§ Manifesto · operação real

Dez princípios. Zero retórica.

Indícia existe pra resolver um problema específico: startups brasileiras precisam provar postura de segurança + LGPD sem contratar consultoria de 6 dígitos. O produto faz isso em 5 minutos · com evidência forense · em português · por R$ 0 a R$ 1.799. Essa página explica como pensamos — os 10 princípios abaixo valem pra cada decisão que sai do comando git push pra produção.

Os 10 princípios.

  1. Evidência acima de opinião. Toda afirmação do Security Radar sai com prova reprodutível: request, response, hash SHA-256, vetor CVSS. Você não precisa acreditar — pode auditar.
  2. LGPD primeira-classe. Templates brasileiros curados · 187 regras mapeadas pra Art. 6º IV, Art. 8º, Res. CD/ANPD 4/2023. Não somos GDPR traduzido.
  3. Preço na tela. Sinal R$ 0 · Indício R$ 199 · Radar R$ 599 · Perímetro R$ 1.799. Sem "fale com comercial", sem gatilho de urgência.
  4. Dev-first, não suit-first. CTO e tech lead lêem o produto sem tradução. Stack técnica em inglês (BOLA, SBOM, race condition, rate limit) — não simplificamos pra vender.
  5. Forense, não vigilância. Mascaramento de PII na origem. CPF/CNPJ não persistem após triagem. Hash do corpo original fica pra auditoria, dados brutos viram noise.
  6. Brasil-native, horário BR. Dados em Hetzner southamerica-east1 · contato humano em português · suporte em horário de Brasília · cobrança em Reais sempre.
  7. Self-service demonstrado. Cadastra domínio · 5 minutos até o primeiro scan · exporta PDF assinado. Demo é o produto. Se precisar de call, algo falhou no onboarding.
  8. Transparência do stack OSS. Subfinder, httpx, Nuclei (ProjectDiscovery MIT) · CVSS v3.1 FIRST.org · SHA-256 NIST FIPS 180-4 · RFC 6962 Certificate Transparency. Tudo documentado.
  9. Honestidade V1 vs V2. Copiloto de IA entra em Q4/2026. Correlação entre findings entra em Q3/2026. O que está em produção hoje: ASM contínuo + DAST OWASP + LGPD-BR + evidência forense.
  10. Zero commits travados. Cada push do backend passa 100% CI verde + rollout concluído antes do próximo. Evidence pipeline da Indícia segue o mesmo padrão forense que entregamos.
§ Stack operacional

O que roda em produção.

Scanner OSS

Subfinder 2.6 · httpx 1.6 · Nuclei 3.3

Templates

nuclei-templates @ main · LGPD-BR Indícia proprietary · 6.500+ base + 187 BR

Scoring

CVSS v3.1 FIRST.org · 8 métricas Base (AV/AC/PR/UI/S/C/I/A)

Evidência

SHA-256 NIST FIPS 180-4 · Merkle tree RFC 6962/9162 · exportável S3/Azure/GCS

Backend

Cloud Functions Node 22 · Firestore · Resend · Cloudflare Turnstile

Frontend

Astro 6 static + React 18 islands · Firebase Hosting · Bodoni Moda + Geist

§ Papéis LGPD

Controlador, operadores, encarregado.

Art. 5º LGPD + Art. 37 LGPD · registro de operações preservado · contatos abaixo são canais formais (não comerciais). Incidentes: encarregado@indicia.com.br com SLA de 3 dias úteis conforme Res. CD/ANPD 15/2024.

Controlador Natan Cardeal Rodrigues MEI · CNPJ 30.118.700/0001-46 · Camboriú/SC
Operador Google Cloud (Firebase + Functions) Região southamerica-east1 · DPA assinado · SCCs padrão
Operador · email Resend DPA assinado · Reply-To contato@indicia.com.br · LGPD compliant
Encarregado (DPO) encarregado@indicia.com.br Canal formal · SLA 15 dias pra direitos do titular
§ Histórico · Pivot 2025

De consultoria a SaaS em 18 out 2025.

jul 2024

Fundação como boutique jurídica especializada em LGPD · diagnósticos manuais pra SaaS B2B brasileiras · ticket médio R$ 8-12k por projeto.

jan 2025

Primeiros automatismos via Nuclei + templates próprios pra LGPD-BR · percepção: 90% do trabalho repetitivo é script-able.

jul 2025

MVP Security Radar em alpha fechado · 12 startups testando · feedback: "queremos auto-servir, não agendar call".

18 out 2025

Pivot oficial pra SaaS self-service · consultoria encerrada · site reposicionado · Sinal/Indício/Radar/Perímetro tiers shipped em Reais.

Q4 2026

Roadmap: copiloto IA pra contextualizar findings · correlação entre scans · export CycloneDX SBOM pra Enterprise on-prem.