Seguro para colocar no seu site — com prova, não promessa.
Um script, colado como o Google Analytics. Você merece saber exatamente o que ele faz antes de instalar — então aqui está a história completa, em linguagem simples, com as partes que você mesmo pode verificar.
O que o script faz
Mostra um chat
Um assistente flutuante que responde seus visitantes em segundos, baseado apenas nos fatos que você nos deu.
Captura leads — com consentimento
Quando um visitante escolhe deixar os dados, ele registra o lead e o canal de origem. Nada é capturado sem um consentimento explícito.
Reporta só ao seu painel
Tudo flui para o seu próprio painel Gainer e relatório mensal. É só isso.
O que ele nunca vai fazer
Não são promessas de política — é como o código foi construído. Cada item é verificável abaixo.
Nunca executar código dos seus visitantes
Cada mensagem do chat é exibida como texto puro, nunca como HTML. Mesmo que um visitante mal-intencionado digite um <script>, ele aparece como caracteres literais — não pode executar na sua página. Este é o principal risco de um widget incorporado, e ele está fechado por design.
Nunca carregar código de terceiros
O script não puxa nada de redes de anúncios, CDNs ou rastreadores. A única coisa que seu navegador baixa é o nosso arquivo, do nosso domínio. Sem cadeia de suprimentos oculta.
Nunca ler os segredos da sua página
Ele não toca em senhas, cookies ou no conteúdo dos seus outros formulários. Só conhece a própria caixa de chat.
Nunca vender ou compartilhar seus dados
Os dados vão para os nossos servidores e para nenhum outro lugar — sem revenda, sem ad-tech, sem terceiros. Você pode até apontá-lo para o seu próprio endpoint.
Nunca disparar sem consentimento
A captura de leads é bloqueada no servidor a menos que o visitante consinta explicitamente (pronto para LGPD / GDPR).
Não confie na nossa palavra — verifique você mesmo
Confiança deve ser verificável. Quatro formas, em menos de cinco minutos:
Leia cada linha
O script é pequeno e não-minificado. Abra e leia — nada está escondido.
Hospede você mesmo
Prefere controle total? Baixe o arquivo e sirva do seu próprio domínio. Assim ele nunca muda sem você.
Restrinja com um CSP
Adicione uma Content-Security-Policy que só permita o nosso domínio — o widget roda normalmente dentro dela, e seu site rejeita qualquer outra coisa. Entregamos a linha exata.
Escaneie
Passe a URL do script por qualquer scanner público (VirusTotal, securityheaders.com). Nada a encontrar.
Exemplo de diretiva CSP — troque pelo seu domínio Gainer:
Content-Security-Policy: script-src 'self' https://your-gainer-domain; connect-src 'self' https://your-gainer-domain;
Construído com defesa do nosso lado também
Nenhum segredo no seu navegador
Nenhuma chave de API ou credencial vai para a página — elas ficam só no nosso servidor.
A IA não pode ser induzida a executar código
Mesmo um bot com prompt-injection só produz texto, e texto não executa no seu site (veja acima). O assistente também é travado em código para ficar no papel e nunca inventar fatos.
Servidor blindado contra SSRF
Quando escaneamos um site que você indica, o fetcher bloqueia endereços internos, privados e de metadados de nuvem — incluindo DNS-rebinding — então não pode ser usado contra nenhuma infraestrutura.
Limite de abuso e PII mascarada
Os endpoints públicos têm rate-limit, e dados pessoais são mascarados nos nossos logs.
Ainda quer conversar sobre isso?
Mande a pergunta. Preferimos respondê-la a você instalar algo sobre o que está inseguro.