Esta tradução é gerada por máquina e está aguardando revisão. Mudar para inglês
Painel

Cada navegador conta uma história. Nós capturamos as ficções.

Fingerprinting de navegador que detecta fraude sem prejudicar clientes reais com falsos positivos. Pontuações de risco calibradas, resultados calibrados.

Fale conosco ou leia a documentação

Três públicos. Um único sinal.

O fingerprinting raramente é só sobre uma equipe. O mesmo sinal molda resultados para empresas, plataformas e as pessoas que as usam.

  • Para empresas

    Equipes antifraude, engenheiros de segurança, PMs de plataforma. As equipes que pagam quando a fraude entra — e as equipes que pagam quando clientes reais vão embora.

  • Para plataformas

    Marketplaces, redes sociais, plataformas multilaterais. A confiança entre usuários importa mais do que nunca; resistência a Sybil é um fosso real.

  • Para as pessoas

    Usuários finais. O stakeholder pouco discutido. Pessoas desafiadas erroneamente, bloqueadas ou obrigadas a resolver CAPTCHAs só por usar Brave.

→ Leia os casos de uso por público na documentação

O que ele faz.

Seis capacidades. Cada uma enraizada em um resultado real de negócio.

  • Pontuação de risco

  • Detecção de bots

  • Console do operador

  • Latência Edge-First

  • Privacidade por construção

  • Integração aberta

→ Referência detalhada de funcionalidades

Do sinal à decisão.

Quatro etapas. O navegador coleta, o token carrega o sinal, a pontuação é calibrada no servidor e seu código decide.

Navegador

O SDK coleta 30+ sinais do navegador no lado do cliente — canvas, WebGL, áudio, fontes, marcadores de hardware. Carregado em async, nunca bloqueia DOMContentLoaded.

Token

Os sinais são embrulhados em um token assinado (ES256) e enviados ao seu backend. O token não pode ser repetido; ele carrega o fingerprint completo.

Pontuação

Seu servidor chama verify(). Devolvemos um risco de 5 níveis + confiança + trace de flags. Sem DNS lookup; p99 abaixo de 12 ms na edge.

Decisão

Seu código lê o nível de risco e decide. Bloquear, desafiar, observar ou permitir — sua política, nosso recibo.

→ Leia o fluxo completo de integração na documentação

O que medimos.

Quatro camadas de sinal, compostas em uma única fingerprint calibrada. Cada camada responde a uma pergunta diferente — juntas, são a diferença entre um veredito e uma medição.

  • Inteligência do navegador

    O navegador é real?

    Pegue tráfego automatizado, navegadores mascarados e visitantes sintéticos no momento em que chegam — antes de alcançarem seu signup, login ou checkout. Clientes reais passam. Os falsos, não.

    → Categorias de detecção

  • Sinais de rede

    A rede é segura?

    Identifique origens suspeitas e infraestrutura de alto risco sem punir tráfego legítimo. Trabalhadores remotos, usuários de VPN e redes corporativas continuam bem-vindos. Fontes de fraude no atacado são sinalizadas.

    → Categorias de detecção

  • Verificação de hardware

    O dispositivo é real?

    Verifique o dispositivo real por trás da sessão — não só o software rodando nele. Usuários genuínos em dispositivos genuínos passam sem esforço. Bots em infraestrutura descartável compartilhada vêm à tona imediatamente.

    → Categorias de detecção

  • Fingerprints comportamentais

    O usuário é real?

    Distinga uma pessoa real de um script pelo ritmo de como interage com a página. Humanos hesitam, se corrigem, exploram. A automação se move com uma precisão reveladora que não consegue esconder.

    → Categorias de detecção

Quatro camadas de sinal, cada uma responde uma pergunta diferente. Juntas, marcam a diferença entre um veredicto e uma medição.

O que detectamos.

Seis categorias de ameaça. Cada uma ajustada para pegar automação, fraude e abuso — sem desafiar erroneamente clientes reais.

