1. Quem somos
A Nichev Software Engineering LTDA, inscrita no CNPJ sob o nº 50.092.306/0001-93, com sede em Brusque, Santa Catarina, Brasil, é a controladora dos dados pessoais tratados no âmbito do Xerife. Esta Política explica o que a gente coleta, por que coleta, com quem compartilha, e quais direitos você tem sobre seus dados, tudo nos termos da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
2. O que coletamos
A gente coleta só o que precisa pra rodar o serviço:
a) Dados de cadastro
- Senha (armazenada com hash bcrypt, nunca em texto puro)
- Nome (opcional)
- Idioma preferido (PT ou EN)
- Data de criação da conta
b) Dados financeiros
- Despesas, receitas, categorias, descrições, valores, datas
- Notas fiscais que você anexa (PDF/imagem), guardadas no Supabase Storage
- Contas fixas, parcelamentos, lembretes
c) Dados do WhatsApp (opcional, opt-in)
- Seu número de WhatsApp
- Histórico das mensagens de texto trocadas com o bot
- Áudios enviados ao bot — transcritos e descartados em até 24 horas após a transcrição
- Imagens enviadas pro bot (armazenadas como nota fiscal apenas se você instruir)
d) Dados de pagamento
A gente não armazena dados de cartão. A Stripe armazena tudo. A Sheriff guarda apenas: ID do cliente Stripe, status da assinatura, últimos 4 dígitos do cartão (pra exibição no painel), data de expiração e ID da próxima fatura.
e) Dados técnicos
- IP de acesso (logs descartados após 30 dias)
- User-Agent do navegador
- Logs de erro via Sentry, com PII anonimizado
3. Por que coletamos
Cada tipo de dado tem uma finalidade específica:
- Cadastro: autenticar você e proteger sua conta.
- Financeiros: registrar e exibir suas transações, gerar relatórios, enviar lembretes.
- WhatsApp: receber e responder mensagens do bot.
- Pagamento: processar sua assinatura e exibir status no painel.
- Técnicos: monitoramento de segurança e diagnóstico de bugs.
4. Base legal (LGPD Art. 7)
O tratamento dos seus dados se baseia em:
- Execução de contrato (Art. 7, V): pra rodar o Xerife pra você.
- Consentimento (Art. 7, I): pra conectar o WhatsApp e usar o bot, que é opt-in explícito.
- Legítimo interesse (Art. 7, IX): pra logs técnicos de segurança e prevenção a fraude.
- Obrigação legal (Art. 7, II): pra retenção fiscal quando exigida.
5. Onde guardamos
Pra rodar o Xerife a gente usa provedores especializados (subprocessadores). Cada um recebe apenas o mínimo necessário pra fazer o trabalho dele:
| Subprocessador | Função | País | O que recebem |
|---|---|---|---|
| Supabase | Banco de dados + storage | EUA (us-east-1) | Todos os dados financeiros, cadastro, arquivos anexados |
| Railway | Hospedagem do servidor | EUA + UE | Logs de servidor, runtime do app |
| Vercel | Hospedagem do site | Edge global | Logs de visita, métricas anonimizadas |
| Sentry | Monitoramento de erros | EUA | Logs de erro com PII anonimizado |
| Resend | Envio de email | EUA + UE | Email + conteúdo das mensagens transacionais |
| Twilio | Envio/recebimento WhatsApp | EUA | Número de WhatsApp + conteúdo das mensagens |
| Stripe | Processamento de pagamento | EUA + UE | Email + dados de cartão (que NÓS não vemos) |
| Anthropic (Claude) | IA do bot WhatsApp | EUA | Conteúdo das mensagens enviadas pro bot. Anthropic não treina modelos com esses dados. |
Transferências internacionais são feitas com base em cláusulas contratuais padrão e nas garantias previstas no Art. 33 da LGPD.
6. Por quanto tempo guardamos
Enquanto sua conta estiver ativa, a gente mantém seus dados. Quando você cancela, seus dados ficam em backup por até 30 dias pra eventual restauração — depois disso, são deletados permanentemente, inclusive dos subprocessadores (na medida do que cada um suporta). Logs técnicos são descartados em 30 dias.
7. Compartilhamento de dados
A gente NUNCA vende seus dados. Ponto final. Os únicos terceiros que têm acesso aos seus dados são os subprocessadores listados no §5, e cada um só recebe o estritamente necessário pra executar a função dele. A gente só compartilha dados com autoridades se receber ordem judicial ou requisição legítima nos termos da lei brasileira.
8. Seus direitos (LGPD Art. 18)
Você tem direito a:
- Acesso: saber quais dados a gente tem sobre você.
- Correção: corrigir dados incompletos ou desatualizados.
- Exclusão: apagar seus dados, exceto quando houver obrigação legal de retenção.
- Portabilidade: exportar seus dados em formato estruturado (PDF e CSV disponíveis no painel).
- Anonimização ou bloqueio: pra dados desnecessários ou tratados fora da lei.
- Revogação do consentimento: a qualquer momento, sem prejuízo da licitude do tratamento anterior.
A maioria desses direitos você exerce sozinho, sem precisar falar com a gente: vai em Configurações → Zona Perigosa pra deletar a conta inteira, ou use os botões de exportação do painel pra baixar seus dados em PDF/CSV. Pra qualquer coisa que precise de nós, manda email pra support@nichevlabs.com.
9. Cookies
O Xerife usa apenas cookies essenciais: um cookie de sessão pra manter seu login ativo e um cookie de preferência de idioma (PT ou EN). A gente não usa cookies de rastreamento de terceiros. As métricas do Vercel Analytics são cookieless e respeitam Do Not Track.
10. Segurança
A gente leva segurança a sério. Os dados são criptografados em repouso (AES-256 no Supabase) e em trânsito (TLS 1.3). As senhas são armazenadas com hash bcrypt. Backups são automáticos e criptografados. Row Level Security (RLS) no banco garante que cada usuário só vê os próprios dados. A gente tem monitoramento contínuo de erros e tentativas de acesso suspeitas via Sentry.
11. Inteligência Artificial
O bot WhatsApp do Xerife usa o modelo Claude, da Anthropic, pra entender suas mensagens, categorizar gastos e responder. As mensagens que você envia pro bot são transmitidas à Anthropic pra processamento. A Anthropic não usa essas mensagens pra treinar modelos (é uma cláusula contratual explícita no serviço corporativo deles).
Áudios são transcritos localmente via faster-whisper no nosso próprio servidor — o arquivo de áudio não sai da nossa infraestrutura. Apenas a transcrição em texto vai pro Claude pra interpretação, e o áudio original é apagado em até 24 horas.
12. Crianças
O Xerife não é destinado a menores de 18 anos. A gente não coleta intencionalmente dados de crianças e adolescentes. Se a gente descobrir que uma conta foi criada por menor, a conta é removida e os dados apagados.
13. Mudanças nesta política
Se a gente precisar atualizar esta Política, avisa você por email com pelo menos 30 dias de antecedência. A data no topo do documento sempre reflete a versão mais recente.
14. Contato do controlador
Qualquer solicitação relativa aos seus dados pessoais (acesso, correção, exclusão, portabilidade, dúvidas) vai pra support@nichevlabs.com. A gente responde em até 15 dias.
Encarregado (DPO): a gente não tem um DPO formal designado — a LGPD não exige DPO pra controladores de pequeno porte que não realizam tratamento em larga escala (Art. 41 §3º regulamentado pela ANPD). Ainda assim, todas as solicitações relacionadas a dados pessoais vão pra esse email e são respondidas pelo próprio fundador, que exerce a função de ponto focal de privacidade.