Política de Privacidade

Última atualização: 15 de maio de 2026 · Versão 1.0

Esta Política de Privacidade descreve como a Shifty Forge ("nós", "Shifty Forge", "plataforma") coleta, usa, armazena, compartilha e protege os dados pessoais dos usuários e funcionários cujos dados são processados em nome de nossos clientes empresariais. Esta política está em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

Resumo em uma frase: Tratamos dados pessoais somente para entregar o serviço contratado, com base legal explícita, criptografia em trânsito e repouso, e nunca vendemos seus dados para terceiros.

1. Quem somos (Controlador)

Shifty Forge — Plataforma SaaS de inteligência operacional e controle de ponto.
CNPJ: 66.493.494/0001-00
Email: contato@shiftyforge.com
Encarregado de Dados (DPO): dpo@shiftyforge.com

Em relação aos dados de funcionários dos nossos clientes empresariais (informações de ponto, escala, etc.), atuamos como operador — a empresa-cliente é a controladora dos dados.

2. Dados que coletamos

2.1. Do administrador/usuário da plataforma

Cadastro: nome completo, email corporativo, telefone, cargo.
Empresa: razão social, CNPJ, endereço, cidade/estado, número de funcionários.
Autenticação: senha (armazenada com hash criptográfico — nunca em texto claro), tokens de sessão.
Pagamento: processado integralmente pela Stripe. Não armazenamos dados de cartão em nossos servidores.

2.2. De funcionários (em nome da empresa-cliente)

Nome, matrícula, CPF (quando informado), telefone.
Escala de trabalho, marcações de ponto (entrada/saída), faltas e atrasos.
Logs de auditoria das operações sobre esses dados.

2.3. Dados técnicos coletados automaticamente

Endereço IP, tipo de navegador, sistema operacional.
Páginas acessadas, tempo de permanência (analytics agregado).
Cookies essenciais para sessão (mais detalhes na Política de Cookies).

3. Bases legais e finalidades (LGPD art. 7º)

Dado	Finalidade	Base legal
Cadastro do admin	Execução do contrato SaaS	Art. 7º, V (execução de contrato)
CNPJ + dados fiscais	Emissão de nota fiscal	Art. 7º, II (obrigação legal)
Dados de funcionários	Controle de ponto (em nome do cliente)	Art. 7º, V (execução de contrato) + atuação como operador
Logs e auditoria	Segurança, prevenção a fraude	Art. 7º, IX (legítimo interesse)
Marketing por email	Newsletter, atualizações de produto	Art. 7º, I (consentimento — opt-in)

4. Com quem compartilhamos

Compartilhamos dados estritamente com operadores subcontratados necessários à prestação do serviço:

Stripe (EUA/IE) — Processamento de pagamentos. Cláusulas Contratuais Padrão (SCCs) para transferência internacional.
Supabase (EUA) — Banco de dados e autenticação. Criptografia em repouso e em trânsito.
Railway (EUA) — Hospedagem da aplicação backend.
Resend (EUA) — Envio de emails transacionais (reset de senha, alertas operacionais).
Cloudflare (EUA) — CDN e proteção contra ataques.
Anthropic (EUA) — Apenas se o cliente ativar o módulo de IA (Radar/Insights). Dados enviados são anonimizados e agregados; nunca enviamos CPF, telefone ou nome de funcionário individual.

Não vendemos, alugamos ou divulgamos dados pessoais a terceiros para fins de marketing.

5. Como protegemos os dados

Criptografia em trânsito: TLS 1.2+ obrigatório em todas as conexões.
Criptografia em repouso: Banco de dados PostgreSQL com encryption-at-rest.
Isolamento multi-tenant: Row Level Security (RLS) garante que cada empresa só vê seus próprios dados.
Hash de senhas: Argon2id via Supabase Auth — nunca armazenamos senhas em texto claro.
Auditoria: Todas operações sensíveis (acesso, modificação, exportação) são logadas com IP e timestamp.
Rate limiting e proteção contra ataques de força bruta.
Backups criptografados com retenção de 30 dias.

6. Retenção de dados

Dados de funcionários (ponto, escala): mantidos enquanto durar o contrato com a empresa-cliente e por 5 anos após o término (exigência fiscal/trabalhista).
Dados de cadastro do admin: mantidos enquanto a conta estiver ativa. Após cancelamento, anonimizados em 90 dias.
Logs de auditoria: 12 meses.
Backups: 30 dias rolantes.

7. Seus direitos como titular (LGPD art. 18)

Você tem direito a:

Confirmação da existência de tratamento de seus dados.
Acesso aos dados — solicite em dpo@shiftyforge.com ou em Conta → Privacidade → Exportar meus dados dentro do app.
Correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
Portabilidade dos dados a outro fornecedor.
Eliminação dos dados tratados com base no consentimento (exceto retenção legal).
Informação sobre com quem compartilhamos seus dados.
Revogação do consentimento a qualquer momento (para tratamentos baseados nele).

Atendemos solicitações em até 15 dias úteis. Para exercer seus direitos: dpo@shiftyforge.com.

8. Cookies

Utilizamos cookies essenciais para autenticação e funcionalidade. Cookies de analytics e marketing são opcionais e exigem seu consentimento explícito. Mais detalhes na Política de Cookies (em desenvolvimento — aguarde nossa próxima versão).

9. Crianças e adolescentes

Não direcionamos nossos serviços a menores de 18 anos. Caso identifiquemos dados de menor coletados sem consentimento de responsável, eliminamos imediatamente.

10. Alterações nesta política

Podemos atualizar esta Política periodicamente. Mudanças relevantes serão notificadas por email aos administradores cadastrados com no mínimo 15 dias de antecedência. A data da última atualização está sempre no topo desta página.

11. Reclamações à ANPD

Se você acredita que seus direitos foram violados, pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.