1. Controlador dos dados
A Microforge é uma operação de microSaaS conduzida por Roberto Oliveira, pessoa física brasileira, atuando como Controlador nos termos do Art. 5º, VI da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD").
O encarregado pelo tratamento de dados pessoais (DPO) é o próprio Roberto Oliveira, contatável em roberto@microforge.app.
2. Dados pessoais coletados
Coletamos apenas os dados estritamente necessários para operar nossos serviços. A lista abaixo é exaustiva — se não está aqui, não coletamos.
| Categoria | Dado | Quando coletamos |
|---|---|---|
| Identificação | Endereço de e-mail | Cadastro de conta |
| Identificação | Nome (opcional, preenchido pelo próprio usuário) | Perfil da conta |
| Autenticação | Identificador único (UUID Cognito sub) | Cadastro |
| Autenticação | Senha (armazenada como hash bcrypt — não temos acesso ao texto) | Cadastro / Alteração |
| Técnico | Endereço IP, user-agent do navegador | A cada acesso (logs CloudWatch) |
| Uso | Receitas/cálculos salvos pelo usuário no produto | Durante uso do produto |
| Uso | Timestamps de último acesso, configurações de preferência | Durante uso do produto |
| Pagamento | Histórico de transações via Stripe (apenas IDs, valor, data). Microforge NUNCA armazena número de cartão, CVV ou data de validade. | Compra de plano |
| Analytics | Eventos de navegação anônimos (page views, cliques em CTAs, scroll depth). Google Analytics 4 com IP anonimizado. | Cada visita às páginas microforge.app e lambda.microforge.app |
| Analytics visual | Heatmap e gravação de sessão (mouse, scroll, cliques — SEM captura de campos sensíveis como senha ou cartão). Microsoft Clarity. Respeita Do-Not-Track. | Cada visita |
Dados sensíveis (Art. 5º, II LGPD): não coletamos. Nada sobre origem racial, convicção religiosa, opinião política, saúde, vida sexual, biometria ou genética. Nada disso é necessário para o serviço.
3. Como coletamos
- Diretamente do titular — quando você cria conta, preenche perfil ou utiliza os produtos.
- Automaticamente — IP, user-agent, timestamps de uso (logs técnicos de servidor).
- Via operadores — Stripe (processador de pagamento) nos informa o status de uma transação e o e-mail vinculado à compra. Stripe não compartilha dados de cartão conosco.
Não compramos listas, não usamos data brokers e não temos pixel de tracking de terceiros embutido em nossas páginas.
4. Para que usamos
Usamos seus dados estritamente para as finalidades abaixo:
- Criar, manter e autenticar sua conta
- Entregar acesso ao plano contratado e gerenciar entitlements
- Enviar comunicação transacional (recibos de pagamento, avisos de vencimento, confirmação de e-mail)
- Prestar suporte técnico quando você nos contatar
- Cumprir obrigações legais e fiscais (retenção de recibos, atendimento a autoridades quando exigido)
- Detectar e prevenir fraude, abuso e ataques de segurança
- Gerar estatísticas agregadas e anonimizadas para melhoria do produto (sem identificação individual)
Não usamos seus dados para marketing de terceiros, profile-building publicitário ou venda a parceiros.
5. Base legal (LGPD)
Cada tratamento que fazemos está amparado em uma das bases legais previstas no Art. 7º da LGPD:
Art. 7º, V — Execução de contrato
Tratamos seu e-mail, identificador Cognito e dados de uso porque são necessários para executar o contrato de prestação de serviço que você firma ao criar uma conta e aceitar nossos Termos.
Art. 7º, II — Cumprimento de obrigação legal
Retemos registros fiscais de pagamento por 5 anos para cumprir obrigações tributárias e contábeis brasileiras.
Art. 7º, IX — Legítimo interesse
Logs técnicos de IP e user-agent são tratados com base em legítimo interesse para segurança da operação (detecção de fraude, mitigação de ataques, auditoria).
Art. 7º, I — Consentimento
Tratamentos não previstos contratualmente (ex: futura newsletter de marketing) exigirão consentimento explícito e revogável.
6. Compartilhamento com terceiros (operadores)
Para operar o serviço, contratamos provedores que tratam dados em nosso nome (operadores, Art. 5º, VII da LGPD). Lista nominal e exaustiva:
Amazon Web Services (AWS) — São Paulo (sa-east-1)
Hospedagem dos serviços, banco de dados (DynamoDB), autenticação (Cognito), funções serverless (Lambda), armazenamento (S3). Dados ficam primariamente no Brasil — eventual processamento em outras regiões ocorre apenas em serviços globais (CloudFront, ACM) e está coberto por SCC AWS. Política AWS.
Stripe Payments (Stripe Brasil + Stripe Inc. EUA)
Processamento de pagamentos por cartão, geração de recibos, gestão de reembolsos. A Stripe é controladora dos dados de cartão (PCI-DSS Level 1) — não temos acesso a esses dados. Política Stripe.
