Política de Privacidade

Capto — extensão Chrome e plataforma de evidência de QA
Última atualização: 29 de maio de 2026

Esta política descreve quais dados o Capto (extensão Chrome e serviço associado em capto.dev) coleta, como são usados, armazenados e quais direitos você tem sobre eles. Ao instalar e usar a extensão, você concorda com os termos descritos aqui.

1. Quem somos

O Capto é uma extensão Chrome e serviço web desenvolvidos para capturar evidências de bugs e erros em aplicações web. O contato responsável pelos dados é contato@capto.dev.

1.1 Propósito único da extensão

O Capto tem um único propósito: capturar evidências técnicas de bugs e problemas em aplicações web (cliques, inputs, requisições de rede, mensagens de console, screenshots e metadados de ambiente) durante sessões iniciadas explicitamente pelo usuário, transformando essas evidências em um relatório consolidado para a equipe responsável pela aplicação. A extensão não tem propósito secundário (analytics, ads, tracking, etc.) e não coleta dados fora de uma sessão de gravação ativa.

2. Dados que coletamos

2.1 Dados de conta

Nome e e-mail informados no cadastro.
Senha (armazenada com hash, nunca em texto claro).
Token de sessão (armazenado localmente no navegador via chrome.storage).

2.2 Dados capturados durante uma sessão de gravação

Estes dados só são coletados quando o usuário inicia uma gravação manualmente a partir da extensão. Fora de uma sessão ativa, o Capto não coleta nada.

Cliques, inputs e eventos de teclado na aba sendo gravada.
URLs visitadas e mudanças de página durante a sessão.
Requisições de rede da aba (URL, método, status, request e response body).
Mensagens e erros do console do navegador.
Screenshots da aba ativa em cada passo relevante.
Metadados de ambiente: User-Agent, sistema operacional, resolução de tela, URL atual.
Descrição textual do problema, quando o usuário opta por escrevê-la.

2.3 O que NÃO coletamos

Histórico de navegação fora de sessões ativas.
Geolocalização (GPS).
Dados de cartão de crédito ou financeiros (pagamentos são processados pelo gateway no site, não pela extensão).
Dados de saúde.
Conteúdo de e-mails, mensagens ou comunicações pessoais.

2.4 Justificativa de permissões solicitadas

A extensão declara no manifest.json as permissões abaixo. Cada uma é estritamente necessária para o propósito único descrito na seção 1.1. Nenhuma permissão é usada para finalidades adicionais.

activeTab — necessária para capturar o conteúdo da aba ativa no momento em que o usuário inicia uma gravação clicando no botão da extensão.
storage — necessária para armazenar localmente, no navegador do usuário, o token de sessão (autenticação), as preferências (idioma, modo QA/Bug Reporter) e a sessão de gravação em andamento antes do envio.
unlimitedStorage — necessária porque uma sessão de gravação completa pode conter vários screenshots em base64 (frequentemente >5 MB no total) que precisam ficar disponíveis localmente até o usuário decidir exportar ou enviar.
scripting — necessária para injetar o content script responsável por capturar cliques, inputs, mudanças de URL e mensagens do console apenas durante uma sessão ativa.
tabs — necessária para identificar qual aba está sendo gravada e detectar mudanças de URL (navegação) que devem entrar na timeline do relatório.
sidePanel — usada para exibir a interface de gravação no painel lateral do Chrome, sem ocupar espaço da aba de trabalho do usuário.
webRequest — necessária para capturar metadados das requisições HTTP/HTTPS feitas pela aba gravada (URL, método, status, request e response body) e incluí-las no relatório técnico. Sem isso o "Network panel" do relatório não existe.

2.5 Justificativa do `host_permissions: <all_urls>`

O manifest.json declara host_permissions: ["<all_urls>"]. Essa permissão é necessária por uma razão direta: um bug pode acontecer em qualquer aplicação web — sistema interno da empresa, aplicação de cliente, painel de SaaS, ferramenta de e-commerce, etc. Limitar a um conjunto fixo de domínios tornaria a extensão inútil, porque o usuário não saberia, no momento de instalar, em qual sistema o próximo bug aparecerá.

