PrivacyNotes beta

Ajuda e FAQ

Respostas e guias passo a passo: segurança, sincronização, preços e a mudança de outros apps.

// Primeiros passos

Posso testar o PrivacyNotes sem criar uma conta?

Sim. A demonstração em try.privacynotes.app é o app completo com conteúdo de exemplo: sem cadastro, sem e-mail, e nada do que você digita é salvo. Ela roda inteira no seu navegador e não envia nada aos nossos servidores.

Fechar a aba apaga tudo, e é exatamente essa a ideia. Quando quiser guardar suas notas, crie um cofre de verdade em privacynotes.app. O conteúdo da demonstração não é transferido, então copie antes o que quiser manter.

Preciso de um e-mail para me cadastrar?

Não. Uma conta nova é uma frase de recuperação de 12 palavras recém-gerada, e nada mais. Sem e-mail, sem nome de usuário, sem telefone, sem etapa de verificação. Se você entra com a frase, não conseguiríamos escrever para você nem se quiséssemos: nunca sabemos quem você é.

Prefere o caminho conhecido? Entrar com Google, Apple ou GitHub também funciona. Essa rota inevitavelmente nos revela o e-mail ligado à sua conta no provedor, mas suas notas continuam criptografadas de ponta a ponta de qualquer forma, e por baixo você ainda ganha uma frase.

Como trago minhas notas de outro app?

Abra Configurações > Importar e Exportar e escolha a origem. Há importadores dedicados para Apple Notes, Obsidian, Standard Notes, Google Keep, Simplenote, Samsung Notes e Bitwarden (logins, cartões e notas seguras vão parar no Cofre), além de um importador Markdown genérico para qualquer pasta de arquivos .md.

As importações rodam inteiramente no seu aparelho: seus arquivos exportados são lidos, criptografados e salvos localmente, nada é enviado para processamento. Cada nota importada recebe uma tag com a origem, para você revisar o lote depois, e as listas do Google Keep até viram listas de tarefas nativas.

O editor entende Markdown?

Sim. Digite Markdown e a formatação aparece na hora: # títulos, **negrito**, listas, - [ ] caixas de tarefa, citações e callouts. As notas também exportam como Markdown limpo, então o que você escreve continua portátil.

Você também pode conectar notas entre si: digite [[ e um preenchimento automático sugere suas notas existentes. Um note-link abre o destino com um clique, e o painel de estrutura mais a busca dentro da nota mantêm documentos longos navegáveis.

// Segurança e privacidade

O que o PrivacyNotes consegue ver das minhas notas?

Nada legível. Notas, títulos, tags e anexos são criptografados no seu aparelho antes de sincronizar. O servidor armazena texto cifrado que não consegue decifrar, e do nosso lado não existe chave alguma que mude isso.

O que conseguimos ver é o mínimo para operar o serviço: quanto armazenamento criptografado você ocupa, quantos aparelhos estão vinculados e os horários de sincronização. Se você entra com uma frase em vez de Google ou Apple, nem o seu e-mail conhecemos.

Por que uma frase de recuperação em vez de usuário e senha?

No começo parece ao contrário, mas uma única frase de recuperação é a construção mais forte. Com usuário e senha, o usuário não é segredo (aparece em todo vazamento), então toda a segurança repousa na senha - e senhas escolhidas por humanos ficam em média em uns 30 a 40 bits de entropia. Sua frase de 12 palavras são 128 bits garantidos, gerados pelo seu aparelho, nunca escolhidos por um humano e nunca reaproveitados de outro site.

Do nosso lado também não há nada a perder. Login com senha significa que o servidor guarda pelo menos um hash de senha, que pode vazar, ser quebrado ou cair em phishing. Sua frase nunca sai do seu aparelho: ela deriva suas chaves de criptografia localmente, e o servidor só vê dados criptografados. Não há hash para roubar nem fluxo de redefinição de senha para um atacante abusar.

Se digitar 12 palavras parece trabalhoso: você pode salvar a frase no seu gerenciador de senhas com um toque (Configurações > Segurança > Sua frase), e entrar vira um login como outro qualquer. Prefere o fluxo conhecido? Entrar com Google ou Apple também funciona, e por baixo você ainda ganha uma frase.

