Princípio fundamental
O servidor do Solo2 é completamente cego. No sabe con quién hablas, qué dices, ni qué archivos compartes. Ni siquiera las señales técnicas que establecen la conexión entre dispositivos son legibles para el servidor — viajan cifradas de extremo a extremo.
As tuas mensagens viajam diretamente entre dispositivos, cifradas de ponta a ponta. O teu histórico vive cifrado no teu navegador, nunca no nosso servidor.
As chaves de cifra rodam automaticamente com cada mensagem. Cada mensagem é cifrada com uma chave única que é descartada imediatamente após o uso. Isto é tecnicamente conhecido como Double Ratchet, y significa que incluso si alguien obtuviese una clave, solo podría leer un único mensaje — no la conversación. Además, la seguridad se restaura automáticamente tras cada turno de comunicación: una clave comprometida se vuelve inútil en cuanto se intercambia el siguiente mensaje.
Quando uma ligação direta entre dispositivos não é possível (por exemplo, por restrições de rede), é utilizado um servidor espelho (tecnicamente chamado TURN): os dados são refletidos de um dispositivo para outro, mas o espelho não tem consciência do que reflete — tudo viaja cifrado de ponta a ponta e o servidor não pode lê-lo. Além disso, todos os pacotes são preenchidos a um tamanho uniforme para impedir que um observador possa deduzir informações analisando o tamanho ou a frequência do tráfego.
Podes sempre ver na aplicação que tipo de ligação estás a usar — directa o a través del servidor espejo — y actuar en consecuencia.
A tua chave mestra é gerada aleatoriamente com 256 bits de entropia real — o mesmo nível que o Bitcoin. Al crear tu cuenta, Solo2 genera una clave única que se representa como 24 palabras. Tu contraseña protege el acceso al servicio. Tus 24 palabras son la llave de tus datos. Son dos llaves diferentes para dos puertas diferentes.
Mesmo que o nosso servidor desapareça, os teus dados sobrevivem. Com as tuas 24 palavras podes aceder ao teu cofre local sem ligação ao servidor. Os teus dados são teus — a sério.
1. Dados que temos no servidor
1.1 A tua conta de utilizador
Estes são todos os campos que existem no teu registo. Não há mais nenhum.
| Dado | Porquê | Proteção | Duração |
|---|---|---|---|
| Nome de utilizador | Para poderes iniciar sessão | Texto simples (público por design) | Até apagares a tua conta |
| Palavra-passe | Autenticação | Protegida com Argon2id (recomendado pela OWASP, resistente a ataques com hardware especializado). Nunca armazenamos a tua palavra-passe real, solo una huella matemática irreversible | Até apagares a tua conta |
| Nome público | Para que os teus contactos te reconheçam | Texto simples (tu o escolhes) | Até o alterares ou apagares a tua conta |
| Código de vinculação | O teu endereço dentro do Solo2 — como um número de telefone. É o que partilhas com alguém para que te encontre e te envie um pedido de ligação | Texto simples, único (~10 caracteres) | Até apagares a tua conta |
| Chave pública | Cadeia criptográfica que a aplicação usa automaticamente para cifrar os dados que te enviam. Ninguém a usa diretamente — a aplicação trata disso. O código de vinculação serve para te encontrarem; a chave pública serve para cifrarem para ti | Chave pública (44 caracteres). Pode ser conhecida sem risco — só a tua chave privada, que reside no teu navegador, pode decifrar | Até apagares a tua conta |
| Saldo da conta | Dinheiro que adicionaste à tua conta | Número (em cêntimos) | Até apagares a tua conta |
| Saldo bónus | Bónus recebidos (convites, promoções, presentes). Consumido antes do saldo da conta | Número (em cêntimos) | Até apagares a tua conta |
| Tipo de conta | O teu plano atual (teste, padrão, ouro, platina) | Texto | Até que mude ou apagues a tua conta |
| Data de fim do período de teste | Quando termina o teu período de teste gratuito | Data | Até apagares a tua conta |
| Data e hora de registo | Quando criaste a tua conta | Data e hora completa (timestamp) | Permanente |
| Última atividade | Quando usaste a aplicação pela última vez | Data e hora | Atualizada a cada utilização |
| Identificadores internos | Códigos que o sistema usa internamente para se referir a ti | IDs opacos, sem significado fora do sistema | Até apagares a tua conta |
| Versão de segurança | Que versão do algoritmo de proteção da palavra-passe foi utilizada | Número interno | Até apagares a tua conta |
| Indicadores de estado | Flags técnicas (se o teu saldo mudou, se tens o modo de segurança máxima ativo) | 1 byte — o equivalente a uma única letra. Não cabe mais nada | Até apagares a tua conta |
Para teres uma ideia do volume: o teu registo ocupa cerca de 250 caracteres fixos (identificadores, datas, chaves, saldos) mais o comprimento dos nomes que escolheres. A palavra-passe não influencia: é sempre armazenada como uma impressão digital de tamanho fixo. Por exemplo, se te chamas «João» e o teu nome público é «João Silva», tudo o que ocupas no nosso servidor são cerca de 264 caracteres — menos do que este parágrafo.
