Política de Privacidade

1. Introdução

A Garantify tem o compromisso de proteger a privacidade e os dados pessoais de seus usuários, clientes e parceiros. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais tratados por meio da plataforma Garantify Enterprise.

Esta Política foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — LGPD), o Marco Civil da Internet (Lei 12.965/2014), o Código de Defesa do Consumidor (Lei 8.078/1990) e demais legislações aplicáveis.

Ao utilizar a Plataforma, o usuário declara ter lido, compreendido e aceito os termos desta Política de Privacidade.

2. Controlador

O controlador dos dados pessoais tratados diretamente pela Plataforma é:

Nota importante: No que diz respeito aos dados dos consumidores finais inseridos pelo Contratante via API (dados de clientes que recebem certificados de garantia), o Contratante é o Controlador e a Garantify atua como Operadora, processando os dados conforme as instruções do Contratante e exclusivamente para a prestação dos serviços.

3. Dados Coletados

3.1. Dados Cadastrais do Contratante

Coletados no momento do registro na Plataforma:

• Nome completo do responsável;
• Nome da empresa;
• Endereço de e-mail corporativo;
• Número de telefone;
• Senha (armazenada em formato hash com BCrypt).

3.2. Dados de Uso

Coletados automaticamente durante o uso da Plataforma:

• Registros de acesso (logs), incluindo data, hora e endereço IP;
• Chamadas à API (endpoints acessados, métodos HTTP, timestamps);
• Dados de navegação no painel administrativo;
• Informações do dispositivo e navegador (User-Agent).

3.3. Dados de Pagamento

Processados exclusivamente pela plataforma Stripe:

• Dados do cartão de crédito (número, validade, CVV) — processados e armazenados exclusivamente pelo Stripe, em conformidade com PCI-DSS;
• Histórico de faturas e cobranças;
• A Garantify não armazena dados de cartão de crédito em seus servidores.

3.4. Dados de Consumidores (processados como Operadora)

Inseridos pelo Contratante via API para emissão de certificados de garantia:

• Nome do consumidor;
• Endereço de e-mail do consumidor;
• Número de telefone do consumidor;
• Documento de identificação (quando fornecido pelo Contratante).

4. Base Legal

O tratamento de dados pessoais pela Garantify fundamenta-se nas seguintes bases legais da LGPD:

• Execução de contrato (Art. 7, V): O tratamento de dados cadastrais e de uso é necessário para a execução do contrato de prestação de serviços firmado com o Contratante por meio dos Termos de Serviço.
• Legítimo interesse (Art. 7, IX): O tratamento de dados para fins de segurança da Plataforma, prevenção de fraudes, melhoria dos serviços e análises internas de uso, sempre respeitando os direitos e liberdades fundamentais do titular.
• Cumprimento de obrigação legal (Art. 7, II): A retenção de registros de acesso pelo prazo legal previsto no Marco Civil da Internet.
• Consentimento (Art. 7, I): Quando aplicável, para finalidades específicas não cobertas pelas demais bases legais, como comunicações de marketing.

5. Finalidades

Os dados pessoais são tratados para as seguintes finalidades:

• Prestação do serviço: Criação de conta, autenticação, emissão de certificados digitais de garantia, gestão de marcas, produtos, clientes e reclamações;
• Cobrança e faturamento: Processamento de pagamentos, emissão de faturas, gestão de assinaturas e controle de uso;
• Suporte técnico: Atendimento de solicitações, resolução de problemas e comunicações operacionais;
• Segurança: Prevenção de fraudes, detecção de acessos não autorizados, proteção contra ataques e análise de logs;
• Melhoria dos serviços: Análise de uso da API, identificação de padrões, otimização de performance e desenvolvimento de novas funcionalidades;
• Comunicações transacionais: Envio de e-mails relacionados ao serviço (verificação de e-mail, códigos OTP, notificações de webhooks, alertas de uso);
• Cumprimento de obrigações legais: Manutenção de registros para atendimento de requisitos legais e regulatórios.

6. Compartilhamento de Dados

A Garantify compartilha dados pessoais apenas com os seguintes terceiros, estritamente necessários para a prestação dos serviços:

A Garantify não vende, aluga ou comercializa dados pessoais a terceiros para fins de marketing, publicidade ou qualquer outra finalidade.

Dados pessoais poderão ser compartilhados com autoridades públicas mediante ordem judicial ou determinação legal.

7. Transferência Internacional de Dados

7.1. Os dados pessoais são processados e armazenados em servidores da Amazon Web Services (AWS) localizados na região us-east-1 (Virgínia do Norte, Estados Unidos da América).

7.2. A transferência internacional de dados é realizada em conformidade com o Art. 33 da LGPD, com fundamento em:

• Cláusulas contratuais padrão firmadas com os subprocessadores;
• Garantia de que os países ou organismos internacionais destinatários proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;
• Execução do contrato de prestação de serviços, quando a transferência for necessária para tal finalidade.

