O Xerife

Política de Privacidade

Última atualização: 08 de abril de 2026

Nesta página
  1. 1. Quem somos
  2. 2. O que coletamos
  3. 3. Por que coletamos
  4. 4. Base legal (LGPD Art. 7)
  5. 5. Onde guardamos
  6. 6. Por quanto tempo guardamos
  7. 7. Compartilhamento de dados
  8. 8. Seus direitos (LGPD Art. 18)
  9. 9. Cookies
  10. 10. Segurança
  11. 11. Inteligência Artificial
  12. 12. Crianças
  13. 13. Mudanças nesta política
  14. 14. Contato do controlador

1. Quem somos

A Nichev Software Engineering LTDA, inscrita no CNPJ sob o nº 50.092.306/0001-93, com sede em Brusque, Santa Catarina, Brasil, é a controladora dos dados pessoais tratados no âmbito do Xerife. Esta Política explica o que a gente coleta, por que coleta, com quem compartilha, e quais direitos você tem sobre seus dados, tudo nos termos da Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018).

2. O que coletamos

A gente coleta só o que precisa pra rodar o serviço:

a) Dados de cadastro

  • Email
  • Senha (armazenada com hash bcrypt, nunca em texto puro)
  • Nome (opcional)
  • Idioma preferido (PT ou EN)
  • Data de criação da conta

b) Dados financeiros

  • Despesas, receitas, categorias, descrições, valores, datas
  • Notas fiscais que você anexa (PDF/imagem), guardadas no Supabase Storage
  • Contas fixas, parcelamentos, lembretes

c) Dados do WhatsApp (opcional, opt-in)

  • Seu número de WhatsApp
  • Histórico das mensagens de texto trocadas com o bot
  • Áudios enviados ao bot, transcritos e descartados em até 24 horas após a transcrição
  • Imagens enviadas pro bot (armazenadas como nota fiscal apenas se você instruir)

d) Dados de pagamento

A gente não armazena dados de cartão. A Stripe armazena tudo. O Xerife guarda apenas: ID do cliente Stripe, status da assinatura, últimos 4 dígitos do cartão (pra exibição no painel), data de expiração e ID da próxima fatura.

e) Dados técnicos

  • IP de acesso (logs descartados após 30 dias)
  • User-Agent do navegador
  • Logs de erro via Sentry, com dados pessoais anonimizados

3. Por que coletamos

Cada tipo de dado tem uma finalidade específica:

  • Cadastro: autenticar você e proteger sua conta.
  • Financeiros: registrar e exibir suas transações, gerar relatórios, enviar lembretes.
  • WhatsApp: receber e responder mensagens do bot.
  • Pagamento: processar sua assinatura e exibir status no painel.
  • Técnicos: monitoramento de segurança e diagnóstico de bugs.

O tratamento dos seus dados se baseia em:

  • Execução de contrato (Art. 7, V): pra rodar o Xerife pra você.
  • Consentimento (Art. 7, I): pra conectar o WhatsApp e usar o bot, que é opt-in explícito.
  • Legítimo interesse (Art. 7, IX): pra logs técnicos de segurança e prevenção a fraude.
  • Obrigação legal (Art. 7, II): pra retenção fiscal quando exigida.

5. Onde guardamos

Pra rodar o Xerife a gente usa provedores especializados (subprocessadores). Cada um recebe apenas o mínimo necessário pra fazer o trabalho dele:

SubprocessadorFunçãoPaísO que recebem
SupabaseBanco de dados + storageEUA (us-east-1)Todos os dados financeiros, cadastro, arquivos anexados
RailwayHospedagem do servidorEUA + UELogs de servidor, runtime do app
VercelHospedagem do siteEdge globalLogs de visita, métricas anonimizadas
SentryMonitoramento de errosEUALogs de erro com PII anonimizado
ResendEnvio de emailEUA + UEEmail + conteúdo das mensagens transacionais
TwilioEnvio/recebimento WhatsAppEUANúmero de WhatsApp + conteúdo das mensagens
StripeProcessamento de pagamentoEUA + UEEmail + dados de cartão (que NÓS não vemos)
Anthropic (Claude)IA do bot WhatsAppEUAConteúdo das mensagens enviadas pro bot. Anthropic não treina modelos com esses dados.