Provedor de e-mail transacional
Envio de e-mails de confirmação, recibo e notificação operacional. Atualmente Amazon SES (mesma conta AWS Brasil).
Google Analytics 4 (Google LLC — EUA)
Métricas agregadas de navegação anônima (page views, eventos de clique). IP anonimizado por default no GA4. Respeita o sinal Do-Not-Track do navegador. Não compartilhamos identificadores pessoais com o Google. Política Google.
Microsoft Clarity (Microsoft Corp. — EUA)
Heatmap + gravação de sessão (mouse, scroll, cliques) pra entender onde usuários travam ou desistem. Não captura campos sensíveis (senha, cartão, CPF — bloqueados automaticamente pelo Clarity). Respeita Do-Not-Track. Você pode optar por sair via link de opt-out. Política Microsoft.
GoDaddy (Registrar + DNS)
Registro do domínio microforge.app
e zona DNS. Não acessa dados pessoais de usuários do produto.
A Microforge NUNCA vende, aluga ou cede dados pessoais a terceiros para fins comerciais.
7. Transferência internacional
Dados pessoais ficam primariamente armazenados no Brasil (AWS São Paulo, região sa-east-1). Em alguns casos pontuais, há transferência internacional:
- Stripe processa pagamentos com infraestrutura nos EUA (e na Stripe Brasil quando aplicável). Sujeito a Cláusulas Contratuais Padrão e ao programa de privacidade da Stripe.
- CloudFront / ACM (AWS) operam em rede global, podendo cachear conteúdo estático em pontos de presença fora do Brasil. Apenas conteúdo público.
Transferências ocorrem com salvaguardas adequadas conforme Art. 33 da LGPD (cláusulas contratuais padrão, certificações dos operadores).
8. Retenção dos dados
Mantemos seus dados apenas pelo tempo necessário:
- Conta ativa: enquanto você mantiver a conta aberta.
- Após exclusão de conta: dados pessoais identificáveis são removidos em até 30 dias, salvo exceções abaixo.
- Registros fiscais (recibos, notas, comprovantes de pagamento): retidos por 5 anos por obrigação legal tributária brasileira.
- Logs de segurança anonimizados (sem associação ao titular): retidos por até 12 meses.
9. Seus direitos como titular (Art. 18 LGPD)
Você tem direito a, a qualquer momento, solicitar à Microforge:
Confirmação
Se tratamos dados seus.
Acesso
Cópia de todos os dados que temos sobre você.
Correção
Atualização de dados incompletos, inexatos ou desatualizados.
Anonimização / bloqueio / eliminação
De dados desnecessários, excessivos ou tratados em desconformidade.
Portabilidade
Receber dados em formato estruturado (JSON) e legível.
Eliminação
De dados tratados com base no consentimento (salvo casos legais).
Informação sobre compartilhamento
Lista de operadores e finalidades.
Revogação do consentimento
Quando aplicável.
Como exercer: envie e-mail para roberto@microforge.app com o assunto "Solicitação LGPD" indicando qual direito deseja exercer. Respondemos em até 15 dias corridos.
Podemos pedir confirmação de identidade antes de atender solicitações sensíveis, para proteger seus dados de pedidos não autorizados.
10. Segurança
Aplicamos medidas técnicas e organizacionais proporcionais ao risco:
- Criptografia em trânsito: HTTPS/TLS 1.2+ obrigatório (HSTS), sem fallback HTTP.
- Criptografia em repouso: DynamoDB encryption (AWS-managed keys), buckets S3 encrypted.
- Senhas: armazenadas como hash bcrypt via AWS Cognito. Não temos acesso ao texto.
- MFA opcional disponível via Cognito — recomendamos ativar.
- Princípio do menor privilégio: acesso administrativo limitado ao controlador, com MFA obrigatório e auditoria via CloudTrail.
- Backup e disaster recovery: snapshots periódicos do DynamoDB.
⚠ Incidente de segurança
Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em até 72 horas, conforme Art. 48 da LGPD.
12. Menores de idade
Nossos serviços são destinados a maiores de 18 anos. Não coletamos dados de menores conscientemente. Se identificarmos que conta foi criada por menor sem autorização dos responsáveis, removeremos imediatamente os dados (Art. 14 LGPD). Pais ou responsáveis que suspeitarem do uso devem nos contatar.
13. Alterações nesta política
Podemos atualizar esta política para refletir mudanças legais, novos serviços ou melhorias operacionais. Quando houver mudança material (que afete direitos ou tratamento de dados), notificaremos:
- Por e-mail, com 30 dias de antecedência.
- Aviso no app/site na primeira sessão após mudança.
Continuar usando o serviço após a nova vigência implica aceitação da política atualizada. Versões anteriores ficam disponíveis sob solicitação.
14. Contato e ANPD
ANPD
Autoridade Nacional de Proteção de Dados
Caso não consigamos resolver, você pode acionar a ANPD em gov.br/anpd.