1. Introdução
A Orqueza ("nós", "nosso"), acessível em orqueza.com.br, é uma plataforma SaaS de gestão de projetos, clientes, orçamentos, mensagens, NFS-e, CRM, intranet e domínios personalizados. Esta política descreve como tratamos dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD).
Esta política se aplica a três tipos de pessoas:
- Usuários da plataforma (assinantes, colaboradores) — somos Controlador dos seus dados.
- Clientes finais dos nossos usuários (cadastrados como Cliente dentro da plataforma) — somos Operador, o nosso usuário é o Controlador.
- Visitantes do site público (orqueza.com.br) — somos Controlador dos cookies e dados de navegação.
2. Encarregado de Proteção de Dados (DPO)
Em cumprimento ao Art. 41 da LGPD, nosso Encarregado pode ser contatado em:
- E-mail: dpo@orqueza.com.br
- Canal alternativo: privacidade@orqueza.com.br
O Encarregado é o canal de comunicação entre você (titular), a Orqueza (controlador) e a Autoridade Nacional de Proteção de Dados (ANPD).
3. Dados Pessoais Coletados
3.1 Quando você se cadastra
- Nome completo, e-mail, senha (armazenada com hash bcrypt).
- Telefone, CPF/CNPJ, endereço — opcional ou conforme módulo utilizado.
- Foto de perfil (avatar).
3.2 Quando você utiliza a plataforma
- Dados de uso: endereço IP, navegador, sistema operacional, páginas acessadas, horários, ações realizadas.
- Dados profissionais: projetos, tarefas, etapas, sprints, mensagens, anexos, orçamentos.
- Dados fiscais: CNPJ, CPF, endereço, certificado A1 (criptografado) — somente no módulo NFS-e.
- CRM: dados de leads, oportunidades, atividades comerciais que você inserir sobre seus próprios contatos.
- Intranet: conteúdo de artigos, documentos, comentários — somente se o módulo estiver ativo.
- Notificações: registros de notificações entregues no painel.
3.3 Visitantes do site público
- Cookies essenciais (sessão, autenticação, CSRF) — base legal: legítimo interesse.
- Endereço IP — coletado por motivos de segurança (rate limiting, prevenção a fraude) e por nossa CDN (Cloudflare).
- Ao se inscrever em formulários públicos da plataforma (ex.: captação de leads embutida em sites de nossos usuários), os dados que você fornecer são controlados pelo nosso usuário, não pela Orqueza. Cada formulário deve apresentar consentimento explícito e link para a política do controlador.
4. Finalidades e Base Legal
Conforme o Art. 7º da LGPD, tratamos seus dados com as seguintes finalidades e bases legais:
| Finalidade | Base Legal |
|---|---|
| Criação e manutenção da conta, autenticação, prestação do serviço contratado | Execução de contrato (Art. 7º, V) |
| Emissão de NFS-e, faturamento, registros fiscais | Obrigação legal (Art. 7º, II) |
| Segurança da plataforma, prevenção a fraudes, registros de auditoria | Legítimo interesse (Art. 7º, IX) |
| Comunicações transacionais (confirmação de cadastro, recuperação de senha, alertas críticos) | Execução de contrato (Art. 7º, V) |
| Comunicações de marketing, newsletters, novidades do produto | Consentimento (Art. 7º, I) — revogável a qualquer momento |
| Cookies analíticos / de marketing | Consentimento (Art. 7º, I) |
| Lead scoring no CRM (classificação interna de "temperatura" do lead) | Legítimo interesse — não toma decisão jurídica nem significativa sobre o titular (ver Seção 8) |
5. Compartilhamento e Subprocessadores
Para operar a Plataforma, contratamos prestadores que processam dados em nosso nome (Operadores). Lista atualizada disponível em /subprocessadores:
| Subprocessador | Função | País |
|---|---|---|
| Cloudflare, Inc. | CDN, proxy reverso, mitigação DDoS, SSL | EUA |
| Sentry (Functional Software, Inc.) | Monitoramento de erros e exceções da aplicação | EUA |
| Resend (Resend Communications) | Entrega de e-mails transacionais | EUA |
| Mercado Pago | Processamento de pagamentos e assinaturas | Argentina |
| Google LLC | Login social (OAuth), integração com Google Drive (opt-in) | EUA |
| Amazon Web Services | Armazenamento de arquivos (S3) quando habilitado | EUA / configurável |
| API Nacional NFS-e (SEFIN / Receita Federal) | Emissão e consulta de NFS-e | Brasil |
| aaPanel / infraestrutura própria | Hospedagem dos servidores de banco e aplicação | Brasil |
Não vendemos, alugamos nem comercializamos dados pessoais.
6. Transferência Internacional de Dados
Conforme o Art. 33 da LGPD, alguns subprocessadores (Cloudflare, Sentry, Resend, Google, AWS, Mercado Pago) processam dados em servidores fora do Brasil. Adotamos as seguintes garantias:
- Contratação somente de operadores com práticas adequadas de proteção de dados.