Posso escolher meu próprio equilíbrio entre conveniência e privacidade?

Sim, de propósito. Nem todo mundo se defende das mesmas ameaças, então o modelo de conta é uma escada, não um dogma único. Em cada degrau suas notas continuam criptografadas de ponta a ponta; o que muda é quem guarda a chave e o que sabemos sobre você.

A ponta conveniente: entre com Google, Apple ou GitHub e escolha "Keep it simple" quando perguntarem. Guardamos sua frase de recuperação por você, criptografada em repouso no nosso servidor: qualquer aparelho entra só com a conta do provedor e não há nada para salvar nem perder. O preço honesto: conhecemos o e-mail por trás da sua conta no provedor, e um servidor totalmente comprometido poderia, em princípio, expor a chave guardada. Se a sua ameaça realista é perder as próprias credenciais, e não um ataque direcionado, é uma troca sensata.

O meio: entre com um provedor, mas escolha "Maximum privacy". Sua frase nunca toca nossos servidores e a criptografia é totalmente de conhecimento zero; um aparelho novo exige a frase ou um escaneamento de QR a partir de um aparelho já conectado. Continuamos, por força, conhecendo seu e-mail do provedor, mas não conseguiríamos ler uma única nota, nem sob coação.

A ponta privada: dispense provedores e use apenas a frase de 12 palavras. Sem e-mail, sem nome, sem identidade - e, combinada com uma compra anônima do Pro, nem o pagamento deixa seu nome em lugar algum. Em troca, a custódia da chave é toda sua: perca a frase sem nenhum aparelho conectado e ninguém poderá ajudar.

A catraca gira num sentido só: você pode passar a qualquer momento da custódia nossa para a autocustódia (apagamos nossa cópia da sua frase), mas não existe caminho silencioso de volta. E todo degrau aceita ainda as camadas locais: bloqueio do app com PIN, desbloqueio biométrico e proteção por nota.

Uma frase de 12 palavras é segura o bastante? Por que não 24, como nas carteiras Bitcoin?

Sim, 12 palavras bastam. Uma frase BIP-39 de 12 palavras codifica 128 bits de entropia. Quebrar 128 bits na força bruta não é um problema de "precisamos de um computador maior", e sim de "precisamos de mais energia do que a humanidade produz". Não existe ataque realista que quebre 128 bits mas falhe em 256.

A comparação com o Bitcoin mostra justamente por que 24 palavras são mais marketing do que outra coisa: as chaves do Bitcoin vivem na curva secp256k1, que por si só oferece apenas cerca de 128 bits de segurança. Uma frase de 24 palavras injeta 256 bits de entropia numa fechadura que ainda se abre com cerca de 128 bits de trabalho. É também por isso que muitas carteiras grandes seguem com 12 palavras por padrão.

O PrivacyNotes mira o mesmo nível de 128 bits de ponta a ponta: sua frase passa por uma função de derivação de chave, e a criptografia que ela protege (XChaCha20-Poly1305) é calibrada na mesma medida. Ir para 24 palavras dobraria o que você anota e digita sem nenhum ganho prático de segurança, então não planejamos oferecer.

Os pontos fracos honestos de qualquer frase de recuperação são o phishing e o lugar onde você guarda o papel, não o comprimento dela. Proteja a frase em si e 12 palavras vão sobreviver a todos nós.

Se alguém adivinhar minhas 12 palavras, consegue entrar na minha conta?

Resposta curta: sim. Sua frase é a chave, então qualquer pessoa que a tiver consegue entrar, do mesmo jeito que qualquer um com a chave da sua casa abre a sua porta. Isso é proposital: ela é a única chave mestra das suas notas, e nada mais fraco fica na frente. A pergunta real, portanto, não é se ter a frase dá acesso (dá), e sim se alguém conseguiria adivinhá-la - e aí a resposta é não, com nenhum computador que exista ou que se possa prever.

