Política de Privacidade
Versão 1.1 — Última atualização: 06 de abril de 2026
- Introdução e Compromisso
- Controlador de Dados
- Dados que Coletamos
- Finalidades do Tratamento
- Bases Legais (LGPD)
- Pseudonimização e Anonimização
- Compartilhamento de Dados
- Retenção e Eliminação
- Segurança da Informação
- Direitos do Titular
- Cookies e Tecnologias Similares
- Transferência Internacional
- Menores de Idade
- Alterações nesta Política
- Contato e Encarregado (DPO)
1. Introdução e Compromisso
A Depix.Site ("Plataforma", "nós") tem compromisso com a proteção da privacidade e dos dados pessoais de seus usuários. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais dos Lojistas e, de forma indireta, dos Clientes Finais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) e demais normas aplicáveis.
Esta Política complementa os Termos de Uso e se aplica a todo tratamento de dados pessoais realizado por meio da Plataforma, do Plugin e dos serviços correlatos.
2. Controlador de Dados
Para os fins da LGPD, o controlador dos dados pessoais tratados por meio da Plataforma é:
- Nome Fantasia: Depix.Site
- E-mail do Encarregado (DPO): [email protected]
3. Dados que Coletamos
A Depix.Site adota o princípio da minimização, coletando apenas os dados estritamente necessários para a prestação do serviço.
3.1. Dados do Lojista
| Dado | Finalidade | Base Legal |
|---|---|---|
| Nome ou razão social | Identificação e cadastro | Execução do contrato |
| Comunicação, envio de credenciais, notificações operacionais | Execução do contrato | |
| URL da loja WooCommerce | Validação de domínio, configuração de callbacks | Execução do contrato |
| Endereço da Carteira Liquid | Liquidação dos pagamentos convertidos | Execução do contrato |
| Tier/Plano contratado | Cálculo de taxas e aplicação de limites | Execução do contrato |
| Endereço IP e User-Agent (acesso ao painel) | Segurança, auditoria e prevenção a fraudes | Legítimo interesse |
3.2. Dados do Cliente Final
| Dado | Forma de tratamento | Base Legal |
|---|---|---|
| CPF/CNPJ | Recebido apenas como hash criptográfico (SHA-256). O documento completo nunca é transmitido à Plataforma. | Legítimo interesse (prevenção a fraudes) |
| Valor e dados da transação Pix | Processados para geração do QR Code e confirmação de pagamento. Não incluem dados bancários sensíveis do pagador. | Execução do contrato (com o Lojista) |
| Identificadores técnicos da transação | IDs internos de rastreamento (payment_id, request_id). Não permitem identificar o Cliente Final. | Legítimo interesse (operação e auditoria) |
3.3. Dados que NÃO coletamos
A Depix.Site não coleta, armazena ou tem acesso a:
- Dados bancários completos dos Clientes Finais (conta, agência, senhas).
- CPF ou CNPJ em texto claro dos Clientes Finais.
- Nome completo dos Clientes Finais (dados do pagador Pix são processados exclusivamente pelo processador de pagamentos parceiro).
- Dados de localização precisa, biometria ou dados sensíveis (conforme art. 5º, II, da LGPD).
4. Finalidades do Tratamento
Os dados pessoais coletados são utilizados exclusivamente para as seguintes finalidades:
- Prestação do serviço: cadastro do Lojista, autenticação, processamento de pagamentos, liquidação de transações e suporte técnico.
- Segurança e prevenção a fraudes: validação de transações, detecção de atividades suspeitas, aplicação de limites de risco e prevenção à lavagem de dinheiro.
- Obrigações legais e regulatórias: cumprimento de exigências legais, fiscais, contábeis ou de autoridades competentes.
- Melhoria do serviço: análise de métricas operacionais agregadas (volume de transações, tempo de processamento) para otimização da Plataforma. Tais análises utilizam dados anonimizados e agregados.
- Comunicações operacionais: envio de notificações sobre o status de transações, atualizações de segurança, alterações de Termos ou manutenções programadas.
A Depix.Site não utiliza dados pessoais para fins de marketing direto, publicidade comportamental ou comercialização a terceiros.
