Política de Privacidade — saveVault
Última atualização: 21 de abril de 2026
1. Resumo
O saveVault é um cofre de senhas, marcadores, notas seguras e códigos 2FA que opera localmente no seu navegador. Suas credenciais são criptografadas com AES-GCM 256 bits usando uma chave derivada (PBKDF2, 600.000 iterações, SHA-256) da sua senha mestre, que nunca sai do seu dispositivo. O backend de licenciamento roda na infraestrutura Cloudflare (Workers + D1), com comunicação em TLS 1.3.
2. Quem somos e como nos contatar
Controlador dos dados: Pablo Labs. Para dúvidas, solicitações de exclusão ou qualquer assunto relacionado a privacidade: logvpcampus@gmail.com.
3. Quais dados coletamos
3.1 O que NÃO coletamos
- Suas senhas, logins, notas seguras ou códigos 2FA — tudo cifrado em
chrome.storage.local, no seu navegador.
- Sua senha mestre — nem em texto puro, nem em hash reversível. Se esquecê-la, não podemos recuperá-la.
- URLs visitadas, histórico de navegação ou conteúdo das páginas.
- Dados de telemetria, analytics de terceiros ou publicidade.
3.2 O que coletamos no servidor (apenas para licenciamento e antiabuso)
- E-mail de compra — informado por você ao adquirir a licença vitalícia.
- Chave de licença — gerada pelo servidor, associada ao seu e-mail.
- ID de dispositivo — UUID aleatório gerado pela extensão; não vinculado a dados pessoais.
- Rótulo do navegador — ex.: “Chrome”, “Opera” (não armazenamos user-agent completo).
- Hash do IP — HMAC-SHA256 do IP (o IP em texto puro não é armazenado); usado para rate-limiting.
- Fingerprint coarse do dispositivo — hash SHA-256 de timezone, idioma, plataforma, resolução de tela, renderização de canvas. Armazenado exclusivamente para detectar reinstalação abusiva do período gratuito.
- ID do pedido devolvido pelo Mercado Pago ou PayPal (nunca dados de cartão).
3.3 O que é enviado temporariamente para APIs públicas (não armazenamos o retorno)
- Para HIBP: os 5 primeiros caracteres do SHA-1 da senha que você está verificando (protocolo k-anonymity).
- Para XposedOrNot: o e-mail que você digita para consulta manual de vazamentos (opt-in).
- Para Google Translate: o texto de interface a traduzir, se você escolher um idioma não empacotado.
- Para api.mail.tm e edumailfree.com: apenas quando você aciona o gerador de e-mail temporário/institucional (opt-in).
4. Como processamos seus dados
| Finalidade | Dados usados | Base legal (LGPD / GDPR) |
|---|
| Ativar e validar sua licença vitalícia | E-mail de compra, chave de licença, ID do pedido | Execução de contrato |
| Aplicar limite de 5 dispositivos e evitar abuso de trial | UUID do dispositivo, rótulo do navegador, fingerprint coarse | Legítimo interesse (antifraude) |
| Rate-limiting e proteção do backend | Hash HMAC do IP | Legítimo interesse (segurança) |
| Verificar vazamento de senha/e-mail | 5 caracteres do SHA-1 (HIBP) ou e-mail (XposedOrNot, opt-in) | Consentimento |
| Gerar e-mail temporário / institucional | Requisição anônima a api.mail.tm ou edumailfree.com | Consentimento |
| Traduzir a interface sob demanda | Texto exibido na UI | Consentimento |
Não utilizamos seus dados para publicidade, profiling comportamental, análise de crédito, nem treinamos modelos de IA com eles.
5. Onde armazenamos seus dados
- Cofre (senhas, notas, 2FA, preferências): no seu navegador, em
chrome.storage.local, cifrado com AES-GCM 256 (chave derivada por PBKDF2 com 600.000 iterações SHA-256 a partir da sua senha mestre). Separação de contexto no KDF entre cofre interno e exportações.
- Dados de licenciamento e antiabuso: no nosso backend em Cloudflare Workers (serverless global) e banco de dados Cloudflare D1 (SQLite distribuído). Cloudflare opera em múltiplas regiões — os dados podem ser processados em qualquer data center Cloudflare. Transferências internacionais ocorrem sob as salvaguardas contratuais da Cloudflare (SCCs da UE quando aplicável).
- Logs transitórios: metadata de requisições (hash de IP, UUID) ficam em memória da edge por tempo necessário para rate-limiting.
Toda comunicação entre a extensão e nosso backend ocorre sobre TLS 1.3. Tokens de licença são assinados com HMAC-SHA256 e suportam rotação.
