Política de Privacidade
Última atualização: 21 de maio de 2026 · Versão 1.0 · Em conformidade com LGPD (Lei 13.709/2018)
Resumo executivo: Você é o controlador dos seus dados. Nós (Storm Nexus) somos operadores. Não vendemos seus dados, não treinamos modelos de terceiros com eles, e você pode pedir exclusão a qualquer momento.
1. Controlador vs Operador
Para fins da LGPD:
- Você (empresa cliente): Controlador dos dados de auditoria, scans e findings
- Storm Nexus: Operador — processa dados conforme suas instruções contratuais
2. Quais dados coletamos
Dados de conta:
- Nome completo, e-mail corporativo, telefone (opcional)
- CNPJ ou CPF, razão social da empresa
- Endereço IP de acesso, user-agent (auditoria de segurança)
- Logs de login (timestamp, IP, sucesso/falha)
Dados de uso:
- Alvos cadastrados, scans executados, findings gerados
- Configurações da conta, preferências
- Histórico de cobrança (sem dados completos de cartão)
3. Base legal (LGPD Art. 7º)
- Execução de contrato (incs. V) — para operar a plataforma
- Cumprimento de obrigação legal (inc. II) — para nota fiscal e fiscalização
- Legítimo interesse (inc. IX) — para segurança da plataforma e prevenção a fraude
- Consentimento (inc. I) — para comunicações de marketing (opt-out a qualquer momento)
4. Como protegemos
- Criptografia em repouso: AES-256 no banco de dados
- Criptografia em trânsito: TLS 1.3 obrigatório em toda comunicação
- Senhas: bcrypt com rounds=12, nunca em texto claro
- Multi-tenant: isolamento lógico por tenant_id em todas as queries
- Auditoria: log imutável de operações sensíveis
- Acesso restrito: equipe técnica via SSH com chave pública apenas
5. Compartilhamento
Compartilhamos dados apenas com:
- PagBank — gateway de pagamento (PCI-DSS Level 1)
- Resend — envio transacional de e-mails
- DigitalOcean — hospedagem (NY/NJ com replicação)
- Autoridade judicial — apenas mediante ordem formal
Nunca vendemos seus dados, nunca usamos para treinar modelos de terceiros.
6. Seus direitos (LGPD Art. 18)
Você tem direito a:
- Confirmação de existência de tratamento
- Acesso aos dados (download em formato estruturado)
- Correção de dados incompletos ou desatualizados
- Anonimização, bloqueio ou eliminação
- Portabilidade para outro serviço
- Revogação de consentimento
- Informação sobre compartilhamentos
Para exercer: dpo@stormnexus.com.br — resposta em até 15 dias úteis.
7. Retenção
- Conta ativa: dados mantidos enquanto a assinatura existir
- Após cancelamento: 30 dias para reativação, depois exclusão automática
- Dados fiscais: 5 anos (obrigação legal — Receita Federal)
- Logs de segurança: 12 meses, depois anonimizados
8. Cookies
Usamos apenas cookies essenciais (sessão, CSRF). Não usamos cookies de tracking, advertising ou analytics de terceiros.
9. Transferência internacional
Servidores localizados nos EUA (DigitalOcean NY/NJ). Há cláusulas contratuais padrão e a transferência é autorizada por execução de contrato (LGPD Art. 33, IX).
10. DPO (Encarregado)
Encarregado de Dados Pessoais:
- E-mail: dpo@stormnexus.com.br
- Prazo de resposta: 15 dias úteis (Art. 19, §3º)
- Tempo médio observado: 48 horas
11. Alterações
Mudanças nesta Política serão comunicadas com 30 dias de antecedência por e-mail e banner na plataforma.