Política de Privacidade

Esta política descreve como o Spike B2B trata os dados pessoais e corporativos das pessoas e empresas que usam nosso sistema. Tratamos os dados de acordo com a Lei Geral de Proteção de Dados (Lei 13.709/2018, LGPD) e aplicamos as proteções técnicas e administrativas necessárias pra mantê-los seguros.

1. Quem somos

O Spike B2B é um sistema de pedidos B2B que liga fornecedores (fábricas, distribuidores) a seus revendedores, com integração ao Bling ERP. Endereço pra contato: contato@spikeb2b.com.br.

2. Quais dados coletamos

2.1 Dados que você fornece diretamente

• Cadastro de fornecedor: razão social, CNPJ, telefone, e-mail, endereço, regime tributário, dados de configuração fiscal (CFOP, CSOSN, origem tributária).
• Cadastro de usuário interno (admin, operador, balcão, representante): nome, e-mail, senha (armazenada com hash bcrypt — nunca em texto puro).
• Cadastro de cliente (revendedor): nome ou razão social, CNPJ ou CPF, inscrição estadual, endereço, e-mail, telefone, PIN de retirada.
• Conteúdo operacional: pedidos, itens, preços, comprovantes de pagamento (imagens), notas fiscais, mensagens de chat, assinaturas digitais (PNG) coletadas no balcão de retirada.

2.2 Dados coletados automaticamente

• Sessão e autenticação: cookie seguro com identificador da sessão. Não usamos cookies de tracking publicitário.
• Logs técnicos: data/hora de requisições, código de status, IP de origem, endpoint acessado. Usados apenas pra diagnóstico, performance e segurança.

2.3 Dados recebidos de terceiros

• Bling ERP — dados de pedidos sincronizados, IDs de contatos e produtos espelhados, status de NF-e (a depender do escopo OAuth autorizado).
• Marketplaces conectados (Shopee, TikTok Shop) — quando você conecta uma loja, recebemos via OAuth os metadados necessários pra publicar e atualizar produtos (categoria, atributos, regiões logísticas, dimensões), além de identificadores da sua loja. Não recebemos dados de compradores finais do marketplace.
• BrasilAPI / Minha Receita — dados públicos de CNPJ (razão social, endereço, situação cadastral) consultados quando você cadastra um cliente informando o CNPJ.

3. Pra que usamos os dados

• Operacional: permitir cadastro, login, criação de pedidos, separação, retirada, fechamento de cobrança, emissão de notas fiscais via Bling.
• Comunicação: envio de e-mails transacionais (link de cadastro, confirmações, alertas).
• Suporte: investigar e resolver chamados que você abrir.
• Segurança e fraude: detectar acessos suspeitos, prevenir abuso, garantir integridade.
• Melhoria do produto: analisar uso agregado e anonimizado pra decidir o que construir e o que melhorar.

4. Bases legais (LGPD art. 7º)

• Execução de contrato: os dados são necessários pra prestar o serviço contratado.
• Cumprimento de obrigação legal: dados fiscais (NF-e, parcelas, fechamentos) precisam ser retidos por períodos definidos por lei.
• Legítimo interesse: diagnóstico, segurança e prevenção de fraude.
• Consentimento: quando aplicável, pra envios opcionais.

5. Com quem compartilhamos os dados

Não vendemos dados pessoais. Compartilhamos só com sub-processadores estritamente necessários pra operar:

• Bling ERP (Bling Soluções em Internet S/A) — sincronização de pedidos, contatos, produtos e emissão de NF-e, conforme você autorizou via OAuth.
• Shopee Brasil e TikTok Shop Brasil — quando você conecta uma loja desses marketplaces, enviamos as informações de catálogo necessárias pra criar e atualizar anúncios (título, descrição, preço, imagens, atributos, dimensões logísticas). Não compartilhamos dados de outros revendedores ou de pedidos B2B com os marketplaces.
• Railway (infraestrutura de aplicação e banco PostgreSQL, hospedados em região US-West — Califórnia/EUA).
• Cloudflare R2 (armazenamento privado de imagens — comprovantes, fotos de produto, notas fiscais; região Eastern North America/ENAM, com criptografia em repouso por padrão).
• Cloudflare (DNS, CDN e proteção de borda — incluindo proteção contra DDoS e WAF).
• Resend (envio transacional de e-mail).
• Autoridades fiscais e judiciais, quando exigido por lei ou ordem judicial.

