Política de Privacidade & LGPD
Sumário
Esta Política descreve como coletamos, usamos e protegemos os dados pessoais dos usuários desta plataforma, em conformidade com a Lei nº 13.709/2018 (LGPD). Ao usar o serviço você declara ter lido e concordado com esta Política e com nossos Termos de Uso.
1. Identificação do Controlador
O Controlador dos dados pessoais é a entidade responsável pela operação desta plataforma, identificada pelos dados de contato no rodapé deste documento. Em caso de dúvida quanto à identificação, entre em contato pelo email indicado em "Contato e DPO".
2. Dados que coletamos
2.1 Dados das empresas (clientes da plataforma)
- Razão social ou nome completo
- CNPJ ou CPF
- Email e telefone de contato
- Endereço (rua, número, bairro, cidade, estado, CEP)
- Nome e CPF do responsável legal (no caso de PJ)
- Logotipo (opcional, fornecido pela própria empresa)
- Credenciais (senha bcrypt, tokens TOTP de 2FA, API keys)
- Tokens OAuth do Mercado Pago (criptografados em repouso)
2.2 Dados de pagadores (usuários finais)
Quando alguém paga uma cobrança PIX gerada pela plataforma:
- Email (quando informado pela empresa ou retornado pelo Mercado Pago)
- Status do pagamento, data/hora, valor
- ID do pagamento no Mercado Pago
Não coletamos diretamente dados sensíveis dos pagadores (como dados bancários ou cartão). Esses ficam no Mercado Pago, que processa o PIX.
2.3 Dados de navegação e técnicos
- Endereço IP, user agent (navegador), data/hora de acesso
- Logs de auditoria de ações sensíveis (login, mudança de configuração, etc)
- Cookies de sessão (HttpOnly, SameSite=Lax)
- Headers de requisição em chamadas à nossa API
3. Finalidade e bases legais
| Finalidade | Base legal (LGPD art. 7º/11) |
|---|---|
| Prestação do serviço de criação e processamento de cobranças PIX | Execução de contrato (VI) |
| Verificação de identidade (KYC) e prevenção a fraude | Cumprimento de obrigação legal (II) |
| Auditoria e segurança da plataforma | Legítimo interesse (IX) |
| Envio de notificações operacionais (verificação de email, reset de senha, alertas) | Execução de contrato (VI) |
| Relatórios financeiros e fiscais | Cumprimento de obrigação legal (II) |
| Comunicação de marketing (opcional, somente com consentimento) | Consentimento (I) |
4. Compartilhamento de dados
Compartilhamos dados estritamente quando necessário com:
- Mercado Pago — pra processar os pagamentos PIX. Política deles em mercadopago.com.br/privacidade.
- Provedor de hospedagem (Render, AWS ou similar) — apenas dados criptografados em trânsito e em repouso.
- Provedor de email (SMTP configurado pelo controlador) — apenas o endereço do destinatário e conteúdo do email.
- Autoridades públicas — somente mediante ordem judicial ou requisição legal válida.
Não vendemos seus dados. Não há transferência internacional fora do que é necessário pela operação dos provedores acima.
5. Retenção
- Conta ativa: mantemos seus dados enquanto você usa a plataforma.
- Após cancelamento: dados de empresa e cobranças são mantidos por 5 anos em decorrência de obrigações fiscais e legais.
- Logs de auditoria: mantidos por 2 anos.
- Cookies de sessão: expiram em 30 dias (ou no logout).
- Tokens OAuth e credenciais MP: apagados imediatamente quando a empresa desconecta a integração.
