Política de Privacidade

Versão v1.0-2026-05 · Atualizado em 30 de maio de 2026

Esta política descreve como a T3 Software coleta, protege e processa os dados dos lojistas que utilizam a plataforma. O texto está alinhado à Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018) e à arquitetura técnica real do serviço.

1. Quem é o controlador

A T3 Software é a controladora dos seus dados cadastrais (item 2.A abaixo) e operadora dos dados de pedidos, clientes finais e conteúdo da sua loja online (itens 2.C e 2.D).

Contato do encarregado de dados (DPO): dpo@t3software.com.br.

2. Quais dados coletamos

A. Identificação do Lojista

Nome, e-mail e senha (hash bcrypt) no momento do cadastro. Caso ative recebimentos automatizados via Asaas, também coletamos os dados exigidos pela parceira para a abertura da subconta bancária: CPF/CNPJ, telefone, data de nascimento (PF), endereço completo, faturamento mensal estimado.

B. Dados financeiros

Identificador da sua assinatura no Asaas (asaas_subscription_id), status de cobrança (ativa, em atraso, cancelada) e datas do ciclo de faturamento. A T3 não armazena dados de cartão de crédito. O fluxo de pagamento ocorre dentro do checkout do Asaas, instituição autorizada pelo BACEN; recebemos apenas confirmações por webhook.

C. Conteúdo operacional

Produtos, receitas (BOM de materiais), insumos, máquinas, pedidos, relatórios financeiros (DRE, Fluxo de Caixa) e tudo o que o Lojista cadastra no ERP.

D. Clientes finais da Vitrine

Nome, e-mail, telefone, CPF (quando exigido pelo Asaas para Pix), endereço de entrega e textos personalizados que o cliente final informa no checkout da sua loja pública. A T3 atua como operadora desses dados; o controlador é o Lojista.

E. Logs e telemetria

Endereço IP, user-agent, páginas visitadas, eventos do Outbox de e-mails e métricas agregadas via Vercel Analytics. Usados para diagnóstico técnico e prevenção a fraude; sem perfilamento publicitário.

3. Base legal de cada tratamento

  • Execução de contrato (art. 7º, V): conta, cobrança, entrega das funcionalidades contratadas.
  • Obrigação legal (art. 7º, II): retenção fiscal (5 anos), atendimento a requisições de autoridades.
  • Legítimo interesse (art. 7º, IX): logs de segurança, prevenção a fraude, métricas técnicas agregadas.
  • Consentimento (art. 7º, I): comunicações de marketing (opt-in explícito; pode ser revogado a qualquer momento).

4. Como protegemos seus dados (medidas técnicas reais)

A segurança da plataforma não é uma promessa — é arquitetura. Os controles abaixo estão implementados e auditáveis:

  • Senhas em hash bcrypt via Supabase GoTrue. Nunca trafegam ou são armazenadas em texto claro.
  • Isolamento multi-tenant por Row Level Security (RLS): cada lojista vê exclusivamente seus próprios dados. O tenant_id é injetado por trigger a partir do JWT — nunca confiado do lado do cliente. Política verificada em 19/19 tabelas a cada release.
  • Tokens da subconta Asaas isolados: a chave API da sua subconta fica armazenada em tenant_delivery_settings com acesso apenas via service-role do servidor T3. A view pública tenant_delivery_public exclui propositalmente essa chave, garantindo que ela nunca chega ao navegador.
  • Pagamentos delegados ao Asaas: dados de cartão ou senha bancária nunca passam pela T3. Apenas QR Code Pix e confirmações de pagamento.
  • TLS obrigatório (HSTS preload + upgrade-insecure-requests na CSP).
  • Content Security Policy estrita: o navegador só carrega scripts e conexões dos hosts conhecidos (Supabase, Vercel Analytics, Vitrine T3, Asaas).
  • Outbox de e-mails: notificações transacionais usam fila durável; falhas geram retry com backoff exponencial, evitando perda silenciosa.
  • JWT sincronizado por trigger: dados sensíveis como plano e status da assinatura propagam para as claims pelo banco, impedindo elevação de privilégio pelo client.

5. Subprocessadores

Para entregar o serviço, compartilhamos dados estritamente necessários com:

  • Supabase (Reino Unido/EUA) — banco de dados, autenticação e armazenamento. SOC 2 Tipo II.
  • Vercel (EUA) — hospedagem de aplicação e métricas anônimas de uso (Vercel Analytics).
  • Asaas Internet Payments S.A. (Brasil) — processamento de pagamentos (subconta lojista e cobrança recorrente da T3). Autorizada pelo BACEN.
  • Google (Gmail SMTP) — envio de e-mails transacionais; migração para domínio próprio prevista para V1.1.

A T3 não vende dados pessoais e não compartilha com terceiros para fins de marketing.

6. Retenção

Dados operacionais (pedidos, finanças) são mantidos enquanto a conta estiver ativa. Após cancelamento, mantemos por 5 anos adicionais para atender exigências fiscais (Receita Federal, BACEN). O Lojista pode solicitar exclusão antecipada de dados não sujeitos a essa retenção legal.

7. Seus direitos sob a LGPD (art. 18)

Você pode, a qualquer momento, solicitar:

  • Confirmação da existência e acesso aos seus dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
  • Portabilidade dos dados a outro fornecedor.
  • Eliminação dos dados tratados com base em consentimento.
  • Informação sobre com quem compartilhamos seus dados.
  • Revogação de consentimento e oposição a tratamento.

Atendimento em até 15 dias úteis. Canais: dpo@t3software.com.br ou WhatsApp +55 47 9 9745-5202.

8. Cookies

Usamos apenas cookies essenciais à operação do serviço: token de sessão da autenticação Supabase, preferência de tema (claro/escuro) e o registro do seu aceite a este aviso. Não usamos cookies publicitários nem de rastreamento entre sites.

9. Notificação de incidentes

Em caso de incidente de segurança que possa acarretar risco relevante aos seus direitos, comunicaremos a ANPD e os titulares afetados nos prazos previstos pelo art. 48 da LGPD.

10. Alterações desta política

Atualizações são versionadas (campo tenants.terms_version registra qual versão você aceitou). Mudanças materiais serão comunicadas por e-mail com 30 dias de antecedência.