1.2 Sessões ativas
| Dado | Porquê | Proteção | Duração |
|---|---|---|---|
| Token de sessão | Manter a tua sessão ativa | Apenas armazenamos uma impressão digital irreversível (hash), não o token original | 24 horas máximo, luego se borra automáticamente |
| Data da última atividade | Expirar sessões inativas | Data e hora | Apagada com a sessão |
1.3 Pedidos de vinculação
| Dado | Porquê | Proteção | Duração |
|---|---|---|---|
| ID do solicitante | Para saber quem enviou o pedido | ID interno | 3 dias máximo. Si no se responde, se elimina automáticamente |
| ID do destinatário | Para saber a quem se destina | ID interno | Igual ao solicitante |
| Estado | Pendente / aceite / rejeitado | Texto | Apagado ao ser resolvido ou ao expirar |
Nota importante: Una vez aceptada la vinculación, el servidor no guarda la relación. Tu lista de contactos existe solo en tu navegador, cifrada.
1.4 Convites
| Dado | Porquê | Proteção | Duração |
|---|---|---|---|
| Código de convite | Link único para convidar alguém | Token aleatório | Até ser usado ou expirar (30 dias) |
| ID do emissor | Para saber quem convidou | ID interno | Permanente (contabilidade) |
| Valor do presente | Saldo oferecido com o convite | Número | Permanente (contabilidade) |
1.5 Subscrições push (notificações)
| Dado | Porquê | Proteção | Duração |
|---|---|---|---|
| Endereço de notificação | Enviar notificações para o teu navegador | URL do fornecedor do navegador (Google, Mozilla ou Apple) | Até desativares as notificações ou apagares a tua conta |
| Chaves de cifra push | Cifrar a notificação para que apenas o teu navegador a possa ler | Padrão Web Push | Igual ao endereço |
1.6 Feedback (suporte)
| Dado | Porquê | Proteção | Duração |
|---|---|---|---|
| A tua mensagem | Para podermos ajudar-te | Texto simples | Até o processarmos |
| O teu ID de utilizador | Para saber quem precisa de ajuda | ID interno | Igual à mensagem |
1.7 Sinalização de ligação (efémera)
Para que dois dispositivos possam ligar-se diretamente, precisam de trocar sinais técnicos de estabelecimento de ligação (protocolo WebRTC). Estes sinais passam brevemente pelo nosso servidor, mas cifrados de ponta a ponta — el servidor solo transporta un bloque opaco que no puede descifrar.
| Dado | Porquê | Proteção | Duração |
|---|---|---|---|
| Sinais de ligação | Estabelecer a ligação direta entre dispositivos | Cifrados de ponta a ponta com a chave pública do destinatário. O servidor não pode lê-los nem modificá-los | 60 segundos máximo, luego se borran. En memoria, nunca en disco |
1.8 Servidor espelho (relay TURN)
Se a ligação direta não é possível, é utilizado um servidor espelho: os dados passam por ele como a luz através de um espelho — são refletidos de um lado para o outro, mas o espelho não tem consciência do que reflete. Todos os pacotes são preenchidos a um tamanho uniforme para que um observador não consiga distinguir uma mensagem de um simples batimento de ligação.
| Dado | Porquê | Proteção | Duração |
|---|---|---|---|
| Credencial de acesso | Autenticar-te no servidor espelho | A tua identidade é transformada numa impressão digital irreversível — o servidor espelho não sabe quem és | 24 horas, luego se regenera |
1.9 Pagamentos processados
Os pagamentos são o único ponto onde existe uma fricção real com o anonimato. Sejamos honestos sobre isso.
