Política de
Privacidade e Proteção de Dados

A TFA Tecnologia, inscrita em CNPJ e operando a plataforma Nexus IA, é a Controladora dos dados pessoais tratados neste serviço, conforme art. 5º, VI, da Lei 13.709/2018 (LGPD).

Encarregado (DPO): Thiago de Andrade · andrade.th@gmail.com

Contato geral: nexus@tfa.inf.br

Tratamos apenas os dados estritamente necessários para oferecer a plataforma:

2.1 Dados de cadastro

• Nome, e-mail, senha (armazenada com hash bcrypt + salt 12)
• Telefone, cargo (opcional)
• CNPJ, razão social, endereço comercial (da empresa cliente)

2.2 Dados de uso

• Logs de acesso (IP, user-agent, data/hora)
• Histórico de interações com a IA (perguntas feitas no chat)
• Métricas dos servidores monitorados (CPU, memória, disco, serviços)
• Auditoria de ações sensíveis (rotação de token, execução de comandos, alterações de cadastro)

2.3 Credenciais de infraestrutura

• Chaves SSH, senhas e tokens de APIs cloud fornecidos voluntariamente para monitoramento
• Todas criptografadas em repouso com AES-256-GCM. A chave de criptografia é mantida fora do banco de dados

• Prestação do serviço: permitir que você monitore sua infraestrutura via IA
• Autenticação e segurança: login, 2FA, detecção de fraude, rate limiting
• Suporte: responder a solicitações técnicas e comerciais
• Faturamento: emissão de cobranças e controle de assinatura
• Melhoria do produto: análise agregada e anonimizada de uso
• Cumprimento legal: atendimento a obrigações fiscais e regulatórias

Utilizamos as seguintes bases legais do art. 7º da LGPD:

• Execução de contrato (VI): para prestar o serviço contratado
• Cumprimento de obrigação legal (II): faturamento, fiscal, regulatório
• Legítimo interesse (IX): segurança da plataforma, prevenção a fraudes, aprimoramento do produto
• Consentimento (I): quando você opta por funcionalidades adicionais (ex: comunicações de marketing)

Compartilhamos o mínimo necessário, apenas com provedores que operam sob cláusulas contratuais de proteção de dados:

Transferências internacionais de dados ocorrem com base no art. 33 da LGPD, amparadas por cláusulas contratuais padrão e pela qualificação dos países como jurisdições com nível adequado de proteção ou com garantias equivalentes.

Não vendemos seus dados a terceiros e não compartilhamos conteúdo do chat ou credenciais com parceiros comerciais.

• Dados de cadastro: enquanto o contrato estiver ativo + 5 anos após o encerramento (obrigação fiscal)
• Histórico de chat e métricas: 12 meses, exceto se você solicitar remoção antes
• Logs de auditoria: 24 meses, para fins de segurança e investigação de incidentes
• Snapshots de monitoramento: 90 dias (automático)
• Credenciais cifradas: removidas imediatamente ao desativar o host ou encerrar a conta

Nos termos do art. 18 da LGPD, você pode:

• Confirmar a existência de tratamento de seus dados
• Acessar os dados que temos sobre você
• Corrigir dados incompletos, inexatos ou desatualizados
• Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade com a LGPD
• Portabilidade dos dados a outro fornecedor
• Eliminar dados tratados com base no seu consentimento
• Informação sobre entidades com quem compartilhamos seus dados
• Revogar consentimento a qualquer momento
• Revisar decisões automatizadas que afetem seus interesses

Para exercer qualquer direito, envie e-mail para andrade.th@gmail.com. Respondemos em até 15 dias corridos.

• Criptografia em repouso: credenciais SSH, senhas e tokens cloud em AES-256-GCM
• Criptografia em trânsito: TLS 1.3 em todas as comunicações (HSTS ativo)
• Senhas com hash bcrypt (salt 12)
• Autenticação multifator: OTP por e-mail obrigatório; TOTP opcional
• Rotação automática de tokens de agent a cada 10 dias
• Isolamento multi-tenant: cada cliente acessa apenas seus próprios dados
• Auditoria imutável de ações sensíveis (AuditLog)
• Headers de segurança: CSP, X-Frame-Options, Cross-Origin-Opener-Policy
• Backups diários criptografados com retenção de 7 dias
• Varredura CIS-like periódica dos próprios servidores

Em caso de incidente que represente risco aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, nos termos do art. 48 da LGPD.

Utilizamos apenas cookies estritamente necessários ao funcionamento do serviço:

• authjs.session-token — sessão autenticada (httpOnly, secure, sameSite=lax)
• __Secure-authjs.csrf-token — proteção contra CSRF

Não utilizamos cookies de rastreamento publicitário, fingerprinting, analytics de terceiros nem pixels de redes sociais.

Esta política pode ser atualizada para refletir mudanças legais ou no produto. Mudanças materiais serão comunicadas por e-mail aos titulares ativos com pelo menos 15 dias de antecedência. A data da última atualização fica sempre visível no topo desta página.