- Termos contratuais que obrigam o operador a tratar os dados em conformidade com a LGPD.
- Minimização de dados transferidos (envio só do estritamente necessário).
7. Armazenamento, Retenção e Segurança
7.1 Segurança técnica
- HTTPS/TLS em todo o tráfego.
- Criptografia em repouso para credenciais sensíveis: tokens OAuth (Google, Mercado Livre), segredos 2FA, certificados A1 de NFS-e, chaves de API.
- Senhas armazenadas com hash bcrypt.
- Controle de acesso baseado em perfis (RBAC) e isolamento multi-tenant por
super_admin_id. - Autenticação em dois fatores (2FA) disponível e recomendada para administradores.
- Registros de auditoria (activity log) para operações sensíveis.
- Backups automatizados.
7.2 Retenção
Os prazos atuais aplicados pelo sistema estão na Política de Retenção (gerada dinamicamente a partir do código operacional).
- Conta ativa: dados mantidos enquanto a conta existir.
- Após exclusão da conta: dados pessoais identificáveis são anonimizados em até 30 dias; registros são mantidos com pseudonimização para integridade referencial.
- Dados fiscais (NFS-e): retidos por 5 anos conforme legislação tributária.
- Activity log: mantido por 2 anos para fins de auditoria.
- Logs de erro (Sentry) e métricas (Pulse): retenção de 30 a 90 dias.
- Backups: retenção rotacional de 15 backups recentes por inquilino.
8. Decisões Automatizadas
Conforme o Art. 20 da LGPD, informamos:
- O módulo CRM utiliza lead scoring — classificação de "temperatura" de um lead (Frio / Morno / Quente) com base em atividades comerciais.
- Essa classificação é meramente informacional para o usuário Controlador (o cliente da Orqueza) e não produz efeito jurídico nem afeta significativamente o titular do dado.
- Você (ou seu controlador) pode solicitar revisão por pessoa natural a qualquer momento.
9. Seus Direitos como Titular (Art. 18 da LGPD)
Você pode exercer os seguintes direitos a qualquer momento:
- Confirmação e acesso: saber se tratamos seus dados e obter cópia.
- Correção: atualizar dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade: exportar seus dados em formato estruturado (JSON ou ZIP de CSVs).
- Eliminação dos dados tratados com consentimento.
- Informação sobre compartilhamento e operadores.
- Revogação do consentimento a qualquer tempo.
- Oposição ao tratamento baseado em legítimo interesse.
- Revisão de decisões automatizadas (lead scoring do CRM).
Como exercer
- Dentro da plataforma: acesse Perfil no painel. Lá você pode exportar seus dados em JSON ou CSV, gerenciar consentimentos opcionais (Art. 18, V), atualizar suas informações ou excluir a sua conta.
- Por e-mail: dpo@orqueza.com.br — responderemos em até 15 dias úteis.
10. Idade Mínima
Em cumprimento ao Art. 14 da LGPD:
- Nossa plataforma é destinada a usuários com 18 anos ou mais.
- No cadastro, exigimos confirmação de maioridade.
- Não coletamos conscientemente dados de menores de 18 anos.
- Se você é responsável legal e identifica que um menor sob sua tutela criou conta, contate dpo@orqueza.com.br para exclusão imediata.
11. Cookies
Utilizamos os seguintes cookies:
| Cookie | Finalidade | Duração | Base Legal |
|---|---|---|---|
laravel_session | Sessão autenticada e CSRF | Sessão | Estritamente necessário |
XSRF-TOKEN | Proteção CSRF | Sessão | Estritamente necessário |
cookie_consent (localStorage) | Lembra sua decisão sobre cookies | Persistente | Estritamente necessário |
__cf_* (Cloudflare) | Mitigação de bots e segurança | 30 min — 30 dias | Legítimo interesse |
ref_* | Referência de afiliado (quando aplicável) | 30 dias | Consentimento |
Cookies analíticos ou de marketing, se implementados no futuro, só serão carregados após seu consentimento expresso no banner.
12. Comunicação de Incidentes (Art. 48 LGPD)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares:
- Comunicaremos a ANPD em prazo razoável, conforme regulamentação vigente.
- Comunicaremos os titulares afetados, descrevendo a natureza dos dados, riscos envolvidos e medidas adotadas.
- Mantemos runbook interno de resposta a incidentes para garantir agilidade na contenção e comunicação.
13. Atualizações desta Política
Esta política é versionada (versão atual: 2, última atualização: maio de 2026). Alterações materiais serão notificadas por e-mail e/ou aviso no painel, e exigirão novo aceite antes de continuar usando a Plataforma.
14. Contato
- Encarregado (DPO): dpo@orqueza.com.br
- Privacidade geral: privacidade@orqueza.com.br
- Site: orqueza.com.br
Versão 2 — Última atualização: maio de 2026.