Quando te registas no Solo2, escolhes um nome de utilizador (pode ser inventado), uma palavra-passe e um nome público (também inventado, se quiseres). Nenhum dado te vincula a uma pessoa real. Mas se fizeres um pagamento com cartão, a tua instituição financeira sabe quem és.
O que recebemos da plataforma de pagamento é unicamente uma confirmação e um montante. Não recebemos nem armazenamos o nome do titular, o número do cartão, o documento de identidade, nem qualquer dado pessoal do pagador. São montantes pequenos — legalmente equivalentes a um talão de caixa, como comprar um chupa-chupa num quiosque: o comerciante não regista o documento de identidade de quem paga.
Além disso, o registo de pagamento é deliberadamente desvinculado de tu cuenta de usuario. No existe ningún campo en nuestra base de datos que cruce un ticket de cobro con una cuenta concreta.
| Dado | Porquê | Proteção | Duração |
|---|---|---|---|
| Registo de pagamento | Contabilidade e obrigações fiscais | Confirmação + montante. Sem dados pessoais do pagador. Sem vinculação a nenhuma conta de utilizador | Permanente (obrigação legal) |
Sobre o pior cenário possível: Incluso con una orden judicial, la cadena de rastreo sería: tu tarjeta → tu banco → la pasarela de pago → nuestro ticket de cobro. Pero nuestro ticket no contiene ningún identificador de usuario. No es un descuido: es una decisión de diseño. No existe ningún campo ni índice en nuestra base de datos que relacione un pago con una cuenta. La única vía teórica sería una correlación temporal — si fueses el único pago en un periodo dado — pero incluso en ese caso extremo, la cuenta no contiene información que identifique a la persona real: el nombre de usuario y el nombre público pueden ser totalmente inventados.
Todas as nossas receitas são legais e contabilizadas através da plataforma de pagamento. Liquidamos os impostos correspondentes. Mas o anonimato do cliente é total da nossa parte.
2. Dados que NÃO temos no servidor
Isto é o que nos define. O servidor do Solo2 não armazena nem tem acesso a:
- As tuas mensagens — Viajan directamente entre dispositivos, cifrados de extremo a extremo. El servidor nunca los ve.
- Os teus ficheiros — Igual que los mensajes: directos y cifrados.
- A tua lista de contactos — Existe solo en tu navegador, cifrada en La Bóveda.
- O teu histórico de chat — Solo en tu navegador, cifrado.
- A tua localização — Los GeoSellos se calculan en tu dispositivo y se envían directamente al destinatario. El servidor nunca los procesa.
- Analíticas de uso — La aplicación Solo2 no tiene ningún sistema de analíticas, ni cookies de seguimiento, ni scripts de terceros.
- Dados do dispositivo — No recogemos modelo, resolución, sistema operativo, ni ninguna característica de tu dispositivo.
- Metadados de comunicação — No sabemos con quién hablas, cuándo, con qué frecuencia, ni durante cuánto tiempo.
Sobre o teu endereço IP
Não registamos o teu endereço IP. Nem a aplicação nem o servidor web armazenam endereços IP nos seus logs. Os sinais de ligação, que poderiam conter o teu IP, estão cifrados de ponta a ponta — o servidor não os consegue ler.
3. Dados no teu navegador (O Cofre)
Tudo o que se segue vive exclusivamente no teu navegador, cifrado con AES-256-GCM (un estándar de cifrado de grado militar utilizado por gobiernos y entidades financieras). La clave se genera a partir de tu contraseña mediante Argon2id (el algoritmo más resistente disponible contra ataques con hardware especializado), y este proceso ocurre enteramente dentro de tu navegador. Tu contraseña nunca se envía al servidor.
Os teus dados estão cifrados em repouso — mesmo que alguém acedesse ao armazenamento do teu navegador, apenas encontraria blocos cifrados ilegíveis sem a tua palavra-passe.
