Política de Privacidade
Como a gente trata seus dados pessoais. Direto, sem juridiquês.
Quem somos
Cravar Tecnologia Ltda. (CNPJ a registrar), com sede no Brasil. Opera o serviço Cravar em cravar.com.br.
Pra LGPD, somos Controlador dos dados de quem se cadastra no Cravar (dev solo, agência, startup) e Operador dos dados que os clientes do Cravar nos confiam pra tratamento (titulares dos apps deles). Aqui falamos da gente como Controlador. A relação como Operador está formalizada no DPA público.
Quais dados coletamos
Coletamos somente o necessário pra fazer o produto funcionar:
- Identificação: nome (do GitHub OAuth), email, foto de perfil, GitHub username
- Contato: email principal, eventualmente telefone se você optar por SMS
- Pagamento: dados de cartão são processados diretamente por Stripe ou Pagar.me. A gente recebe só token + últimos 4 dígitos + bandeira pra reconciliação. Não armazenamos número do cartão.
- Uso do produto: projetos criados, configurações LGPD, sub-processadores listados, logs de auditoria do que você fez na plataforma (essencial pra recurso de Audit Kit)
- Técnicos: IP (em log temporário), user-agent (em log temporário), URLs visitadas dentro da plataforma, timestamps
Não tratamos dados sensíveis (saúde, religião, biometria, etc.) sobre o cliente do Cravar. Se algum cliente do Cravar trata sensíveis no app dele, é responsabilidade do cliente — nós só hospedamos configuração e logs.
Não tratamos dados de criança ou adolescente art. 14. Nosso serviço é direcionado a maiores de 18 anos.
Por que coletamos (finalidades)
- Operar a plataforma (autenticar, mostrar projetos, gerar políticas)
- Cobrar pelo plano contratado
- Comunicar mudanças no serviço, manutenções programadas, incidentes de segurança
- Gerar Audit Kit quando você pedir (essencial pra ANPD em caso de fiscalização)
- Detectar abuso e proteger contra fraude
- Cumprir obrigações legais e regulatórias
Em que base legal
| Tratamento | Base legal (LGPD) |
|---|---|
| Cadastro e operação da plataforma | Execução de contrato art. 7º, V |
| Cobrança via Stripe/Pagar.me | Execução de contrato art. 7º, V |
| Logs de auditoria e Audit Kit | Cumprimento de obrigação legal art. 7º, II (responsabilização do art. 6º X) |
| Email transacional (incidente, mudança material no produto) | Execução de contrato art. 7º, V + obrigação legal art. 48 |
| Detecção de abuso, fraude, segurança | Legítimo interesse art. 7º, IX (teste de balanceamento documentado internamente) |
| Newsletter / marketing | Consentimento art. 7º, I (você marca o opt-in no cadastro, pode revogar a qualquer hora) |
Com quem compartilhamos
A gente usa serviços de terceiros que viram operadores dos seus dados. Lista nominal sempre atualizada em cravar.com.br/trust/sub-processadores. Resumo:
- Supabase (banco e auth) · São Paulo / EUA
- Vercel (hospedagem) · EUA, edge BR
- Stripe e Pagar.me (pagamento) · EUA / BR
- Resend (email transacional) · EUA
- Anthropic (IA generativa pra políticas) · EUA — com cláusula de não-treinamento ativa
- Cloudflare (CDN, R2 storage, Turnstile) · global
- PostHog (analytics privacy-first) · EUA
- Sentry (monitoramento de erros, PII scrubada) · EUA
- Axiom (audit logs imutáveis) · EUA
Notificamos com 30 dias de antecedência sempre que adicionarmos um novo operador. Você pode opt-out com cancelamento pro-rata se for crítico.
Por quanto tempo guardamos
| Tipo de dado | Prazo |
|---|---|
| Cadastro de cliente ativo | Enquanto durar a relação contratual |
| Cadastro de cliente cancelado | 30 dias após cancelamento (pra reativar/exportar), depois exclusão automática |
| Logs de auditoria | 5 anos (relevância pra fiscalização ANPD futura) |
| Backups | 30 dias rotativos, criptografados |
| Logs de aplicação (IP, user-agent) | 30 dias |
| Faturas e dados fiscais | 5 anos (obrigação legal contábil) |
Como protegemos
Padrão de mercado, com algumas escolhas opinativas:
- TLS 1.3 em trânsito, HSTS preload
- AES-256-GCM em repouso pra campos sensíveis
- Argon2id pra senhas (cost ≥ 19)
- RBAC + princípio do menor privilégio
- RLS no Postgres testado em CI (contract tests cross-tenant)
- Audit trail hash-chained (SHA-256 por evento)
- Backups criptografados + teste de restore documentado
- Runbook de incidente versionado + drill trimestral
- 2FA disponível na conta
Seus direitos
Você tem 9 direitos garantidos pelo art. 18 da LGPD:
- Confirmação de tratamento
- Acesso aos dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
- Portabilidade dos dados (em formato JSON estruturado + CSV)
- Eliminação dos dados tratados com consentimento (com exceções do art. 16)
- Informação sobre quem compartilhamos
- Informação sobre a possibilidade de não consentir e suas consequências
- Revogação do consentimento, quando aplicável
Como exercer seus direitos
Use o portal de privacidade em cravar.com.br/meus-dados ou mande email pra privacidade@cravar.com.br.
A gente confirma a identidade por OTP enviado pro email do cadastro + KBA quando aplicável (vetor comum de ataque é pedir DSAR fingindo ser o titular). Resposta em até 15 dias art. 19 §3º.
Comunicação de incidentes
Se acontecer incidente de segurança que possa acarretar risco ou dano relevante:
- Você: comunicamos por email + banner no painel em até 24h após detecção (mais rápido que o prazo legal pra titulares — é diferencial de confiança nosso)
- ANPD: comunicamos em até 3 dias úteis pelo portal eletrônico Resolução CD/ANPD nº 15/2024
Postmortems públicos ficam em cravar.com.br/trust/incidents.
Transferência internacional
Vários dos nossos operadores estão fora do Brasil (Supabase US, Vercel US, Stripe US, Resend US, Anthropic US, etc.). A transferência se sustenta em cláusulas-padrão da ANPD Resolução CD/ANPD nº 19/2024 e em contratos específicos com cada operador (DPAs nominais).
Encarregado / canal de comunicação
Como agente de tratamento de pequeno porte Resolução CD/ANPD nº 2/2022, a Cravar Tecnologia Ltda. não está obrigada a designar Encarregado. Mas mantém canal direto:
Email: privacidade@cravar.com.br
Portal: cravar.com.br/meus-dados
Alterações nesta política
Quando mudar algo material, a gente avisa por email 30 dias antes da entrada em vigor. Toda versão anterior fica arquivada e linkada na lateral.
Reclamações
Se você acha que tratamos seus dados de forma inadequada, fale com a gente primeiro. Se não resolver, registre reclamação na ANPD: gov.br/anpd.