Ultima atualizacao: maio de 2026

Politica de Privacidade

IA2S Guardian — Gestao Segura de Certificados Digitais A1

1. Identificacao do Controlador

A IA2S (CNPJ 65.840.082/0001-28), responsavel pela plataforma IA2S Guardian, e a controladora dos dados pessoais tratados no ambito desta Politica, nos termos do art. 5°, VI da Lei 13.709/2018 (LGPD).

Contato do Encarregado de Protecao de Dados (DPO): [email protected]

2. Dados Coletados e Finalidades

Coletamos dados pessoais estritamente necessarios para a prestacao dos servicos da plataforma. A tabela abaixo descreve as categorias de dados, suas finalidades e bases legais:

DadoFinalidadeBase Legal (LGPD)
Nome completoIdentificacao do usuario na plataformaExecucao de contrato (art. 7°, V)
E-mailAutenticacao, notificacoes e comunicadosExecucao de contrato (art. 7°, V)
CPF/CNPJIdentificacao do titular do certificado digitalObrigacao legal (art. 7°, II)
Certificado digital (.pfx)Armazenamento cifrado para delegacao de usoConsentimento + execucao de contrato (art. 7°, I e V)
Logs de acesso e auditoriaSeguranca, rastreabilidade e conformidade legalLegitimo interesse + obrigacao legal (art. 7°, II e IX)
Endereco IP e dados de sessaoSeguranca, prevencao a fraudes e autenticacaoLegitimo interesse (art. 7°, IX)
Dados de faturamentoProcessamento de pagamentos e obrigacoes fiscaisObrigacao legal (art. 7°, II)

3. Dados Sensiveis

Os certificados digitais A1 (e-CPF/e-CNPJ) contidos na plataforma podem incluir dados biometricos e informacoes de identificacao fiscal considerados dados sensiveis nos termos do art. 5°, II da LGPD.

Para estes dados, adotamos medidas de protecao reforçadas:

  • Os arquivos .pfx sao armazenados exclusivamente em formato criptografado (AES-256-GCM) em tabela segregada (certificate_secrets), inacessivel a qualquer usuario da plataforma — inclusive administradores;
  • O CPF/CNPJ presente nos metadados do certificado e mascarado na interface conforme o nivel de permissao do usuario;
  • O acesso a estes dados e concedido apenas mediante consentimento expresso e especifico do titular.

4. Como os Dados Sao Usados

Os dados coletados sao utilizados exclusivamente para:

  • Prestacao dos servicos contratados, incluindo autenticacao em tribunais e portais governamentais;
  • Comunicacao sobre a conta, atualizacoes do servico e alertas de segurança;
  • Melhoria e desenvolvimento de novos recursos da plataforma (dados anonimizados ou agregados);
  • Cumprimento de obrigacoes legais e regulatorias;
  • Prevencao a fraudes e garantia da segurança da plataforma.

A IA2S nao utiliza dados pessoais para fins de publicidade de terceiros, nao vende dados a anunciantes e nao realiza perfilamento automatizado para fins distintos dos contratados.

5. Compartilhamento de Dados

Os dados pessoais dos Clientes e usuarios nao sao vendidos, alugados ou cedidos a terceiros para fins comerciais. O compartilhamento ocorre apenas nas seguintes hipoteses:

  • Provedores de infraestrutura (operadores): a plataforma utiliza o Supabase (banco de dados e autenticacao, hospedado no Brasil — regiao sa-east-1) e a Cloudflare (CDN e protecao contra bots). Estes prestadores estao contratualmente obrigados a tratar os dados conforme a LGPD e nao tem acesso aos dados em texto claro;
  • Autoridades publicas: em cumprimento a determinacao judicial, administrativa ou legal fundamentada;
  • Dentro do proprio escritorio/empresa do Cliente: os usuarios delegados autorizados pelo proprio Cliente acessam apenas os metadados necessarios para utilizar o certificado, nunca o arquivo .pfx ou senha.

6. Transferencia Internacional de Dados

Os dados pessoais sao armazenados primariamente em servidores localizados no Brasil. Em razao da arquitetura de rede global da Cloudflare (utilizada para protecao e distribuicao de conteudo), pode ocorrer processamento temporario de dados de trafego fora do territorio nacional.

