VPN com prioridade em privacidade

Logamos domínios.
Não vidas.

Sem URLs. Sem conteúdo de página. Sem cookies. Sem fingerprints. Sem nome, sem e-mail, sem cartão. Quatro pontos de dados, cada um revelado abaixo — e por que está lá.

Instalar — Grátis Veja a lista completa

GDPR · UK GDPR · CCPA · Lei UA · LGPD · Sem conta

A promessa

Sem alegações de marketing. Só a lista fonte.

A maioria das VPNs "no-logs" faz uma alegação forte e pede sua confiança. É o padrão dessa categoria — e tem motivo: a maioria das auditorias, quando acontece, encontra mais retenção do que o anunciado.

A Piligrim não promete o zero perfeito. A gente conta exatamente o que coleta, por que cada peça é necessária para o produto funcionar, e o que deixa de fora de propósito. Se algo nessa lista mudar um dia, será um commit público e um bump de versão da Política de Privacidade.

O que coletamos

A lista completa. Quatro itens.

01

ID de instalação anônimo

Por que armazenamos: Gerado no seu dispositivo na primeira instalação. Usado como chave do ledger da sua carteira (saldo da cota grátis, Passos ganhos, recibos de exibição de anúncios). Nenhuma identidade real está anexada nem é recuperável.

O que deixamos de fora de propósito: Desinstalar e reinstalar na mesma máquina restaura a carteira por essa chave. Desinstalar sem reinstalar revoga permanentemente tudo o que temos.

02

Código de país (ISO-3166)

Por que armazenamos: Detectado a partir do seu IP real via ipapi.co na instalação e uma vez a cada 24 horas. Usado para taxas de anúncios justas — países Tier 1 ganham mais megabytes por anúncio que Tier 4.

O que deixamos de fora de propósito: O país é um código de duas letras (ex.: "DE"), não cidade, região ou ISP. A consulta passa por fora do seu proxy ativo, então sempre reflete sua localização real, nunca a saída que você escolheu.

03

Nomes de domínio sem caminho

Por que armazenamos: Com a VPN ligada, a extensão compara cada página que você visita com o conjunto de regras das redes de anúncios (26 redes). Para essa comparação guardamos o domínio registrável — ex.: "exemplo.com" — não o URL, caminho ou querystring.

O que deixamos de fora de propósito: Sem URLs, sem parâmetros, sem conteúdo, sem cookies, sem dados de formulário, sem âncoras, sem títulos. Só a raiz do domínio. Os servidores veem isso em lotes, não correlacionado individualmente com seu ritmo de navegação.

04

Eventos de exibição de anúncios

Por que armazenamos: Quando um anúncio que substituímos fica de fato visível na tela (≥50% no viewport por ≥1 segundo), a extensão assina um relatório com sua chave de instalação ECDSA P-256 e dá POST nele. Esse recibo credita megabytes na sua carteira e prova para a gente que a impressão não foi forjada.

O que deixamos de fora de propósito: O recibo registra: ID do slot do anúncio, formato, seu ID de instalação, um timestamp. Não o URL da página, não o conteúdo da página, não o comportamento do usuário ao redor do anúncio.

O que não coletamos

Coisas ausentes do recibo.

  • URLs de páginas, parâmetros, caminho, âncoras
  • Conteúdo de página, títulos, dados de formulário, cookies
  • Ritmo de navegação ou timelines de sessão
  • Nome, e-mail, telefone, pagamento, conta
  • Perfis comportamentais entre sites
  • Fingerprints de dispositivo (canvas, WebGL, fontes)
  • Ligações IP-com-identidade (nunca juntamos seu IP a um usuário)
  • Identificadores ad-tech, MAID, IDFA, syncs de cookie
  • Nada de sites na blocklist de imprensa premium
  • Nada de sites na lista de domínios das próprias redes de anúncios

O caminho da receita, de ponta a ponta

Como ganhamos dinheiro, em 90 segundos.

A Piligrim é uma VPN grátis financiada por substituição de anúncios. Com a extensão ligada, nosso content script identifica um pequeno número de slots de anúncios de display nas páginas que você visita (máx. 3 por página) e os troca pelos nossos creativos, servidos pelo nosso ad server.

Os anunciantes pagam por impressão visualizada. Dividimos essa receita com você: cada anúncio que você de fato vê credita megabytes na sua carteira, que compram tráfego residencial premium de VPN. O resto paga banda de proxy, hosting e o runway.

É o modelo inteiro. Sem upsell, sem plano premium, sem lista de espera para "recursos pro", sem corretagem de dados, sem lista de assinantes vendida a terceiros.

Editores de imprensa premium e domínios próprios das redes de anúncios nunca são modificados — fixados no código da extensão, não ligáveis por nós. A blocklist é auditável na nossa Política de Privacidade.

Privacidade imposta, não prometida

Arquitetura, não política.

As garantias de privacidade mais fortes são as que não dá pra quebrar nem se quiséssemos. Aqui vão cinco que entregamos em código.

Relatórios de impressão assinados com ECDSA

Cada recibo de exibição de anúncio é assinado com uma chave privada P-256 gerada no seu dispositivo na instalação e que nunca sai dele. O servidor verifica cada alegação criptograficamente — bots não conseguem forjar recibos para drenar nosso orçamento, e a gente não consegue fabricar recibos atribuídos a você.

Iframes de creativo em sandbox

Anúncios de substituição carregam num iframe chrome-extension:// com sandbox rígido. Não conseguem ler cookies, acessar a página pai nem setar pixels de rastreio — são estruturalmente incapazes de fazer fingerprint de você.