Para mitigar o escopo dessa permissão ampla, o Capto aplica restrições internas rígidas:

O content script só é injetado, e a captura só começa, após o usuário clicar explicitamente em "Iniciar gravação" dentro da extensão. Sem essa ação manual, a extensão é completamente passiva.
A captura para automaticamente quando o usuário clica em "Encerrar gravação", muda de perfil, ou fecha a aba.
Em nenhum momento dados são enviados para servidor externo sem ação explícita do usuário (botão "Enviar relatório" ou exportação manual para arquivo local).
O Capto não monitora abas em background nem coleta dados de telemetria de uso.

3. Como usamos os dados

Dados de conta: autenticar você, controlar sua licença e enviar comunicações operacionais.
Dados de sessão: montar o relatório de bug que você visualiza, exporta ou envia para sua equipe.
Integrações: quando você opta por enviar o relatório para uma ferramenta externa (ex.: Jira), os dados da sessão são transmitidos para essa ferramenta a seu pedido.
Análise por IA (opcional): nos planos pagos, você pode optar por enviar o relatório para análise automática que descreve o bug em linguagem natural. Esse processamento é feito sob demanda e descartado após a resposta.

4. Armazenamento

Sessões em andamento ficam no seu navegador, em chrome.storage, e não saem dali até você exportar ou enviar.
Quando você envia uma sessão para o serviço Capto, ela é armazenada em servidores próprios em provedor cloud (Brasil/EUA), criptografada em trânsito (HTTPS/TLS) e em repouso.
Você pode apagar uma sessão a qualquer momento pela extensão ou pelo painel em capto.dev.

5. Compartilhamento com terceiros

Não vendemos nem alugamos seus dados. Dados de sessão só são transmitidos a terceiros quando:

Você explicitamente envia para uma integração (Jira ou similar) — nesse caso, vale a política de privacidade do destino.
Você opta pela análise por IA — processamento feito por provedor de modelo (Anthropic/OpenAI) sob acordo de não-treinamento.
Exigido por ordem legal ou judicial válida.

6. Seus direitos (LGPD / GDPR)

Solicitar acesso aos dados que temos sobre você.
Solicitar correção de dados incorretos.
Solicitar exclusão da conta e de todas as sessões associadas.
Solicitar portabilidade (exportação dos seus dados em JSON).
Revogar consentimento desinstalando a extensão e/ou apagando a conta.

Para exercer qualquer desses direitos, envie um e-mail para contato@capto.dev. Respondemos em até 15 dias.

7. Retenção

Sessões enviadas ao Capto ficam armazenadas enquanto sua conta estiver ativa.
Após exclusão da conta, dados são removidos em até 30 dias.
Logs operacionais mínimos (auditoria) podem ser mantidos por até 12 meses por obrigação legal.

8. Crianças

O Capto é uma ferramenta profissional e não é direcionada a menores de 13 anos. Não coletamos conscientemente dados de crianças.

9. Conformidade com políticas do Chrome Web Store

O Capto cumpre integralmente a política de Uso Limitado do Chrome Web Store:

Não vendemos nem transferimos dados do usuário a terceiros fora dos casos de uso aprovados.
Não usamos nem transferimos dados do usuário para fins não relacionados ao único propósito do produto (gerar evidência de bug).
Não usamos nem transferimos dados do usuário para determinar credibilidade nem para fins de empréstimo.

10. Alterações nesta política

Podemos atualizar esta política para refletir mudanças no produto ou na legislação. A data no topo desta página indica a última revisão. Mudanças significativas serão comunicadas por e-mail aos usuários cadastrados.

11. Contato

Dúvidas, solicitações ou denúncias relacionadas a privacidade: contato@capto.dev.