Política de Privacidade

SupaSec ("nós" ou "nosso(a)") tem o compromisso de proteger a sua privacidade. Esta Política de Privacidade explica como coletamos, utilizamos, armazenamos e compartilhamos seus dados pessoais quando você utiliza a plataforma SupaSec ("Serviço").

O SupaSec atua como controlador dos dados pessoais tratados por meio do Serviço. Esta política aplica-se a todos os usuários, independentemente de sua localização, com disposições adicionais para usuários na União Europeia / Espaço Econômico Europeu (GDPR) e no Brasil (LGPD).

Coletamos as seguintes categorias de dados:

Informações da Conta

• Nome, endereço de e-mail e número de telefone fornecidos durante o cadastro
• Credenciais de autenticação (gerenciadas via Supabase Auth)
• Plano de assinatura e informações de cobrança (processadas pelo Stripe)

Mensagens e Mídia do WhatsApp

• Mensagens de texto de grupos e conversas diretas acessíveis por meio do seu dispositivo vinculado
• Arquivos de mídia (imagens, áudio, vídeo, documentos) compartilhados nas conversas
• Metadados de mensagens (carimbos de data/hora, identificadores de remetente, identificadores de grupo)

Dados de Conectores OAuth

• Tokens de acesso e de atualização para serviços Google e Microsoft
• Eventos de calendário, metadados de e-mail e referências de arquivos acessados por meio de conectores

Dados de Uso e Análise

• Padrões de uso do painel e interações com funcionalidades
• Registros de erros e métricas de desempenho
• Endereço IP e geolocalização aproximada (nível de país, para detecção de localidade)

Cookies

• locale — Cookie funcional próprio que armazena sua preferência de idioma (1 ano)
• ip-country — Cookie funcional próprio que armazena o código do país detectado para localização e detecção de GDPR (30 dias)

Tratamos seus dados para as seguintes finalidades:

• Prestação do serviço: Processamento de mensagens do WhatsApp para fornecer assistência com inteligência artificial, agendamento e acompanhamento de compromissos
• Construção de memória: Criação de episódios semânticos, entidades e relacionamentos a partir de suas conversas para fornecer assistência contextual
• Execução de habilidades: Execução de habilidades como agendamento de reuniões, análise de imagens e acompanhamento de compromissos em seu nome
• Processamento de IA: Geração de respostas e sugestões de IA utilizando contexto anonimizado enviado a provedores de modelos de linguagem
• Comunicação: Envio de notificações relacionadas à conta, alertas de segurança e atualizações do serviço
• Melhoria do serviço: Análise de padrões de uso para aprimorar funcionalidades e corrigir problemas

Para usuários na UE/EEE, tratamos seus dados pessoais com base nas seguintes bases legais (Artigo 6 do GDPR):

• Execução contratual (Art. 6(1)(b)): Tratamento necessário para a prestação do Serviço ao qual você aderiu, incluindo o tratamento de mensagens, construção de memória e execução de habilidades
• Interesses legítimos (Art. 6(1)(f)): Segurança do serviço, prevenção de fraudes, análise de uso para melhoria do serviço e aplicação de nossos termos. Ponderamos esses interesses em relação aos seus direitos e liberdades
• Consentimento (Art. 6(1)(a)): Quando necessário, como para funcionalidades opcionais, comunicações de marketing ou tratamento de categorias específicas de dados. Você pode revogar o consentimento a qualquer momento

Para usuários no Brasil, tratamos seus dados pessoais com base nas seguintes hipóteses legais (Artigo 7 da LGPD):

• Execução contratual (Art. 7, V): Tratamento necessário para o cumprimento do contrato de prestação de serviços
• Legítimo interesse (Art. 7, IX): Segurança, melhoria e análise do serviço, conduzidos com respeito aos seus direitos fundamentais
• Consentimento (Art. 7, I): Para atividades de tratamento opcionais. O consentimento pode ser revogado a qualquer momento, sem afetar a licitude do tratamento realizado com base no consentimento antes de sua revogação

