Meu app foi feito com IA (Lovable, v0, Bolt, Cursor). O Vigil serve pra mim?

Serve, e muito. Estudos de 2026 mostram que 98% dos apps criados com IA têm pelo menos uma falha de segurança. A IA monta rápido, mas esquece tranca: chave secreta no código que todo visitante baixa, banco de dados sem trava de acesso, código-fonte original exposto. O Vigil procura exatamente esses erros, inclusive dentro dos arquivos que seu site entrega pro navegador.

Meu site é antigo, feito muito antes dessa onda de IA. Vale a pena examinar?

Vale. Os exames são os mesmos pra app de ontem e sistema de dez anos atrás: certificado, headers de proteção, arquivos sensíveis expostos, e-mail falsificável. Site antigo costuma acumular justamente esse tipo de pendência, porque ninguém olha há anos.

O exame grátis é. Sem cadastro, sem cartão: você cola a URL e recebe na hora a nota e o ponto mais grave. O laudo completo, o relatório em PDF e o monitoramento contínuo pedem conta e plano. O exame é passivo: a gente só olha o que o seu site já mostra pra qualquer visitante.

Vocês mexem no meu site?

Não. O Vigil só lê, nunca escreve. É um exame de fora, igual um raio-X: olha sem tocar. Nada no seu site é alterado.

Não. A gente faz reconhecimento passivo e não-destrutivo, do mesmo jeito que qualquer ferramenta séria de auditoria. Nada de invadir nem forçar.

Preciso de dev pra entender?

Não. O laudo vem em português de gente: o que é o problema, quanto ele te arrisca (em R$ e LGPD) e, se você quiser, o detalhe técnico escondido a um clique.

O exame e a nota são grátis. Pra ver o laudo completo, o plano de correção e o relatório em PDF de um site, o Exame Profundo é R$497, pagamento único por site. Pra deixar o Vigil vigiando 24/7 com alerta quando algo muda, o Vigil Pro é R$97 por mês (ou R$990 por ano) e cobre até 5 sites. O avulso vira crédito no seu primeiro Pro.

O que é o selo "Verificado por Vigil"?

É um selo que você libera provando ser dono do site (meta-tag ou DNS) e pode embutir pra mostrar que leva segurança a sério. Quem não prova a posse fica com "Escaneado por Vigil".

LGPD na prática pro dono de negócio: o mínimo de segurança que o seu site precisa ter

18 de junho de 20265 min de leituraEquipe Vigil

Você tem um site que recebe nome, telefone, e-mail ou CPF de cliente. Pode ser um formulário de contato, um checkout, uma lista de espera ou só o WhatsApp que abre a partir de um botão. No momento em que esses dados entram, você virou o que a lei chama de controlador: o responsável por guardar essa informação direito. E a maioria dos donos de pequeno negócio nem percebe que assumiu essa responsabilidade.

A boa notícia é que o mínimo para ficar em dia não é caro nem complicado. É um punhado de cuidados técnicos que, por coincidência feliz, é o mesmo que protege você de vazamento, de fraude e de perder a confiança do cliente. Segurança e lei aqui andam juntas. Vamos ao que importa.

O que a LGPD realmente cobra de você

A LGPD é a Lei nº 13.709/2018. Ela vale para qualquer negócio que trate dados de pessoas no Brasil, inclusive o pequeno. Não existe isenção por tamanho. Quem fiscaliza é a ANPD, a Autoridade Nacional de Proteção de Dados, ligada ao governo federal (você encontra a autoridade no gov.br).

No meio de muitos artigos, dois falam direto com o dono de site. O artigo 46 manda você adotar medidas de segurança, técnicas e administrativas, capazes de proteger os dados contra acessos não autorizados e contra vazamento. O artigo 48 diz que, se houver um incidente que possa causar risco ao cliente, você precisa comunicar a ANPD e a pessoa afetada. Traduzindo: a lei espera que você proteja os dados e que avise quando algo der errado.

A LGPD não pede um departamento de TI. Pede que os dados do seu cliente não fiquem expostos por descuido.

O mínimo técnico que conecta segurança e lei

Aqui está o básico que, junto, cobre boa parte da obrigação do artigo 46 e ainda fecha as portas mais comuns de vazamento. Cada item vem explicado:

HTTPS no site inteiro. É o cadeado que aparece ao lado do endereço. Ele embaralha os dados entre o navegador do cliente e o seu site, para ninguém interceptar no caminho. Sem ele, uma senha ou um CPF digitado num formulário trafega aberto. Hoje o certificado costuma ser gratuito e automático na maioria das hospedagens.
Senhas fortes e acesso separado por pessoa. Cada quem com seu próprio login no painel do site, no e-mail e no sistema. Nada de uma senha única compartilhada por todo mundo. Assim, se um acesso vazar, você sabe de qual e corta só aquele.
Segundo fator de autenticação (o código que chega no celular) nos acessos críticos: painel do site, e-mail principal e qualquer ferramenta que guarde dado de cliente. É a tranca extra que segura mesmo quem descobriu sua senha.
Sistema e plugins atualizados. Site parado em versão antiga é a porta mais usada por invasor, porque a falha já é conhecida e publicada. Atualizar é fechar essa porta.
Coletar só o que você usa. Se não precisa do CPF para entregar o serviço, não peça. Dado que você não guarda é dado que não vaza. A própria LGPD trabalha com essa ideia de pedir o mínimo necessário.

Por que isso também é proteção de reputação

Um vazamento não custa só a multa. Ele custa a conversa constrangedora com o cliente, a captura de tela circulando no grupo de WhatsApp, a sensação de que ali não é lugar seguro para deixar um cartão. Para um negócio que vive de indicação, isso machuca mais que qualquer notificação.

E a multa existe. A própria Lei nº 13.709/2018, no artigo 52, prevê desde advertência até multa de até 2% do faturamento, limitada a 50 milhões de reais por infração. O ponto não é o teto, que mira os grandes. O ponto é que a lei dá à ANPD o poder de punir quem foi negligente com a segurança. Cumprir o básico é o que tira você dessa fila.

Como saber o que falta no seu site

O problema do dono de negócio não é má vontade. É que essa lista mora num ponto cego: você não enxerga se o HTTPS está completo, se há uma versão velha rodando ou se algum formulário está mandando dado sem proteção. Dá para checar item por item na mão, e vale fazer. Mas existe um jeito mais rápido de ter o retrato.

Rodar um raio-X de segurança no seu site é isso: um olhar de fora que aponta, em linguagem de gente, o que está em ordem e o que está exposto. Ele não substitui o cuidado do dia a dia, e sim mostra por onde começar, ligando cada achado ao risco real para o seu cliente e para a sua conformidade com a lei. É o primeiro passo para deixar de adivinhar e passar a saber.

Tire o raio-X do seu site de graça

Cole o endereço e receba a nota e a lista do que arrumar em menos de um minuto. Anônimo, sem cadastro.

Examinar meu site