Política de Privacidade
Última atualização: 28 de maio de 2026 · Versão 1.4
Esta política descreve como o Capturador Smiles (operado por LabsAero, doravante "nós") coleta, usa, armazena e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).
1. Quem somos
LabsAero é a controladora dos dados desta extensão. Contato do encarregado de proteção de dados (DPO):
- Email: dpo@labsaero.com
- Suporte geral: suporte@labsaero.com
2. Quais dados coletamos
2.1 Dados de cadastro (servidor)
Quando você cria uma conta, coletamos:
- Email — para autenticação, comunicação transacional e recuperação de conta
- Telefone celular — para verificação por SMS no cadastro (anti-fraude)
- Senha — armazenada com hash bcrypt; nem nós podemos ler
2.2 Dados que NÃO coletamos no servidor
Os dados sensíveis que você gerencia na extensão (logins de fornecedores Smiles, senhas, CPFs, números de cartão, histórico de acessos) nunca saem do seu dispositivo. Eles são criptografados localmente com PBKDF2 (600.000 iterações) + AES-GCM 256-bit usando uma chave derivada da sua senha de login. Nem o LabsAero nem qualquer terceiro consegue ler esses dados, mesmo se nossos servidores forem invadidos.
⚠️ Importante: ao redefinir sua senha de login, os dados criptografados ficam inacessíveis (a chave criptográfica deriva da senha). Antes de resetar, exporte seus dados via opção "Exportar JSON" na extensão.
2.3 Dados de pagamento
Pagamentos são processados pela Stripe. Não armazenamos número de cartão de crédito em nossos servidores — apenas um identificador interno do Stripe (customer ID) para gerenciar sua assinatura.
2.4 Dados técnicos automáticos
Logs de acesso (data, IP truncado, tipo de evento — sucesso/falha de login) são mantidos por até 90 dias para defesa contra fraude e abuso.
2.5 Dados de terceiros que você gerencia (fornecedores)
Se você cadastra credenciais de contas que não são suas (por exemplo, logins, CPF ou dados de cartão de fornecedores/clientes), esses dados pessoais de terceiros são tratados exclusivamente no seu dispositivo, cifrados, e nunca chegam aos nossos servidores. Nesse cenário, você é o controlador desses dados perante a LGPD e declara possuir autorização ou base legal do titular para tratá-los; o LabsAero atua apenas como meio técnico local, sem acesso ao conteúdo (ver Cláusula 6.1 dos Termos de Uso).
3. Como tratamos o código de segurança do cartão (CVV)
O PCI-DSS Requisito 3.2.2 — norma do setor de pagamentos — desencoraja armazenar o CVV (código de segurança de 3 ou 4 dígitos no verso do cartão) após a autorização da compra, mesmo cifrado em repouso. Por isso, o comportamento padrão da extensão é manter o CVV apenas em memória da sessão. Você, no entanto, pode ligar uma opção (opt-in) para que o CVV passe a ser salvo cifrado no cofre — uma escolha de conveniência consciente que descrevemos abaixo com total transparência.
3.1 Comportamento padrão (instalações novas)
- O CVV não é gravado no cofre enquanto o opt-in estiver desligado (o estado padrão de uma instalação nova).
- A cada compra, a extensão pede que você digite o CVV em um campo modal dentro do próprio popup, no momento do preenchimento.
- O CVV digitado vive em memória do navegador, em cache da sessão do popup, e é descartado em auto-lock (15 min de inatividade), logout, exclusão de conta ou ao recarregar o popup. Nunca toca disco, cofre ou servidor.
3.2 Quando você liga o opt-in "Armazenar CVV no cofre"
- Em Configurações → Auto-fill de cartão, você pode ativar a opção "Armazenar CVV no cofre". Ao ligá-la, o CVV passa a ser salvo cifrado em repouso (AES-256-GCM com chave device-bound não-extraível, dentro do mesmo envelope protegido pela sua senha mestre) e deixa de ser pedido a cada compra.
- Instalações antigas (anteriores à versão 2.0) já vêm com essa opção ligada, para preservar a experiência de preenchimento sem prompt que existia antes. Instalações novas vêm com a opção desligada.
- Isto é um desvio consciente do PCI-DSS 3.2.2: persistir o CVV aumenta a conveniência, mas também o risco caso o dispositivo seja comprometido. Ligue apenas se você aceita esse trade-off.
- Você pode desligar a qualquer momento. Ao desligar, a extensão oferece remover de uma vez os CVVs já guardados; você também pode disparar essa limpeza pelo botão "Limpar CVVs em repouso" nas mesmas configurações.
