O que isso faz, na prática?

O Kodo pergunta ao ChatGPT, Google, Siri, Yelp e a alguns outros lugares as mesmas perguntas que os seus vizinhos fazem, tipo "melhor barbeiro perto de mim" ou "bons tacos no centro". Vemos se você aparece. Se não aparece, contamos o que está faltando e te guiamos na correção. A maioria das correções leva cinco minutos e não custa nada.

Meu negócio está no ChatGPT?

Talvez. O ChatGPT recomenda só 1 em cada 100 negócios locais para uma busca qualquer, então a maioria das lojas é invisível até alguém arrumar o básico. Digite o nome do seu negócio na verificação no topo desta página e você verá exatamente onde aparece e onde não aparece, em cerca de 30 segundos.

Preciso entender de tecnologia para usar o Kodo?

Não. Se você consegue digitar o nome do seu negócio, consegue usar o Kodo. O relatório é em português claro. Toda correção tem um botão de um clique ou um passo a passo curto. Sem código, sem arquivo de configuração, sem jargão de marketing. Se algo estiver confuso, fala com a gente que reescrevemos.

A primeira verificação é grátis. Depois disso, $19 por mês te dá monitoramento mensal de um negócio e dez buscas que te importam. $39 por mês adiciona avaliações, citações e três concorrentes. $79 por mês é o pacote completo, incluindo buscas ilimitadas, posts automáticos e automação de pedidos de avaliação. Sem contrato, cancele quando quiser.

Por que isso importa agora?

Mais da metade dos consumidores usou ferramentas de IA para encontrar um negócio local no último ano, subindo de menos de um em cinco no ano anterior (BrightLocal 2025). Quando alguém pergunta ao ChatGPT ou à Siri por um barbeiro, um restaurante ou um mecânico, a IA escolhe um punhado de nomes. Se você não é um deles, o cliente nunca vê você.

O que é diferente no Kodo em relação a outras ferramentas?

A maioria das ferramentas de SEO local foi construída para profissionais de marketing, não para donos. Elas usam palavras como "citação", "schema" e "share of voice", e custam de $50 a $300 por mês. O Kodo começa em $19, fala em português claro e foca no que os assistentes de IA dizem sobre você, não só no Google. Foi feito para quem toca a loja.

O que a verificação grátis mostra, na prática?

Uma nota única de como a IA enxerga você hoje, três coisas específicas que estão te atrapalhando (em palavras simples, tipo "faltam fotos no seu perfil do Google"), um comparativo lado a lado com um concorrente próximo e três correções sugeridas. A primeira correção é sempre grátis. A coisa toda leva uns 30 segundos para rodar.

Posso testar o Kodo antes de pagar?

Sim. A verificação instantânea na página inicial é grátis e não pede seu cartão. Os planos pagos incluem 14 dias de teste grátis para você ver como o monitoramento mensal e as correções funcionam antes de qualquer cobrança. Se não for útil nesses 14 dias, simplesmente não continue. Não vamos correr atrás de você.

Segurança · Kodo

Infraestrutura

O Kodo roda na Vercel para hospedagem e computação, com um banco Postgres gerenciado (Neon) para os dados da aplicação. Quando precisamos de armazenamento de objetos (por exemplo, os relatórios em PDF nos planos Vencer), usamos o Vercel Blob. Nossa região principal de deploy são os Estados Unidos. A Vercel cuida do tráfego de borda, terminação TLS e mitigação de DDoS na borda da rede. O Neon cuida da replicação do banco, recuperação a um ponto no tempo e backups gerenciados.

Os dois fornecedores publicam a própria documentação de segurança, que você pode ler diretamente: vercel.com/security e neon.tech/security. Ambos são certificados SOC 2 Type II.