Quando exportas uma cópia de segurança, é cifrada com a mesma proteção (Argon2id + AES-256-GCM). Só quem conhecer a tua palavra-passe pode decifrá-la.
| Dado | Cifra | Controlo |
|---|---|---|
| Mensagens | AES-256-GCM | Tu decides quando as apagar |
| Ficheiros | AES-256-GCM | Tu decides quando os apagar |
| Contactos (pares) | AES-256-GCM | Tu decides quem vincular |
| Estado de verificação | AES-256-GCM | Tu verificas a identidade de cada contacto |
| Índice de pesquisa | Cifrado com tokens irreversíveis (HMAC) | Reconstruído a partir das tuas mensagens |
| Estado de entrega | AES-256-GCM | Quais mensagens foram entregues |
| Mensagens pendentes | AES-256-GCM | Fila de envio quando não há ligação |
Armazenamento temporário do navegador
| Dado | Tipo | Duração | Porquê |
|---|---|---|---|
| Sessão de utilizador | Memória local do navegador (localStorage) | Até terminares sessão | Manter a tua sessão |
| Versão da app | Memória local do navegador (localStorage) | Permanente | Detetar atualizações |
| Preferência de tema | Memória local do navegador (localStorage) | Permanente | Recordar o teu tema visual |
| Preferência de idioma | Memória local do navegador (localStorage) | Permanente | Recordar o teu idioma |
| Palavra-passe (modo segurança máxima) | Memória de separador (sessionStorage) | Desaparece ao fechar o separador | Reinicializar a cifra se recarregares a página |
Nota sobre a segurança no navegador
O Solo2 funciona dentro do teu navegador web. Os teus dados cifrados estão protegidos em repouso, mas quando a aplicação está aberta e te mostra as tuas mensagens decifradas no ecrã, a segurança depende também do teu ambiente:
- Extensões do navegador: Una extensión maliciosa con acceso a las páginas que visitas podría, en teoría, leer lo que se muestra en pantalla. Recomendamos utilizar el menor número posible de extensiones y solo de fuentes de confianza.
- Navegador limpo: Un navegador actualizado y sin extensiones innecesarias es tu mejor aliado.
- Aplicação nativa: En el futuro, ofreceremos una aplicación de escritorio (Windows, Mac, Linux) que proporcionará un nivel adicional de aislamiento al no depender del entorno del navegador.
4. Ligações de rede
A aplicação Solo2
| Domínio | Motivo | Dado enviado |
|---|---|---|
| solo2.net | API da aplicação | Autenticação, sinalização, presença |
| pay.menzuri.com | Plataforma de pagamento | Apenas se efetuares um pagamento |
Nenhum outro domínio. Ningún script externo. Ningún CDN de seguimiento. La política de seguridad de contenido (CSP) del servidor lo impone técnicamente: cualquier intento de cargar recursos de otros dominios es bloqueado por el navegador.
Mesmo para descobrir o endereço IP público do teu dispositivo (necessário para estabelecer ligações diretas entre utilizadores), usamos o nosso próprio servidor (tecnicamente chamado STUN). Não delegamos em serviços externos. Gerimo-lo nós mesmos.
A página de apresentação
A página de apresentação (solo2.net/info) — que é independente da aplicação — utiliza um sistema de medição anónima alojado nos nossos próprios servidores na Alemanha:
| Domínio | Motivo | Dado enviado |
|---|---|---|
| stats.menzuri.com | Medição anónima de visitas | Página visitada (sem cookies, sem IP, sem identificação) |
Este sistema não instala cookies, não regista o teu endereço IP, não te identifica, não te segue entre visitas e não partilha dados com terceiros. A aplicação Solo2 não tem este sistema nem qualquer outro tipo de analítica.
5. Apagar os teus dados
Existem duas ações diferentes, e é importante que conheças a diferença:
Apagar dados locais
Nas definições da aplicação tens duas opções de eliminação local:
- Apagar os meus dados — Elimina solo tus datos (identidad, bóveda, sesión) sin afectar a otros usuarios que usen el mismo navegador.
- Reset de emergência — Borra absolutamente todo: datos de todos los usuarios, Service Worker, caché y claves criptográficas. Requiere doble confirmación.
Em ambos os casos, a tua conta no servidor continua a existir. Puedes volver a iniciar sesión, pero tus datos locales se habrán perdido irreversiblemente. Al hacerlo, se genera una identidad criptográfica completamente nueva: quien tuviese tu clave pública anterior ya no puede cifrar nada para ti. Si un contacto anterior quiere reconectarse, deberá solicitarte vinculación de nuevo, y tú decides si la aceptas o no.
Recuperação automática entre dispositivos
Se perderes os teus dados num dispositivo e tiveres outro ligado, o Solo2 deteta a situação e oferece-te restaurar a tua identidade e o teu cofre automaticamente. A restauração viaja cifrada (Argon2id) por ligação direta entre os teus dispositivos — sem passar pelo servidor.
Eliminar a tua conta do servidor
- São eliminadas todas las filas en la base de datos asociadas a tu ID: cuenta, sesiones, solicitudes, invitaciones, suscripciones push, feedback.
