Ender
Criar conta grátis

Legal

Política de Privacidade

Última atualização: 16 de abril de 2025

O Ender ("nós", "nosso") é um hub central de endereços que permite ao usuário manter seus endereços de entrega em um único lugar e autorizar lojas parceiras a acessá-los via OAuth2. Esta política explica quais dados coletamos, por que e como você pode exercer seus direitos.

1. Identificação do Controlador

[RAZÃO SOCIAL A DEFINIR], inscrita no CNPJ nº [CNPJ A DEFINIR], com sede em [ENDEREÇO A DEFINIR], é a controladora dos dados pessoais tratados por este serviço.

Encarregado de Dados (DPO): [NOME A DEFINIR] privacidade@getendra.online

2. Dados Coletados

2.1 Dados fornecidos pelo usuário

  • Nome completo e endereço de e-mail (cadastro)
  • Endereços postais (rua, número, complemento, bairro, cidade, estado, CEP, país)
  • Senha (armazenada com hash bcrypt — nunca em texto claro)

2.2 Dados coletados automaticamente

  • Token de sessão (cookie session, httpOnly, 30 dias)
  • Endereço IP e user-agent para rate limiting e segurança
  • Logs de auditoria de webhooks (evento, status, timestamp)

2.3 Dados de login social

  • Google: nome, e-mail e googleId obtidos via OAuth2
  • Apple: nome (somente no primeiro login) e appleId via Sign in with Apple

3. Finalidades do Tratamento

  • Criar e gerenciar sua conta de usuário
  • Armazenar e sincronizar seus endereços de entrega
  • Autorizar lojas parceiras a consultar seu endereço via OAuth2
  • Enviar notificações de alteração de endereço (webhooks) às lojas autorizadas
  • Garantir a segurança e integridade da plataforma
  • Cumprir obrigações legais e regulatórias

4. Bases Legais

TratamentoBase Legal (LGPD art. 7º)
Cadastro e autenticaçãoConsentimento (I) / Execução de contrato (V)
Armazenamento de endereçosConsentimento (I) / Execução de contrato (V)
Compartilhamento com lojas autorizadasConsentimento explícito (I)
Logs de segurança e rate limitingLegítimo interesse (IX)
Cumprimento de obrigação legalObrigação legal (II)

5. Compartilhamento de Dados

Seus dados são compartilhados somente nas seguintes situações:

  • Lojas parceiras autorizadas por você: apenas o endereço principal de entrega, mediante autorização OAuth2 explícita que você pode revogar a qualquer momento.
  • Prestadores de infraestrutura: provedores de hospedagem e banco de dados, vinculados por DPA (Data Processing Agreement) e sem acesso ao conteúdo dos dados.
  • Autoridades públicas: quando exigido por lei, ordem judicial ou requisição de órgão governamental competente.

Não vendemos, alugamos ou cedemos seus dados a terceiros para fins comerciais.

6. Retenção e Exclusão

  • Dados de conta: mantidos enquanto a conta estiver ativa.
  • Sessões: expiram em 30 dias ou no logout explícito.
  • Logs de webhook: retidos por 90 dias para fins de auditoria.
  • Após exclusão de conta: dados pessoais são removidos em até 30 dias; logs anonimizados podem ser mantidos por até 1 ano para fins de segurança.

Para excluir sua conta e dados, acesse Configurações → Zona de Perigo → Excluir conta.

7. Segurança

  • Senhas armazenadas com bcrypt (fator de custo 12)
  • Tokens de sessão gerados com entropia criptográfica (nanoid 64 bytes)
  • Comunicação exclusivamente via HTTPS/TLS 1.2+
  • Webhooks assinados com HMAC-SHA256
  • Rate limiting em todos os endpoints sensíveis
  • Proteção SSRF nos destinos de webhook

8. Direitos do Titular

Nos termos dos arts. 17 a 22 da LGPD, você tem direito a:

  • Confirmação e acesso: saber quais dados tratamos sobre você
  • Correção: atualizar dados incompletos ou desatualizados (disponível em Configurações)
  • Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade
  • Portabilidade: exportar seus dados em formato legível por máquina (disponível em Configurações → Exportar dados)
  • Revogação de consentimento: a qualquer tempo, sem ônus
  • Eliminação: exclusão dos dados pessoais tratados com base no consentimento
  • Informação sobre compartilhamento: com quais entidades compartilhamos seus dados

Para exercer seus direitos, entre em contato pelo e-mail privacidade@getendra.online. Respondemos em até 15 dias úteis.

9. Cookies

Utilizamos apenas cookies estritamente necessários ao funcionamento do serviço:

CookieFinalidadeValidade
sessionAutenticação do usuário (httpOnly, SameSite=Lax)30 dias
oauth_state_googleProteção CSRF no fluxo OAuth GoogleSessão

Não utilizamos cookies analíticos, de rastreamento ou de terceiros.

10. Canal de Contato

Para dúvidas, solicitações ou reclamações sobre privacidade, fale com nosso DPO: privacidade@getendra.online

Você também pode registrar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd

Termos de UsoLGPD