Transferências internacionais são feitas com base em cláusulas contratuais padrão e nas garantias previstas no Art. 33 da LGPD.

6. Por quanto tempo guardamos

Enquanto sua conta estiver ativa, a gente mantém seus dados. Quando você cancela, seus dados ficam em backup por até 30 dias pra eventual restauração, depois disso, são deletados permanentemente, inclusive dos subprocessadores (na medida do que cada um suporta). Logs técnicos são descartados em 30 dias.

7. Compartilhamento de dados

A gente NUNCA vende seus dados. Ponto final. Os únicos terceiros que têm acesso aos seus dados são os subprocessadores listados no §5, e cada um só recebe o estritamente necessário pra executar a função dele. A gente só compartilha dados com autoridades se receber ordem judicial ou requisição legítima nos termos da lei brasileira.

8. Seus direitos (LGPD Art. 18)

Você tem direito a:

  • Acesso: saber quais dados a gente tem sobre você.
  • Correção: corrigir dados incompletos ou desatualizados.
  • Exclusão: apagar seus dados, exceto quando houver obrigação legal de retenção.
  • Portabilidade: exportar seus dados em formato estruturado (PDF e CSV disponíveis no painel).
  • Anonimização ou bloqueio: pra dados desnecessários ou tratados fora da lei.
  • Revogação do consentimento: a qualquer momento, sem prejuízo da licitude do tratamento anterior.

A maioria desses direitos você exerce sozinho, sem precisar falar com a gente: vai em Configurações → Zona Perigosa pra deletar a conta inteira, ou use os botões de exportação do painel pra baixar seus dados em PDF/CSV. Pra qualquer coisa que precise de nós, manda email pra support@nichevlabs.com.

9. Cookies

O Xerife usa apenas cookies essenciais: um cookie de sessão pra manter seu login ativo e um cookie de preferência de idioma (PT ou EN). A gente não usa cookies de rastreamento de terceiros. As métricas do Vercel Analytics são cookieless e respeitam Do Not Track.

10. Segurança

A gente leva segurança a sério. Os dados são criptografados em repouso (AES-256 no Supabase) e em trânsito (TLS 1.3). As senhas são armazenadas com hash bcrypt. Backups são automáticos e criptografados. Row Level Security (RLS) no banco garante que cada usuário só vê os próprios dados. A gente tem monitoramento contínuo de erros e tentativas de acesso suspeitas via Sentry.

11. Inteligência Artificial

O bot WhatsApp do Xerife usa o modelo Claude, da Anthropic, pra entender suas mensagens, categorizar gastos e responder. As mensagens que você envia pro bot são transmitidas à Anthropic pra processamento. A Anthropic não usa essas mensagens pra treinar modelos (é uma cláusula contratual explícita no serviço corporativo deles).

Áudios são transcritos localmente via faster-whisper no nosso próprio servidor, o arquivo de áudio não sai da nossa infraestrutura. Apenas a transcrição em texto vai pro Claude pra interpretação, e o áudio original é apagado em até 24 horas.

12. Crianças

O Xerife não é destinado a menores de 18 anos. A gente não coleta intencionalmente dados de crianças e adolescentes. Se a gente descobrir que uma conta foi criada por menor, a conta é removida e os dados apagados.

13. Mudanças nesta política

Se a gente precisar atualizar esta Política, avisa você por email com pelo menos 30 dias de antecedência. A data no topo do documento sempre reflete a versão mais recente.

14. Contato do controlador

Qualquer solicitação relativa aos seus dados pessoais (acesso, correção, exclusão, portabilidade, dúvidas) vai pra support@nichevlabs.com. A gente responde em até 15 dias.

Encarregado (DPO): a gente não tem um DPO formal designado, a LGPD não exige DPO pra controladores de pequeno porte que não realizam tratamento em larga escala (Art. 41 §3º regulamentado pela ANPD). Ainda assim, todas as solicitações relacionadas a dados pessoais vão pra esse email e são respondidas pelo próprio fundador, que exerce a função de ponto focal de privacidade.

← Voltar pra início