Baixar

Whitepaper de segurança

Como a privacidade no dispositivo é implementada no Cove.

Este documento é para times de compliance, decisores de TI e usuários céticos. Listamos toda chamada de rede para fora que os apps Cove podem fazer, como o modelo é verificado, que dado é mantido onde, e a nossa postura sobre frameworks da indústria (HIPAA / GDPR / LGPD / ISO 27001).

Versão 1.0 Última atualização: 29/04/2026

Resumo executivo

Os apps Cove processam todo o conteúdo de usuário (fotos, voz, transcrições, entradas de saúde, traduções) inteiramente no dispositivo Android do usuário. Nenhum dado de conteúdo é enviado para servidores Cove, provedores de IA terceiros ou plataformas de analytics. As únicas chamadas de rede para fora são: download de modelo no Hugging Face, verificação de compra na Google Play, cadastro opcional na newsletter e relatórios anônimos opcionais de erro. Não há servidores controlados pela Cove lidando com conteúdo de usuário.

Chamadas de rede para fora — lista completa

Toda chamada de rede que qualquer app Cove pode iniciar, por finalidade. Nos comprometemos com esta lista — adicionar qualquer novo tipo de chamada exige bump de versão do app e fica documentado no changelog.

  • Download do modelo no Hugging Face

    Purpose
    No primeiro acesso, baixar os pesos do Gemma 4 E2B (~2,5 GB, quantização Q4_0 — mesmo arquivo para grátis e Pro)
    Endpoint
    huggingface.co/litert-community (espelho LiteRT-LM do release oficial Gemma do Google)
    Data
    Saída: nenhuma. Entrada: arquivo dos pesos do modelo.
    Frequency
    Uma vez por dispositivo — o mesmo arquivo Gemma 4 E2B é reaproveitado entre os quatro apps Cove
    User control
    Pode ser pulado pré-instalando o arquivo do modelo em /sdcard/GemmaApp/models/

  • Verificação de compra Google Play

    Purpose
    Verificar a compra do upgrade Pro via Google Play Billing Library
    Endpoint
    Servidores da Google Play (gerenciado pela Play Billing Library, não pela Cove)
    Data
    E-mail da conta Google + token de compra (gerenciado pelo Google, nunca visto por servidores Cove — não temos)
    Frequency
    Na tentativa de upgrade Pro, na recheck de direito Pro (silenciosa, ~diária pelo Play services)
    User control
    Necessária para usar recursos Pro. O plano gratuito nunca dispara essa chamada.

  • Cadastro na newsletter (opt-in)

    Purpose
    Inscrever-se na newsletter por e-mail do Cove (apenas no site covebase.app)
    Endpoint
    Instância self-hosted de Listmonk (infra do Cove)
    Data
    Apenas o endereço de e-mail
    Frequency
    Uma vez por tentativa de cadastro
    User control
    Totalmente opt-in via formulário do site. Os apps não coletam e-mail.

  • Relatórios anônimos de erro (opt-in)

    Purpose
    Ajudar a diagnosticar problemas de estabilidade do app
    Endpoint
    Instância self-hosted do Sentry (infra do Cove)
    Data
    Stack trace, versão do Android, modelo do dispositivo, versão do app. SEM conteúdo de usuário. PII removido antes do envio.
    Frequency
    Em evento de crash (que esperamos ser raro)
    User control
    Desligado por padrão. Configurações → Privacidade → Relatórios de erro para ativar.

Verificação de integridade do modelo

Antes de carregar o modelo Gemma 4 E2B, o Cove verifica o hash SHA-256 dele contra um hash esperado embutido para aquela versão de modelo. Se houver descasamento, o modelo é rejeitado e o usuário é orientado a baixar de novo. Isso protege contra (a) downloads corrompidos e (b) adulteração do arquivo do modelo por agentes maliciosos com acesso ao sistema de arquivos. Não carregamos pesos não verificados — isso é restrição rígida.