Nesses casos, a IA2S garante que a transferencia ocorre para paises com nivel de protecao adequado ou mediante claususlas contratuais padrao equivalentes ao exigido pela LGPD, nos termos do art. 33 da Lei 13.709/2018.

7. Retencao e Exclusao de Dados

Os dados pessoais sao retidos pelo tempo necessario para as finalidades descritas nesta Politica ou para o cumprimento de obrigacoes legais. Os periodos de retencao sao:

  • Dados da conta ativa: mantidos enquanto o contrato estiver vigente;
  • Apos cancelamento: 90 dias para possibilidade de recuperacao, seguidos de exclusao permanente e irreversivel;
  • Logs de auditoria: retidos por ate 5 anos, em conformidade com obrigacoes legais e regulatorias aplicaveis;
  • Dados fiscais e de faturamento: retidos por 10 anos conforme exige a legislacao tributaria brasileira.

8. Segurança dos Dados

Adotamos as seguintes medidas tecnicas e administrativas para proteger os dados pessoais:

  • Criptografia em transito (TLS 1.2+) e em repouso (AES-256-GCM);
  • Autenticacao multifator (TOTP) disponivel para todos os usuarios;
  • Controles de acesso baseados em funcao (RBAC) com principio do minimo privilegio;
  • Sessao unica por usuario — novo login invalida sessao anterior;
  • Row-Level Security (RLS) no banco de dados com isolamento por conta (tenant);
  • Monitoramento continuo e logs de auditoria imutaveis;
  • Testes de segurança periodicos (pentest) e programa de gestao de vulnerabilidades.

9. Cookies e Tecnologias de Rastreamento

O painel web do IA2S Guardian utiliza os seguintes cookies:

  • Cookies de sessao (necessarios): armazenam o token de autenticacao de forma segura (httpOnly, Secure, SameSite=Strict). Nao podem ser desabilitados sem comprometer o funcionamento da plataforma;
  • Cookie CSRF (necessario): protecao contra ataques Cross-Site Request Forgery. Obrigatorio para a segurança do servico;
  • Cloudflare Turnstile (funcional): verificacao de bot na tela de login. Nao rastreia usuarios entre sites.

Nao utilizamos cookies de rastreamento publicitario ou de analise comportamental de terceiros.

10. Direitos dos Titulares

Nos termos dos arts. 17 a 22 da LGPD, os titulares de dados pessoais tem os seguintes direitos, exerciveis mediante solicitacao a [email protected]:

  • Confirmacao e acesso: confirmar a existencia do tratamento e obter copia dos dados;
  • Correcao: solicitar a correcao de dados incompletos, inexatos ou desatualizados;
  • Anonimizacao, bloqueio ou eliminacao: de dados desnecessarios ou tratados em desconformidade com a LGPD;
  • Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de servico ou produto;
  • Eliminacao: solicitar a exclusao dos dados tratados com base em consentimento;
  • Informacao: obter informacoes sobre entidades publicas e privadas com as quais a IA2S compartilhou dados;
  • Revogacao do consentimento: revogar o consentimento a qualquer momento, sem prejuizo da licitude do tratamento realizado anteriormente.

Responderemos as solicitacoes no prazo de 15 (quinze) dias uteis, podendo ser prorrogado mediante justificativa.

11. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a IA2S comunicara a Autoridade Nacional de Protecao de Dados (ANPD) e os titulares afetados dentro do prazo de 72 horas, nos termos do art. 48 da LGPD, contendo a descricao da natureza dos dados afetados, as medidas tecnicas e de segurança adotadas e as recomendacoes aos titulares.

12. Atualizacoes desta Politica

Esta Politica pode ser atualizada periodicamente para refletir mudancas nos servicos, na legislacao ou nas praticas de privacidade. A data da ultima atualizacao e indicada no topo desta pagina. Mudancas substanciais serao comunicadas por e-mail ou por aviso destacado na plataforma.

13. Contato e Canal do DPO

Para exercer seus direitos, registrar reclamacoes ou obter esclarecimentos sobre esta Politica, entre em contato com nosso Encarregado de Protecao de Dados pelo e-mail [email protected]. Consulte tambem nossa pagina de conformidade com a LGPD e nossos Termos de Uso.