Transparência total sobre nossas práticas de segurança
Nossa arquitetura de segurança é construída em múltiplas camadas independentes.
Para maximizar sua proteção, siga estas práticas recomendadas.
Para máxima proteção, acesse esta plataforma através do Tor Browser. Ele oculta seu endereço IP real e impede rastreamento.
Baixar Tor BrowserUma VPN adiciona uma camada extra de proteção ao mascarar seu endereço IP do seu provedor de internet.
Fotos e documentos podem conter metadados (localização GPS, nome do autor, etc.) que podem revelar sua identidade. Use ferramentas como MAT2 para limpá-los.
MAT2 - Ferramenta de limpezaConsidere enviar sua denúncia de uma rede Wi-Fi pública (biblioteca, café) que não esteja associada à sua identidade.
Esta plataforma foi desenvolvida com base nas melhores práticas dos principais sites de denúncias do mundo, como GlobaLeaks, WikiLeaks, ICIJ Leak Site e outros, combinadas com as diretrizes da Electronic Frontier Foundation (EFF) e conformidade com a LGPD brasileira.
Respostas diretas às dúvidas técnicas mais comuns sobre esta plataforma.
O Manus é uma plataforma de infraestrutura profissional que opera sobre a Amazon Web Services (AWS), um dos provedores de nuvem mais auditados e certificados do mundo (SOC 2, ISO 27001, PCI DSS). A segurança de uma plataforma de denúncias não depende de onde está hospedada, mas de como os dados são tratados. A infraestrutura da Manus é equivalente à usada por Vercel, Railway e Render — plataformas amplamente adotadas por veículos de comunicação e startups de segurança ao redor do mundo.
Não. Todo o conteúdo das denúncias é criptografado com AES-256-GCM antes de ser armazenado no banco de dados. A chave de criptografia é gerenciada pela aplicação e nunca é exposta ao provedor de hospedagem. Mesmo com acesso direto ao banco de dados, os dados aparecem como texto cifrado ilegível.
O uso de IA nesta plataforma é restrito à análise interna de denúncias já recebidas, realizada exclusivamente por jornalistas autenticados no painel da redação. Nenhum dado de denunciante é enviado a modelos de linguagem externos sem controle. As chamadas à IA são feitas via API privada, e o conteúdo é processado apenas sob demanda explícita do jornalista, nunca de forma automática.
Na prática, não necessariamente. Um servidor próprio sem equipe de segurança dedicada, sem atualizações automáticas e sem monitoramento 24/7 é frequentemente mais vulnerável do que uma plataforma gerenciada profissionalmente. A segurança real vem da arquitetura da aplicação (criptografia, anonimização, controle de acesso), não apenas de onde o servidor está físicamente.
A infraestrutura AWS subjacente possui certificações SOC 2 Tipo II, ISO 27001 e PCI DSS — auditorias independentes que servidores próprios raramente possuem. O código da aplicação pode ser auditado mediante solicitação formal à equipe editorial. Ferramentas públicas como SSL Labs (ssllabs.com) e Mozilla Observatory permitem verificar independentemente a configuração de segurança do servidor a qualquer momento.
Você pode usar ferramentas públicas e gratuitas: SSL Labs (ssllabs.com/ssltest) para verificar a configuração TLS, Mozilla Observatory (observatory.mozilla.org) para cabeçalhos de segurança HTTP, e Security Headers (securityheaders.com) para políticas de conteúdo. Encorajamos ativamente essa verificação independente como parte da nossa política de transparência.