Como protegemos os dados da sua agência

O ANCHOR conecta às plataformas de anúncios exclusivamente via OAuth 2.0 com escopo de leitura.

Nunca criamos, editamos, pausamos ou excluímos campanhas, conjuntos, criativos, audiências, lances ou orçamentos.

As permissões OAuth são limitadas ao mínimo necessário: leitura de métricas de performance (ROAS, CTR, impressões, spend, frequência).

Você revoga o acesso a qualquer momento diretamente no Google Ads (Segurança → Apps conectados) ou na Meta (Configurações → Apps e Sites). A revogação é imediata e definitiva.

Tokens OAuth são armazenados encriptados com AES-256 no banco de dados. A chave de encriptação é rotacionada periodicamente e nunca fica no mesmo ambiente que os dados.

Senhas de usuários nunca são armazenadas em texto puro. A autenticação é gerenciada pelo Supabase Auth com bcrypt (salt único por usuário).

Dados em trânsito são protegidos por TLS 1.2+ em toda comunicação entre navegador, servidor e subprocessadores.

Dados de campanha (métricas) são armazenados no banco de dados com acesso restrito a Row-Level Security (RLS) do Supabase — cada agência acessa apenas os próprios dados.

O ANCHOR roda na infraestrutura da Vercel (CDN global) com banco de dados PostgreSQL gerenciado pelo Supabase. Ambos têm certificações SOC 2 Type II.

Backups automáticos do banco de dados são realizados diariamente com retenção de 30 dias.

Monitoramento contínuo de disponibilidade com alertas automáticos para o time em caso de degradação.

Chaves de API de produção são armazenadas como variáveis de ambiente encriptadas na Vercel, não no código-fonte.

O uso da API do Google Ads segue as Google Ads API Terms of Service. O ANCHOR está em processo de verificação como app OAuth pelo Google.

O uso da API da Meta segue as Meta Platform Terms. Os escopos solicitados são limitados ao mínimo necessário para leitura de métricas.

O ANCHOR não armazena nem processa dados pessoais dos usuários finais das campanhas (consumidores que viram anúncios). Apenas métricas agregadas são utilizadas.

Conformidade com a LGPD (Lei 13.709/2018) para dados de usuários brasileiros. Veja a Política de Privacidade para detalhes completos.

Acesso de funcionários ao banco de dados de produção é restrito ao mínimo necessário (princípio do menor privilégio) e autenticado via MFA.

Logs de acesso a dados de produção são mantidos por 12 meses para fins de auditoria.

Nenhum dado de cliente é utilizado para treinamento de modelos de machine learning de terceiros.

Em caso de incidente de segurança com impacto em dados pessoais, o ANCHOR notifica os usuários afetados por email no prazo de 72 horas após a confirmação do incidente.

A notificação inclui: natureza do incidente, dados afetados, medidas tomadas e canal de contato para dúvidas.

A ANPD é notificada conforme exigido pela LGPD sempre que o incidente envolver dados pessoais com risco relevante.

Para reportar uma vulnerabilidade de segurança, envie um email para seguranca@getanchor.com.br. Respondemos em até 24 horas úteis.