Política de Privacidade — Vitrin Digital
Versão: v0 (rascunho não jurídico) Status: pendente de revisão por advogado especializado em LGPD/fintech Última atualização: abril/2026
1. Introdução
A Vitrin Digital ("Vitrin", "nós") respeita a privacidade e a proteção de dados pessoais. Esta Política descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos dados pessoais no âmbito da nossa plataforma de intermediação de pagamentos, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.
Esta Política aplica-se aos seguintes públicos:
| Público | Quem é | Papel da Vitrin |
|---|---|---|
| Organização | Pessoa jurídica que utiliza a Plataforma para receber pagamentos | Controladora dos dados de seus Clientes Finais; nós atuamos como Operadora desses dados |
| Representante da Organização | Pessoa física responsável legal pela Organização | A Vitrin é Controladora dos dados pessoais coletados (e-mail, nome, etc.) |
| Cliente Final | Pagador (quem efetua a cobrança) | Os dados são fornecidos pela Organização. A Vitrin atua como Operadora, processando-os conforme as instruções da Organização. |
2. Definições legais
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I, LGPD).
- Dado pessoal sensível: dado sobre origem racial/étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida sexual, dado genético ou biométrico (art. 5º, II, LGPD). A Vitrin não coleta dados sensíveis.
- Tratamento: toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, etc.).
- Controlador: a quem competem as decisões referentes ao tratamento.
- Operador: realiza o tratamento em nome do Controlador.
- Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre Controlador, titulares e a ANPD.
3. Dados pessoais que coletamos
3.1. Da Organização e seu representante legal
| Categoria | Exemplos | Origem |
|---|---|---|
| Identificação | Razão social, CNPJ, nome fantasia, nome do representante, CPF | Cadastro pela Organização |
| Contato | E-mail, telefone celular, endereço comercial | Cadastro pela Organização |
| Financeiros | Conta bancária, dados para repasse | Cadastro pela Organização |
| Documentais | Documento de identidade, comprovante de residência, contrato social, etc. | Upload pela Organização |
| Acesso | Login, hash de senha, hash do PIN, sessões, IPs de acesso | Sistema (autenticação) |
| Atividade | Logs de uso da Plataforma, ações realizadas, audit trail | Sistema (auditoria) |
3.2. Dos Clientes Finais (fornecidos pela Organização)
| Categoria | Exemplos | Origem |
|---|---|---|
| Identificação | Nome, CPF/CNPJ | Organização (via API) |
| Contato | E-mail, telefone | Organização (via API) |
| Endereço | Rua, número, complemento, bairro, cidade, UF, CEP (opcional) | Organização (via API), recomendado para defesa de chargeback |
| Pagamento | Forma de pagamento utilizada (Pix, Boleto, Cartão), valor, status | Sistema (transações) |
| Cartão | Apenas tokenizado — número do cartão não trafega pelos servidores da Vitrin (vide cláusula 5.2) | Tokenização client-side ou via Provedor |
| Técnicos | IP de origem do pagamento, user-agent (apenas em transações que envolvem checkout transparente) | Sistema (captura automática para defesa de chargeback) |
Importante: a Vitrin não coleta dados financeiros sensíveis em texto claro (números completos de cartão de crédito, CVV, etc.). A tokenização ocorre diretamente entre o navegador do Cliente Final e o Provedor de Pagamento, sem passar pelos servidores da Vitrin.
3.3. Dados que NÃO coletamos
A Vitrin não coleta:
- Dados pessoais sensíveis (saúde, religião, política, biometria, orientação sexual)
- Histórico de navegação fora da Plataforma
- Localização geográfica precisa
- Dados de menores de idade (a Plataforma é exclusiva para pessoas jurídicas)
4. Bases legais para o tratamento
A LGPD exige que todo tratamento tenha uma base legal. As bases utilizadas pela Vitrin são:
| Base legal (LGPD art. 7º) | Quando aplicamos |
|---|---|
| I — Consentimento | Comunicações de marketing opcionais (newsletter, novidades) |
| II — Cumprimento de obrigação legal | Retenção de registros para fins fiscais, regulatórios, BC, Receita Federal, ordem judicial |
| V — Execução de contrato | Tratamento necessário para a prestação dos serviços contratados (a maior parte das atividades) |
| VI — Exercício regular de direitos | Defesa em processos judiciais, administrativos ou arbitrais |
| IX — Legítimo interesse | Prevenção a fraude, segurança, monitoramento de chargeback, melhoria da Plataforma (sempre balanceado contra os direitos do titular) |
5. Como utilizamos os dados
5.1. Finalidades
Os dados pessoais coletados são utilizados para:
a) Processar pagamentos — operação principal da Plataforma b) Cumprir obrigações legais e regulatórias — KYC (Know Your Customer), prevenção à lavagem de dinheiro, ordem judicial c) Garantir a segurança — autenticação, prevenção a fraude, monitoramento de uso anômalo, dossiê de defesa de chargeback d) Manter a Plataforma operacional — auditoria, métricas, debugging, suporte e) Comunicar eventos relevantes — confirmação de pagamento, notificações de chargeback, alterações contratuais f) Melhorar o serviço — análise estatística agregada (dados desidentificados) g) Repassar ao Provedor de Pagamento — necessário para o processamento financeiro real (vide cláusula 6)
5.2. Tokenização de cartão de crédito
A Vitrin opera em conformidade com o PCI-DSS (Payment Card Industry Data Security Standard) por meio do Provedor de Pagamento. Em nenhum momento:
- O número completo do cartão (PAN) é armazenado nos servidores da Vitrin
- O CVV é armazenado em qualquer ambiente
- Senhas de cartão (3D Secure) transitam pela Plataforma
A tokenização (POST /api/v1/checkout/tokenize/) ocorre por meio de comunicação direta entre o navegador do Cliente Final e o Provedor de Pagamento, retornando à Plataforma apenas o token e a "máscara" do cartão (4 últimos dígitos + bandeira).
