Pular para o conteúdo
Indícia
  • Produto
  • Metodologia
  • Planos
  • LGPD
  • Recursos
Entrar Escanear→
  1. Início /
  2. Privacidade
§ Legal · Indícia

Política de Privacidade

Última atualização 2026-04-20
§ Índice

Esta política descreve como a Indícia (Natan Cardeal Rodrigues, MEI · CNPJ 30.118.700/0001-46 · Camboriú/SC) trata dados pessoais de titulares brasileiros no contexto do Security Radar, em conformidade com a Lei 13.709/18 (LGPD) e resoluções da Autoridade Nacional de Proteção de Dados (ANPD).

Dados coletados

Durante cadastro e uso do Security Radar, coletamos os seguintes dados:

  • Email corporativo · base legal execução de contrato (Art. 7º V LGPD)
  • Nome + email + foto de perfil via Google Sign-In (quando escolhido) · base legal execução pré-contratual (Art. 7º V) · implica transferência internacional aos servidores Google LLC (EUA) sob salvaguardas do Art. 33 II
  • Nome da empresa + CNPJ · cadastro de cliente · Art. 7º V
  • Domínios monitorados · objeto do serviço · Art. 7º V
  • IP + user-agent de login (armazenado apenas como hash SHA-256 via APP_SALT) · segurança e auditoria · Art. 7º IX (legítimo interesse)
  • Hash do consentimento LGPD (SHA-256 do versão aceita + timestamp) · prova auditável · Art. 42 inversão do ônus
  • Segundo fator de autenticação (TOTP) e hash SHA-256 dos códigos de recuperação (8 códigos uso único · códigos em claro nunca persistidos) · Art. 46 medidas técnicas razoáveis
  • Consentimento cookies · Art. 7º I · banner LGPD com opt-in explícito

O que NÃO coletamos

Por design, o Security Radar não persiste PII de terceiros. O scan captura request/response durante descoberta ativa, mas CPF, CNPJ e outros identificadores pessoais são mascarados na origem antes de persistir no banco. Apenas o hash SHA-256 do corpo original fica pra auditoria.

Bases legais

  • Art. 7º V · execução do contrato de prestação do Security Radar
  • Art. 7º IX · legítimo interesse na segurança e prevenção de fraude
  • Art. 7º I · consentimento específico pra cookies não-essenciais
  • Art. 7º II · cumprimento de obrigação legal fiscal (notas)

Operadores e subprocessadores

Compartilhamos dados mínimos com os seguintes operadores, todos sob contrato com cláusulas de proteção de dados (DPA) e cláusulas contratuais padrão (SCCs):

  • Google Cloud Platform · Firebase Auth + Firestore + Functions + Hosting · infraestrutura principal · dados em repouso na região southamerica-east1 (São Paulo, BR) · DPA padrão Google Cloud
  • Google LLC · autenticação federada (Sign-In with Google) · OPCIONAL · ativado apenas se o titular escolher "Continuar com Google" no cadastro ou login · implica envio do email, nome e foto de perfil pra servidores Google LLC nos Estados Unidos · operador distinto de Google Cloud infra (acima)
  • Resend · envio de emails transacionais (welcome · verificação de domínio · resposta DPO) · servidores nos EUA · SCCs padrão
  • Cloudflare Turnstile · verificação anti-bot em formulários públicos · servidores globais · sem PII persistida além do token temporário
  • ClickUp · gestão interna de tarefas/leads · servidores nos EUA · SCCs padrão (apenas leads já convertidos · nunca dados de titulares Art. 18)

Não compartilhamos dados pra fins de marketing com terceiros. Cookies de terceiros são listados em Política de Cookies.

Transferências internacionais

Alguns operadores processam dados fora do Brasil. Todas transferências estão cobertas por salvaguardas do Art. 33 II LGPD (cláusulas contratuais padrão · SCCs):

  • Google LLC (EUA) · se você usar Sign-In with Google · dados transferidos: email, nome, foto de perfil, identificador único Google · finalidade: autenticação federada · base legal: Art. 7º V (execução pré-contratual) · salvaguarda: SCCs Google Cloud Framework + certificação Data Privacy Framework EU-US
  • Resend (EUA) · emails transacionais · dados transferidos: email destinatário + conteúdo do email · finalidade: entrega · salvaguarda: SCCs + DPA
  • Cloudflare (global · EUA) · Turnstile anti-bot + rede de entrega · dados transferidos: IP + headers HTTP temporários (não persistidos após verificação) · finalidade: segurança · salvaguarda: SCCs + certificação
  • Stripe Inc. (EUA · operador internacional) · processamento de pagamentos das assinaturas Indício/Radar/Perímetro · dados transferidos: email do titular · nome empresarial · endereço de cobrança · número de cartão (tokenizado pela Stripe · Indícia nunca recebe PAN raw) · identificador interno hash (uidHash via SHA-256+APP_SALT · NÃO é o uid Firebase) · finalidade: execução de contrato Art. 7º V · salvaguarda: SCCs UE + DPA Stripe + cláusulas padrão CCP conforme Resolução CD/ANPD nº 19/2024 (item de adequação em curso · sandbox-only enquanto pendente)

Cookies setados pelo domínio stripe.com durante checkout (__stripe_mid, __stripe_sid) são essenciais pro fluxo de pagamento e seguem a política de cookies do operador. Mais detalhes em stripe.com/cookie-settings.

Dados do Firestore (workspaces, users, leads, dpo_requests) permanecem na região southamerica-east1 (Brasil). Apenas tokens de autenticação via provedores federados e emails transacionais saem do país.

