1. Cadastro e verificação
Usuárias se cadastram com email pessoal e podem optar por verificação adicional
(3 caminhos: biométrica via Onfido, prova de trabalho, listagem pública). Verificação
não é obrigatória pra navegar; é necessária pra contribuir com reviews/reports.
O que armazenamos
- Hash do email (não plaintext em rows operacionais)
- Hash do telefone (com pepper rotacionado)
- Pseudonym token UUID v4 substitui userId em queries de conteúdo
- Audit log com hash chain SHA-256 (imutável)
O que NÃO armazenamos
- Localização GPS (zero, ever)
- Fotos de identidade após verificação aprovada (deletadas em 7 dias)
- Plaintext de busca após 90 dias (cron purge)
2. Contribuição editorial
Reviews + client reports passam por moderação humana antes de publicar.
| Tipo | Tempo médio moderação | Critério |
|---|
| Review (lugar) | 24-48h | Coerência interna + evidência mínima |
| Client report | 24h críticas / 48h normais | Categoria + incident type + cidade + mês |
| DSA notice | 4h CSAM/threats / 24h doxxing / 72h outras | Legal basis + evidence |
| Worker verification | 48h | Documento ou prova de trabalho |
3. Score público auditável
Cada place tem score calculado a partir de: legalidade (licença), reviews aprovadas,
trust score do reporter, recência. Cálculo é determinístico e versionado
— quando muda, fica registrado o algorithmVersion em snapshot.
Status colors derivados:
- Vermelho: sem licença OU score < 40
- Amarelo: score 40-60 OU < 3 reviews (sample insuficiente)
- Verde: score ≥ 60 + 3+ reviews + licença
Veja detalhe completo em /transparencia.
4. Retenção e direito de exclusão
LGPD Art. 16 (minimização) aplicado por categoria:
| Dado | Retenção | Justificativa |
|---|
| Search history | 90 dias | Anti-fraud + analytics |
| Arcanjo verifications | 90 dias | Rate-limit + auditoria |
| Arcanjo check-ins (estado terminal) | 180 dias | Histórico pessoal útil |
| Client reports leves | 12 meses | Padrão BR adult industry |
| Client reports médios | 24 meses | Idem |
| Client reports severos | 36 meses | Maior risco, retenção maior |
| Audit log | 7 anos | Compliance LGPD + auditoria |
Direito de exclusão antecipada via privacy@crivofino.com.br
(LGPD Art. 18.VI). Grace period de 30 dias antes de execução irreversível.
5. Ciclo editorial: limites e contestação
Conteúdo sobre pessoa identificada pode ser contestado pela própria
pessoa via formulário público.
Auto-takedown imediato + decisão fundamentada em 14 dias.
Apelação interna gratuita (6 meses). Após esgotada, recurso à ANPD (gov.br/anpd).
Sem custo, sem advogado obrigatório.
Crivofino opera no terreno mais sensível possível. Erro de moderação tem custo
humano real. Por isso: moderação humana, decisão fundamentada por escrito, e
direito de contestação sem fricção.