6. Compartilhamento de dados
A Vitrin compartilha dados pessoais somente nas seguintes hipóteses:
6.1. Provedor de Pagamento
Para viabilizar o processamento financeiro, dados pessoais (Organização, Clientes Finais, transações) são compartilhados com o Provedor de Pagamento contratado pela Vitrin. Este Provedor é uma instituição de pagamento regulada pelo Banco Central do Brasil, sujeita às mesmas obrigações de proteção de dados.
6.2. Autoridades públicas
Em cumprimento a obrigação legal, decisão judicial, ordem da ANPD, do Banco Central, da Receita Federal, do COAF ou de outra autoridade competente.
6.3. Prestadores de serviço
Empresas contratadas para apoiar a operação da Plataforma (ex.: hospedagem em nuvem, e-mail transacional, monitoramento, anti-fraude). Todos sujeitos a obrigações contratuais de confidencialidade e proteção de dados.
6.4. Reorganização societária
Em caso de fusão, aquisição, cisão ou venda de ativos, dados podem ser transferidos à entidade sucessora, mantida a mesma proteção desta Política.
A Vitrin nunca:
- ❌ Vende dados pessoais a terceiros
- ❌ Compartilha dados para fins de marketing externo
- ❌ Permite acesso a dados sem necessidade técnica e contratual
7. Transferência internacional
Eventualmente, dados pessoais podem ser armazenados ou processados em servidores localizados fora do Brasil, em razão da contratação de serviços de hospedagem ou de fornecedores globais. Nesses casos, a Vitrin garante:
- O país de destino oferece nível adequado de proteção, ou
- Há cláusulas contratuais específicas garantindo tratamento conforme a LGPD, ou
- Há consentimento específico do titular, quando aplicável
O Provedor de Pagamento atual da Vitrin opera com servidores no Brasil.
8. Retenção e eliminação
8.1. Prazos de retenção
| Tipo de dado | Prazo de retenção |
|---|---|
| Dados cadastrais da Organização | Durante a vigência do contrato + 5 anos |
| Dados de Clientes Finais | Durante a vigência da relação operacional + 5 anos |
| Registros de transações | 5 anos após a transação (prazo prescricional civil) |
Logs de auditoria (AuditLog) | 5 anos (append-only) |
Logs de comunicação com o Provedor (AsaasApiLog) | 5 anos (evidência para disputas) |
| Dados de marketing (newsletter) | Até a revogação do consentimento |
Após o prazo, os dados são eliminados ou anonimizados de forma irreversível.
8.2. Exceções
Dados podem ser mantidos por prazo superior quando:
- Houver determinação legal específica (ex.: prazos fiscais)
- Houver processo judicial ou administrativo em curso envolvendo os dados
- Forem necessários para defesa em arbitragem, regulação ou litígio
- Estiverem agregados/anonimizados para fins estatísticos
9. Direitos do titular
A LGPD garante ao titular dos dados pessoais (incluindo Clientes Finais e representantes da Organização) os seguintes direitos (art. 18):
| Direito | O que significa |
|---|---|
| Confirmação | Saber se a Vitrin trata seus dados |
| Acesso | Receber cópia dos dados que tratamos |
| Correção | Atualizar dados incompletos, inexatos ou desatualizados |
| Anonimização / bloqueio / eliminação | Pedir que os dados sejam anonimizados ou removidos (quando não houver base legal para mantê-los) |
| Portabilidade | Receber os dados em formato estruturado para transferir a outro fornecedor |
| Eliminação dos dados tratados com consentimento | Quando o tratamento se basear em consentimento, este pode ser revogado a qualquer momento |
| Informação sobre compartilhamento | Saber com quem a Vitrin compartilhou seus dados |
| Informação sobre não consentimento | Saber as consequências de negar o consentimento |
| Revogação do consentimento | Sempre que o tratamento se basear em consentimento |
9.1. Como exercer
Para exercer qualquer direito, o titular deve:
- Enviar solicitação para dpo@vitrin.digital (Encarregado/DPO)
- Identificar-se de forma adequada (para evitar fraude)
- Especificar o direito que deseja exercer
A Vitrin responderá em até 15 dias úteis, podendo prorrogar por igual período em casos complexos, com justificativa.