6. Segurança
Medidas técnicas e organizacionais adotadas:
- Senhas armazenadas com bcrypt (custo 12)
- Secrets de configuração (SMTP, MP, webhook secrets) criptografados em repouso com AES-256-GCM
- Comunicação HTTPS/TLS em todas as conexões em produção
- HMAC SHA256 nos webhooks (entrada e saída)
- Proteção contra CSRF, XSS, SQL injection e session fixation
- Rate limit em endpoints sensíveis (login, reset de senha, cadastro)
- 2FA opcional pra usuários administrativos (TOTP)
- Audit log de todas as ações sensíveis
- Headers de segurança do Helmet (CSP, HSTS, X-Frame-Options, etc)
7. Seus direitos como titular dos dados (LGPD art. 18)
Como titular dos dados pessoais, você tem direito a:
- Confirmação da existência de tratamento
- Acesso aos seus dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade dos dados a outro fornecedor (mediante requisição expressa)
- Eliminação dos dados pessoais tratados com seu consentimento, exceto quando há outras bases legais que justifiquem a retenção
- Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados
- Revogação do consentimento
- Oposição ao tratamento realizado com base em legítimo interesse
8. Cookies
Usamos cookies estritamente necessários:
| Cookie | Finalidade | Duração |
|---|---|---|
connect.sid | Sessão autenticada (HttpOnly, Secure, SameSite=Lax) | 30 dias |
Não usamos cookies de terceiros, marketing ou analytics. A plataforma funciona com cookies estritamente necessários — não há banner de consentimento porque não há tratamento opcional.
9. Menores de idade
Esta plataforma é destinada a empresas (pessoas jurídicas) e pessoas físicas com 18 anos ou mais. Não coletamos dados de menores conscientemente. Se você é responsável por um menor que tenha nos enviado dados, entre em contato pra solicitar a remoção.
10. Alterações nesta Política
Podemos atualizar esta Política a qualquer momento. Mudanças relevantes são comunicadas pelo email cadastrado e pela própria plataforma com pelo menos 15 dias de antecedência. A data da última atualização está no topo deste documento.
11. Contato e Encarregado (DPO)
Pra dúvidas, exercício de direitos ou denúncias relacionadas a dados pessoais:
- Email do controlador / DPO: contato@plataforma.com
- Tempo de resposta: até 15 dias úteis
Você também pode reclamar na Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.
Termos de Uso
1. Aceitação
Ao se cadastrar e usar a plataforma, você (pessoa física maior de idade, ou pessoa jurídica representada por quem tenha poderes) concorda com estes Termos e com a Política de Privacidade acima.
2. O serviço
A plataforma é uma camada multi-tenant pra criação de cobranças PIX via Mercado Pago. Não somos uma instituição de pagamento — todas as transações são processadas pelo Mercado Pago, em nome da empresa que conectou sua conta MP via OAuth.
3. Taxa da plataforma
A plataforma cobra uma taxa por transação aprovada, definida no cadastro da empresa ou no padrão global. A taxa pode ser:
- Modo Automático: deduzida automaticamente via
application_feedo MP - Modo Manual: consolidada em fatura mensal e cobrada à parte
O valor e modo são informados na contratação e podem ser alterados com aviso prévio.
4. Obrigações da empresa
- Manter dados cadastrais corretos e atualizados
- Manter sigilo de credenciais (senha, API key, device tokens)
- Não usar a plataforma pra atividades ilegais, fraudulentas ou que violem direitos de terceiros
- Cumprir a legislação aplicável (Banco Central, Receita Federal, LGPD)
- Pagar a taxa da plataforma conforme acordado
5. Limitação de responsabilidade
A plataforma não se responsabiliza por:
- Indisponibilidades do Mercado Pago ou dos bancos pagadores
- Estornos solicitados pelo pagador junto ao MP fora do nosso controle
- Uso indevido de credenciais por terceiros não autorizados pela empresa
- Danos indiretos, lucros cessantes ou perda de oportunidade
6. Suspensão e encerramento
Podemos suspender ou encerrar contas que violem estes Termos, com ou sem aviso prévio dependendo da gravidade. A empresa pode encerrar sua conta a qualquer momento — taxas pendentes continuam devidas.
7. Propriedade intelectual
Software, marca e conteúdos da plataforma são de propriedade do controlador. A empresa retém direitos sobre seus próprios dados, marca e conteúdo (logo, etc).
8. Foro
Eleito o foro do domicílio do controlador da plataforma pra dirimir dúvidas decorrentes destes Termos, sem prejuízo dos direitos do consumidor previstos em lei.
9. Disposições gerais
- A invalidade de qualquer cláusula não afeta as demais
- A tolerância a um descumprimento não significa renúncia ao direito de exigi-lo
- Estes Termos podem ser alterados com aviso prévio de 15 dias por email