5.1 APIs contatadas pela extensão
| Endpoint | Finalidade | Dado enviado |
|---|
savevault-api.pablolabs.workers.dev | Ativação e revalidação de licença, checkout | E-mail, chave, UUID, hash do IP, fingerprint coarse |
api.pwnedpasswords.com | Verificação de vazamento de senha (k-anonymity) | Primeiros 5 caracteres do SHA-1 da senha |
api.xposedornot.com | Verificação de vazamento de e-mail (opt-in) | E-mail digitado pelo usuário |
translate.googleapis.com | Tradução de UI sob demanda | Texto da interface |
api.mail.tm | Geração de e-mail temporário (opt-in) | Requisição anônima |
edumailfree.com | Geração de e-mail institucional (opt-in) | Requisição anônima |
6. Retenção e exclusão
- Dados locais (cofre): permanecem no seu navegador até você desinstalar a extensão ou limpar o armazenamento.
- Licença ativa: mantida enquanto a licença estiver vigente. Como a licença é vitalícia, ela permanece pelo tempo de vida do produto.
- Exclusão sob solicitação: ao receber seu pedido em logvpcampus@gmail.com, apagamos e-mail, chave de licença, UUIDs e fingerprints em até 30 dias. Isso revoga o acesso ao produto.
- Registros de trial: armazenados por até 180 dias após o fim do período gratuito e depois apagados automaticamente.
- Logs de rate-limiting: memória transitória — não persistem além do necessário (tipicamente minutos a horas).
7. Com quem compartilhamos seus dados
Não vendemos, alugamos nem compartilhamos dados para fins de marketing. Compartilhamos dados estritamente com os seguintes operadores, apenas pelo necessário à prestação do serviço:
- Cloudflare, Inc. — hospedagem dos Workers e do banco D1 (processador de dados).
- Mercado Pago e PayPal — processamento de pagamento. Não recebemos dados de cartão; apenas o ID do pedido.
- Have I Been Pwned, XposedOrNot, Google Translate, mail.tm, edumailfree — APIs externas consultadas sob demanda e conforme descrito na tabela da seção 5.1. Dados mínimos e anônimos quando aplicável.
- Autoridades públicas — apenas mediante ordem judicial legítima.
Não transferimos nem compartilhamos dados com terceiros para avaliar creditworthiness, para fins de empréstimo, nem para qualquer finalidade alheia ao propósito único deste produto.
8. Segurança
- Criptografia de cofre: AES-GCM 256 com chave PBKDF2 (600.000 iterações, SHA-256).
- Separação de contexto no KDF entre cofre interno e exportações.
- Comunicação com o servidor sob TLS 1.3.
- Tokens de licença assinados com HMAC-SHA256 e com suporte a rotação.
- Senha mestre nunca deixa o dispositivo e nunca é transmitida ao servidor.
9. Seus direitos (LGPD / GDPR)
Você pode, a qualquer momento, solicitar acesso, correção, portabilidade, revogação de consentimento ou exclusão dos seus dados pessoais escrevendo para logvpcampus@gmail.com. Atendemos em até 30 dias. Você também tem direito de reclamar à autoridade competente (ANPD no Brasil, autoridades de proteção de dados da UE quando aplicável).
10. Crianças
O produto não é direcionado a menores de 13 anos e não coletamos dados deles intencionalmente.
11. Alterações nesta política
Mudanças materiais serão comunicadas via e-mail (se houver licença ativa com e-mail) e publicadas nesta página. A data no topo reflete a revisão mais recente. Alterações que ampliem significativamente a coleta de dados só serão aplicadas após aviso prévio.
12. Contato
Suporte e privacidade: logvpcampus@gmail.com
Privacy Policy — saveVault
Last updated: April 21, 2026
1. Summary
saveVault is a password, bookmark, secure-note and 2FA vault that runs locally in your browser. Credentials are encrypted with AES-GCM 256-bit using a key derived (PBKDF2, 600,000 iterations, SHA-256) from your master password, which never leaves your device. The licensing backend runs on Cloudflare infrastructure (Workers + D1) over TLS 1.3.
2. Who we are and how to reach us
Data controller: Pablo Labs. Questions, deletion requests or any privacy matter: logvpcampus@gmail.com.
3. What data we collect
3.1 What we do NOT collect
- Your passwords, logins, secure notes or 2FA codes — all encrypted in
chrome.storage.local.
- Your master password — neither plaintext nor reversible hash. If forgotten, we cannot recover it.
- Browsing history, visited URLs or page content.