Eis a escala. Uma frase de 12 palavras é uma entre 2^128 possibilidades: cerca de 340 undecilhões, um número de 39 dígitos (3,4 x 10^38). A chance de adivinhar a sua na primeira tentativa é 1 em 340 undecilhões - mais improvável do que ganhar quatro vezes seguidas um prêmio de loteria de 1 em 300 milhões. Tratar como busca em vez de golpe de sorte também não ajuda: mesmo a um quintilhão de tentativas por segundo (10^18, muito além de qualquer hardware real, estados incluídos), percorrer todas levaria uns 10 trilhões de anos, quase 800 vezes a idade atual do universo. E essa é a versão fantasiosa, porque cada tentativa real precisa passar por uma derivação de chave deliberadamente lenta, e qualquer ataque online precisa atravessar nossos servidores - o que deixa o palpite verdadeiro mais lento por várias ordens de grandeza adicionais. O esquema tampouco é novidade: a mesma construção de 128 bits protege carteiras Bitcoin há mais de uma década, e ninguém jamais adivinhou uma.

É tentador imaginar a frase como uma senha, que se reforça com maiúsculas, números e símbolos. Uma frase de recuperação não funciona assim, e você nunca deve tentar montar ou editar uma à mão. Seu aparelho gera 128 bits de aleatoriedade criptograficamente segura e os codifica em 12 palavras de uma lista pública fixa de 2048 palavras: essa aleatoriedade é toda a força. A última palavra ainda carrega uma soma de verificação embutida, então uma frase digitada errada ou inventada é rejeitada na hora. A ordem das palavras importa, maiúsculas e minúsculas não (normalizamos no login), e acrescentar símbolos só tornaria a frase inválida. Digite as palavras exatamente como foram entregues.

Por que não existe autenticação em dois fatores (2FA)?

Porque é uma escolha deliberada, não um esquecimento. A 2FA conhecida - código por SMS ou app autenticador - existe para escorar senhas fracas escolhidas por humanos, e se apoia num segredo compartilhado e num caminho de recuperação guardados num servidor. É exatamente a superfície de ataque que o modelo de frase elimina: seu aparelho prova que possui a chave assinando um desafio, então nossos servidores só recebem uma chave pública e uma assinatura - nunca a frase, nunca um hash de senha. Parafusar um código por cima reintroduziria a maquinaria de servidor que esse design evita de propósito, sem acrescentar nada contra adivinhação, porque 128 bits já fecham essa porta.

O único segundo fator que acrescentaria algo de verdade é um resistente a phishing, como uma chave de segurança física ou uma passkey, porque os riscos residuais reais não são adivinhação, e sim phishing, malware e uma frase roubada ou espiada por cima do ombro. Num aparelho deixado desbloqueado, o bloqueio do app (PIN) e o desbloqueio biométrico são a proteção local.

Fora isso, a frase é a chave, então faça o backup no dia em que criar a conta: guarde-a num gerenciador de senhas confiável, ou imprima ou escreva à mão e guarde essa cópia num lugar seguro. E nunca cole a frase em lugar nenhum que não seja o próprio app.

Vocês usam a mesma lista de palavras das carteiras Bitcoin (BIP-39)?

Sim, a lista BIP-39 padrão (em inglês): 2048 palavras, exatamente a mesma lista que as carteiras Bitcoin usam. Geramos as frases com a @scure/bip39, uma biblioteca open source auditada. Nada de lista própria nem criptografia caseira.

A lista foi desenhada para escrever à mão: as quatro primeiras letras de cada palavra são únicas, então uma palavra borrada ou abreviada continua inequívoca, e palavras parecidas foram excluídas de propósito.

Por ser a lista padrão, você pode conferir sua frase em qualquer referência BIP-39 pública, e nossa camada de criptografia está publicada como open core, então você mesmo pode revisar a implementação.

Buscar nas minhas notas envia algo para os servidores de vocês?

Não. A busca consulta um índice de texto completo construído e guardado no seu aparelho. As consultas nunca saem dele, os resultados aparecem mesmo sem conexão nenhuma, e nada sobre o que você busca é transmitido, jamais.

Não é uma política que poderíamos reverter em silêncio: é imposto pela arquitetura. O servidor só guarda texto cifrado, então do nosso lado não há nada legível para indexar ou vasculhar. Um servidor que não consegue ler suas notas também não consegue buscá-las.

