Privacidade arquitetônica, não uma promessa de privacidade.
A maioria das ferramentas de arquivo online promete ser privada. O Vastiko não pode ser de outra forma: não há etapa de upload, nem armazenamento de servidor, nem pipeline de descriptografia. Verifique você mesmo em 30 segundos.
A verificação de 30 segundos
- Abra a ferramenta Edit PDF do Vastiko.
- Abra o DevTools do navegador (F12 ou clique direito → Inspecionar).
- Vá para a aba Network. Marque "Preserve log".
- Solte um PDF na zona de drop.
- Observe o painel Network. Não há POST de upload, PUT, nem WebSocket carregando seu arquivo. As únicas requisições são busca de assets estáticos (HTML, CSS, JS) e (se ativado) pings anônimos de analytics.
O mesmo vale para cada ferramenta do Vastiko. Você pode verificar a alegação de privacidade você mesmo — não precisa acreditar na nossa palavra.
Como cada ferramenta permanece local
Edit PDF
Renderização e manipulação de PDF padrão da indústria roda inteiramente na memória do navegador.
Compress PDF
Páginas são re-renderizadas e re-comprimidas localmente — sem upload, sem processamento no servidor.
Convert (PDF↔Image, PDF↔Word/Excel/PPT)
Conversões de formato são realizadas no navegador usando APIs modernas.
Criptografia (Unlock PDF / Protect PDF)
Operações protegidas por senha rodam inteiramente no seu navegador:
- Módulo WebAssembly (qpdf-wasm) parseia o PDF security handler e aplica AES-256 R5, AES-128 e RC4 (40/128-bit) — cobrindo toda a especificação do PDF security handler.
- Sem transmissão ao servidor: sua senha nunca é enviada a nós. Existe na memória do navegador apenas durante a operação, depois é descartada.
- Carregamento sob demanda: o módulo WASM é buscado somente quando você visita Unlock PDF ou Protect PDF, mantendo o resto do site leve.
Você pode verificar isso da mesma forma que com as outras ferramentas: abra DevTools → Network, solte seu PDF criptografado e confirme que não há upload — apenas o download do módulo WASM.
O que atacantes não podem fazer
Como dados de arquivo nunca chegam aos nossos servidores:
- Uma violação do nosso provedor de hospedagem não pode expor seus arquivos. Não há armazenamento de arquivos a violar.
- Uma intimação não pode nos compelir a entregar seus arquivos. Não os temos e nunca tivemos.
- Um ator malicioso não pode exfiltrar conteúdo de usuário de nós. Os dados estão na sua máquina, não na nossa.
Ofuscação de código e transparência
O bundle JavaScript é minificado e ofuscado. É uma escolha deliberada para proteger a propriedade intelectual do Vastiko — para tornar mais difícil que clones copiem nosso trabalho — e não compromete a garantia de privacidade. A privacidade é verificável a partir do comportamento em runtime, não do código fonte: abra DevTools → Network e confirme que nenhum upload acontece. A arquitetura (tudo no seu navegador) é o que torna o Vastiko privado; a ofuscação só protege o que construímos.
Se você encontrar um problema de segurança ou comportamento que contradiga essas alegações, reporte para info [arroba] vastiko [ponto] com. Tratamos esses reports como prioridade.
Infraestrutura de hospedagem
O site é entregue como HTML, CSS e JavaScript estáticos a partir de um servidor web hospedado em nuvem. Não há backend de aplicação, banco de dados de usuários, nem pipeline de processamento de arquivo no servidor. A garantia de privacidade vem da arquitetura, não de provedor ou região específicos — seus arquivos não chegariam aos nossos servidores independentemente de onde esses servidores estejam.
Reportando vulnerabilidades
Somos uma equipe pequena e ainda não rodamos um bug bounty formal, mas valorizamos divulgação responsável. Envie e-mail para info [arroba] vastiko [ponto] com com passos de reprodução. Buscamos confirmar em 48 horas e creditar você publicamente se quiser.
Escopo de conformidade
Como não processamos dados pessoais vinculados a usuários identificáveis no servidor, nossa exposição a GDPR e CCPA é mínima — mas as garantias de privacidade que damos são mais fortes do que conformidade requer. Veja a política de privacidade para detalhes.