5. Bases Legais (LGPD)
O tratamento de dados pessoais pela Depix.Site está fundamentado nas seguintes bases legais previstas na LGPD (art. 7º):
- Execução do contrato (art. 7º, V): tratamento necessário para a execução dos Termos de Uso e prestação do serviço contratado pelo Lojista.
- Legítimo interesse (art. 7º, IX): prevenção a fraudes, segurança da Plataforma, auditoria de transações e melhoria do serviço, sempre respeitando os direitos e liberdades fundamentais dos titulares.
- Cumprimento de obrigação legal ou regulatória (art. 7º, II): atendimento a exigências legais, inclusive de natureza fiscal, contábil ou decorrente de determinações de autoridades competentes.
- Exercício regular de direitos (art. 7º, VI): em processos judiciais, administrativos ou arbitrais.
6. Pseudonimização e Anonimização
A proteção de dados dos Clientes Finais é assegurada por design e por padrão (privacy by design):
6.1. Pseudonimização de CPF/CNPJ
O Plugin Depix Gateway, instalado na loja do Lojista, aplica uma função hash criptográfica (SHA-256) ao CPF/CNPJ do Cliente Final antes de qualquer transmissão de dados à Plataforma. Isso significa que:
- A Depix.Site recebe apenas um identificador criptográfico irreversível (hash), que não permite reconstituir o documento original.
- O documento completo permanece apenas no ambiente do Lojista (WordPress/WooCommerce), sob responsabilidade exclusiva do Lojista.
- Opcionalmente, apenas os últimos 4 dígitos podem ser armazenados no WooCommerce para fins de referência administrativa do Lojista.
6.2. Anonimização Automática
Os identificadores pseudonimizados (hashes) são automaticamente anonimizados (substituídos por valor nulo) após 7 (sete) dias da criação da transação, por processo automatizado executado diariamente. Após a anonimização, não há qualquer dado que permita vincular a transação a um indivíduo específico.
7. Compartilhamento de Dados
A Depix.Site pode compartilhar dados pessoais com terceiros nas seguintes circunstâncias:
| Destinatário | Dados compartilhados | Finalidade |
|---|---|---|
| Processador de pagamentos Pix (parceiro) | Valor da transação, identificadores técnicos da cobrança | Geração do QR Code Pix e confirmação de pagamento |
| Rede Liquid Network | Endereço da Carteira Liquid do Lojista, valor da transação convertida | Liquidação dos ativos digitais |
| Autoridades competentes | Dados necessários conforme determinação judicial ou legal | Cumprimento de obrigação legal |
8. Retenção e Eliminação
Os dados pessoais são retidos pelo período mínimo necessário para cumprir as finalidades descritas nesta Política, observando os seguintes prazos:
| Tipo de dado | Período de retenção | Ação após expiração |
|---|---|---|
| Identificadores pseudonimizados de Clientes Finais (hash CPF/CNPJ) | 7 dias | Anonimização automática (substituição por nulo) |
| Logs de requisições técnicas | 30 dias | Eliminação automática |
| Logs de webhooks | 30 dias | Eliminação automática |
| Registros de transações (dados financeiros) | 5 anos (exigência legal/contábil) | Eliminação após o período legal |
| Registros de auditoria (audit logs) | 365 dias | Eliminação automática |
| Dados cadastrais do Lojista | Duração da relação contratual + 5 anos | Eliminação ou anonimização mediante solicitação |
O processo de retenção e eliminação é automatizado, executado diariamente, com registro em log de auditoria para fins de comprovação de conformidade.
9. Segurança da Informação
A Depix.Site adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento inadequado:
9.1. Medidas Técnicas
- Criptografia em trânsito: todas as comunicações entre o Plugin, a Plataforma e os processadores são realizadas via TLS (HTTPS).
- Autenticação: tokens JWT com assinatura HS256 para autenticação entre Plugin e Plataforma, com rotação periódica de chaves.
- Validação de integridade: webhooks validados com HMAC SHA-256 e comparação timing-safe (hash_equals).
- Idempotência: identificadores únicos (UUID v4) em todas as requisições para prevenção de duplicidade.
- Pseudonimização: dados sensíveis (CPF/CNPJ) são convertidos em hash criptográfico antes da transmissão.
- Sanitização: todos os inputs são sanitizados e outputs são escapados para prevenção de injeção de código.
