O que faz o SOWA Privacy?

O SOWA Privacy é uma extensão do Chrome que deteta e substitui dados sensíveis em prompts de IA localmente – no seu browser – antes de o prompt chegar ao ChatGPT, Claude, Gemini ou qualquer outra ferramenta de IA.

O SOWA Privacy é gratuito?

Sim. O plano Starter é gratuito para sempre e inclui mais de 30 padrões regex, deteção básica de NER e digitalização de ficheiros TXT. O Pro (4,99 EUR/mês), Business (7,99 EUR por utilizador/mês) e Enterprise (personalizado) desbloqueiam funcionalidades adicionais.

Com quais ferramentas de IA o SOWA Privacy funciona?

O SOWA Privacy funciona com ChatGPT, Claude, Gemini, Microsoft Copilot, Grok, Perplexity, HuggingFace Chat e qualquer interface compatível com OpenAI auto-alojada.

O SOWA Privacy está em conformidade com o RGPD?

O SOWA Privacy foi concebido para cumprir o RGPD. Toda a deteção é executada localmente no browser, nenhum dado de prompt é transmitido para os servidores da SOWA, e o código-fonte é open-source sob licença MIT para total auditabilidade.

O SOWA Privacy envia os meus dados para algum servidor?

Não. A deteção é executada inteiramente no seu browser utilizando regex local, modelos NER baseados em ONNX e, opcionalmente, LLMs locais. Apenas o prompt com substituições por marcadores é encaminhado para o fornecedor de IA que escolher.

Security | SOWA Privacy

Fluxo de dados em síntese

SOWA Privacy é uma extensão do Chrome. O percurso que o seu texto faz quando usa um chatbot de IA suportado:

Escreve no campo de entrada do chatbot.O texto nunca sai do browser nesta fase.
O script de conteúdo da extensão lê a entrada e executa a deteção localmente.Regex + um modelo NER local executado no seu browser via WebAssembly / WebGPU.
As entidades detetadas são substituídas por marcadores neutros (por ex. [PERSON_1]).O mapeamento original→marcador é armazenado em chrome.storage.local no seu dispositivo.
O prompt com marcadores é submetido ao endpoint normal do chatbot.O fornecedor de IA vê apenas o texto anonimizado. SOWA Privacy não se interpõe entre si e o fornecedor como um proxy de rede.
Quando a resposta da IA chega, a extensão re-personaliza os marcadores no seu browser utilizando o mapeamento local.Lê a resposta com os nomes reais; o fornecedor de IA nunca os viu.

Para o registo de auditoria opcional nos planos Business e Enterprise, os registos de ações são processados por hash localmente e enviados apenas para um servidor que nomear (a sua própria infraestrutura ou um inquilino que alojamos para si por contrato). Não são enviados para um registo central operado pela SOWA.

Permissões do browser e porquê cada uma é necessária

Permissões de extensão Chrome Manifest V3, com a justificação por permissão:

activeTab – ler o conteúdo do separador atualmente ativo para que a deteção possa ser executada no campo de entrada onde está a escrever.
scripting – injetar o script de conteúdo que monitoriza os campos de entrada nos sites de chatbot suportados.
storage – guardar as suas definições, dicionário de mapeamento e (opcionalmente) entradas do registo de auditoria localmente no seu browser.
tabs – identificar em que site de chatbot está para que o adaptador correto seja carregado.
contextMenus – fornecer opções de clique direito para anonimização / re-personalização ad hoc do texto selecionado.
downloads – permitir exportar documentos anonimizados, entradas do dicionário e registos de auditoria para o seu dispositivo.
sidePanel – renderizar o painel lateral da extensão (utilizado pelo chat integrado opcional com as suas próprias chaves de API).
windows – gerir o ciclo de vida do pop-up / painel da extensão.

O script de conteúdo declara <all_urls> para que a deteção esteja disponível em qualquer chatbot de IA que utilize, incluindo futuros que adicionemos suporte. As permissões são estáticas, declaradas no Manifesto público e observáveis em chrome://extensions/?id=….

Registo de auditoria opcional controlado pelo cliente

O registo de auditoria é opt-in nos planos Business e Enterprise e regista ações, não o conteúdo do chat. Exemplos do que consta num registo:

"digitalização realizada em chatbot.example.com"
"ficheiro redigido (PDF, 12 entidades)"
"entrada do dicionário exportada"

O que não contém: texto do prompt, texto de resposta da IA, valores sensíveis originais ou mapeamentos de marcadores.

Os registos são processados por hash localmente antes de transmissão para o servidor que nomear. Os clientes Enterprise podem alojar o endpoint de registo de auditoria dentro do seu próprio perímetro de conformidade para que SOWA Privacy nunca toque no caminho de dados.

Limitações conhecidas

Preferimos ser específicos a sermos confiantes. Things SOWA Privacy does not do or cannot guarantee:

Falsos negativos são possíveis. Nenhum modelo NER atinge 100% de revocação em todos os tipos de entidade, idiomas ou variantes de formatação. Ajustamos para precisão e melhoramos continuamente a cobertura; não prometemos zero fugas.
Falsos positivos acontecem. A deteção agressiva por vezes mascara valores que não são sensíveis. O utilizador tem substituição manual e uma lista de exceções; os administradores em Business / Enterprise podem ajustá-los centralmente.
Apenas browser. SOWA Privacy funciona dentro do browser Chrome. As aplicações de desktop para ChatGPT, Claude, Gemini, etc. não estão cobertas.
Apenas Chrome no lançamento. Os testes com Edge e Brave (baseados em Chromium) estão em curso; o Firefox está no roteiro.
Não é uma suite DLP. SOWA Privacy é uma camada de privacidade no momento para fluxos de trabalho de chat de IA. Funciona em conjunto com o Microsoft Purview, Zscaler, Nightfall e outras ferramentas DLP / CASB – não como substituto.
Limite de segurança do browser. As proteções de armazenamento local são limitadas pelo seu browser e SO. O comprometimento do dispositivo compromete o dicionário.

Open source e auditabilidade

O núcleo de deteção está publicado em github.com/Sowa-Privacy. Qualquer pessoa pode ler o código que processa prompts, confirmar que não escreve para o disco exceto nos armazenamentos locais explicitamente documentados, e verificar que não é recolhida nenhuma telemetria. Tratamos o repositório como a referência autoritativa para as afirmações nesta página.

Comunicar uma vulnerabilidade

Se acredita ter encontrado um problema de segurança, por favor contacte-nos antes de divulgar publicamente. Procuramos acusar receção em dois dias úteis e fornecer uma avaliação inicial em cinco.

E-mail: security@sowaprivacy.ai (caixa de correio monitorizada; publicação de chave PGP pendente – a adicionar antes do lançamento público)

Não gerimos atualmente um programa de recompensa por erros pago. Creditamos publicamente os comunicantes nas notas de versão mediante pedido.

Pacote de documentação de conformidade

Para análises de aquisição e DPO, os seguintes estão disponíveis mediante pedido através do formulário de contacto:

Acordo de Processamento de Dados (APD)
Lista de subprocessadores
Notas de arquitetura de registo de auditoria
Resumo de teste de penetração (quando disponível)

Não detemos atualmente certificações SOC 2, ISO 27001 ou outras certificações formais e não as reivindicaremos até serem emitidas.