- Telemetry, third-party analytics or advertising data.
3.2 What we collect on the server (licensing and anti-abuse only)
- Purchase e-mail — provided when you buy a lifetime license.
- License key — generated server-side, tied to your e-mail.
- Device ID — random UUID generated by the extension; not tied to personal data.
- Browser label — e.g. "Chrome", "Opera" (no full user-agent stored).
- IP hash — HMAC-SHA256 of your IP (raw IP is not stored); used for rate limiting.
- Coarse device fingerprint — SHA-256 hash of timezone, language, platform, screen resolution, canvas render. Used exclusively to detect abusive trial reinstalls.
- Order ID returned by Mercado Pago or PayPal (never card data).
3.3 What is transiently sent to public APIs (responses are not stored)
- To HIBP: the first 5 characters of the SHA-1 of the password you check (k-anonymity protocol).
- To XposedOrNot: the e-mail you type for a manual breach lookup (opt-in).
- To Google Translate: the UI text to translate, if you pick an unbundled language.
- To api.mail.tm and edumailfree.com: only when you trigger the temporary/institutional e-mail generator (opt-in).
4. How we process your data
| Purpose | Data used | Legal basis (LGPD / GDPR) |
|---|
| Activate and validate your lifetime license | Purchase e-mail, license key, order ID | Contract performance |
| Enforce 5-device limit and prevent trial abuse | Device UUID, browser label, coarse fingerprint | Legitimate interest (anti-fraud) |
| Rate limiting and backend protection | HMAC IP hash | Legitimate interest (security) |
| Password / e-mail breach lookup | 5 chars of SHA-1 (HIBP) or e-mail (XposedOrNot, opt-in) | Consent |
| Temporary / institutional e-mail generation | Anonymous request to api.mail.tm or edumailfree.com | Consent |
| On-demand UI translation | UI text | Consent |
We do not use your data for advertising, behavioral profiling, credit analysis, or to train AI models.
5. Where we store your data
- Vault (passwords, notes, 2FA, preferences): inside your browser, in
chrome.storage.local, encrypted with AES-GCM 256 (key derived via PBKDF2, 600,000 SHA-256 iterations, from your master password). KDF context separation between internal vault and exports.
- Licensing and anti-abuse data: on our backend running on Cloudflare Workers (global serverless) with Cloudflare D1 (distributed SQLite). Cloudflare operates in multiple regions — data may be processed in any Cloudflare data center. International transfers rely on Cloudflare's contractual safeguards (EU SCCs when applicable).
- Transient logs: request metadata (IP hash, UUID) sits in edge memory only as long as needed for rate limiting.
All communication between the extension and our backend happens over TLS 1.3. License tokens are signed with HMAC-SHA256 and support rotation.
5.1 APIs contacted by the extension
| Endpoint | Purpose | Data sent |
|---|
savevault-api.pablolabs.workers.dev | License activation / revalidation, checkout | E-mail, key, UUID, IP hash, coarse fingerprint |
api.pwnedpasswords.com | Password breach check (k-anonymity) | First 5 chars of SHA-1 of the password |
api.xposedornot.com | E-mail breach check (opt-in) | User-typed e-mail |
translate.googleapis.com | On-demand UI translation | UI text |
api.mail.tm | Temporary e-mail generation (opt-in) | Anonymous request |
edumailfree.com | Institutional e-mail generation (opt-in) | Anonymous request |
6. Retention and deletion
- Local data (vault): stays in your browser until you uninstall the extension or clear storage.
- Active license: kept while the license is active. Since the license is lifetime, it is retained for the product's lifetime.
- Deletion on request: upon your request at logvpcampus@gmail.com we erase e-mail, license key, UUIDs and fingerprints within 30 days. This revokes access to the product.
- Trial records: kept up to 180 days after the trial ends, then deleted automatically.
- Rate-limit logs: transient memory — not persisted beyond what's needed (typically minutes to hours).
7. Who we share your data with
We do not sell, rent or share data for marketing. We share data strictly with the following processors, only as needed to provide the service:
- Cloudflare, Inc. — hosts our Workers and D1 database (data processor).
- Mercado Pago and PayPal — payment processing. We don't receive card data; only the order ID.
- Have I Been Pwned, XposedOrNot, Google Translate, mail.tm, edumailfree — external APIs called on demand as described in the section 5.1 table. Minimal, anonymous data where applicable.
- Public authorities — only under legitimate court order.
We do not transfer or share data with third parties to assess creditworthiness, for lending purposes, or for any purpose unrelated to this product's single purpose.