MV3 declarativeNetRequest (sem interceptação de tráfego)

A gente bloqueia requests de redes de anúncios de terceiros via regras declarativas, e não interceptando tráfego num script de background. O navegador aplica as regras; a gente nunca vê o corpo das suas requisições.

A detecção de país passa por fora do seu proxy ativo

Quando checamos seu código de país, a requisição vai pelo seu IP real — não pelo Santuário que você escolheu. Isso significa que sempre sabemos seu país verdadeiro (para te pagar taxas justas), mas de propósito nunca sabemos em que país está seu proxy ativo.

Sem continuidade de sessão entre sites

Os recibos vão para nosso ad server em lotes. A gente não correlaciona exibições com uma timeline comportamental — não existe um grafo do tipo "o usuário com ID X visitou o domínio A, depois B, depois C". Apenas contagens por domínio.

Postura jurídica

Conformidade sob quatro regimes.

GDPR (UE)

Base legal: legítimo interesse para operação financiada por anúncios; consentimento explícito para substituição de anúncios. Direito de acesso, retificação e exclusão atendidos em até 30 dias — desinstalar é o caminho mais rápido.

UK GDPR

Espelha o GDPR. Representante no Reino Unido listado na Política de Privacidade. Aceitamos queixas do ICO.

CCPA / CPRA (Califórnia)

Não vendemos informação pessoal. O toggle "Do Not Sell" é estruturalmente desnecessário — não existe caminho de venda. Atendemos pedidos verificáveis de consumidores sob o ato.

Ucrânia — Lei de Proteção de Dados Pessoais

A entidade operacional da Piligrim é registrada na Ucrânia. Atendemos aos requisitos de transparência do Artigo 8 e de processamento transfronteiriço do Artigo 14.

A Política de Privacidade e os Termos de Serviço completos listam cada processador (Webshare para proxy, ipapi.co para país, nosso ad server) e a pegada jurisdicional de cada um. Ambos são versionados; você verá um aviso no popup da extensão quando qualquer um mudar.

Quando NÃO usar a Piligrim

A Piligrim é uma estrada, não uma fortaleza.

Se o seu modelo de ameaças inclui um adversário em nível de estado — jornalismo num regime autoritário, denúncia, fugir de vigilância dirigida — a Piligrim é a ferramenta errada. A gente é uma VPN grátis de uso casual para a web aberta. A gente não opera a infraestrutura de proxy (alugamos da Webshare), não roda hops de anonimato endurecido como o Tor, e não finge fazer isso.

Use uma VPN comercial paga feita para esse fim, ou Tor, ou ambos. A Piligrim é para os milhões de casos que não são vida ou morte — manter as redes de anúncios fora da sua cabeça, assistir conteúdo de outro lugar, ter privacidade sem custar quarenta dólares por ano que você não tem.

FAQ para céticos

Perguntas duras. Respostas diretas.

Por que confiar numa VPN financiada por anúncios?
Você não deveria confiar em nenhuma VPN só pela alegação de marketing. Leia nossa arquitetura: as garantias de privacidade são impostas no código (creativos em sandbox, recibos assinados, MV3 declarativo, detecção de país por fora do nosso próprio proxy) — e não num parágrafo de Política de Privacidade. Se o modelo deixa a gente trapacear, a política não importa. Desenhamos o modelo para que o caminho da trapaça esteja fechado.
A polícia pode pegar meus dados?
A gente pode entregar o que tem, que são os quatro itens listados acima: ID de instalação, código de país, domínios sem caminho visitados com a VPN ligada, eventos de exibição de anúncios assinados. Não temos URLs, conteúdo, identidade, pagamento ou timelines comportamentais — porque nunca coletamos. Uma intimação não consegue produzir dados que não existem.
Quem é dono da empresa?
A Piligrim é operada por uma entidade jurídica ucraniana. Os detalhes corporativos completos estão nos Termos de Serviço. O produto é de código fechado por opção — a gente acha que uma VPN grátis financiada por anúncios e distribuída livremente é um alvo sério para clones, e prefere não tornar isso trivial.
Onde fica a jurisdição de vocês?
Entidade operacional: Ucrânia. Servidores (rede de proxies): alugados da Webshare, multi-região. Ad server e ledger da carteira: Suíça (Berna). Nossa resposta jurisdicional a um pedido legal estrangeiro é constrangida primeiro pela lei ucraniana.
E uma auditoria de privacidade independente?
Ainda não. Auditorias são caras (tipicamente US$ 40K–100K numa firma respeitável) e a gente não está no volume de instalações que justifique o gasto. Quando estiver, a auditoria e os achados do auditor serão públicos. Até lá: leia os caminhos de código que descrevemos e a Política de Privacidade, e decida se a arquitetura é crível.
Vocês podem mudar a Política de Privacidade em silêncio?
Não. Mudanças de política mostram um aviso no popup da extensão na próxima abertura, com um resumo claro do que mudou. Você é solicitado a reconsentir antes da nova política valer; recusar te mantém na versão anterior até você desinstalar.
Qual é a pegadinha?
Você vê alguns anúncios de display substituídos enquanto navega — a mesma quantidade que veria de qualquer jeito, só que financiando sua VPN em vez de uma rede de anúncios. É o trato inteiro.

Privacidade que você pode verificar, não só confiar.

Instale com um clique. O recibo do que sabemos de você está nesta página.

Instalar — Grátis