Política de Privacidade
Última atualização: 17 de maio de 2026 — Versão 1.1
Esta Política descreve como a Pub System Tecnologia Ltda. trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).
1. Controlador dos Dados
O Controlador dos dados pessoais tratados nesta plataforma é a Pub System Tecnologia Ltda., com sede em São Paulo/SP. Para contato com o Encarregado de Proteção de Dados (DPO):
- Email DPO: dpo@pubsystem.com.br
- Assunto: LGPD — [Seu Nome]
2. Dados Coletados
2.1 Dados dos Estabelecimentos (Tenants)
- Nome do estabelecimento, CNPJ, razão social
- Endereço completo (CEP, rua, cidade, estado)
- Telefone de contato
- Nome e e-mail do administrador
- Plano contratado e histórico de pagamentos
2.2 Dados dos Funcionários
- Nome completo, e-mail, cargo (role)
- Senha (armazenada como hash bcrypt — nunca em texto puro)
- Tokens de sessão (JWT — armazenados temporariamente em sessionStorage)
- Logs de acesso (IP, user-agent, ações realizadas)
2.3 Dados dos Clientes Finais
- Nome completo
- CPF (armazenado sem formatação)
- E-mail (opcional)
- Celular (opcional)
- Histórico de comandas e pedidos
2.4 Dados Técnicos e de Uso
- Endereço IP nas requisições de autenticação
- User-agent do navegador
- Logs de audit (ações CREATE/UPDATE/DELETE/LOGIN)
- Logs de erros (via Sentry — sem dados pessoais identificáveis em mensagens de erro)
- Cookies de sessão (httpOnly, secure)
3. Finalidade e Base Legal
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Dados do estabelecimento | Onboarding e prestação do serviço | Execução de contrato (Art. 7°, V) |
| E-mail e senha | Autenticação e comunicação | Execução de contrato (Art. 7°, V) |
| CPF do cliente final | Identificação única na comanda | Legítimo interesse (Art. 7°, IX) |
| IP e user-agent | Segurança e auditoria | Legítimo interesse (Art. 7°, IX) |
| Logs de uso | Auditoria e prevenção de fraudes | Legítimo interesse (Art. 7°, IX) |
4. Compartilhamento de Dados
Seus dados podem ser compartilhados com:
- Google Cloud Storage: armazenamento de imagens de produtos e eventos
- Sentry: monitoramento de erros (logs anônimos, sem dados pessoais)
- Cloudflare: CDN e proteção DDoS (não armazena dados pessoais)
- Prestadores de pagamento: quando aplicável ao plano contratado
Não vendemos nem alugamos dados pessoais a terceiros. Todos os parceiros operam com acordos de processamento de dados compatíveis com a LGPD.
5. Retenção de Dados
- Conta ativa: dados preservados enquanto houver contrato vigente
- Trial vencido sem assinatura: conta suspensa, dados preservados integralmente durante a suspensão
- Após 30 dias suspenso: e-mail de aviso enviado com data de exclusão programada (~15 dias após o aviso)
- Exclusão programada: dados do estabelecimento removidos na data agendada após aviso prévio formal
- Logs de auditoria: retidos por mínimo 12 meses independentemente do status da conta (obrigação legal)
- Tokens JWT: expiração em 1 hora (access token); refresh token via cookie httpOnly
- Cookies de sessão: expiração com o fechamento do navegador
5.1 Ciclo de Vida e Notificações Automáticas
O sistema envia e-mails automáticos ao administrador da conta nos seguintes eventos de lifecycle:
| Evento | Prazo | Ação |
|---|---|---|
| Trial expirando | 3 dias antes do vencimento | E-mail de aviso antecipado enviado ao admin |
| Trial vencendo hoje | No dia do vencimento | E-mail de último aviso enviado ao admin |
| Conta suspensa | No momento da suspensão | E-mail de notificação de suspensão; dados preservados |
| Suspensão prolongada | Após 30 dias suspenso | E-mail de aviso de exclusão futura com data exata |
| Exclusão agendada | ~15 dias após aviso | Remoção permanente dos dados operacionais |
A reativação da conta mediante assinatura de um plano cancela imediatamente qualquer exclusão programada e restaura o acesso integral aos dados preservados.
6. Segurança
- Comunicação criptografada (HTTPS/TLS em produção)
- Senhas hasheadas com bcrypt
- Isolamento multi-tenant (tenant_id em todas as queries)
- JWT com expiração curta + refresh token httpOnly
- Headers de segurança (HSTS, CSP, X-Frame-Options)
- Rate limiting nas rotas de autenticação
- Sem armazenamento de dados de cartão (tokenização via gateway)
7. Seus Direitos (LGPD Art. 18)
Como titular de dados, você tem direito a:
- Confirmação: saber se tratamos seus dados
- Acesso: obter cópia dos dados que temos sobre você
- Correção: corrigir dados incompletos ou incorretos
- Anonimização/Bloqueio: para dados desnecessários ou excessivos
- Portabilidade: receber seus dados em formato estruturado
- Eliminação: solicitar a exclusão de dados tratados com consentimento
- Revogação do consentimento: a qualquer momento
- Informação sobre compartilhamento: saber com quem compartilhamos
Para exercer esses direitos, acesse a Central de Privacidade ou envie e-mail para dpo@pubsystem.com.br. Responderemos em até 15 dias úteis.
8. Cookies
Para informações detalhadas sobre os cookies utilizados, acesse nossa Política de Cookies.
9. Contato e DPO
- Encarregado (DPO): dpo@pubsystem.com.br
- Assunto: LGPD — [descreva sua solicitação]
- Prazo de resposta: até 15 dias úteis
- ANPD: Você também pode registrar reclamação na Autoridade Nacional de Proteção de Dados (anpd.gov.br)