9.2. Direitos sobre dados de Clientes Finais
Quando o titular for um Cliente Final cujos dados foram fornecidos pela Organização, a Vitrin pode encaminhar a solicitação à própria Organização (Controladora dos dados naquele tratamento) ou processar diretamente, conforme o caso. A Organização deve ter sua própria política de privacidade e canal de atendimento.
10. Segurança dos dados
A Vitrin adota medidas técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, alteração indevida, perda ou destruição. Entre elas:
10.1. Técnicas
- Criptografia em trânsito: HTTPS/TLS obrigatório em todas as comunicações
- Criptografia em repouso: API keys armazenadas com Fernet (AES-128-CBC + HMAC-SHA256); senhas e PINs com bcrypt
- Tokenização de cartões: PAN nunca toca os servidores da Vitrin
- Webhooks assinados: HMAC-SHA256 nos webhooks repassados às Organizações
- Rate limiting: proteção contra ataques de força bruta e abuso
- Logs append-only: registros de auditoria inalteráveis (
AuditLog,AsaasApiLog) - Backups regulares com retenção controlada
- Princípio do menor privilégio: cada credencial só acessa o que precisa
10.2. Organizacionais
- Acesso aos dados restrito ao pessoal técnico estritamente necessário
- Treinamento periódico de equipe sobre LGPD e segurança
- Contratos de confidencialidade com prestadores e funcionários
- Plano de resposta a incidentes de segurança
- Avaliação periódica de riscos e DPIA (Data Protection Impact Assessment) quando aplicável
10.3. Comunicação de incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48 LGPD), a Vitrin notificará:
- A ANPD em prazo razoável, conforme regulamentação
- Os titulares afetados quando exigido pela ANPD
- As Organizações afetadas sempre que houver impacto sobre seus Clientes Finais
11. Cookies e tecnologias similares
A Plataforma Vitrin utiliza cookies estritamente necessários para a operação, principalmente:
| Cookie | Finalidade | Duração |
|---|---|---|
vitrin_access | Token JWT de acesso | Sessão (30 min) |
vitrin_refresh | Token JWT de renovação | 7 dias |
vitrin_user, vitrin_org | Cache de identidade | Sessão |
Não utilizamos cookies de marketing, publicidade direcionada ou rastreamento entre sites.
12. Encarregado de Proteção de Dados (DPO)
| Campo | Valor |
|---|---|
| dpo@vitrin.digital | |
| Atribuição | Aceitar reclamações, prestar esclarecimentos, orientar funcionários, atuar como interlocutor com a ANPD |
A Vitrin Digital indica o e-mail acima como canal oficial do Encarregado de Proteção de Dados. Todas as solicitações relacionadas à LGPD (acesso, correção, eliminação, portabilidade, oposição) devem ser enviadas para esse endereço e serão respondidas dentro do prazo legal de 15 dias.
13. Alterações nesta Política
A Vitrin pode atualizar esta Política periodicamente. Quando houver alteração relevante:
- A nova versão será publicada em
vitrin.digital/privacidade - As Organizações serão comunicadas via dashboard e e-mail com 30 dias de antecedência
- O uso continuado da Plataforma implica aceitação das alterações
A data da última atualização é sempre indicada no topo do documento.
14. Contato
| Assunto | Canal |
|---|---|
| Direitos LGPD (titular) | dpo@vitrin.digital |
| Suporte geral | contato@vitrin.digital |
| Reclamação à ANPD | https://www.gov.br/anpd |
Última atualização: abril/2026 Versão: v0 (rascunho)
⚠️ Aviso importante: este é um rascunho preliminar criado por benchmarking de mercado, não é um documento legal vinculante e não substitui revisão por advogado especializado em LGPD/fintech antes de ser oferecido a clientes reais. A indicação do DPO, o CNPJ, endereço e demais dados de identificação da Vitrin Digital devem ser preenchidos antes da publicação.