Pular para o conteúdo
canna-oss

Confiança & Transparência

Confiança · Transparência · Due diligence

Tudo que sustenta a tese, em links públicos.

Esta página agrupa termos, licença, posicionamento jurídico, arquitetura de segurança e LGPD. Quem está fazendo due diligence — advogado, diretoria, comitê de risco — começa aqui.

Licença & código

AGPL-3.0 + CLA. Sem caixa preta, sem lock-in.

Licença

AGPL-3.0-or-later

Você pode usar, modificar, distribuir. Forks devem manter a mesma licença. SaaS sobre canna-br deve abrir as modificações — copyleft forte protege contra capture de empresa fechada.

Ver LICENSE no GitHub →

CLA

Contributor License Agreement

Contribuidores assinam CLA permitindo relicenciamento futuro (ex: dual-license comercial). Protege o projeto contra fragmentação se houver pressão para mudar termos.

Ver CONTRIBUTING →

LGPD & arquitetura de segurança

Mapeamento artigo-por-artigo da LGPD vs implementação.

Artigo LGPDObrigaçãoImplementação canna-br
Art. 5, IIDado pessoal sensível (saúde)Envelope AES-256-GCM por membro; DEK random + Site KEK
Art. 11Tratamento de dado sensível requer base legal explícitaConsentimento versionado em evento ConsentGranted
Art. 18, IVCrypto-deletion (eliminação efetiva)Descarte da DEK = dado inacessível para sempre, audit trail preservado
Art. 38RIPD (relatório de impacto)RipdReviewApp MCP gera RIPD auto-documentado por evento (v0.4)
Art. 46Medidas técnicas de segurançaRBAC com segregação, TOTP para nível-4, audit imutável, encryption at rest
Compliance & crypto completo →Stack de segurança →Marco regulatório →

Parecer & termos

O que é firme. O que é embrionário. O que ainda não existe.

FIRME

Licença AGPL-3.0 + CLA

Compromisso público. Não vai mudar sem aviso prévio + opção de fork.

FIRME

Arquitetura LGPD-by-design

Documentada em /build/compliance, mapeada artigo-por-artigo, código auditável.

EMBRIONÁRIO

Parecer regulatório (RDC 1.014)

Estudo técnico em /idea/regulation = melhor entendimento técnico do equipo. NÃO substitui parecer jurídico próprio da associação. Procuramos parceria com escritório especializado.

EMBRIONÁRIO

Termos de uso do programa piloto

Combinado pessoa-a-pessoa via WhatsApp/email durante seed. Formal terms-of-service publicado quando sair do alpha (v0.3+).

NÃO EXISTE

Auditoria de segurança por terceiro

Código é auditável, mas não foi auditado externamente ainda. Promessa: transparência, não certificação. Auditoria formal entra em v1.0 GA com receita pra cobrir custo.

NÃO EXISTE

Certificação SOC2 / ISO 27001

Roadmap pós-v1.0. Não pretendemos blefar com selo nominal sem trabalho real por trás.

Contato direto

Tem questão jurídica, security disclosure, ou parceria? Falar com Gabriel direto.

gabriel@devmagic.com.brWhatsApp +55 13 98803-2053

Security disclosure responsável: GPG key publicada em github.com/biliboss (em v0.3).