Política de Privacidade (LGPD)

Última atualização: 22/06/2026

1. Controlador dos dados

DanfeAi · CNPJ a ser cadastrado · Curitiba/PR. Contato DPO: dpo@danfeai.com.br

2. Dados coletados

• Cadastro: razão social, nome, email, senha (hash), CNPJ
• Certificado A1: arquivo .pfx (cifrado), senha (cifrada via libsodium)
• Documentos fiscais: XMLs de NF-e/CT-e/NFS-e capturados da SEFAZ
• Pagamento: processado pela InfinitePay (não armazenamos dados de cartão)
• Telemetria: logs de acesso (IP, user-agent, ação) — retenção 90 dias

3. Base legal

Execução de contrato (Art. 7º, V LGPD) — pra prestar o serviço contratado.

4. Compartilhamento

Compartilhamos dados estritamente necessários com:

• SEFAZ federal e estaduais — pra capturar documentos em seu nome
• InfinitePay — processador de pagamento
• OpenAI — apenas metadata do documento (CNPJ emitente, valor, CFOP) pra categorização IA. NUNCA enviamos chaves de acesso, senhas ou XMLs completos
• Postmark — pra receber emails de NF-e de saída

5. Seus direitos LGPD

• Acessar todos os seus dados (botão "Exportar minha conta" no painel)
• Corrigir dados incorretos
• Solicitar exclusão (purge imediato via email pro DPO)
• Revogar consentimento (cancela assinatura + apaga dados)
• Portabilidade (exportação em formato estruturado XLSX/CSV)

6. Segurança

• HTTPS obrigatório (TLS 1.3)
• Isolamento por tenant_id (cliente A nunca vê dado do cliente B)
• Filesystem isolado por tenant
• Senha de A1 cifrada com libsodium + chave HKDF derivada
• Chave-mestra em arquivo offline com chmod 0400
• Auditoria de toda mudança via Activity Log

7. Retenção

Dados ativos: enquanto assinatura ativa. Pós cancelamento: 90 dias (recuperação) → purge automático. Logs de auditoria: 12 meses (compliance fiscal).

8. Cookies

Apenas cookies essenciais (sessão de login). Sem cookies de marketing/analytics de terceiros sem consentimento explícito.