Política de Privacidade
Como a Credituz coleta, usa, armazena, compartilha e protege seus dados pessoais, em conformidade com a LGPD.
Índice
- 1. Quem somos
- 2. Dados que coletamos
- 3. Logs de Auditoria e Monitoramento
- 4. Finalidades e bases legais
- 5. Compartilhamento de dados
- 6. Transferência internacional
- 7. Retenção e exclusão
- 8. Seus direitos como titular
- 9. Cookies e rastreamento
- 10. Segurança da informação
- 11. Menores de idade
- 12. Alterações nesta política
- 13. Contato e DPO
01 Quem somos
A Credituz Tecnologia Ltda., inscrita no CNPJ sob o nº 51.934.531/0001-92, com sede em Av. Rebouças, 1585, Pinheiros, São Paulo/SP, CEP 05401-200 ("Credituz", "nós" ou "nosso"), é a controladora dos dados pessoais coletados por meio da plataforma Credituz e dos serviços a ela associados.
Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, LGPD) e demais normas aplicáveis.
02 Dados que coletamos
Coletamos dados pessoais nas seguintes categorias:
- Dados de identificação: nome completo, CPF/CNPJ, data de nascimento, e-mail, telefone.
- Dados de acesso e logs: endereço IP, tipo de dispositivo, navegador, sistema operacional, logs de acesso, fingerprint de navegador e cookies. Ver Seção 3 para detalhes completos.
- Dados de uso da plataforma: interações com módulos, leads cadastrados, simulações realizadas, relatórios gerados, ações de criação/edição/exclusão.
- Dados financeiros: informações necessárias para simulação de crédito e análise de perfil, como renda declarada e histórico de crédito (obtidos de fontes autorizadas).
- Dados de terceiros (leads): dados de clientes finais inseridos por usuários da plataforma, tratados sob responsabilidade compartilhada.
- Dados de pagamento: processados por parceiros certificados (Stripe, Asaas). A Credituz não armazena dados de cartão de crédito.
- Dados de aceite: registro do aceite dos Termos de Uso com IP, data, hora e versão dos Termos aceita.
03 Logs de Auditoria e Monitoramento de Uso
A Credituz mantém um sistema abrangente de logs de auditoria para garantir a segurança da plataforma, detectar uso indevido, prevenir fraudes e proteger os direitos da Credituz e de seus usuários. Esta coleta é realizada com base no legítimo interesse (art. 7º, IX da LGPD) e na execução do contrato (art. 7º, V da LGPD). Dados coletados automaticamente em cada sessão:
| Dado coletado | Finalidade |
|---|---|
| Endereço IP de origem | Identificação de acesso não autorizado, geolocalização de risco |
| Data e hora de cada requisição | Auditoria de acesso, detecção de padrões anômalos |
| Identificador de sessão (JWT) | Rastreamento de sessão individual, detecção de compartilhamento de credenciais |
| Fingerprint de navegador/dispositivo | Detecção de múltiplas contas, uso compartilhado, clonagem de sessão |
| Ações realizadas (CRUD) | Auditoria completa: o que foi criado, editado ou excluído, por quem e quando |
| Chamadas de API com parâmetros | Detecção de scraping, automação não autorizada, uso além do plano |
| Tentativas de acesso negadas | Detecção de tentativas de escalada de privilégios |
| Padrões de uso (frequência, volume) | Detecção de uso compartilhado de conta, revenda não autorizada |
| Registro de aceite dos Termos | Prova de aceite eletrônico com validade jurídica |
| Dados de checkout e pagamento (IDs) | Rastreamento de assinaturas e conformidade de plano |
Retenção de logs: os logs de auditoria são retidos por no mínimo 12 meses e podem ser mantidos por até 5 anos para fins de defesa em processos judiciais ou administrativos, conforme o art. 15 do Marco Civil da Internet (Lei nº 12.965/2014).
Uso como prova: os registros de logs constituem prova eletrônica e podem ser utilizados em disputas judiciais ou extrajudiciais para demonstrar: (i) violações dos Termos de Uso; (ii) revenda não autorizada; (iii) uso compartilhado de credenciais; (iv) scraping ou automação indevida; (v) qualquer outra conduta proibida.
Acesso aos logs: os logs são acessíveis apenas por equipe técnica autorizada da Credituz, mediante autenticação multifator, e são protegidos contra adulteração por controles de integridade criptográfica.
O Usuário tem ciência e consente com esta coleta ao aceitar os Termos de Uso. O direito de acesso do titular aos seus próprios logs pode ser exercido conforme a Seção 8 desta Política.
04 Finalidades e bases legais
Tratamos seus dados com base nas seguintes hipóteses legais previstas na LGPD:
| Finalidade | Base legal (LGPD) |
|---|---|
| Prestação dos serviços contratados | Execução de contrato (art. 7º, V) |
| Análise e simulação de crédito | Execução de contrato / Legítimo interesse (art. 7º, V e IX) |
| Comunicações sobre a conta e atualizações | Execução de contrato (art. 7º, V) |
| Envio de comunicações de marketing | Consentimento (art. 7º, I) |
| Prevenção a fraudes, segurança e auditoria de uso | Legítimo interesse / Obrigação legal (art. 7º, II e IX) |
| Detecção de violações dos Termos de Uso | Legítimo interesse (art. 7º, IX) |
| Cumprimento de obrigações regulatórias (BACEN, Receita Federal) | Obrigação legal (art. 7º, II) |
| Melhoria dos produtos e modelos de IA (dados anonimizados) | Legítimo interesse (art. 7º, IX) |
| Exercício regular de direitos em processos | Exercício regular de direitos (art. 7º, VI) |
| Registro de aceite eletrônico dos Termos | Execução de contrato / Legítimo interesse (art. 7º, V e IX) |
05 Compartilhamento de dados
Podemos compartilhar seus dados com:
- Parceiros bancários e financeiros: Itaú, Bradesco, Santander, Banco do Brasil, Sicoob, Sicredi e Inter, para fins de simulação e análise de crédito, nos termos da Resolução BACEN nº 4.935/2021.