  • Automação e bots Reconheça tráfego automatizado antes que chegue ao login, signup ou checkout.
  • Adulteração de fingerprint Traga à tona tentativas deliberadas de evasão sem bloquear escolhas honestas de privacidade.
  • Abuso de infraestrutura Identifique o sinal de fraude no atacado — sem disparar à toa em trabalhadores remotos.
  • Tratamento de navegadores de privacidade Acolha usuários legítimos de privacidade enquanto pega os atores escondidos entre eles.
  • Atestação de hardware Verifique que o dispositivo é o que diz ser — não só o navegador rodando nele.
  • Anomalias comportamentais Pegue as sessões que parecem humanas no papel mas não se comportam como uma pessoa.

→ Veja toda a metodologia de detecção na doc

Por que não te dizemos 'isso é um bot.'

A maioria dos serviços de impressão digital diz o que você quer ouvir: bot ou humano. Binário. Limpo. Errado. Nós dizemos o que o sinal realmente diz, com confiança — e deixamos seu código decidir.

// Não te dizemos 'isso é um bot.'

// Dizemos risk: medium, confidence: 0,87.

// Você decide.

→ Leia o ensaio completo

Veja em produção.

Onde sinais viram decisões. O console do operador — pesquise, compare, audite, decida.

[ screenshot ] /screenshots/fingerprints-list.svg Backoffice screenshot: Fingerprints list with risk badges, country flags, and 4-way compare staging.
A lista de Fingerprints — pesquise, filtre e compare dispositivos lado a lado.
[ screenshot ] /screenshots/fingerprint-detail.svg Backoffice screenshot: per-fingerprint detail page showing score gauge, full signal list, and flag breakdown.
Detalhe por fingerprint. Cada sinal, cada detecção, cada decisão — visível.
[ screenshot ] /screenshots/dashboard.svg Backoffice screenshot: aggregate analytics dashboard with risk distribution and anomaly trends.
Análises agregadas. Distribuição de risco. Tendências de anomalia.
[ screenshot ] /screenshots/audit-log.svg Backoffice screenshot: audit trail listing every API call and operator action with timestamps.
Trilha de auditoria. Cada chamada de API. Cada ação do operador.
[ screenshot ] /screenshots/api-config.svg Backoffice screenshot: API keys, domains, and rate-limit configuration panel.
Chaves de API. Domínios. Rate limits. Tudo gerenciado pelo operador.

Como é o sucesso.

Números reais de integrações reais. Viés para falso-negativo; viés para retenção de clientes.

47%
redução mediana de chargebacks (90 dias)
0,4%
taxa de falsos positivos, configuração padrão
~5 ms
latência mediana de verify no edge

  • Marketplace

    Anéis Sybil detectados antes do bombardeio de avaliações — por sinal, não por IP.

  • Serviços financeiros

    Desafios para novos dispositivos em vez de bloqueios. Clientes reais não sentem nada.

  • Plataformas sensíveis a identidade

    Cliques em magic-links verificados por correspondência de impressão digital. Kits de phishing param aqui.

→ Veja todos os casos de uso na doc

Sinais honestos. Afirmações testáveis.

Seis propriedades que se sustentam sob inspeção. Sem mágica de fornecedor — cada uma é auditável contra a superfície do produto.

  • Residência de dados na EU

  • Pronto para GDPR

  • Código-fonte do SDK aberto

  • Nenhum PII coletado

  • p99 verify <12ms

  • Calibrado, não mágico

Em que acreditamos.

Restrições operacionais que aparecem por toda parte — no SDK, na API, no console do operador.

  • Calibração no lugar de veredito

    A política é sua. Nós entregamos a evidência.

  • O código é a documentação

    Cada limiar é documentado e ajustável. Sem caixa preta.

  • Falsos positivos não são perdas aceitáveis

    Um cliente bloqueado nunca volta. Nos inclinamos contra isso.

  • Privacidade por construção

    Sem PII. Sem chamadas a terceiros. Não podemos vender o que nunca coletamos.

→ Leia cada princípio em detalhes

Cinco níveis. Sem ligação de vendas.

Autoatendimento nos planos Starter, Growth, Scale e Professional. O Enterprise tem uma conversa real com uma pessoa, não um formulário de 'solicite uma demo'.

  • Inicial

    Sites pequenos e projetos paralelos. 2M de requisições de API, 200K eventos/mês, retenção de 1 dia.