- A eliminação é atómica (todo o nada): o se borra todo o no se borra nada.
- Os registos de pagamento ficam deliberadamente desvinculados de tu identidad — existen por obligación legal, pero no se puede trazar un pago a tu persona.
- Os identificadores nos logs do servidor são impressões digitais irreversíveis: não é possível vincular um log à tua conta uma vez eliminada.
- O Cofre no teu navegador não é eliminado automaticamente com esta ação (não temos acesso ao teu navegador). Para o eliminar, executa primeiro a eliminação nuclear ou limpa os dados do site no teu navegador.
5b. A tua chave mestra e as tuas 24 palavras
Ao criar a tua conta no Solo2, é gerada uma chave mestra com 256 bits de entropia real (a mesma usada pelo Bitcoin). Esta chave é representada como 24 palavras que só tu conheces. A tua palavra-passe envolve esta chave para guardá-la cifrada no servidor — o servidor não a consegue ler.
Isto significa que tens duas chaves independentes: tu contraseña (para conectar al servidor y recuperar tu clave envuelta) y tus 24 palabras (para acceder directamente a tus datos sin servidor). Si pierdes una, la otra te protege. Si pierdes ambas, tus datos son irrecuperables — como en Bitcoin.
Algoritmos exatos (verificável)
Geração: CSPRNG del sistema operativo (crypto.getRandomValues, 256 bits). Cifrado de la clave maestra: Argon2id (OWASP) para derivar la clave de envoltorio + AES-256-GCM (cifrado autenticado) para protegerla. Identidad: Ed25519 (firma) + X25519 (intercambio). Mensajes: Double Ratchet con ChaCha20-Poly1305. Al cerrar la pestaña del navegador, todos los datos sensibles desaparecen de la memoria.
Como a tua chave mestra é protegida
| Layer | What it is | Where it lives |
|---|---|---|
| Password | Acesso ao servidor. Envolve a tua chave mestra | Na tua memória + hash no servidor |
| Device secret | Invisible second factor, generated automatically on install | On your device (non-extractable) |
| Chave mestra (24 palavras) | 256 bits de entropia real, gerada aleatoriamente. Nível Bitcoin (BIP39) | Num papel que tu guardas + envolvida no servidor |
| Key rotation | Each message uses a unique key that is destroyed after (Double Ratchet) | Automatic, transparent |
If you change your password
Mudar a tua palavra-passe é instantâneo. A tua chave mestra é simplesmente re-envolvida com a nova palavra-passe — a tua identidade não muda, o teu cofre não é re-cifrado, os teus contactos não são afetados, e as tuas 24 palavras continuam a ser as mesmas. É uma operação de milissegundos.
Recovery
Se perderes a tua palavra-passe, podes aceder ao teu cofre com as tuas 24 palavras — sem precisar de servidor. Se perderes as tuas 24 palavras, podes fazer login com a tua palavra-passe e o servidor devolve-te a tua chave envolvida. Se perderes ambas, os teus dados são irrecuperáveis. Como no Bitcoin, isso é segurança por design.
6. O que acontece se alguém aceder ao servidor sem autorização
Se um atacante obtivesse acesso completo ao servidor do Solo2, obteria:
- Nomes de utilizador e nomes públicos
- Códigos de vinculação
- Chaves públicas (inúteis sem a chave privada, que está no teu navegador)
- Impressões digitais de palavras-passe (inúteis sem um ataque de força bruta extremamente custoso graças ao Argon2id)
- Impressões digitais de tokens de sessão (inúteis sem o token original)
- Pedidos de vinculação pendentes (IDs internos, expiram em 3 dias)
- Tipo de conta, saldos e datas de registo
- Registos de pagamento (sem poder vinculá-los a um utilizador específico)
O que NÃO obteria:
- Nenhuma mensagem (nunca estiveram no servidor)
- Nenhum ficheiro (nunca estiveram no servidor)
- Nenhuma lista de contactos (nunca esteve no servidor)
- Nenhum histórico de chat (nunca esteve no servidor)
- Nenhuma chave privada de cifra (residem no teu navegador)
- Nenhum endereço IP (não são registados)
7. O nosso compromisso
Este manifesto será atualizado com cada alteração relevante na gestão de dados. Se adicionarmos um novo campo à base de dados, aparecerá aqui. Se eliminarmos algo, também.
A versão vigente é sempre esta página.