Criptografia

Todo tráfego entre o seu navegador e o Kodo é criptografado com TLS 1.2 ou superior. Não aceitamos conexões em HTTP puro. As conexões de banco entre nossos servidores de aplicação e o Postgres também são criptografadas com TLS. Os dados em repouso no banco são criptografados com AES-256 pelo provedor do banco. Os backups gerenciados são criptografados com o mesmo padrão.

Não armazenamos senhas. A autenticação é tratada pelo Clerk, que usa hash de senha padrão da indústria e suporta opções modernas sem senha (passkeys, magic links, login social).

Autenticação e acesso

A autenticação dos usuários é tratada pelo Clerk. O Clerk suporta autenticação multifator (MFA) para contas que habilitarem, e recomendamos ligar. As sessões usam cookies seguros e HTTP-only com as flags Secure e SameSite ativas.

O acesso interno aos sistemas de produção é limitado ao time pequeno de engenheiros que precisa dele para operar o serviço. Cada membro do time entra nos consoles dos fornecedores via single sign-on com MFA obrigatório. O acesso ao banco de produção é registrado em log. Rotacionamos credenciais em um cronograma regular e imediatamente quando a função de um membro do time muda.

Segurança da aplicação

A aplicação segue práticas padrão de segurança web:

Cabeçalhos de Content Security Policy para limitar quais scripts e recursos o navegador carrega.
Strict Transport Security (HSTS) para que os navegadores se recusem a falar com o Kodo em HTTP puro.
Cookies seguros, HTTP-only, SameSite para qualquer estado de sessão.
Consultas parametrizadas no banco via nosso ORM. Não construímos SQL por concatenação de strings, o que fecha a porta da injeção na origem.
Validação de entrada no servidor em cada endpoint da API, usando bibliotecas de validação por schema.
Rate limiting em endpoints públicos (incluindo a verificação grátis) para frear abuso e tentativas de credential stuffing.
Varredura de dependências em cada pull request para que percebamos quando uma biblioteca que usamos tem uma vulnerabilidade conhecida.

Processadores terceirizados

Usamos uma lista curta de fornecedores para entregar o produto. Cada um foi escolhido porque a postura de segurança deles é bem documentada e adequada aos dados que processam:

Vercel para hospedagem, computação de borda e TLS.
Neon para Postgres gerenciado, backups e recuperação a um ponto no tempo.
Clerk para autenticação de usuários e gestão de sessão.
Stripe para processamento de pagamentos. O Stripe é certificado PCI-DSS Nível 1. Nunca vemos ou armazenamos números completos de cartão; o Stripe cuida disso na própria infraestrutura.
Resend para e-mail transacional (seu relatório, atualizações mensais, avisos de segurança).
APIs de assistentes de IA da OpenAI, Anthropic, Google e xAI, usadas para rodar as verificações que prometemos. Enviamos as perguntas públicas que um cliente faria (por exemplo, "melhor barbeiro na Vila Madalena"). Não enviamos dados de conta ou informações pessoais.

A lista completa de fornecedores e o que cada um processa fica na nossa política de privacidade.

Monitoramento e resposta a incidentes

Monitoramos a produção em busca de padrões de tráfego incomuns, picos de erro e tentativas falhas de autenticação. Alertas críticos acionam o engenheiro de plantão. Revisamos logs semanalmente e depois de qualquer incidente relevante.

Se descobrirmos um incidente de segurança que afete dados de usuários, notificaremos os usuários afetados sem atraso indevido, e em qualquer caso dentro de 72 horas da confirmação do incidente. Isso bate com a janela de notificação do GDPR. O aviso vai te dizer o que aconteceu, quais dados foram envolvidos, o que fizemos a respeito e o que (se algo) você deve fazer do seu lado.

Backups e recuperação

O banco é copiado diariamente pelo provedor gerenciado de Postgres, com recuperação a um ponto no tempo para os últimos 7 dias. Os backups são criptografados e armazenados na mesma região do banco principal. Testamos o procedimento de restore trimestralmente em um ambiente de staging para saber que funciona de verdade antes de precisarmos dele.