- Consultas parametrizadas: acesso a banco de dados exclusivamente via prepared statements.
9.2. Medidas Organizacionais
- Controle de acesso baseado em perfis (administrador e suporte).
- Registro imutável de auditoria (insert-only) para todas as ações administrativas.
- Proteção CSRF em todas as interfaces administrativas.
- Política de não-registro de segredos (chaves JWT, HMAC, senhas) em logs.
- Procedimentos de rotação periódica de credenciais e chaves criptográficas.
9.3. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Depix.Site comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme art. 48 da LGPD, informando a natureza dos dados, os riscos e as medidas adotadas.
10. Direitos do Titular
Em conformidade com a LGPD (arts. 17 a 22), os titulares de dados pessoais podem exercer os seguintes direitos:
- Confirmação e acesso: confirmar a existência de tratamento e acessar os dados pessoais tratados.
- Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço, nos termos da regulamentação da ANPD.
- Eliminação de dados tratados com consentimento: solicitar a eliminação dos dados pessoais tratados com base no consentimento.
- Informação sobre compartilhamento: obter informação sobre entidades públicas e privadas com as quais os dados foram compartilhados.
- Revogação do consentimento: revogar o consentimento a qualquer momento, quando aplicável.
- Oposição: opor-se ao tratamento realizado com base em legítimo interesse, se aplicável.
10.1. Como Exercer seus Direitos
As solicitações podem ser encaminhadas ao nosso Encarregado de Proteção de Dados (DPO) pelo e-mail [email protected], incluindo informações suficientes para identificação do titular e especificação do direito exercido.
As solicitações serão atendidas no prazo de até 15 (quinze) dias, conforme a LGPD, podendo ser prorrogado quando justificado pela complexidade do pedido.
10.2. Reclamação à ANPD
Caso o titular considere que o tratamento de seus dados pessoais viola a LGPD, poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelos canais oficiais disponíveis em www.gov.br/anpd.
11. Cookies e Tecnologias Similares
11.1. No Site Depix.Site
O site da Depix.Site pode utilizar cookies estritamente necessários para o funcionamento do painel administrativo (sessão de autenticação). Não utilizamos cookies de rastreamento, publicidade ou análise comportamental.
11.2. No Plugin Depix Gateway
O Plugin não instala cookies próprios no navegador do Cliente Final. Cookies eventualmente utilizados pelo WooCommerce ou pelo tema WordPress são de responsabilidade do Lojista.
12. Transferência Internacional
Em razão da natureza do serviço, dados técnicos de transações podem ser processados por infraestrutura (servidores) localizada fora do Brasil. Nesses casos, a Depix.Site garante que a transferência internacional de dados é realizada com base em:
- Cláusulas contratuais que assegurem nível de proteção compatível com a LGPD.
- Países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado, conforme avaliação da ANPD.
- Necessidade para execução do contrato entre Lojista e Plataforma (art. 33, III, da LGPD).
As transações liquidadas na rede Liquid Network são registradas em blockchain pública. Por característica técnica da rede, os valores das transações não ficam visíveis publicamente — trata-se de uma propriedade inerente à tecnologia, não de um mecanismo de anonimidade. A Depix.Site não possui controle sobre informações registradas na blockchain após a liquidação.
13. Menores de Idade
Os serviços da Depix.Site são destinados exclusivamente a Lojistas maiores de 18 anos ou a pessoas jurídicas legalmente constituídas. Não coletamos intencionalmente dados pessoais de menores de idade. Caso tenhamos conhecimento de que dados de menores foram coletados inadvertidamente, procederemos à eliminação imediata.
14. Alterações nesta Política
Esta Política de Privacidade poderá ser atualizada periodicamente para refletir alterações em nossas práticas, na legislação ou em requisitos regulatórios. Alterações substanciais serão comunicadas com antecedência mínima de 15 (quinze) dias, por e-mail ou notificação na Plataforma.
A data da última atualização será sempre indicada no topo deste documento. Recomendamos a revisão periódica desta Política.
15. Contato e Encarregado (DPO)
Para exercer seus direitos, esclarecer dúvidas ou fazer solicitações sobre o tratamento de seus dados pessoais:
- Encarregado de Proteção de Dados (DPO): [email protected]
- Suporte geral: [email protected]
- Website: https://depix.site