O PrivacyNotes usa IA nas minhas notas?

Não. Não há recursos de IA no app, nenhum processamento de IA em segundo plano e nenhum treinamento de modelo com o seu conteúdo. Suas notas são criptografadas antes de sair do seu aparelho - nos nossos servidores não existe nada legível para alimentar coisa alguma.

Se um dia construirmos algo nessa direção, terá de rodar inteiramente no seu aparelho e ser estritamente opcional. Enviar notas em texto puro para um modelo na nuvem quebraria a promessa de zero conhecimento, então está fora de cogitação.

O que são burn notes?

Uma burn note é um jeito autodestrutivo de compartilhar uma nota com alguém que não usa o PrivacyNotes. O app criptografa o conteúdo com uma chave de uso único e entrega um link. A chave viaja no fragmento do link, que os navegadores nunca enviam aos servidores - nosso servidor guarda, portanto, texto cifrado que não consegue ler.

Na primeira abertura do link, o servidor entrega o texto cifrado e o apaga no mesmo passo: uma leitura, e acabou. Links nunca abertos expiram sozinhos após 24 horas. De um jeito ou de outro, nada fica para trás.

O PrivacyNotes é open source?

As partes que protegem você já são. O código de criptografia, o esquema do banco de dados e o modelo de ameaças estão publicados como open core: qualquer pessoa pode auditar como suas notas são protegidas, em vez de acreditar na nossa palavra.

Os apps vêm em seguida. Quando os apps nativos de todas as plataformas tiverem saído, abriremos o código dos clientes (web, desktop e mobile). A única peça que permanece fechada é o backend de sincronização, e ele nunca guarda nada além de dados criptografados que não conseguimos ler. Mantê-lo privado não custa nada da sua privacidade, mas impede que alguém clone o serviço inteiro e apresente nosso trabalho como se fosse dele. Aberto onde protege você, fechado onde protege a gente.

// Conta e recuperação

Perdi minha frase de recuperação. Vocês conseguem recuperar minha conta?

Se você ainda está logado em qualquer aparelho: sim, você mesmo recupera. Abra Configurações > Segurança > Sua frase e salve-a agora no seu gerenciador de senhas.

Se você não tem mais nenhum aparelho logado nem a frase: não, e ninguém consegue. Sua frase nunca chega aos nossos servidores, então não há nada para redefinir e nenhum chamado de suporte que ajude. Não é uma política que possamos flexibilizar - é o que criptografia de ponta a ponta significa. Qualquer serviço capaz de restaurar seus dados criptografados após uma perda total está guardando as suas chaves.

A prevenção custa dez segundos: salve a frase num gerenciador de senhas no dia em que criar a conta.

Entro com Google ou Apple. E se eu perder o acesso a essa conta?

Por baixo você ainda tem uma frase de 12 palavras, e a frase sozinha faz login em qualquer aparelho - sem Google nem Apple. Abra Configurações > Segurança > Sua frase e salve-a no seu gerenciador de senhas.

Faça isso uma vez e perder a conta do provedor não custa nada: é só entrar com a frase no lugar.

Esqueci meu PIN. Meus dados se foram?

Não. O PIN é uma trava de conveniência contra olhares curiosos no seu próprio aparelho, não uma chave de criptografia. Suas notas são criptografadas com chaves derivadas da sua frase de recuperação, e a frase sempre dá acesso completo, sem PIN algum.

É uma decisão de projeto deliberada: amarrar a criptografia a um PIN de 4 dígitos significaria que um PIN esquecido destrói dados. Aqui isso nunca acontece.

Como excluo minha conta?

No app: Configurações > ID & Sync e, em seguida, "Excluir conta e dados". Isso remove permanentemente do servidor suas notas sincronizadas, arquivos, aparelhos, configurações e a própria conta. Não há período de retenção nem backup que possamos restaurar depois - então exporte antes tudo o que quiser manter (Configurações > Importar e Exportar).

Dois detalhes: uma assinatura de armazenamento ativa precisa ser cancelada antes da exclusão (uma já agendada para encerrar não bloqueia), e como uma conta de frase nunca teve e-mail nem nome, não sobra perfil nem lista de marketing para limpar. Apagar os dados locais de um aparelho é uma ação separada e não mexe na sua conta.