Ao vincular sua conta do WhatsApp, o SupaSec escuta passivamente todas as conversas acessíveis por meio do dispositivo vinculado. Veja como tratamos suas mensagens:

• Criptografia na ingestão: As mensagens são criptografadas com sua chave pessoal AES-256-GCM imediatamente após o recebimento, antes do armazenamento. O conteúdo das mensagens em texto simples nunca é armazenado no banco de dados
• Isolamento por usuário: Os dados de cada usuário são processados em um sandbox isolado. Suas chaves de criptografia são exclusivas da sua conta
• Anonimização antes do processamento de IA: Antes de qualquer conteúdo de mensagem ser enviado a provedores externos de IA, identificadores pessoais (nomes, números de telefone, localizações) são substituídos por marcadores anônimos. Os resultados são desanonimizados apenas dentro do seu sandbox criptografado
• Sem acesso humano: A equipe do SupaSec não tem acesso ao conteúdo descriptografado de suas mensagens. Todo o processamento é automatizado
• Mensagens de grupo: As mensagens de grupo são armazenadas passivamente apenas para construção de contexto. O SupaSec não responde em grupos, a menos que seja explicitamente invocado

Implementamos uma arquitetura de segurança zero-trust para proteger seus dados:

• Chaves de criptografia por usuário: Cada usuário possui uma chave mestra única derivada via HKDF, com sub-chaves separadas para mensagens, episódios, entidades e tokens OAuth
• Criptografia AES-256-GCM: Todo conteúdo sensível é criptografado com AES-256-GCM, um algoritmo de criptografia autenticada que garante tanto a confidencialidade quanto a integridade dos dados
• Funções de banco de dados com escopo definido: Diferentes serviços acessam apenas as tabelas do banco de dados de que necessitam. Nenhum serviço individual possui acesso total ao banco de dados
• Armazenamento de mídia criptografada: Arquivos de mídia são criptografados com sua chave pessoal antes do armazenamento no Cloudflare R2
• Autenticação serviço-a-serviço: Comunicações internas utilizam tokens assinados com HMAC-SHA256 e validade curta
• Registro de auditoria: Eventos relevantes de segurança (falhas de autenticação, acessos de serviços) são registrados para monitoramento

Utilizamos os seguintes operadores terceirizados para a prestação do Serviço. Todos os operadores estão vinculados a acordos de tratamento de dados:

Os dados enviados aos provedores de IA (OpenAI, Moonshot) são anonimizados antes da transmissão. Esses provedores não recebem dados pessoais identificáveis.

Seus dados podem ser transferidos e processados em países fora do seu país de residência. Quando transferimos dados pessoais da UE/EEE ou do Brasil para terceiros países, utilizamos os seguintes mecanismos:

• Cláusulas Contratuais Padrão (SCCs): Termos contratuais aprovados pela UE que garantem proteção adequada de dados
• Decisões de adequação: Transferências para países reconhecidos pela Comissão Europeia como detentores de nível adequado de proteção de dados
• Medidas suplementares: Salvaguardas técnicas incluindo criptografia em repouso e em trânsito, pseudonimização e controles de acesso

Para usuários registrados na União Europeia ou no Espaço Econômico Europeu, armazenamos os dados primários do banco de dados na região europeia do Supabase para minimizar transferências transfronteiriças de dados. Determinados processamentos (por exemplo, inferência de modelos de IA, cache de CDN) podem ocorrer em outras regiões, mas são protegidos pelas salvaguardas descritas na Seção 9.