8. Security
- Vault encryption: AES-GCM 256 with PBKDF2-derived key (600,000 iterations, SHA-256).
- KDF context separation between internal vault and exports.
- Server communication over TLS 1.3.
- License tokens HMAC-SHA256 signed, with rotation support.
- Master password never leaves the device and is never sent to the server.
9. Your rights (LGPD / GDPR)
You may request access, correction, portability, consent withdrawal or deletion of your personal data at any time by writing to logvpcampus@gmail.com. We respond within 30 days. You also have the right to lodge a complaint with the competent authority (ANPD in Brazil, EU data protection authorities where applicable).
10. Children
The product is not directed to children under 13 and we do not knowingly collect their data.
11. Changes to this policy
Material changes will be announced via e-mail (if you have an active license with an e-mail on file) and published on this page. The date at the top reflects the most recent revision. Changes that significantly expand data collection will only take effect after prior notice.
12. Contact
Support and privacy: logvpcampus@gmail.com
Política de Privacidad — saveVault
Última actualización: 21 de abril de 2026
1. Resumen
saveVault es una bóveda de contraseñas, marcadores, notas seguras y códigos 2FA que funciona localmente en tu navegador. Las credenciales se cifran con AES-GCM 256 bits usando una clave derivada (PBKDF2, 600.000 iteraciones, SHA-256) de tu contraseña maestra, que nunca sale de tu dispositivo. El backend de licenciamiento se ejecuta en infraestructura Cloudflare (Workers + D1) sobre TLS 1.3.
2. Quiénes somos y cómo contactarnos
Responsable del tratamiento: Pablo Labs. Consultas, solicitudes de eliminación o cualquier asunto de privacidad: logvpcampus@gmail.com.
3. Qué datos recopilamos
3.1 Lo que NO recopilamos
- Tus contraseñas, inicios de sesión, notas seguras o códigos 2FA — todo cifrado en
chrome.storage.local.
- Tu contraseña maestra — ni en texto plano ni en hash reversible. Si la olvidas, no podemos recuperarla.
- Historial, URLs visitadas o contenido de páginas.
- Telemetría, analíticas de terceros o publicidad.
3.2 Lo que recopilamos en el servidor (solo para licenciamiento y antiabuso)
- Correo de compra — proporcionado al adquirir la licencia vitalicia.
- Clave de licencia — generada por el servidor, asociada a tu correo.
- ID de dispositivo — UUID aleatorio generado por la extensión; no vinculado a datos personales.
- Etiqueta de navegador — ej. "Chrome", "Opera" (no almacenamos el user-agent completo).
- Hash de IP — HMAC-SHA256 de tu IP (la IP en texto plano no se almacena); usado para rate-limiting.
- Huella coarse del dispositivo — hash SHA-256 de zona horaria, idioma, plataforma, resolución de pantalla, render de canvas. Usada exclusivamente para detectar reinstalaciones abusivas del período de prueba.
- ID de pedido devuelto por Mercado Pago o PayPal (nunca datos de tarjeta).
3.3 Lo que se envía de forma transitoria a APIs públicas (no almacenamos la respuesta)
- A HIBP: los 5 primeros caracteres del SHA-1 de la contraseña (protocolo k-anonymity).
- A XposedOrNot: el correo que tú escribes para una consulta manual de filtraciones (opt-in).
- A Google Translate: el texto de la interfaz a traducir, si eliges un idioma no empaquetado.
- A api.mail.tm y edumailfree.com: solo cuando activas el generador de correo temporal/institucional (opt-in).
4. Cómo procesamos tus datos
| Finalidad | Datos utilizados | Base legal (LGPD / GDPR) |
|---|
| Activar y validar tu licencia vitalicia | Correo de compra, clave, ID de pedido | Ejecución de contrato |
| Aplicar el límite de 5 dispositivos y prevenir abuso de prueba | UUID, etiqueta de navegador, huella coarse | Interés legítimo (antifraude) |
| Rate-limiting y protección del backend | Hash HMAC de IP | Interés legítimo (seguridad) |
| Verificar filtraciones de contraseñas o correo | 5 caracteres de SHA-1 (HIBP) o correo (XposedOrNot, opt-in) | Consentimiento |
| Generación de correo temporal / institucional | Solicitud anónima a api.mail.tm o edumailfree.com | Consentimiento |
| Traducción de la interfaz bajo demanda | Texto de la UI | Consentimiento |
No usamos tus datos para publicidad, profiling conductual, análisis de crédito ni para entrenar modelos de IA.
