A CriptoDeclara lê o histórico das suas exchanges para gerar a declaração fiscal — e só. Nada é gasto, transferido ou movimentado. Abaixo estão as medidas técnicas e organizacionais que usamos para proteger suas informações.
Você conecta suas exchanges usando credenciais read-only — cadastradas diretamente no painel da exchange e liberadas apenas para leitura de trades, saldos e movimentações.
A plataforma não aceita, não pede e não pode usar chaves com permissão de saque ou trading. Mesmo que você nos desse uma chave com mais permissões, nosso sistema não executa ordens de envio.
Toda credencial de exchange é cifrada com AES-256-GCM antes de ser salva no banco. A chave-mestra fica fora do banco de dados, armazenada como variável de ambiente gerenciada pela infraestrutura.
Mesmo um acesso não autorizado ao dump do banco não revelaria as credenciais das exchanges em texto puro.
Senhas de acesso dos usuários nunca são armazenadas em texto claro. Usamos bcrypt (hash com salt único por usuário) — o padrão recomendado pela OWASP para autenticação web.
A CriptoDeclara não coleta, não solicita e não processa seed phrases, private keys, keystores ou qualquer material criptográfico que dê custódia sobre seus ativos.
Para carteiras self-custody (Ledger, Trezor, MetaMask, etc.) a importação é sempre via endereço público ou CSV — dados que qualquer explorador blockchain já expõe.
Todo tráfego entre navegador, frontend e backend usa TLS 1.2+ com certificados emitidos por autoridades certificadoras reconhecidas.
A comunicação com APIs de exchanges é feita sobre HTTPS, com assinatura HMAC conforme as especificações de cada exchange. Nenhuma requisição sensível sai do servidor em texto claro.
Operamos como Controlador dos seus dados pessoais sob a Lei 13.709/2018 (LGPD). Você tem direito de acesso, correção, exclusão, portabilidade e revogação de consentimento a qualquer momento.
Nosso DPO (Data Protection Officer) responde em até 15 dias úteis pelo email dpo@criptodeclara.com. Detalhes completos na Política de Privacidade.
O banco de dados PostgreSQL é replicado e recebe snapshots diários. Os backups são cifrados em repouso e retidos pelo período mínimo necessário para reprocessamento de incidentes e conformidade fiscal.
Os relatórios gerados seguem exatamente o leiaute DeCripto publicado pela Receita Federal do Brasil na Instrução Normativa RFB 2.219/2024. O hash SHA-256 do conteúdo exportado é armazenado junto com o relatório para que qualquer alteração posterior seja detectada.
O estado atual da plataforma — API, banco, frontend, email — está publicado em criptodeclara.com/status e atualiza a cada 30 segundos. Incidentes recentes são listados na mesma página.
Divulgação responsável de vulnerabilidades: envie detalhes para suporte@criptodeclara.com. Respondemos em até 2 dias úteis e confirmamos recebimento imediato. Não divulgue publicamente antes de um retorno nosso.