Registro de hash dos modelos

Model variant Approx. size Hash algorithm Hash source
Gemma 4 E2B (Q4_0, default) ~2.5 GB SHA-256 embedded + signed
Gemma 4 E4B (Q4_0, optional upgrade) ~3.6 GB SHA-256 embedded + signed
Gemma 4 E2B (Q4_0, prior release — kept for rollback) ~2.5 GB SHA-256 embedded + signed

Retenção de dados — o que fica armazenado onde

Todo conteúdo do usuário fica no dispositivo. Abaixo o inventário.

  • Histórico de tradução

    Where
    Banco SQLite local (Room) em /data/data/com.gemmaapp.travellens/databases/
    Retention
    Até o usuário apagar (na tela de histórico do app) ou desinstalar o app
    Encryption
    Criptografia padrão do sistema de arquivos do Android (criptografia de dispositivo completa no Android 6+)

  • Gravações + transcrições de voz

    Where
    Arquivos de áudio em armazenamento privado do app; transcrições no banco Room
    Retention
    Até o usuário apagar da biblioteca dentro do app ou desinstalar o app
    Encryption
    Criptografia padrão do sistema de arquivos do Android

  • Análises + histórico de foto

    Where
    Banco SQLite local em /data/data/com.gemmaapp.photolens/databases/
    Retention
    Até o usuário apagar ou desinstalar o app. Fotos originais são armazenadas só se o usuário salvar explicitamente.
    Encryption
    Criptografia padrão do sistema de arquivos do Android

  • Entradas do diário de saúde

    Where
    Banco SQLite local em /data/data/com.gemmaapp.healthlens/databases/, criptografado em repouso com AES-256 e chave derivada do Android Keystore
    Retention
    Até o usuário apagar ou desinstalar o app. Entradas relevantes para SOS não são sincronizadas em lugar nenhum.
    Encryption
    AES-256-GCM com chave selada no Android Keystore (criptografia adicional além do padrão do dispositivo — dados de saúde merecem essa camada extra)

Postura de compliance

Somos um pequeno estúdio independente e o Cove é software de consumidor. Não declaramos certificações que não temos. Abaixo a nossa posição honesta sobre os frameworks mais perguntados.

  • HIPAA (saúde nos EUA)

    Não somos Business Associate. O Cove Health não é um sistema coberto por HIPAA. Mesmo assim, o design no dispositivo significa que dados de paciente ditados ao Cove nunca saem do dispositivo — se a política da sua organização permite isso é entre você e o time de compliance.

  • GDPR (privacidade na UE)

    Minimalista de dados por design. Não coletamos dados de conteúdo. Os únicos dados pessoais processados são: e-mail opcional (newsletter), relatórios opcionais de erro (PII removido) e registros de compra na Google Play (tratados pelo Google como processador separado). Direito de apagar: desinstale o app + cancele a newsletter (um clique).

  • ISO 27001

    Não certificados. Estúdios independentes pequenos raramente têm orçamento para certificação ISO — não faz sentido para um app de consumidor de US$ 3,99. Os controles técnicos descritos neste documento cobrem a maior parte das ameaças que a ISO 27001 endereça.

  • SOC 2

    Não certificados. Mesma razão da ISO 27001. Não operamos serviços em nuvem para conteúdo de usuário, o que retira a maior parte da superfície da SOC 2.

Divulgação de vulnerabilidades

Se você encontrar um problema de segurança, escreva para [email protected] (alias de [email protected], mas usar este endereço encaminha como relatório de segurança). Nos comprometemos a: confirmar em 3 dias úteis, investigar em 14 dias e creditar quem reportou no changelog (se quiser ser nomeado). Ainda não temos programa de bug bounty — fase muito inicial — mas mandamos chaves do Cove Pro como agradecimento por relatórios válidos.

Perguntas para times de compliance / jurídico

Se a sua organização está avaliando o Cove para uso de equipe e precisa de uma análise mais detalhada (ex.: questionário assinado, revisão de política de segurança), escreva para [email protected] com os requisitos específicos.

E-mail para [email protected] Ver auditoria de rede