Política de Privacidade

1. Introdução

A Privacy Vault LLC ("nós", "nosso") respeita a privacidade dos Merchants e dos Titulares de dados. Esta Política de Privacidade descreve como coletamos, utilizamos e protegemos informações, em conformidade com a LGPD (Lei nº 13.709/2018), o CAN-SPAM Act, e o GDPR quando aplicável.

🔐 Compromisso Zero-Knowledge: A Privacy Vault foi projetada desde o início para que NENHUM dado pessoal dos Titulares seja armazenado em texto plano. Todos os dados são hashados com SHA-256 antes do armazenamento. Esta arquitetura é protegida pela Patente BR 10 2025 022120 9.

2. Dados que Coletamos

2.1. Dados do Merchant (durante cadastro)

Dado	Finalidade	Base Legal (LGPD)
CNPJ / EIN	Identificação da empresa	Execução de contrato (Art. 7º, V)
Razão social	Identificação da empresa	Execução de contrato
Endereço comercial	Localização e compliance fiscal	Obrigação legal (Art. 7º, II)
Nome do responsável	Contato e responsabilização	Execução de contrato
Email do responsável	Comunicação e autenticação	Execução de contrato
Telefone do responsável	Contato de emergência	Execução de contrato
Website	Verificação de legitimidade	Legítimo interesse (Art. 7º, IX)

2.2. Dados dos Titulares (processados pelo Merchant)

IMPORTANTE: A Privacy Vault NÃO armazena dados dos Titulares em texto plano. O que armazenamos:

Dado Original	O que Armazenamos	Reversível?
[email protected]	a1b2c3d4...f9e8 (hash SHA-256)	❌ NÃO
João da Silva	Hash ou criptografado no DB do Merchant	Apenas pelo Merchant
(11) 99999-9999	Hash SHA-256	❌ NÃO

2.3. Dados Técnicos (coletados automaticamente)

Endereço IP (para segurança e geo-restriction)
User-Agent do navegador (para compatibilidade)
Timestamps de acesso (para auditoria)
Métricas de envio: aberturas, cliques, bounces (anonimizados)

3. Como Utilizamos os Dados

Finalidade	Base Legal
Operar a plataforma e prestar serviços	Execução de contrato
Autenticação e controle de acesso	Execução de contrato
Cálculo do PVS (Privacy Vault Score)	Legítimo interesse
Prevenção de fraudes e abuso	Legítimo interesse
Compliance regulatório (LGPD, ANPD, CAN-SPAM)	Obrigação legal
Faturamento e cobrança	Execução de contrato
Comunicações sobre o serviço	Execução de contrato

4. Compartilhamento de Dados

A Privacy Vault compartilha dados apenas com:

Parceiro	Finalidade	Dados Compartilhados
Cloudflare	Infraestrutura (Workers, D1, KV)	Dados hashados (zero-knowledge)
Amazon AWS (SES)	Envio de emails	Endereço de email do destinatário*
Twilio	Envio de SMS	Número de telefone*
Meta (WhatsApp Business)	Envio de WhatsApp	Número de telefone*

* Para envio de comunicações, o dado precisa ser temporariamente decodificado pelo Worker do Merchant (em memória, nunca persistido). O processo é documentado na patente.

Nunca vendemos, alugamos ou compartilhamos dados para publicidade de terceiros.

5. Segurança dos Dados

Implementamos múltiplas camadas de segurança:

Criptografia em trânsito: TLS 1.3 em todas as comunicações
Hash SHA-256: Dados pessoais hashados antes do armazenamento
Isolamento por Merchant: 9 bancos de dados exclusivos por cliente
Chave HMAC única: Cada Merchant tem chave criptográfica própria
Autenticação OAuth: Google, Microsoft, LinkedIn (sem senhas fracas)
2FA TOTP: Autenticação de dois fatores para acesso administrativo
Turnstile: Proteção anti-bot da Cloudflare
Geo-restriction: Acesso administrativo restrito geograficamente
IP restriction: Lista de IPs permitidos para Super Admin

6. Direitos dos Titulares (LGPD Art. 18)

Os Titulares de dados podem exercer os seguintes direitos:

Confirmação e acesso: Saber se seus dados são tratados e acessá-los
Correção: Solicitar correção de dados incompletos ou desatualizados
Anonimização ou bloqueio: De dados desnecessários ou excessivos
Eliminação: Solicitar exclusão de dados tratados com consentimento
Portabilidade: Receber dados em formato estruturado
Revogação do consentimento: A qualquer momento, sem prejuízo
Oposição: Ao tratamento baseado em legítimo interesse

Nota sobre Zero-Knowledge: Como os dados são hashados com SHA-256 (função unidirecional), a Privacy Vault não pode reverter os hashes para recuperar dados originais. Os direitos de acesso e portabilidade devem ser exercidos diretamente com o Merchant, que detém as chaves de seus dados.

7. Retenção de Dados

Tipo de Dado	Período de Retenção
Dados do Merchant (cadastro)	Duração do contrato + 5 anos (obrigação fiscal)
Hashes dos Titulares	Duração do contrato do Merchant
Logs de auditoria	5 anos (compliance)
Métricas de envio	2 anos (analytics)
Dados de billing	5 anos (obrigação fiscal)

Após o cancelamento da conta do Merchant, os dados são retidos por 90 dias para eventual recuperação, e então destruídos permanentemente (exclusão dos bancos D1).

8. Cookies e Tecnologias

A Privacy Vault utiliza:

Cookies de sessão: Para manter autenticação (JWT)
Cloudflare Turnstile: Para proteção anti-bot (sem cookies de rastreamento)
localStorage: Para preferências de interface

Não utilizamos cookies de publicidade, remarketing ou rastreamento de terceiros.

9. Transferência Internacional

Os dados são processados na rede global da Cloudflare, com preferência para servidores nos EUA (Eastern North America). Para merchants brasileiros, a transferência é amparada pelo Art. 33 da LGPD, considerando que os EUA possuem mecanismos de proteção adequados e que a arquitetura zero-knowledge minimiza o risco ao titular.

10. Encarregado de Dados (DPO)

Para exercer seus direitos ou esclarecer dúvidas sobre esta Política:

Encarregado: Otoniel Avila Pinho
Email: [email protected]
Website: https://privacyvault.store/privacy

11. Alterações nesta Política

Alterações serão comunicadas com 30 dias de antecedência. O histórico de versões será mantido e disponibilizado publicamente.

🔒 Política de Privacidade