Seu código.
Sua conta. Seu celular.
O Pocket Code não é provedor de IA, não processa seu código em servidores nossos e não treina modelos com o seu trabalho. Você conecta suas próprias contas e tudo que é sensível fica no dispositivo, criptografado.
BYOK — sua conta, seu modelo
Qualquer provedor de IA, hosting, BaaS ou observabilidade (4 provedores de IA + 13 plataformas externas) roda com o seu próprio token. O Pocket Code nunca atua como intermediário.
Criptografado no dispositivo
API keys, chaves SSH, senhas de bancos de dados e tokens OAuth são criptografados usando o Android Keystore. As chaves nunca aparecem nos logs nem no state do app.
Sem proxy no meio
Toda chamada (IA, deploy, banco de dados remoto, marketplace de terceiros) sai direto do celular para o serviço. Não temos servidores próprios processando o seu código.
Autenticação biométrica
Ações sensíveis — ver tokens em texto claro, abrir conexões de produção, executar DELETE/DROP/TRUNCATE, desbloquear colunas mascaradas — exigem impressão digital, rosto ou PIN do dispositivo.
Seu código não treina modelos
O Pocket Code não usa seu código, prompts, arquivos, queries nem metadados do projeto para treinar modelos próprios ou de terceiros. Cada interação de IA vai para o seu provedor sob a política dele — e nem sequer passa por nós.
Dados locais por padrão
Projetos, snippets, queries, conexões e schemas ficam no armazenamento local do app. O sync na nuvem (Firebase) é opcional, Pro, e você sempre controla o que é sincronizado.
Onde cada coisa fica
Transparência total: para cada tipo de dado você sabe exatamente onde ele fica armazenado, se sai do celular e para onde vai.
O que fica sempre no celular
- •O código-fonte dos seus projetos
- •Prompts, arquivos e queries do assistente de IA
- •Tokens, API keys, chaves SSH e senhas de BD (criptografados)
- •Histórico de queries e de execuções de workflows
- •Configurações do editor, snippets, keybindings
- •Bancos de dados locais (SQLite + PostgreSQL embarcado)
O que sai do celular — e para onde vai
- •IA: direto ao provedor (Gemini, OpenAI, Claude, Copilot…) com o seu token. Sem proxy nosso.
- •Deploy / BaaS / monitoramento: direto ao provedor (Vercel, Render, Sentry…). Sem proxy nosso.
- •SSH e bancos de dados remotos: conexão direta device → servidor.
- •Firebase (com o seu consentimento): autenticação, analytics anônimas, crash reports, push notifications.
- •RevenueCat: status da assinatura Pro (sem dados de pagamento).
- •Sync na nuvem (Pro e opcional): projetos, settings, snippets, themes.
O que nunca enviamos a lugar nenhum
- •Seu código-fonte para servidores nossos — porque não temos servidores que o processem
- •Seus prompts ou respostas de IA — vão direto ao provedor que você escolher
- •Suas credenciais em texto claro — nós as usamos criptografadas e apenas durante a chamada
- •Seu código para treinar modelos — nem os nossos, nem de terceiros, nem anonimizado
Defesa em profundidade
As proteções se acumulam: mesmo que alguém tenha acesso físico ao celular desbloqueado, as ações mais sensíveis ainda exigem outra confirmação.
Criptografia de credenciais
Todos os tokens, API keys, chaves SSH e senhas de BD são criptografados com o Android Keystore. A criptografia está atrelada à tela de bloqueio do dispositivo — sem desbloquear o celular, não há chave.
Barreira biométrica em ações sensíveis
Abrir o painel de Integrations (onde todos os tokens ficam em texto claro), executar DELETE/DROP/TRUNCATE em um banco de dados, abrir conexões marcadas como produção, ou ver colunas mascaradas em texto claro exige impressão digital, rosto ou PIN.
Safe mode em operações destrutivas
Operações SQL perigosas (DELETE sem WHERE, DROP TABLE, TRUNCATE, ALTER DROP COLUMN, UPDATE sem WHERE) são interceptadas e um diálogo mostra o SQL completo e as linhas afetadas antes de executarem. Pode ser desativado, mas vem ligado por padrão.
Mascaramento de dados automático
O visualizador de dados detecta colunas do tipo `email`, `password`, `token`, `secret`, `api_key` e as mostra mascaradas por padrão. Ver em texto claro exige autenticação biométrica.
Permissões por ferramenta para o agente de IA
O agente do chat só pode invocar as ferramentas que você habilita explicitamente (leitura de arquivos, execução no terminal, escrita em BD, etc.). Por padrão fica restrito a somente leitura.
Validação contra command injection
Quando a IA executa comandos no terminal, cada comando passa por sanitização contra injeção, fica sandboxed ao diretório do projeto e tem timeout para evitar processos zumbi.
Encontrou algo?
Se você encontrar uma vulnerabilidade de segurança, escreva para o suporte. Respondemos em até 48 horas úteis e publicamos correções por ordem de severidade. Ainda não temos um programa de bug bounty formal, mas creditamos publicamente todos os relatos responsáveis (com o seu consentimento).
Você também pode ver o security.txt em /.well-known/security.txt.
Política de privacidade
Quais dados coletamos, como e por quanto tempo
LerTermos de serviço
As regras do jogo ao usar o Pocket Code
LerExcluir conta
Como excluir sua conta e todos os seus dados
Ler