- Provedores de infraestrutura: AWS (armazenamento e computação), OpenAI (processamento de linguagem natural), Twilio (comunicações), Stripe e Asaas (pagamentos).
- Autoridades públicas: quando exigido por lei, ordem judicial ou regulação aplicável, incluindo fornecimento de logs de auditoria mediante ordem judicial.
- Parceiros de negócio: somente com seu consentimento expresso ou quando necessário para a prestação do serviço contratado.
A Credituz não vende dados pessoais a terceiros.
06 Transferência internacional de dados
Alguns de nossos provedores de serviços estão localizados fora do Brasil (ex.: AWS nos EUA, OpenAI nos EUA). Nestes casos, adotamos salvaguardas adequadas, incluindo cláusulas contratuais padrão e certificações de conformidade, conforme exigido pelo art. 33 da LGPD.
07 Retenção e exclusão de dados
Mantemos seus dados pelo tempo necessário para as finalidades descritas nesta política ou conforme exigido por lei:
- Dados de conta ativa: durante toda a vigência do contrato.
- Logs de auditoria e segurança: mínimo de 12 meses; até 5 anos para fins de defesa em processos judiciais (Marco Civil da Internet, art. 15).
- Dados fiscais e contábeis: 5 anos, conforme legislação tributária.
- Dados de operações de crédito: conforme exigência do BACEN (mínimo 5 anos).
- Contas gratuitas inativas: dados podem ser excluídos após 180 dias de inatividade, precedidos de notificação por e-mail.
Após os prazos de retenção, os dados são excluídos ou anonimizados de forma segura.
08 Seus direitos como titular
Nos termos da LGPD (art. 18), você tem os seguintes direitos:
- Confirmação da existência de tratamento;
- Acesso aos dados, incluindo acesso ao seu próprio histórico de logs;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
- Portabilidade dos dados a outro fornecedor;
- Eliminação dos dados tratados com consentimento;
- Informação sobre compartilhamento com terceiros;
- Revogação do consentimento;
- Oposição ao tratamento com base em legítimo interesse.
Para exercer seus direitos, entre em contato com nosso DPO pelo e-mail [email protected] ou acesse nossa página do DPO.
Importante: o direito de eliminação de dados não se aplica a logs de auditoria mantidos com base em legítimo interesse para fins de segurança e defesa em processos, conforme art. 16, II da LGPD.
09 Cookies e tecnologias de rastreamento
Utilizamos cookies e tecnologias similares para garantir o funcionamento da plataforma, analisar o uso e melhorar continuamente a experiência:
| Tecnologia | Categoria / Finalidade / Retenção |
|---|---|
| Sessão / JWT | Essencial. Autenticação e manutenção da sessão do usuário na plataforma. Retenção: duração da sessão. |
| Log de auditoria (servidor) | Segurança. Registro de ações para detecção de uso indevido e defesa legal. Retenção: 12 meses a 5 anos. |
| Microsoft Clarity | Analítico. Gravação de sessões (heatmaps e replays) para identificar problemas de usabilidade. Dados anonimizados. Retenção: 13 meses. |
| Umami Analytics | Analítico. Métricas de tráfego e comportamento de página. Sem cookies de terceiros. Retenção: sem expiração (dados agregados). |
| Stripe | Funcional. Processamento seguro de pagamentos. Retenção: sessão / 1 ano. |
Ao aceitar cookies no banner de consentimento, você autoriza o uso das tecnologias analíticas listadas acima. Cookies essenciais e de segurança são sempre ativos pois são necessários para o funcionamento e proteção da plataforma. Você pode revogar o consentimento analítico a qualquer momento nas configurações do seu navegador.
10 Segurança da informação
Adotamos medidas técnicas e organizacionais para proteger seus dados contra acesso não autorizado, perda, destruição ou divulgação:
- Criptografia em trânsito (TLS 1.3) e em repouso (AES-256);
- Controle de acesso baseado em funções (RBAC);
- Logs de auditoria com integridade criptográfica (imutáveis);
- Monitoramento contínuo de segurança e alertas de anomalia;
- Infraestrutura AWS com certificação ISO 27001 e SOC 2;
- Testes regulares de vulnerabilidade e penetração.
Em caso de incidente de segurança que possa afetar seus dados, notificaremos a ANPD e os titulares afetados nos prazos legais.
11 Menores de idade
A plataforma Credituz é destinada exclusivamente a pessoas jurídicas e profissionais do mercado imobiliário. Não coletamos intencionalmente dados de menores de 18 anos. Caso identifiquemos tal situação, os dados serão imediatamente excluídos.
12 Alterações nesta política
Podemos atualizar esta Política de Privacidade periodicamente. Alterações materiais serão comunicadas por e-mail ou por aviso na plataforma com antecedência mínima de 15 dias. O uso continuado dos serviços após a vigência das alterações implica aceitação da nova versão.
13 Contato e DPO
Para dúvidas, solicitações ou exercício de direitos relacionados à privacidade:
- E-mail geral de privacidade: [email protected]
- Encarregado de Proteção de Dados (DPO): [email protected]
- Endereço: Av. Rebouças, 1585, Pinheiros, São Paulo/SP, CEP 05401-200
Acesse a página do DPO para informações detalhadas sobre o encarregado e os canais de atendimento.