Política de Privacidade

1. Quem somos

Vergilé um serviço de auditoria de segurança contínua operado a partir de São Paulo, Brasil. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e compartilhamos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — "LGPD").

2. Dados que coletamos

Coletamos apenas os dados estritamente necessários para prestar o serviço (princípio da necessidade, Art. 6º, III da LGPD):

• Dados de cadastro: nome (opcional), e-mail e identificador do provedor (Google, GitHub, magic link).
• Dados de cobrança: processados pelo Stripe; armazenamos apenas o identificador de assinatura e plano. Não temos acesso ao número do cartão.
• Dados técnicos: URL dos alvos cadastrados, findings gerados pelos scans, logs de execução, IP de acesso ao painel.
• Dados de uso: métricas agregadas e anônimas via Vercel Analytics, sem rastreamento entre sites.

3. Base legal do tratamento (Art. 7º da LGPD)

• Execução de contrato (Art. 7º, V): dados de cadastro, cobrança, findings e logs são processados para prestar o serviço que você contratou.
• Cumprimento de obrigação legal (Art. 7º, II): retemos dados fiscais (notas fiscais, comprovantes) pelo prazo exigido pela legislação tributária.
• Legítimo interesse (Art. 7º, IX): uso anonimizado de métricas agregadas para melhorar o produto.

4. Dados sensíveis (Art. 9º da LGPD)

Não coletamos dados pessoais sensíveis (origem racial, opinião política, religião, saúde, biometria). Se o scan do seu app retornar evidências contendo PII, o Vergil aplica redação automática (hashing + truncamento) antes da triagem por IA e antes do armazenamento no relatório.

5. Compartilhamento com terceiros

Operamos com sub-operadores listados publicamente:

• Supabase (banco de dados gerenciado, região São Paulo) — armazena cadastro, findings e logs sob criptografia AES-256.
• Vercel (hospedagem da aplicação web, região GRU1) — processa requisições HTTP no edge.
• Stripe (processamento de pagamentos, entidade Stripe Payments do Brasil Ltda.) — processa cartão, Pix e boleto.
• OpenAI (triagem por IA dos findings) — recebe apenas evidências sanitizadas, sob acordo de zero retenção (DPA assinado).

6. Seus direitos (Art. 18 da LGPD)

Você pode exercer a qualquer momento, sem custo:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
• Portabilidade dos dados em formato estruturado (JSON);
• Eliminação dos dados tratados com consentimento;
• Informação sobre compartilhamento;
• Revogação do consentimento.

Para exercer qualquer destes direitos, envie um pedido para suporte@vergil.com.br com o assunto "LGPD — Direitos do Titular". Respondemos em até 15 dias.

7. Retenção e exclusão

Findings e logs são retidos pelo prazo do seu plano (30 a 365 dias). Após o cancelamento da conta, os dados são anonimizados em até 30 dias e eliminados em até 90 dias, exceto quando houver obrigação legal de retenção.

8. Segurança técnica

Criptografia em repouso (AES-256) e em trânsito (TLS 1.3), Row-Level Security por usuário no Postgres, autenticação multifator opcional, logs de acesso interno auditados e revisão periódica de permissões.

9. Encarregado de Dados (DPO)

Nosso Encarregado pelo Tratamento de Dados Pessoais (DPO) pode ser contatado em dpo@vergil.com.br.

10. Alterações desta política

Mudanças materiais são comunicadas com 30 dias de antecedência por e-mail e via banner no painel. O histórico de versões fica disponível mediante solicitação.