• Contas ativas: Seus dados são retidos enquanto sua conta permanecer ativa e forem necessários para a prestação do Serviço
• Após o cancelamento: Após o cancelamento da conta, seus dados são retidos por 30 dias para permitir a recuperação da conta. Após 30 dias, todos os dados pessoais são permanentemente excluídos
• Registros de cobrança: Registros de pagamento e notas fiscais podem ser retidos pelo período exigido pela legislação fiscal e contábil aplicável
• Registros de auditoria de segurança: Retidos por 90 dias, sendo automaticamente eliminados em seguida

Se você está localizado na UE/EEE, você possui os seguintes direitos nos termos dos Artigos 15–22 do GDPR:

• Direito de acesso (Art. 15): Solicitar uma cópia dos dados pessoais que mantemos sobre você
• Direito de retificação (Art. 16): Solicitar a correção de dados pessoais imprecisos ou incompletos
• Direito ao apagamento (Art. 17): Solicitar a exclusão de seus dados pessoais ("direito ao esquecimento")
• Direito à restrição (Art. 18): Solicitar que limitemos o tratamento de seus dados pessoais
• Direito à portabilidade dos dados (Art. 20): Receber seus dados pessoais em formato estruturado, de uso comum e legível por máquina
• Direito de oposição (Art. 21): Opor-se ao tratamento baseado em interesses legítimos
• Direito relativo a decisões automatizadas (Art. 22): Não ser submetido a decisões baseadas exclusivamente em tratamento automatizado que produzam efeitos jurídicos
• Direito de revogar o consentimento: Revogar o consentimento a qualquer momento quando o tratamento for baseado em consentimento
• Direito de apresentar reclamação: Apresentar reclamação junto à sua autoridade supervisora local

Para exercer qualquer um desses direitos, entre em contato com nosso Encarregado de Proteção de Dados (consulte a Seção 16).

Se você está localizado no Brasil, você possui os seguintes direitos nos termos dos Artigos 18–19 da LGPD:

• Confirmação de tratamento (Art. 18, I): Confirmar se realizamos o tratamento de seus dados pessoais
• Acesso (Art. 18, II): Acessar seus dados pessoais mantidos por nós
• Correção (Art. 18, III): Solicitar a correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação (Art. 18, IV): Solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários ou excessivos
• Portabilidade dos dados (Art. 18, V): Solicitar a portabilidade de seus dados a outro prestador de serviços
• Informação sobre compartilhamento (Art. 18, VII): Saber com quais entidades públicas e privadas seus dados foram compartilhados
• Revogação do consentimento (Art. 18, IX): Revogar o consentimento a qualquer momento
• Contato com a ANPD: Apresentar reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD)

Para exercer qualquer um desses direitos, entre em contato com nosso Encarregado de Dados (consulte a Seção 16).

O SupaSec utiliza apenas cookies funcionais próprios. Não utilizamos cookies de publicidade, cookies de análise de terceiros ou pixels de rastreamento.

Como utilizamos apenas cookies estritamente necessários / funcionais, não é necessário exibir banner de consentimento de cookies conforme o GDPR ou a LGPD.

O Serviço não é destinado a menores de 18 anos. Não coletamos intencionalmente dados pessoais de crianças ou adolescentes. Caso tomemos conhecimento de que um menor de 18 anos nos forneceu dados pessoais, tomaremos medidas para excluir esses dados prontamente. Se você acredita que um menor nos forneceu dados pessoais, entre em contato conosco imediatamente.

Nosso Encarregado de Proteção de Dados (DPO) / Encarregado de Dados pode ser contactado em:

• E-mail: Click to reveal email

Responderemos a todas as consultas sobre proteção de dados em até 30 dias após o recebimento. Para solicitações relativas ao GDPR, responderemos em até 1 mês, conforme exigido pelo Artigo 12(3).

Podemos atualizar esta Política de Privacidade periodicamente. Quando realizarmos alterações substanciais, forneceremos aviso prévio de pelo menos 30 dias por e-mail ou por meio de aviso destacado no painel antes que as alterações entrem em vigor.

Recomendamos que você revise esta política periodicamente. O uso continuado do Serviço após a entrada em vigor da política atualizada constitui sua aceitação das alterações.

Se você tiver dúvidas sobre esta Política de Privacidade, entre em contato conosco:

• Dúvidas gerais: hello@supasec.bot
• Dúvidas sobre privacidade: Click to reveal email
• Website: https://supasec.bot