7.3. Os dados processados pelo Stripe estão sujeitos à política de privacidade e aos termos de uso do Stripe, que opera em conformidade com padrões internacionais de proteção de dados (GDPR, PCI-DSS).

8. Retenção de Dados

8.1. Os dados pessoais são retidos pelo período necessário para as finalidades para as quais foram coletados, conforme detalhado abaixo:

8.2. Após o término do período de retenção, os dados serão anonimizados ou excluídos de forma segura e irreversível, salvo quando a retenção for necessária para cumprimento de obrigação legal ou regulatória.

9. Segurança

A Garantify adota medidas técnicas e organizacionais para proteger os dados pessoais, incluindo, sem limitação:

• Criptografia em trânsito: Todas as comunicações com a API e o painel são realizadas via HTTPS/TLS;
• Criptografia em repouso: Os dados armazenados no DynamoDB são criptografados com chaves gerenciadas pela AWS (AES-256);
• Autenticação segura: Senhas armazenadas com hash BCrypt, autenticação JWT com tokens de curta duração (15 minutos) e refresh tokens;
• API Keys com hash: As API Keys são armazenadas apenas em formato hash, de modo que não podem ser recuperadas após a criação;
• Códigos OTP: Armazenados com hash BCrypt, com expiração de 5 minutos e limite de 5 tentativas;
• Backups: Backups automáticos do banco de dados com retenção configurável;
• Webhooks assinados: Cada notificação webhook é assinada com HMAC-SHA256, permitindo ao Contratante validar a autenticidade;
• Controle de acesso: Modelo multi-tenant com isolamento de dados por organização, gerenciado por middleware de autenticação;
• Rate limiting: Proteção contra abuso com limites de requisições por segundo conforme o plano contratado;
• Auditoria: Registro de eventos no EventStore para rastreabilidade de todas as ações na Plataforma.

Nenhum sistema é 100% seguro. A Garantify se compromete a empregar os melhores esforços e práticas da indústria para proteger os dados, mas não pode garantir segurança absoluta contra todas as ameaças possíveis.

10. Direitos do Titular

Em conformidade com os artigos 17 a 22 da LGPD, o titular dos dados pessoais tem direito a:

• Confirmação: Confirmar a existência de tratamento de dados pessoais;
• Acesso: Acessar seus dados pessoais tratados pela Garantify;
• Correção: Solicitar a correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação: Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade: Solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa;
• Eliminação: Solicitar a eliminação dos dados pessoais tratados com base no consentimento;
• Informação: Ser informado sobre as entidades públicas e privadas com as quais os dados foram compartilhados;
• Revogação do consentimento: Revogar o consentimento a qualquer momento, quando o tratamento for baseado nesta base legal;
• Oposição: Opor-se ao tratamento realizado em desconformidade com a LGPD;
• Revisão de decisões automatizadas: Solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados.

As solicitações de exercício de direitos devem ser encaminhadas ao e-mail dpo@garantify.com.br e serão respondidas no prazo de até 15 (quinze) dias, conforme previsto na LGPD.

Para consumidores finais: Se você é um consumidor que recebeu um certificado de garantia digital e deseja exercer seus direitos sobre seus dados pessoais, entre em contato diretamente com a empresa que emitiu o certificado (Controladora dos seus dados). A Garantify, como Operadora, processará as solicitações conforme instruções do Controlador.

11. Cookies

11.1. A Plataforma utiliza apenas cookies essenciais estritamente necessários para o funcionamento do serviço:

• Token de sessão JWT: Armazenado em localStorage para manter a autenticação do usuário durante a sessão. Expira em 15 minutos (access token) com renovação automática via refresh token (30 dias).

11.2. A Plataforma não utiliza cookies de rastreamento, analytics de terceiros, pixels de rastreamento, fingerprinting ou qualquer outro mecanismo de rastreamento comportamental.

11.3. Nenhum dado é compartilhado com plataformas de publicidade ou redes de anúncios.

12. Alterações nesta Política

12.1. A Garantify reserva-se o direito de atualizar esta Política de Privacidade a qualquer tempo, para refletir mudanças em nossas práticas de tratamento de dados ou alterações na legislação aplicável.

12.2. Alterações relevantes serão comunicadas ao Contratante por e-mail com antecedência mínima de 30 (trinta) dias antes de sua entrada em vigor.

12.3. A versão atualizada estará sempre disponível em garantify.com.br/privacidade, com indicação da data da última atualização e do número da versão.

13. Contato e Encarregado de Proteção de Dados (DPO)

Para dúvidas, solicitações ou reclamações relacionadas à privacidade e ao tratamento de dados pessoais, entre em contato com o Encarregado de Proteção de Dados (DPO):

Caso o titular entenda que o tratamento de seus dados pessoais viola a LGPD, poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.