6. Segurança

• Tráfego do app sempre sob HTTPS (TLS 1.2+).
• Criptografia em repouso — banco PostgreSQL (Railway) e armazenamento de objetos (Cloudflare R2) cifrados em disco por padrão dos provedores.
• Senhas armazenadas com bcrypt (nunca em texto puro).
• Sessão por JWT assinado com chave secreta do servidor; cookie marcado como HttpOnly e Secure em produção.
• Tokens de integração (Bling, Shopee, TikTok Shop) armazenados em coluna dedicada do banco, com rotação automática via refresh token e revogação imediata quando o usuário desconecta a integração.
• Controle de acesso por papel (RBAC) — quatro perfis (ADMIN, OPERATOR, COUNTER, CLIENT) com permissões segmentadas por rota e por dado, validados em middleware e em cada server action.
• MFA (autenticação multifator) exigido nas contas administrativas dos provedores de infraestrutura (GitHub, Railway, Cloudflare).
• Acesso ao banco de dados restrito a IPs de aplicação e administração.
• Backups diários automáticos do banco de dados, retidos por janela definida no provedor; restauração testada periodicamente.
• Monitoramento de dependências com alertas automáticos pra vulnerabilidades conhecidas (Dependabot) e atualização periódica das libs.

7. Retenção e exclusão

Mantemos dados ativos enquanto sua conta estiver ativa. Após o encerramento da conta ou a desconexão de uma integração:

• Janela de export — 30 dias. Você tem até 30 dias após o pedido de encerramento pra solicitar export completo dos seus dados.
• Exclusão — em até 30 dias após a janela de export, removemos das bases ativas todos os dados pessoais e operacionais que não estejam sujeitos a retenção obrigatória.
• Dados sujeitos a obrigação legal (registros fiscais, NF-e, parcelas, comprovantes) são mantidos pelo prazo mínimo exigido pela legislação brasileira (até 5 anos pra fiscais/contábeis) e depois descartados ou anonimizados.
• Backups seguem sua rotação natural — dados em backup são apagados conforme a janela de retenção do provedor (até 30 dias).
• Tokens de integração (Bling, Shopee, TikTok Shop) são revogados e excluídos imediatamente quando você desconecta a integração ou encerra a conta.

Dados estatísticos agregados e completamente anonimizados, sem possibilidade de re-identificação, podem ser mantidos pra fins de melhoria do produto e segurança.

8. Seus direitos (LGPD)

Você pode, a qualquer momento:

• Confirmar a existência de tratamento dos seus dados.
• Acessar seus dados.
• Corrigir dados incompletos, inexatos ou desatualizados.
• Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
• Solicitar portabilidade dos seus dados a outro prestador.
• Ser informado sobre com quem compartilhamos seus dados.
• Revogar consentimento.

Pra exercer qualquer direito, manda um e-mail pra contato@spikeb2b.com.br. Atendemos em até 15 dias.

9. Cookies

Usamos apenas cookies essenciais pra manter sua sessão e segurança. Não usamos cookies de marketing ou rastreamento publicitário no app autenticado. A landing pública pode incluir, no futuro, ferramentas de análise de tráfego anonimizadas — quando incluirmos, atualizamos esta política.

10. Transferência internacional

Parte da infraestrutura opera fora do Brasil:

• Railway hospeda a aplicação e o banco PostgreSQL em região US-West (Califórnia, Estados Unidos).
• Cloudflare R2 armazena imagens com localização primária na região ENAM (Eastern North America, Estados Unidos), com proteção e replicação geográfica próprias do provedor.
• Resend e Cloudflare (DNS/CDN) operam internacionalmente.

Em todos os casos exigimos garantias contratuais de proteção equivalente à LGPD e os provedores escolhidos seguem padrões reconhecidos internacionalmente (ISO 27001, SOC 2 etc., conforme certificações públicas de cada um).

11. Alterações nesta política

Podemos atualizar esta política periodicamente. A data no topo indica a última revisão. Mudanças relevantes são comunicadas por e-mail aos administradores cadastrados.

12. Encarregado pelo Tratamento de Dados (DPO) e contato

O Spike B2B mantém um Encarregado pelo Tratamento de Dados Pessoais (DPO/Encarregado, na terminologia da LGPD) responsável por receber comunicações da ANPD, dos titulares e por coordenar a resposta a incidentes.

• DPO / Encarregado: dpo@spikeb2b.com.br
• Atendimento geral e suporte: contato@spikeb2b.com.br
• Comunicação de incidentes de segurança: security@spikeb2b.com.br

Respondemos a solicitações de titulares em até 15 dias. Em caso de incidente de segurança que envolva dados pessoais, comunicamos a ANPD e os titulares afetados conforme prazos e formato exigidos pela LGPD.