Transparência · Construído em público
Saúde do Site
Aplico ao meu próprio site o padrão que defino para os produtos que construo. Esta página é a prova, não uma promessa: os números de desempenho abaixo são medidos ao vivo no seu navegador agora mesmo, e os cabeçalhos de segurança são buscados ao vivo neste site. Cada área também traz o raciocínio de produto por trás da decisão, porque como você pensa é o que importa.
Status da API e dos Serviços
Verificações de acessibilidade ao vivo, executadas do seu navegador agora mesmo, para os serviços dos quais este site depende. Por quê: um status honesto e em tempo real vale mais do que um 'everything's fine' estático.
Verificando serviços…
Site
Vercel edge / static hosting
Verificando…
API de Formulários e Newsletter
Supabase Edge Functions
Verificando…
Proteção contra bots
Google reCAPTCHA
Verificando…
Tradução
14 idiomas · pré-construído, sem chamadas em tempo de execução
Verificando…
Acessibilidade e tempo de ida e volta a partir da sua localização, reavaliados a cada minuto. Um ponto vermelho significa que seu navegador não conseguiu alcançar aquele serviço.
Desempenho
Páginas estáticas pré-renderizadas (SSG), um subconjunto das fontes hospedado internamente, divisão de pacotes por idioma e scripts de terceiros (reCAPTCHA) carregados apenas sob demanda. Por quê: velocidade é um recurso e um sinal de confiança; a requisição mais rápida é aquela que você nunca faz.
LCP
…
Bom: ≤ 2500 ms
CLS
…
Bom: ≤ 0.1
FCP
…
Bom: ≤ 1800 ms
TTFB
…
Bom: ≤ 800 ms
Core Web Vitals ao vivo do carregamento atual da sua página (verde = bom, âmbar = precisa melhorar, vermelho = ruim). Os números variam conforme o dispositivo e a rede.
Segurança
Uma Content-Security-Policy baseada em hash, sem scripts inline ou eval, HSTS com preload, proteções contra clickjacking e cross-origin, e um backend em que o navegador nunca toca no banco de dados. Por quê: defesa em profundidade e controles que falham fechados, não abertos.
Verificando cabeçalhos ao vivo…
Buscado ao vivo neste site. O reforço do backend (reCAPTCHA verificado no servidor que falha fechado, honeypots, limitação de taxa por hash de IP, links de exclusão assinados com HMAC, tabelas bloqueadas por RLS) não é mostrado aqui, mas é auditado.
Privacidade e GDPR
Nenhum visitante é rastreado antes de consentir, e nada carrega que vaze seus dados a terceiros por padrão. Por quê: privacidade não é uma configuração para acoplar depois, é um padrão a ser projetado desde o início.
Condicionado ao consentimento. Apenas o essencial por padrão; a análise só carrega após o opt-in. Nenhum rastreador dispara no primeiro carregamento.
Fontes hospedadas internamente. As fontes são servidas a partir deste domínio, então os IPs dos visitantes nunca chegam ao Google Fonts.
Nenhum IP bruto armazenado. As verificações de abuso de formulários e newsletter usam um hash unidirecional com salt do IP, nunca o endereço bruto.
Direito real ao apagamento. Um fluxo de exclusão de dados funcional e verificado por e-mail remove seus dados permanentemente (GDPR Art. 17).
Afirmações honestas. Os selos de confiança dizem 'Ready / Managed', não 'Compliant', a menos que haja evidência por trás disso.
Divulgação. Um contato via security.txt e uma cláusula de idioma prevalente nas páginas legais.
Acessibilidade
Desenvolvido em direção ao WCAG 2.2 AA (Pronto, não certificado externamente): utilizável por teclado, leitor de tela e por pessoas que precisam de movimento reduzido. Por quê: uma experiência que exclui pessoas não está pronta.
Teclado e foco. Anéis de foco visíveis em todo o site e um link de pular para o conteúdo em cada página.
Movimento reduzido. Toda animação, incluindo os diagramas dos estudos de caso, respeita prefers-reduced-motion.
Estrutura semântica. Landmarks, títulos, rótulos e texto alternativo adequados para tecnologia assistiva.
Contraste e alvos. O contraste do texto e o tamanho dos alvos de toque atendem ao padrão AA nos temas claro e escuro.
Confiabilidade e Processo
Nada vai para produção sem testes, e os formulários são reforçados contra abuso sem punir pessoas reais. Por quê: confiabilidade é uma decisão de produto, e é do processo que a qualidade realmente vem.
Deploys condicionados a testes. Os testes de rotas e de paridade de tradução precisam passar antes de qualquer build; a promoção vai de dev para qa para prod.
Defesa em camadas contra abuso. Pontuação do reCAPTCHA + honeypot + validação no servidor + limitação de taxa por hash de IP, tudo à prova de falhas.
Confirmação dupla (double opt-in). As inscrições na newsletter são confirmadas por e-mail; toda mensagem traz um link de cancelamento funcional.
Falha graciosa. Os formulários se degradam para mensagens claras e específicas (incluindo 'too many attempts') em vez de quebrar.
Quer verificar você mesmo qualquer um desses pontos? Abra as ferramentas de desenvolvedor do seu navegador e confira os cabeçalhos de resposta, execute o Lighthouse ou navegue pelo site com o teclado. É esse o objetivo de construir em público.