Política de Privacidade

O Verificador de BMS é uma plataforma SaaS brasileira que gera sites institucionais a partir de dados públicos da Receita Federal (CNPJ), ajudando você a verificar domínios no Facebook Business Manager. Para a Lei Geral de Proteção de Dados (LGPD), somos o controlador dos dados pessoais coletados nesta plataforma — quem decide as finalidades e os meios de tratamento.

Contato: WhatsApp (14) 99907-8928 · E-mail [email protected]

Conforme o Art. 41 da LGPD, mantemos um Encarregado responsável por atuar como canal de comunicação entre você (titular), o Verificador de BMS (controlador) e a Autoridade Nacional de Proteção de Dados (ANPD).

Use este canal para exercer qualquer direito previsto na LGPD, esclarecer dúvidas sobre tratamento de dados ou reportar incidentes de privacidade. Prazo de resposta: até 15 dias.

Coletamos apenas o necessário para entregar o serviço (princípio da minimização — Art. 6º, III LGPD). Para cada categoria, indicamos a base legal conforme o Art. 7º LGPD.

No momento do cadastro, exibimos um resumo claro do que coletamos e pedimos sua concordância explícita com esta Política e com os Termos de Uso. Você não pode criar conta sem essa concordância — é pré-requisito para a relação contratual.

Não vendemos seus dados pessoais. Compartilhamos apenas com operadores que prestam serviços essenciais à plataforma, todos sob acordo de processamento de dados (DPA) e obrigações de proteção alinhadas à LGPD.

Operadores em uso: Resend (e-mail transacional e drip), Woovi/OpenPix (pagamentos PIX), Cloudflare (DNS, proteção contra bots via Turnstile, CDN), PostHog (analytics de produto e session replay mascarado), Sentry (monitoramento de erros, com textos e mídia mascarados), Vercel (frontend e edge), provedor de VPS próprio (banco PostgreSQL e cron jobs), Google (login OAuth opcional), YouTube (vídeo aulas em modo de privacidade aprimorada — youtube-nocookie.com), BrasilAPI / ReceitaWS / Receita Federal (consulta pública de CNPJ).

Lista completa, atualizada e tabular em /subprocessadores.

Alguns operadores (PostHog, Sentry, Resend, Vercel) processam dados em servidores nos Estados Unidos. Conforme Art. 33-36 da LGPD, essa transferência ocorre com base em cláusulas-padrão previstas pela ANPD (Resolução CD/ANPD 19/2024) incluídas nos DPAs assinados com cada operador.

Para você como titular, isso significa que esses dados ficam sujeitos a um nível de proteção equivalente ao da LGPD, mesmo armazenados fora do Brasil. Se quiser que seus dados não sejam tratados por algum operador específico (por exemplo, recusar analytics), use o banner de cookies ou a página de preferências.

Categorizamos cookies e tecnologias similares (localStorage) em três grupos:

• Estritamente necessários: sessão de login, preferência de tema, proteção CSRF. Não exigem consentimento — sem eles o produto não funciona.
• Analíticos: PostHog (entender uso) e Sentry session replay (gravado apenas em caso de erro técnico, com inputs e mídia mascarados). Exigem consentimento — você decide no banner ou em /perfil/preferencias.
• Marketing/atribuição: cookie ref_code (30 dias) para creditar indicação de afiliado. Exige consentimento.

NÃO utilizamos cookies para publicidade direcionada (Meta Pixel, Google Ads, TikTok Pixel etc.) nem compartilhamos dados com redes de anúncios. Detalhes em /privacidade/cookies.

Mantemos seus dados enquanto sua conta está ativa. Após pedido de exclusão:

• Carência de 30 dias — seus dados ficam preservados e você pode reverter a exclusão fazendo login novamente.
• Após 30 dias — exclusão definitiva (hard delete) de nome, e-mail, senha, sites e dados pessoais associados. PostHog e demais vendors são notificados automaticamente.
• Histórico financeiro (transações PIX e tokens): mantido por 5 anos por exigência fiscal (Art. 174 CTN). Esse histórico não inclui PII identificável após o hard-delete da conta.
• Logs técnicos e eventos de analytics: retidos por até 90 dias.
• Conteúdo de e-mails recebidos pelos seus sites: retido por 90 dias após recebimento, depois é apagado automaticamente.
• Backups do banco: retenção de 30 dias; PII removida nesse mesmo prazo.

Após o cadastro, você pode receber até 4 e-mails educativos ao longo de 14 dias (D+1, D+3, D+7, D+14) com tutoriais e dicas. Esses e-mails existem para ajudar você a obter valor do produto rapidamente.

Base legal: legítimo interesse (Art. 7º, IX LGPD — ver LIA documentado), com salvaguarda de opt-out 1-clique em todos os e-mails (header List-Unsubscribe conforme RFC 8058) e link “Cancelar inscrição” no rodapé. Você também pode desativar em /perfil/preferencias.

E-mails transacionais (confirmação de cadastro, pagamento, reset de senha, aviso de exclusão) não fazem parte do drip e continuam sendo enviados independentemente — são necessários para a execução do contrato.

Você tem direito a:

• Confirmação e acesso aos dados que tratamos sobre você
• Correção de dados incompletos, inexatos ou desatualizados — disponível em /perfil/preferencias
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
• Portabilidade — baixe um arquivo JSON com tudo que temos sobre você em /api/account/export
• Eliminação dos dados tratados com consentimento — /perfil/excluir-conta
• Informação sobre compartilhamento — veja /subprocessadores
• Revogação do consentimento a qualquer momento — /perfil/preferencias
• Petição contra o controlador perante a ANPD se entender que algum direito foi violado

Para qualquer pedido fora do que está disponível em self-service, escreva para [email protected]. Confirmaremos sua identidade (você precisará estar logado ou comprovar a posse do e-mail) e responderemos em até 15 dias.

Adotamos medidas técnicas e organizacionais alinhadas ao Art. 46 da LGPD:

• Senhas armazenadas com hash bcrypt (cost 12) — nunca em texto claro
• Chaves PIX criptografadas com AES-256-GCM no banco (com lookup via HMAC-SHA-256) e versionamento para suporte a rotação
• HTTPS/TLS 1.2+ obrigatório em toda comunicação
• Content-Security-Policy com nonce per-request, HSTS, X-Frame-Options, COOP, CORP, X-Content-Type-Options
• Sentry com scrubbing automático de campos sensíveis (password, token, pixKey, cpf, etc.) antes de qualquer envio
• Acesso administrativo restrito, com audit log de operações administrativas
• Rate-limit duplo (por IP + por e-mail) em endpoints sensíveis (cadastro, login, exclusão)
• Captcha invisível (Cloudflare Turnstile) no cadastro contra bots
• Soft-delete reversível com janela de 30 dias antes do hard-delete

O Verificador de BMS é destinado a profissionais maiores de 18 anos (gestores de tráfego, agências, donos de negócio). Não coletamos intencionalmente dados de menores de 18 anos. Se você é responsável por um menor que possa ter cadastrado sem autorização, entre em contato pelo canal do encarregado para exclusão imediata.

Quando atualizarmos esta política, mudamos a versão e a data no topo da página e registramos as alterações em /privacidade/historico. Mudanças materiais (que ampliem coleta, finalidade ou compartilhamento) são notificadas por e-mail antes de entrarem em vigor.