// Sincronização e aparelhos

O que exatamente sincroniza entre meus aparelhos, e o que fica local?

Tudo o que você esperaria, cada item criptografado no seu aparelho antes de sincronizar: notas, tarefas, entradas de diário, seu cofre e os arquivos criptografados dentro dele. Suas configurações também acompanham - tags favoritas, preferências de ordenação e exibição, tema de cor, seu PIN (como hash com sal, nunca o PIN em si), bloqueio do app, configuração de trackers e medicamentos, e a limpeza automática da lixeira. Configure uma vez e cada aparelho acompanha.

Algumas coisas ficam de propósito locais ao aparelho: modo claro ou escuro (cada aparelho segue a própria preferência do sistema), desbloqueio biométrico (preso ao hardware de cada aparelho) e seu estado de desbloqueio (fechar o app sempre trava de novo). O servidor só armazena blobs criptografados e não consegue ler nada disso.

O PrivacyNotes funciona offline?

Sim. O app é local-first: suas notas vivem num banco de dados no seu aparelho, então ler, escrever e buscar funcionam sem conexão nenhuma. As mudanças sincronizam sozinhas quando você volta a ficar online.

O que acontece se eu editar a mesma nota em dois aparelhos ao mesmo tempo?

Nada é sobrescrito em silêncio. Se os dois aparelhos mudaram a mesma nota enquanto estavam separados (um offline, por exemplo), o app detecta a colisão na próxima sincronização e mostra um diálogo de conflito: manter a versão deste aparelho, manter a outra, ou manter as duas como notas separadas.

No dia a dia você raramente vai vê-lo. Online, as edições sincronizam em segundos, e o diálogo só aparece quando duas versões da mesma nota realmente divergiram.

Como removo um aparelho que não uso mais?

Configurações > Conta lista cada aparelho registrado. Remova o aposentado: a vaga é liberada na hora (útil no plano gratuito de 2 aparelhos), e o aparelho removido é desconectado na próxima tentativa de sincronizar. Ele continua visível por 72 horas em "Removidos recentemente", para você confirmar que sumiu.

Um aviso honesto: a remoção sozinha não é uma fronteira de segurança, porque qualquer pessoa com a sua frase de recuperação consegue entrar de novo. Se um aparelho foi perdido ou roubado, a frase é o que precisa de proteção - e o bloqueio do app (PIN ou biometria) é o que impede um aparelho achado de virar porta aberta.

// Seus dados

Onde meus dados ficam armazenados?

Primeiro no seu aparelho - é essa cópia que você realmente usa. A cópia de sincronização vive em servidores em Zurique, na Suíça.

Como tudo é criptografado antes de sair do seu aparelho, a localização do servidor é um bônus, não uma promessa estrutural: os dados sincronizados seriam ilegíveis onde quer que estivessem.

Posso exportar minhas notas, ou estou preso?

Você pode exportar tudo a qualquer momento, gerado inteiramente no seu aparelho: arquivos Markdown num zip com os anexos incluídos, um backup JSON completo, ou HTML autossuficiente - por nota ou para a conta inteira.

Importar também funciona: traga notas do Obsidian, Apple Notes, Google Keep, Standard Notes, Simplenote e Samsung Notes. Prender o usuário não faz parte do modelo de negócio.

Que arquivos posso anexar, e de que tamanho?

Qualquer tipo de arquivo: imagens, PDFs, áudio, compactados, o que você arrastar. Cada arquivo é criptografado no seu aparelho antes do envio, exatamente como o texto das notas, e a visão Arquivos reúne todos os anexos num lugar só.

O limite por arquivo é de 5 MB no plano gratuito e 50 MB no Pro. Os arquivos contam no seu armazenamento total de sincronização (50 MB grátis, 500 MB no Pro, expansível até 5,5 GB com os adicionais de armazenamento), e a barra em Configurações > Armazenamento mostra sempre onde você está.

O que é o Cofre?

O Cofre é uma seção dedicada a segredos estruturados: logins com usuário e senha, cartões de crédito e débito, e chaves SSH. As entradas têm campos de verdade em vez de texto livre, os logins mostram o ícone do site, e tudo é criptografado de ponta a ponta como o resto dos seus dados.

