o Caiioo hoje mesmo.

Ler Política de Privacidade Começar Gratuitamente