Direitos do titular

Conforme Art. 18 LGPD, o titular pode requisitar:

  1. Confirmação de existência de tratamento
  2. Acesso aos dados
  3. Correção de dados incompletos, inexatos ou desatualizados
  4. Anonimização, bloqueio ou eliminação de dados desnecessários
  5. Portabilidade dos dados
  6. Eliminação dos dados tratados com consentimento
  7. Informação sobre compartilhamento
  8. Informação sobre a possibilidade de não consentir
  9. Revogação do consentimento

Requisições devem ser enviadas pra encarregado@indicia.com.br com SLA de 15 dias conforme Art. 19. Toda requisição gera trilha auditável hash-assinada.

Retenção

  • Conta ativa · dados mantidos enquanto houver contrato ativo
  • Pós-cancelamento · soft-delete com role: 'eliminado' por 30 dias (permite recuperação) · hard-delete pós-30d
  • Workspaces com plano pago pendente (subscriptionStatus: pending_payment) sem conversão em 180 dias · soft-delete automático via scheduler diário
  • Leads de intake · 18 meses (Art. 16 LGPD · finalidade pré-contratual) + 6 meses soft-delete
  • Obrigação legal fiscal · notas fiscais retidas por 5 anos (CTN Art. 173)
  • Logs de auditoria (audit_log) · 5 anos (Art. 37 LGPD · preservados mesmo após eliminação da conta pra fins de prestação de contas)
  • Eventos de autenticação (login · logout · tentativas falhas) · 5 anos via audit_log · finalidade de segurança e prestação de contas (Art. 37). Ao solicitar eliminação de conta (Art. 18 IV), suas sessões ativas são encerradas imediatamente em todos os dispositivos via revogação de refresh tokens.

Autenticação e segurança

Acesso ao painel de administração utiliza Firebase Authentication com dois métodos possíveis:

  • Email + senha · senha mínimo 10 caracteres · hash bcrypt gerido pelo Firebase · nunca armazenada em claro
  • Sign-In with Google (opcional) · autenticação federada via OAuth 2.0 · dados mínimos (email, profile) · ver "Transferências internacionais" acima

Usuários com papel admin (equipe Indícia) são obrigados a configurar autenticação multifator (MFA) TOTP via app authenticator no primeiro login, conforme Art. 46 LGPD (medidas técnicas razoáveis). 8 códigos de recuperação de uso único são gerados e armazenados apenas como hash SHA-256 com APP_SALT no Firestore · os códigos em claro são exibidos uma única vez e nunca podem ser recuperados pela Indícia. Perda do dispositivo TOTP implica fluxo de reset via email com janela de 72h pra evitar sequestro de conta.

Armazenamento local (sessão)

Seu navegador armazena localmente:

  • IndexedDB · Firebase Auth · token JWT criptografado pra manter sessão ativa · persiste enquanto você não fizer logout
  • localStorage · indicia-user-session · JSON com uid, email, role e exp · usado pra gate de UI no painel admin · não contém dados sensíveis adicionais
  • sessionStorage · temporário · usado apenas durante fluxo de redirect OAuth em mobile

Zero cookies próprios · apenas os cookies de terceiros necessários pro Google OAuth (transientes durante o fluxo · listados em Cookies).

Incidentes de segurança

Incidentes envolvendo dados pessoais serão comunicados à ANPD em até 3 dias úteis conforme Res. CD/ANPD 15/2024, com relatório complementar em até 20 dias. Titulares impactados recebem notificação direta por email com descrição do incidente, medidas adotadas e recomendações.

Encarregado (DPO)

Email: encarregado@indicia.com.br
Endereço: Natan Cardeal Rodrigues · Camboriú/SC · Brasil
SLA: 15 dias pra requisições Art. 18 · 3 dias úteis pra incidentes

Esta política substitui todas as versões anteriores. Alterações materiais serão comunicadas por email com 30 dias de antecedência. Versão atual em vigor desde 20 de abril de 2026 · Fase 14 (autenticação federada Google + MFA obrigatório admin).

Indícia

Radar forense do seu perímetro. Indexado, datado, assinado SHA-256.

Radar ao vivo · desde 18 out 2025

Produto

  • Radar
  • Metodologia
  • Planos
  • Criar conta grátis

Segurança

  • OWASP Top 10:2025
  • CVSS v3.1
  • Mobile Top 10
  • ISO 27001 × NIST

LGPD

  • Guia LGPD
  • DPO · Art. 41
  • Multas · dosimetria
  • Direitos · Art. 18

Setores

  • SaaS B2B
  • E-commerce

Empresa

  • Sobre
  • Contato
  • Glossário
  • FAQ

Legal

  • Política de privacidade
  • Termos de uso
  • Cookies
  • Gerenciar cookies
  • Exercer direitos · Art. 18

A Indícia não atua como entidade certificadora. Os relatórios técnicos do Security Radar são insumos auditáveis para processos de certificação ISO 27001, SOC 2 ou equivalentes — conduzidos por auditores credenciados. Infraestrutura em southamerica-east1 (São Paulo).

Indícia · Natan Cardeal Rodrigues (MEI) · CNPJ 30.118.700/0001-46 · Camboriú/SC · Brasil
© 2026 Indícia · Privacidade · Termos
Indícia
  • 01 Produto →
  • 02 Metodologia →
  • 03 Planos →
  • 04 LGPD →
  • 05 Recursos →
Radar ao vivo · desde 18 out 2025
Entrar Escanear grátis→