Ele dá um lar organizado e protegido àquele punhado de credenciais que, de outro jeito, acaba espalhado pelas notas. Combine com o bloqueio do app e a proteção por PIN para uma segunda barreira nas entradas mais sensíveis. Uma importação do Bitwarden aterrissa aqui automaticamente.

Qual o tamanho máximo de uma nota, e o que significam os avisos de tamanho?

Escreva o quanto quiser - em notas normais, tamanho nem entra em pauta. Quando uma única nota cresce demais, uma dica aparece embaixo e sobe de tom em três degraus: perto de 50.000 palavras, avisa que a nota está ficando longa e pode engasgar em aparelhos mais lentos; perto de 75.000, fica âmbar, e a digitação pode começar a travar; e perto de 100.000, sugere dividir a nota porque você está chegando ao limite de sincronização. São guias, não bloqueios rígidos - nada impede você de continuar.

Esse limite de sincronização é o único teto de verdade. Uma única nota comporta cerca de 1 MB de texto depois de criptografada - grosso modo, 120.000 palavras de inglês comum, menos com escrita não latina ou muita formatação. Uma nota além disso continua funcionando e segue segura no aparelho onde foi escrita, mas essa nota específica não vai mais sincronizar com os outros aparelhos (você verá um aviso de "falha na sincronização"). O resto das suas notas não é afetado: uma nota grande demais nunca bloqueia mais nada.

O conserto é fácil: divida uma nota gigante em algumas menores. O conteúdo é idêntico, sincroniza sem problema e o editor continua rápido. Um contador de palavras ao vivo embaixo de cada nota deixa você de olho no tamanho enquanto escreve. E se você ia testar onde fica o muro: agora não precisa mais.

O que acontece com minhas notas se o PrivacyNotes fechar?

Você não perde nada. O conjunto completo de dados já está no seu aparelho porque o app é local-first, e a exportação para Markdown, JSON ou HTML funciona totalmente offline.

A camada de criptografia também está publicada como open core: o formato continua legível de forma independente, mesmo num mundo em que nossos servidores sumissem da noite para o dia.

// Preços e Pro

O que é grátis e o que é Pro?

O grátis é o produto completo, não uma amostra: notas, tarefas, diário e cofre criptografados de ponta a ponta, uso offline, importação e exportação - em até 2 aparelhos com 50 MB de armazenamento de sincronização.

O Pro é uma compra única que adiciona aparelhos ilimitados, 500 MB de armazenamento (expansível), histórico de versões das notas, anexos maiores, bloqueio de notas e proteção por PIN, acompanhamento de bem-estar avançado, modo zen e todos os temas de cor.

Como um pagamento único pode bancar um serviço de sincronização para sempre?

Porque o serviço foi desenhado para ser barato de operar. O app é local-first e as notas são pequenos blobs criptografados: o servidor pouco faz além de guardá-los e repassá-los entre seus aparelhos. Sem pipeline de analytics, sem recursos de IA queimando computação, sem departamento de suporte.

O único custo que cresce com o tempo é o armazenamento, e ele é precificado de acordo: espaço além dos 500 MB inclusos é um pequeno adicional anual. Custos únicos se pagam uma vez; custos recorrentes, de forma recorrente. O modelo só precisa se sustentar, e ele se sustenta.

Comprei o Pro numa plataforma. Tenho em todas?

Sim. O Pro está preso à sua conta, não a um aparelho, plataforma ou loja. Compre uma vez, entre com a mesma frase (ou o mesmo login Google, Apple ou GitHub) em qualquer lugar, e o Pro estará ativo lá também.

Isso inclui plataformas que ainda nem existem: quando um app novo sair, o seu Pro atual vai junto sem custo extra.

Como funcionam os adicionais de armazenamento?

O Pro inclui 500 MB de armazenamento de sincronização criptografado. Se precisar de mais, os pacotes se somam por cima: 1 GB por $4.80 ao ano, 2 GB por $8.40, ou 5 GB por $18, até 5,5 GB no total. Os adicionais são a única compra recorrente do produto, porque armazenamento é a única coisa que nos custa dinheiro em cada mês de uso.

