Berryfy
Voltar

Documento em revisão jurídica. Este texto cobre os pontos exigidos para operar a Berryfy (LGPD, marketplace, Stripe Connect, criptografia), mas precisa ser validado por advogado especializado antes do launch público. Placeholders entre colchetes indicam dados pendentes.

Política de Privacidade

Última atualização: 29 de abril de 2026

1. Quem é o Controlador

[RAZÃO SOCIAL / CNPJ], com sede em [ENDEREÇO], é o Controlador dos dados pessoais tratados nesta plataforma, nos termos da Lei Geral de Proteção de Dados (Lei 13.709/2018, "LGPD").

Encarregado (DPO): [NOME / privacidade@berryfy.com.br].

2. O que coletamos e por quê

A Berryfy coleta apenas o necessário para operar o serviço de cofre de credenciais. A tabela abaixo lista cada categoria de dado, a finalidade e a base legal correspondente.

DadoFinalidadeBase legal (LGPD)
Nome completo, e-mailIdentificação, autenticação, comunicaçãoExecução de contrato (art. 7º, V)
Senha (hash bcrypt)AutenticaçãoExecução de contrato
IP, user-agentAuditoria de visualização de credenciais, prevenção a fraude, rate limitingLegítimo interesse (art. 7º, IX)
Conteúdo dos vaults (logins, senhas, chaves de API, notas)Prestação do serviço (cofre)Execução de contrato
Dados de cobrança (Stripe customer ID, ID de subscription)Processamento de assinaturas em vaults pagosExecução de contrato
Audit log (eventos no vault)Rastreabilidade de acessos, conformidade, suporteCumprimento de obrigação legal e legítimo interesse

Não usamos cookies de marketing. Cookies essenciais (sessão de autenticação) são definidos pelo Supabase Auth e são indispensáveis para o login funcionar.

3. Como protegemos os dados

Senhas e chaves armazenadas nos vaults são cifradas com AES-256-GCM, com chave única (DEK) gerada por registro. Cada DEK é por sua vez cifrada com chave-mestra (KEK) gerenciada pela AWS KMS (envelope encryption). Em texto claro, esses dados existem apenas durante o reveal individual autorizado pelo usuário, em memória — não são logados nem persistidos.

A senha de acesso à plataforma é armazenada com bcrypt via Supabase Auth. A Berryfy nunca tem acesso à senha em texto claro.

Acessos à infraestrutura são limitados, com IAM de privilégio mínimo, audit log via CloudTrail (KMS) e Postgres Row Level Security em todas as tabelas com dados de usuário.

4. Com quem compartilhamos

Compartilhamos dados estritamente necessários com os seguintes operadores:

  • Supabase — banco de dados Postgres, autenticação e armazenamento (servidores: AWS us-east-1).Política
  • AWS KMS — gerenciamento de chave-mestra de criptografia (us-east-1).Política
  • Stripe — processamento de pagamentos via Stripe Connect Express. Em vaults pagos, o Stripe é co-controlador dos dados de cobrança.Política
  • Resend — envio transacional de e-mails (convites, recuperação de senha).Política
  • Upstash — Redis para rate limiting (não armazena PII).Política

Não vendemos, alugamos ou trocamos dados pessoais. Nunca compartilhamos com terceiros para fins de marketing.

5. Transferência internacional

Alguns dos operadores acima (Supabase, AWS, Stripe, Resend, Upstash) processam dados em servidores fora do Brasil (principalmente Estados Unidos). Essas transferências obedecem ao art. 33 da LGPD, com base em garantias contratuais equivalentes (DPAs) e em legítimo interesse para operação do serviço.

6. Retenção e exclusão

  • Dados da conta (nome, e-mail, senha hash): mantidos enquanto a conta estiver ativa e por até 6 meses após encerramento, exceto exigência legal.
  • Conteúdo dos vaults: excluído quando o vault é apagado. Exclusão permanente — não há cópia em backup utilizável após a chave KMS ser destruída.
  • Audit log de transações financeiras: mantido por 5 anos (obrigação fiscal/contábil).
  • Audit log de visualização de credenciais: mantido por 12 meses para suporte e resposta a incidentes.

7. Seus direitos como titular

Nos termos da LGPD (art. 18) você pode, a qualquer momento:

  • Confirmar a existência de tratamento dos seus dados.
  • Acessar, corrigir ou atualizar seus dados.
  • Solicitar a exclusão dos dados pessoais tratados com base em consentimento.
  • Solicitar a portabilidade dos dados a outro fornecedor (no caso da Berryfy, o owner pode exportar credenciais via "Copiar como .env" em vaults de API).
  • Revogar o consentimento, quando aplicável.
  • Apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

Solicitações devem ser enviadas para [privacidade@berryfy.com.br]. Respondemos em até 15 dias.

8. Crianças e adolescentes

A Berryfy é destinada a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos cadastro de menor, a conta será encerrada e os dados excluídos.

9. Incidentes de segurança

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD, descrevendo os fatos, os dados envolvidos e as medidas tomadas para mitigação.

10. Alterações desta Política

Esta Política pode ser atualizada. Mudanças materiais serão comunicadas por e-mail e através do produto com pelo menos 15 dias de antecedência. A versão vigente é sempre a publicada nesta página, com a data de última atualização no topo.

11. Contato

Para questões sobre privacidade ou exercício dos seus direitos:

  • DPO: [privacidade@berryfy.com.br]
  • Suporte: [hello@berryfy.com.br]
  • ANPD: gov.br/anpd