3.3 Onde o CVV nunca aparece, mesmo com o opt-in ligado
- Backups exportados (JSON ou TXT) nunca contêm CVV — ligado ou desligado o opt-in. A rotina de exportação remove o CVV de forma incondicional antes de gerar qualquer arquivo.
- O CVV não sai do seu computador, exceto pelo preenchimento direto no formulário da Smiles no momento da compra.
- Nenhum log, e-mail de suporte ou telemetria carrega CVV em nenhuma circunstância.
3.4 O que ainda fica no cofre quando o CVV é descartado
- Número do cartão, validade, nome do titular, CPF e demais dados continuam cifrados em repouso com chave derivada da sua senha mestre (AES-256-GCM, PBKDF2-SHA256 com 600.000 iterações).
- Apenas o CVV recebe tratamento especial, por imposição regulatória do PCI-DSS.
4. Por que usamos seus dados (bases legais)
| Finalidade | Dados | Base legal (LGPD Art. 7) |
|---|---|---|
| Autenticação e acesso à conta | Email, senha | Execução de contrato (V) |
| Verificação anti-fraude no cadastro | Telefone (SMS único) | Legítimo interesse (IX) + segurança |
| Cobrança da assinatura | Customer ID Stripe, email | Execução de contrato (V) |
| Comunicação transacional (recibo, expiração de trial) | Execução de contrato (V) | |
| Logs de segurança | IP truncado, eventos de auth | Legítimo interesse (IX) |
As finalidades baseadas em legítimo interesse (verificação anti-fraude por SMS e logs de segurança) passaram por avaliação de proporcionalidade (relatório de legítimo interesse), ponderando necessidade, expectativa do titular e salvaguardas adotadas. Você pode se opor a esses tratamentos pelo dpo@labsaero.com.
5. Com quem compartilhamos
Operadores que processam dados em nosso nome, sob contrato de adesão:
- Supabase (autenticação + banco de dados) — hospedado em AWS, EUA
- Twilio (envio de SMS de verificação) — EUA
- Stripe (processamento de pagamento) — EUA / Brasil
- Vercel (hospedagem desta página) — EUA
- hCaptcha (anti-bot no cadastro) — EUA
Não vendemos, alugamos nem compartilhamos seus dados com terceiros para fins de marketing.
6. Transferência internacional
Alguns operadores citados acima estão fora do Brasil. Eles aderem a cláusulas contratuais padrão de proteção de dados e mantêm certificações como SOC 2 e ISO 27001, oferecendo nível de proteção compatível com a LGPD (Art. 33).
7. Por quanto tempo guardamos
- Conta ativa: enquanto existir
- Conta cancelada: 30 dias após cancelamento (recuperação) e então exclusão definitiva
- Logs de segurança: 90 dias
- Faturas (obrigação fiscal): 5 anos, conforme legislação tributária
8. Seus direitos (LGPD Art. 18)
Você tem direito a, a qualquer momento:
- Confirmação de que tratamos seus dados
- Acesso aos dados que temos sobre você
- Correção de dados incompletos ou desatualizados
- Anonimização ou exclusão de dados desnecessários
- Portabilidade dos dados a outro fornecedor
- Eliminação dos dados tratados com base em consentimento
- Informação sobre com quem compartilhamos
- Revogação do consentimento
Para exercer qualquer direito, use a página Excluir minha conta ou escreva para dpo@labsaero.com. Respondemos em até 15 dias.
9. Segurança
- HTTPS em todas as comunicações
- Senhas armazenadas com hash bcrypt
- Dados sensíveis (logins Smiles, cartões) criptografados localmente — nunca saem do seu dispositivo
- Auto-lock por inatividade (15 minutos) e lockout progressivo após tentativas erradas
- Auditoria de acessos com chain-hash anti-tampering
Em caso de incidente de segurança que possa afetar você, comunicaremos imediatamente conforme exige a LGPD (Art. 48).
10. Cookies
Esta página usa apenas cookies essenciais (sessão Vercel) — sem
rastreamento de marketing. A extensão não usa cookies; armazena dados
apenas em chrome.storage.local do seu navegador, sob seu
controle.
11. Crianças
Este serviço não é destinado a menores de 18 anos. Se você é responsável por um menor que se cadastrou, contate dpo@labsaero.com para solicitar a exclusão dos dados.
12. Alterações nesta política
Mudanças significativas serão comunicadas por email com 30 dias de antecedência. Mudanças menores (correções, esclarecimentos) podem ser publicadas sem aviso prévio. A data de "última atualização" no topo sempre reflete a versão vigente.
13. Foro
Disputas sobre esta política são regidas pela legislação brasileira, com foro na comarca onde o LabsAero mantém sua sede operacional.
Versão controlada via Git. Histórico público em GitHub (para usuários autorizados).