5. Dónde almacenamos tus datos
- Bóveda (contraseñas, notas, 2FA, preferencias): en tu navegador, en
chrome.storage.local, cifrada con AES-GCM 256 (clave derivada por PBKDF2, 600.000 iteraciones SHA-256, desde tu contraseña maestra). Separación de contexto en el KDF entre bóveda interna y exportaciones.
- Datos de licenciamiento y antiabuso: en nuestro backend sobre Cloudflare Workers (serverless global) y Cloudflare D1 (SQLite distribuido). Cloudflare opera en múltiples regiones — los datos pueden procesarse en cualquier centro de datos de Cloudflare. Las transferencias internacionales se basan en las salvaguardas contractuales de Cloudflare (SCCs de la UE cuando aplica).
- Logs transitorios: metadatos de solicitudes (hash de IP, UUID) permanecen en memoria del edge solo lo necesario para el rate-limiting.
Toda la comunicación entre la extensión y el backend ocurre sobre TLS 1.3. Los tokens de licencia están firmados con HMAC-SHA256 y soportan rotación.
5.1 APIs contactadas por la extensión
| Endpoint | Finalidad | Datos enviados |
|---|
savevault-api.pablolabs.workers.dev | Activación / revalidación de licencia, checkout | Correo, clave, UUID, hash IP, huella coarse |
api.pwnedpasswords.com | Verificación de filtración de contraseña (k-anonymity) | 5 primeros caracteres del SHA-1 |
api.xposedornot.com | Verificación de filtración de correo (opt-in) | Correo digitado por el usuario |
translate.googleapis.com | Traducción de UI bajo demanda | Texto de la UI |
api.mail.tm | Generación de correo temporal (opt-in) | Solicitud anónima |
edumailfree.com | Generación de correo institucional (opt-in) | Solicitud anónima |
6. Retención y eliminación
- Datos locales (bóveda): permanecen en tu navegador hasta que desinstales la extensión o limpies el almacenamiento.
- Licencia activa: se mantiene mientras la licencia esté vigente. Al ser vitalicia, se retiene durante la vida del producto.
- Eliminación a solicitud: al recibir tu petición en logvpcampus@gmail.com, eliminamos correo, clave de licencia, UUIDs y huellas en un máximo de 30 días. Esto revoca el acceso al producto.
- Registros de prueba: almacenados hasta 180 días tras finalizar la prueba, luego eliminados automáticamente.
- Logs de rate-limiting: memoria transitoria — no persisten más allá de lo necesario (normalmente minutos u horas).
7. Con quién compartimos tus datos
No vendemos, alquilamos ni compartimos datos para marketing. Compartimos datos estrictamente con los siguientes operadores, solo lo necesario para prestar el servicio:
- Cloudflare, Inc. — aloja nuestros Workers y la base D1 (procesador de datos).
- Mercado Pago y PayPal — procesamiento de pagos. No recibimos datos de tarjeta; solo el ID de pedido.
- Have I Been Pwned, XposedOrNot, Google Translate, mail.tm, edumailfree — APIs externas consultadas bajo demanda como describe la tabla 5.1. Datos mínimos y anónimos cuando aplica.
- Autoridades públicas — solo ante orden judicial legítima.
No transferimos ni compartimos datos con terceros para evaluar solvencia crediticia, con fines de préstamo, ni para ningún propósito ajeno al propósito único de este producto.
8. Seguridad
- Cifrado de bóveda: AES-GCM 256 con clave derivada por PBKDF2 (600.000 iteraciones, SHA-256).
- Separación de contexto del KDF entre bóveda interna y exportaciones.
- Comunicación con el servidor sobre TLS 1.3.
- Tokens de licencia firmados con HMAC-SHA256 y con rotación.
- La contraseña maestra nunca sale del dispositivo ni se envía al servidor.
9. Tus derechos (LGPD / GDPR)
Puedes solicitar acceso, corrección, portabilidad, revocación de consentimiento o eliminación de tus datos personales en cualquier momento escribiendo a logvpcampus@gmail.com. Respondemos en hasta 30 días. También tienes derecho a presentar reclamación ante la autoridad competente (ANPD en Brasil, autoridades de protección de datos de la UE cuando aplica).
10. Menores
El producto no está dirigido a menores de 13 años y no recopilamos sus datos intencionalmente.
11. Cambios en esta política
Los cambios materiales se comunicarán por correo (si tienes licencia activa con correo registrado) y se publicarán en esta página. La fecha en la parte superior refleja la última revisión. Los cambios que amplíen significativamente la recopilación solo se aplicarán tras previo aviso.
12. Contacto
Soporte y privacidad: logvpcampus@gmail.com