Tudo é gerenciado em Configurações > Armazenamento: troque por um pacote maior (você paga só a diferença proporcional) ou cancele quando quiser e mantenha o espaço até o fim do período pago. O Pro, de qualquer forma, é seu para sempre.

Qual é a política de reembolso?

30 dias, sem perguntas. Se o Pro não for para você, peça o reembolso integral em até 30 dias da compra e ele volta para o método de pagamento original. Clientes na UE mantêm ainda o direito legal de arrependimento de 14 dias.

Os pagamentos são processados pela Paddle, nosso merchant of record, então os reembolsos são tratados diretamente pela Paddle: responda ao e-mail do recibo da compra ou visite paddle.net. A política completa está nos termos de serviço.

O que vocês descobrem sobre mim quando eu pago?

Menos do que você imagina. O checkout passa pela Paddle, o merchant of record: seu nome, número do cartão e endereço de cobrança vão para a Paddle para pagamento e impostos, e nunca tocam nossos servidores.

O que chega até nós é a confirmação de que a chave pública da sua conta agora é Pro, mais o valor do pedido. A relação de cobrança, incluindo o e-mail de recibo digitado no checkout, fica com a Paddle. Uma conta só de frase permanece, portanto, pseudônima para nós mesmo como cliente pagante: sabemos que você pagou, não quem você é.

Posso comprar o Pro sem revelar quem eu sou?

Sim, com duas ferramentas padrão. Para o recibo, use um alias de e-mail: Apple Hide My Email, DuckDuckGo Email Protection, SimpleLogin, Firefox Relay ou addy.io encaminham todos para a sua caixa real sem expô-la. Para o pagamento, use um cartão mascarado: o privacy.com, nos EUA, gera cartões virtuais que funcionam com qualquer nome digitado, e muitos bancos e serviços em outros lugares (o Revolut, por exemplo) oferecem cartões virtuais descartáveis que fazem o mesmo trabalho.

No checkout, a Paddle pede um e-mail, um método de pagamento e um país (mais um código postal em algumas regiões) para calcular impostos. O alias recebe o recibo, o cartão mascarado carrega o nome que você deu a ele, e a localização fiscal situa você, no máximo, numa região, nada além. Mantenha o alias vivo, porém: o e-mail do recibo é sua prova de compra e seu canal para reembolso.

Combinado com uma conta de frase, nenhuma parte termina com o quadro completo: seu banco vê uma recarga de cartão, a Paddle vê um alias e um cartão mascarado, e nós vemos apenas que uma chave pública virou Pro.

// Apps e plataformas

Em quais plataformas o PrivacyNotes roda?

Web, macOS, Windows, Linux e Android hoje, com iOS chegando em breve. Cada app nasce do mesmo núcleo, com a mesma criptografia de ponta a ponta, e sincroniza pela mesma conta. A seção de downloads tem sempre as versões mais recentes.

O app web é cidadão de primeira classe, não um plano B: mantém uma cópia local completa dos seus dados e funciona offline - qualquer navegador moderno é sempre uma porta de entrada.

O app Android se atualiza sozinho?

Se veio da Google Play Store: sim, ele se atualiza sozinho como os outros apps. Se você baixou direto do nosso site, o telefone não vai atualizá-lo automaticamente - é simplesmente assim que o Android trata apps que não vêm da Play Store.

Em vez disso, o app confere se há versões novas e mostra a mensagem "Nova versão disponível" quando uma estiver pronta. Toque nela e a atualização se instala por cima da versão antiga, com todas as suas notas e configurações no lugar. A verificação só procura uma versão mais nova, nunca toca nas suas notas, que permanecem criptografadas o tempo todo.

Quais idiomas o app fala?

Inglês, alemão, francês, italiano, espanhol e português do Brasil. O app segue o idioma do sistema por padrão, ou você fixa um explicitamente em Configurações > Idioma em cada aparelho.

As traduções são grátis para todo mundo, não uma vantagem Pro. Mais idiomas estão nos planos; se o seu está faltando, conte para a gente no GitHub ou no Reddit.