Skip to main content

    Transparência · Construído em público

    Saúde do Site

    Aplico ao meu próprio site o padrão que defino para os produtos que construo. Esta página é a prova, não uma promessa: os números de desempenho abaixo são medidos ao vivo no seu navegador agora mesmo, e os cabeçalhos de segurança são buscados ao vivo neste site. Cada área também traz o raciocínio de produto por trás da decisão, porque como você pensa é o que importa.

    Status da API e dos Serviços

    Verificações de acessibilidade ao vivo, executadas do seu navegador agora mesmo, para os serviços dos quais este site depende. Por quê: um status honesto e em tempo real vale mais do que um 'everything's fine' estático.

    Verificando serviços…

    Site

    Vercel edge / static hosting

    Verificando…

    API de Formulários e Newsletter

    Supabase Edge Functions

    Verificando…

    Proteção contra bots

    Google reCAPTCHA

    Verificando…

    Tradução

    14 idiomas · pré-construído, sem chamadas em tempo de execução

    Verificando…

    Acessibilidade e tempo de ida e volta a partir da sua localização, reavaliados a cada minuto. Um ponto vermelho significa que seu navegador não conseguiu alcançar aquele serviço.

    Desempenho

    Páginas estáticas pré-renderizadas (SSG), um subconjunto das fontes hospedado internamente, divisão de pacotes por idioma e scripts de terceiros (reCAPTCHA) carregados apenas sob demanda. Por quê: velocidade é um recurso e um sinal de confiança; a requisição mais rápida é aquela que você nunca faz.

    LCP

    Bom: ≤ 2500 ms

    CLS

    Bom: ≤ 0.1

    FCP

    Bom: ≤ 1800 ms

    TTFB

    Bom: ≤ 800 ms

    Core Web Vitals ao vivo do carregamento atual da sua página (verde = bom, âmbar = precisa melhorar, vermelho = ruim). Os números variam conforme o dispositivo e a rede.

    Segurança

    Uma Content-Security-Policy baseada em hash, sem scripts inline ou eval, HSTS com preload, proteções contra clickjacking e cross-origin, e um backend em que o navegador nunca toca no banco de dados. Por quê: defesa em profundidade e controles que falham fechados, não abertos.

    Verificando cabeçalhos ao vivo…

    Buscado ao vivo neste site. O reforço do backend (reCAPTCHA verificado no servidor que falha fechado, honeypots, limitação de taxa por hash de IP, links de exclusão assinados com HMAC, tabelas bloqueadas por RLS) não é mostrado aqui, mas é auditado.

    Privacidade e GDPR

    Nenhum visitante é rastreado antes de consentir, e nada carrega que vaze seus dados a terceiros por padrão. Por quê: privacidade não é uma configuração para acoplar depois, é um padrão a ser projetado desde o início.

    Condicionado ao consentimento. Apenas o essencial por padrão; a análise só carrega após o opt-in. Nenhum rastreador dispara no primeiro carregamento.

    Fontes hospedadas internamente. As fontes são servidas a partir deste domínio, então os IPs dos visitantes nunca chegam ao Google Fonts.

    Nenhum IP bruto armazenado. As verificações de abuso de formulários e newsletter usam um hash unidirecional com salt do IP, nunca o endereço bruto.

    Direito real ao apagamento. Um fluxo de exclusão de dados funcional e verificado por e-mail remove seus dados permanentemente (GDPR Art. 17).

    Afirmações honestas. Os selos de confiança dizem 'Ready / Managed', não 'Compliant', a menos que haja evidência por trás disso.

    Divulgação. Um contato via security.txt e uma cláusula de idioma prevalente nas páginas legais.

    Acessibilidade

    Desenvolvido em direção ao WCAG 2.2 AA (Pronto, não certificado externamente): utilizável por teclado, leitor de tela e por pessoas que precisam de movimento reduzido. Por quê: uma experiência que exclui pessoas não está pronta.

    Teclado e foco. Anéis de foco visíveis em todo o site e um link de pular para o conteúdo em cada página.

    Movimento reduzido. Toda animação, incluindo os diagramas dos estudos de caso, respeita prefers-reduced-motion.

    Estrutura semântica. Landmarks, títulos, rótulos e texto alternativo adequados para tecnologia assistiva.

    Contraste e alvos. O contraste do texto e o tamanho dos alvos de toque atendem ao padrão AA nos temas claro e escuro.

    Confiabilidade e Processo

    Nada vai para produção sem testes, e os formulários são reforçados contra abuso sem punir pessoas reais. Por quê: confiabilidade é uma decisão de produto, e é do processo que a qualidade realmente vem.

    Deploys condicionados a testes. Os testes de rotas e de paridade de tradução precisam passar antes de qualquer build; a promoção vai de dev para qa para prod.

    Defesa em camadas contra abuso. Pontuação do reCAPTCHA + honeypot + validação no servidor + limitação de taxa por hash de IP, tudo à prova de falhas.

    Confirmação dupla (double opt-in). As inscrições na newsletter são confirmadas por e-mail; toda mensagem traz um link de cancelamento funcional.

    Falha graciosa. Os formulários se degradam para mensagens claras e específicas (incluindo 'too many attempts') em vez de quebrar.

    Quer verificar você mesmo qualquer um desses pontos? Abra as ferramentas de desenvolvedor do seu navegador e confira os cabeçalhos de resposta, execute o Lighthouse ou navegue pelo site com o teclado. É esse o objetivo de construir em público.

    Conversar no WhatsApp