Privacidade e minimização de dados

Coletamos o mínimo necessário para rodar a verificação e entregar o relatório: o nome do seu negócio, a cidade em que você está e (nos planos pagos) o endereço de e-mail para onde mandamos as atualizações. Não pedimos seu cartão na verificação grátis. Não vendemos dados. Não compartilhamos as informações da sua conta com outros clientes.

O detalhamento completo do que coletamos, por quanto tempo guardamos e como pedir exclusão fica na política de privacidade.

O que ainda não fazemos

Ser honesto sobre as lacunas importa tanto quanto listar as práticas. Aqui está o que ainda não temos hoje:

Certificação SOC 2. Seguimos as práticas que uma auditoria SOC 2 procura, mas ainda não somos certificados. Pretendemos buscar SOC 2 Type II conforme crescermos.
Programa formal de bug bounty. Ainda não rodamos uma recompensa paga. Aceitamos e respondemos a reportes de vulnerabilidade em [email protected] (veja abaixo).
Questionários de segurança customizados para compras enterprise. Estamos focados em pequenos negócios, não em ciclos de compra enterprise. Se você precisa de uma revisão aprofundada de segurança para uma organização grande, o Kodo ainda não é a escolha certa.
Relatórios de teste de intrusão sob demanda. Fazemos revisões internas de segurança a cada release relevante. Teste de intrusão por terceiros está no roadmap.

Reportar uma vulnerabilidade

Se você acha que encontrou um problema de segurança no Kodo, por favor, envie e-mail para [email protected]. Inclua os passos para reproduzir, o impacto que você acha que tem e qualquer prova de conceito que você se sinta confortável em compartilhar. Respondemos dentro de 5 dias úteis, geralmente em 1.

Não tomaremos medidas legais contra pesquisa de segurança de boa-fé, desde que você não acesse dados de usuários além do necessário para provar o problema, não degrade o serviço para outros usuários e nos dê uma janela razoável para corrigir o problema antes da divulgação pública.

Última atualização: 28 de maio de 2026. O Kodo é um time pequeno. Esta página descreve as nossas práticas atuais, não uma certificação. Atualizamos conforme o produto evolui.

O Kodo é certificado SOC 2?

Ainda não. Seguimos as práticas de segurança que uma auditoria SOC 2 procura (criptografia em trânsito e em repouso, acesso limitado e auditado à produção, backups gerenciados, resposta a incidentes), e pretendemos buscar a certificação SOC 2 Type II conforme crescermos. Se você precisa de um fornecedor certificado hoje, o Kodo ainda não é a escolha certa.

Onde meus dados ficam armazenados?

Em Postgres gerenciado (Neon) nos Estados Unidos, com backups diários criptografados e recuperação a um ponto no tempo para os últimos 7 dias. A hospedagem da aplicação roda na Vercel, também em uma região dos EUA. Ambos os provedores são certificados SOC 2 Type II.

A conexão com o Kodo é criptografada?

Sim. Todo o tráfego entre o seu navegador e o Kodo usa TLS 1.2 ou superior. Não aceitamos conexões em HTTP puro. A mesma criptografia TLS protege as conexões entre os nossos servidores e o banco.

Como reporto um problema de segurança?

Envie e-mail para [email protected] com os passos para reproduzir, o impacto que você acha que tem e qualquer prova de conceito. Respondemos dentro de 5 dias úteis. Não tomaremos medidas legais contra pesquisa de boa-fé que respeite os dados dos usuários e nos dê uma janela razoável para corrigir o problema.

Vocês oferecem questionário de segurança para compras enterprise?

Ainda não. O Kodo é feito para pequenos negócios, então no momento não completamos questionários customizados de segurança para times de compras enterprise. As práticas que seguimos estão listadas nesta página. Se você precisa de mais, fala com a gente que dizemos com honestidade se conseguimos ajudar.

Segurança no Kodo