Política de Privacidade · LGPD

Política de Privacidade

Última atualização: 17/05/2026.

MVP em desenvolvimento. Esta política está em sua versão inicial e será revisada com apoio jurídico antes da comercialização.

1. Quem somos

LICIT é um serviço operado por Raimundo Coelho. Dados de contato do controlador disponíveis em contato.start48@gmail.com.

2. Dados que coletamos

  • Dados de cadastro: e-mail e senha (armazenada com Argon2).
  • Dados das suas empresas: CNPJ, razão social, CNAE, e-mail, telefone — informados por você ou puxados da Receita Federal via BrasilAPI a partir do CNPJ que você fornecer.
  • Documentos que você sobe ao cofre: armazenados em servidor próprio com acesso restrito (X-Accel-Redirect, autenticação por Membership).
  • Dados técnicos: IP, user-agent e horários de acesso — apenas para segurança e auditoria.

3. Por que coletamos

  • Execução do contrato: operar a plataforma e entregar os serviços contratados.
  • Cumprimento de obrigações legais: auditoria de acessos a documentos sensíveis.
  • Legítimo interesse: melhorias do produto (sem perfil comportamental).

4. Quem tem acesso

Cada empresa é um tenant independente. Usuários só veem dados de empresas onde têm vínculo ativo (Membership). Equipe técnica acessa dados apenas para investigar incidentes ou suporte solicitado por você.

5. Compartilhamento

Para puxar dados de CNPJ, consultamos a Receita Federal via BrasilAPI. Para enviar e-mails (recuperação de senha, alertas), usamos Mailgun. Nenhum dado pessoal é vendido ou compartilhado para marketing de terceiros.

6. Retenção

Mantemos dados enquanto sua conta estiver ativa. Após exclusão de conta, dados pessoais são apagados em até 30 dias, salvo obrigação legal de retenção.

7. Direitos do titular (LGPD)

Você pode a qualquer momento solicitar: acesso aos seus dados, correção, anonimização, portabilidade, exclusão, informação sobre compartilhamentos e revogação de consentimento. Escreva para contato.start48@gmail.com — respondemos em até 15 dias.

8. Segurança

  • TLS 1.3 em toda a comunicação.
  • Senhas com Argon2 (não recuperáveis em texto claro).
  • Documentos servidos via X-Accel-Redirect — NGINX não expõe diretório direto.
  • HSTS, X-Frame-Options DENY, Referrer-Policy same-origin.
  • Backup diário do banco.