    $199 /mês

    cobrado anualmente · 30% a menos que mensal

    Ver detalhes do plano →
  • // most popular

    Crescimento

    Equipes de produção que entregam rápido. 5M de requisições de API, 500K eventos/mês, retenção de 2 dias, acesso à API.

    $499 /mês

    cobrado anualmente · 30% a menos que mensal

    Ver detalhes do plano →

  • Escala

    Apps e plataformas de alto tráfego. 12M de requisições de API, 1,2M eventos/mês, retenção de 2 dias, integrações personalizadas.

    $999 /mês

    cobrado anualmente · 30% a menos que mensal

    Ver detalhes do plano →

  • Professional

    Cargas de produção exigentes. 30M de requisições de API, 3M eventos/mês, retenção de 7 dias, suporte prioritário.

    $1,999 /mês

    cobrado anualmente · 30% a menos que mensal

    Ver detalhes do plano →

  • Enterprise

    Limites personalizados, SSO/SAML, SLA, suporte dedicado, on-prem disponível.

    Personalizado
    Ver detalhes do plano →

Ver comparação completa de preços →

Perguntas que engenheiros fazem.

Perguntas reais de integrações reais. Se a sua não estiver aqui, a documentação provavelmente cobre.

Funciona com Tor?

Saídas Tor recebem por padrão um risco `medium` do sinal de IP (datacenter_asn + listas de exits conhecidos), mas a fingerprint em si continua sendo calculada. Se sua aplicação permite Tor explicitamente — jornalismo, busca sensível, fluxos para sobreviventes de abuso — defina `tor_policy: 'allow'` na chamada verify para suprimir o scoring baseado em IP mantendo todos os outros sinais ativos. O flag permanece na resposta de qualquer jeito; você só decide se ele entra na pontuação.

E os navegadores focados em privacidade — Brave, LibreWolf, Tor?

Todos funcionam. Cada um tem fingerprints distintivas — o farbling do Brave, os perfis de LibreWolf e Tor Browser são conhecidos nos nossos dados populacionais. Recursos de prevenção de tracking não quebram a verificação; só geram fingerprints diferentes (ainda consistentes). Sinalizamos o nível de proteção como um sinal honesto em vez de penalizar o usuário em silêncio.

Qual a taxa de falsos positivos de vocês?

Depende do limiar em que você dispara. Com os defaults (risk ≥ high → challenge), nosso benchmark interno contra um conjunto ground-truth de 4,2M sessões reais mede ~0,4% de falsos positivos. Em risk = critical only, a taxa FP cai para ~0,07%. Ambos os números são atualizados continuamente e visíveis no dashboard do operador, discriminados por família de navegador e país para você ver de onde vêm os erros.

Precisamos rodar um backend?

Sim — o SDK coleta no navegador e emite um token assinado; a verificação acontece no servidor via nossa REST API. O token traz a fingerprint completa embutida e é verificado criptograficamente (ES256, `kid: nox-2026-01`), por isso `verify()` não faz DNS lookup durante uma requisição. A latência p99 de verify fica abaixo de 5 ms porque é uma checagem de assinatura mais um cache lookup, não uma re-coleta.

Conformidade com GDPR / CCPA?

Somos sub-operador sob seu DPA, com nosso próprio DPA disponível mediante pedido. Tratamos fingerprints como 'dado pessoal' porque podem re-identificar um visitante recorrente — controles completos do Artigo 28 aplicáveis. Sem transferências para terceiros países; infraestrutura residente na UE (Cloudflare roteamento somente UE). Hard delete a pedido pelo backoffice. Assinamos DPAs em 24h. A lista de sub-operadores está em `/subprocessors`.

Mais cinco perguntas na doc — on-prem, iframes, comportamento de rede, ajuste de limiares e Noxtica vs. CAPTCHA. → Veja todas as perguntas na doc

Comece a proteger seus usuários hoje.

Pare a fraude antes que ela aconteça. Mantenha clientes reais em movimento. Obtenha a calibração certa para o seu tráfego — e um time que realmente atende ao telefone.

O que você recebe

Um parceiro, não uma página de preços.

Tudo o que você precisa para entregar com confiança — e nada do que não precisa.

Obtenha sua chave de API