Política de Privacidade
Última atualização: 29 de abril de 2026 · Versão 1.0
Esta política descreve como o Capturador Smiles (operado por LabsAero, doravante "nós") coleta, usa, armazena e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).
1. Quem somos
LabsAero é a controladora dos dados desta extensão. Contato do encarregado de proteção de dados (DPO):
- Email: dpo@labsaero.com
- Suporte geral: suporte@labsaero.com
2. Quais dados coletamos
2.1 Dados de cadastro (servidor)
Quando você cria uma conta, coletamos:
- Email — para autenticação, comunicação transacional e recuperação de conta
- Telefone celular — para verificação por SMS no cadastro (anti-fraude)
- Senha — armazenada com hash bcrypt; nem nós podemos ler
2.2 Dados que NÃO coletamos no servidor
Os dados sensíveis que você gerencia na extensão (logins de fornecedores Smiles, senhas, CPFs, números de cartão, histórico de acessos) nunca saem do seu dispositivo. Eles são criptografados localmente com PBKDF2 + AES-GCM 256-bit usando uma senha mestre que só você conhece. Nossos servidores não têm como decifrá-los nem podem acessá-los, mesmo se invadidos.
2.3 Dados de pagamento
Pagamentos são processados pela Stripe. Não armazenamos número de cartão de crédito em nossos servidores — apenas um identificador interno do Stripe (customer ID) para gerenciar sua assinatura.
2.4 Dados técnicos automáticos
Logs de acesso (data, IP truncado, tipo de evento — sucesso/falha de login) são mantidos por até 90 dias para defesa contra fraude e abuso.
3. Por que usamos seus dados (bases legais)
| Finalidade | Dados | Base legal (LGPD Art. 7) |
|---|---|---|
| Autenticação e acesso à conta | Email, senha | Execução de contrato (V) |
| Verificação anti-fraude no cadastro | Telefone (SMS único) | Legítimo interesse (IX) + segurança |
| Cobrança da assinatura | Customer ID Stripe, email | Execução de contrato (V) |
| Comunicação transacional (recibo, expiração de trial) | Execução de contrato (V) | |
| Logs de segurança | IP truncado, eventos de auth | Legítimo interesse (IX) |
4. Com quem compartilhamos
Operadores que processam dados em nosso nome, sob contrato de adesão:
- Supabase (autenticação + banco de dados) — hospedado em AWS, EUA
- Twilio (envio de SMS de verificação) — EUA
- Stripe (processamento de pagamento) — EUA / Brasil
- Vercel (hospedagem desta página) — EUA
- hCaptcha (anti-bot no cadastro) — EUA
Não vendemos, alugamos nem compartilhamos seus dados com terceiros para fins de marketing.
5. Transferência internacional
Alguns operadores citados acima estão fora do Brasil. Eles aderem a cláusulas contratuais padrão de proteção de dados e mantêm certificações como SOC 2 e ISO 27001, oferecendo nível de proteção compatível com a LGPD (Art. 33).
6. Por quanto tempo guardamos
- Conta ativa: enquanto existir
- Conta cancelada: 30 dias após cancelamento (recuperação) e então exclusão definitiva
- Logs de segurança: 90 dias
- Faturas (obrigação fiscal): 5 anos, conforme legislação tributária
7. Seus direitos (LGPD Art. 18)
Você tem direito a, a qualquer momento:
- Confirmação de que tratamos seus dados
- Acesso aos dados que temos sobre você
- Correção de dados incompletos ou desatualizados
- Anonimização ou exclusão de dados desnecessários
- Portabilidade dos dados a outro fornecedor
- Eliminação dos dados tratados com base em consentimento
- Informação sobre com quem compartilhamos
- Revogação do consentimento
Para exercer qualquer direito, use a página Excluir minha conta (exclusão imediata) ou escreva para dpo@labsaero.com. Respondemos em até 15 dias.
8. Segurança
- HTTPS em todas as comunicações
- Senhas armazenadas com hash bcrypt
- Dados sensíveis (logins Smiles, cartões) criptografados localmente — nunca saem do seu dispositivo
- Auto-lock por inatividade (15 minutos) e lockout progressivo após tentativas erradas
- Auditoria de acessos com chain-hash anti-tampering
Em caso de incidente de segurança que possa afetar você, comunicaremos imediatamente conforme exige a LGPD (Art. 48).
9. Cookies
Esta página usa apenas cookies essenciais (sessão Vercel) — sem
rastreamento de marketing. A extensão não usa cookies; armazena dados
apenas em chrome.storage.local do seu navegador, sob seu
controle.
10. Crianças
Este serviço não é destinado a menores de 18 anos. Se você é responsável por um menor que se cadastrou, contate dpo@labsaero.com para exclusão imediata.
11. Alterações nesta política
Mudanças significativas serão comunicadas por email com 30 dias de antecedência. Mudanças menores (correções, esclarecimentos) podem ser publicadas sem aviso prévio. A data de "última atualização" no topo sempre reflete a versão vigente.
12. Foro
Disputas sobre esta política são regidas pela legislação brasileira, com foro na comarca onde o LabsAero mantém sua sede operacional.
Versão controlada via Git. Histórico público em GitHub (para usuários autorizados).