Segurança & Privacidade.

Que dados coletamos

Na Antroamérica, transparência é fundamental. Coletamos apenas os dados necessários para fornecer nossos serviços:

• Dados de conta: Nome, e-mail, telefone, CNPJ e informações do restaurante
• Dados de pagamento: Informações de cartão de crédito (processadas por terceiros certificados, não armazenadas em nossos servidores)
• Dados de operação: Menu, preços, fotografias, histórico de pedidos e transações
• Dados de clientes finais: Se você sincroniza, coletamos nomes e contatos dos seus clientes para comunicação
• Dados técnicos: Endereço IP, tipo de dispositivo, navegador, padrões de uso para melhorar o serviço
• Cookies e análise: Utilizamos cookies para autenticação, preferências e analytics (completamente anonimizados)

Você tem controle total sobre todos esses dados e pode solicitar acesso, correção ou exclusão a qualquer momento.

Como usamos seus dados

Seus dados são processados apenas para fins específicos e legítimos:

• Prestação de serviço: Manter sua conta, processar pedidos, gerar relatórios e analytics
• Comunicação: Enviar notificações importantes, atualizações de segurança e suporte técnico
• Melhorias: Análise agregada e anonimizada para otimizar funcionalidades e desempenho
• Segurança: Detecção e prevenção de fraude, abuso e ameaças à plataforma
• Conformidade legal: Cumprir obrigações regulatórias, fiscais e LGPD
• Marketing (com consentimento): Enviar informações sobre novos recursos e promoções apenas se você autorizar

Importante: Nunca vendemos seus dados para terceiros. Período.

Como protegemos suas informações

Investimos continuamente em segurança. Aqui estão as medidas que implementamos:

🔐 Criptografia

• Em trânsito: Todos os dados transmitidos são protegidos com TLS 1.3, o padrão de criptografia mais moderno
• Em repouso: Dados armazenados são criptografados com AES-256, impossível ler sem a chave correta
• Senhas: Armazenadas com hash bcrypt + salt, nunca em texto plano, nunca recuperáveis
• Chaves de API: Criptografadas e rotacionadas periodicamente

👥 Controle de acesso

• Autenticação multi-fator (MFA): Disponível para adicionar camada extra de proteção
• RBAC (Role-Based Access Control): Cada usuário tem permissões específicas — gerentes não acessam dados do cozinheiro
• Autenticação forte: Implementamos OAuth 2.0 e sessões seguras com timeout automático
• Logs de auditoria: Rastreamos quem acessou o quê e quando, para detectar anomalias

🛡️ Infraestrutura e rede

• Servidores seguros: Hospedagem em Google Cloud com certificação ISO 27001 e compliance internacional
• Firewall avançado: Múltiplas camadas de proteção contra ataques DDoS, SQL injection e cross-site scripting (XSS)
• WAF (Web Application Firewall): Monitora e bloqueia requisições maliciosas em tempo real
• VPC isolada: Seus dados ficam em rede privada, isolada da internet pública
• Backups automáticos: Criptografados e replicados em múltiplas regiões para recuperação em caso de desastre

🔍 Monitoramento 24/7

• Detecção de intrusão: Sistemas de IDS/IPS monitoram padrões suspeitos continuamente
• Análise de vulnerabilidades: Scans automáticos semanais + testes de penetração trimestrais por especialistas
• Alertas em tempo real: Qualquer atividade suspeita dispara alertas imediatos para nossa equipe de segurança
• Resposta a incidentes: Procedimento formalizado para responder a qualquer brecha em menos de 1 hora

👨‍💻 Desenvolvimento seguro

• Code review obrigatório: Todas as mudanças são revisadas por pelo menos 2 desenvolvedores antes de deploy
• Testes de segurança: SAST (análise estática) + DAST (análise dinâmica) em cada versão
• Dependências monitoradas: Verificamos bibliotecas contra vulnerabilidades conhecidas (CVE)
• Atualizações regulares: Patches de segurança aplicados imediatamente, hot fixes em horas se necessário

🤝 Compliance e certificações

• LGPD compliant: Implementamos todos os requisitos da Lei Geral de Proteção de Dados
• GDPR-ready: Conformidade com regulação europeia, mesmo que não seja obrigatória
• PCI-DSS: Conformidade parcial para segurança de dados de pagamento (confiamos em processadores certificados)
• ISO 27001: Via nosso provedor de infraestrutura (Google Cloud)
• Termos de Processamento de Dados (DPA): Disponível sob demanda para clientes enterprise

📋 Gestão de pessoal

• Acesso mínimo: Apenas funcionários que precisam acessam dados dos clientes
• NDA obrigatório: Todos os funcionários assinam acordo de confidencialidade
• Treinamento de segurança: Formação contínua em boas práticas e LGPD
• Background checks: Verificação de antecedentes para posições sensíveis
• Offboarding seguro: Acesso revogado imediatamente quando funcionários saem

Reportar uma vulnerabilidade de segurança

Se você descobrir uma vulnerabilidade de segurança, não publique publicamente. Entre em contato conosco confidencialmente:

• E-mail de segurança: security@antroamerica.com.br
• Responderemos em até 24 horas e trabalharemos com você para resolver
• Vulnerabilidades confirmadas podem receber reconhecimento público, se desejado

Seus direitos

Conforme a LGPD, você tem o direito de:

• Acessar: Solicitar cópia completa de todos os seus dados em até 15 dias úteis
• Corrigir: Atualizar informações inexatas ou incompletas
• Deletar: Solicitar exclusão permanente de seus dados (direto ao esquecimento)
• Limitar: Restringir o processamento de dados específicos
• Portabilidade: Receber seus dados em formato estruturado (JSON, CSV) para transferir para outra plataforma
• Revogar consentimento: Parar de receber comunicações de marketing a qualquer momento
• Saber: Estar informado sobre qualquer brecha de dados em até 72 horas
• Reclamar: Denunciar à Autoridade Nacional de Proteção de Dados (ANPD) se seus direitos forem violados

Notificação de brechas de segurança

Na improvável circunstância de uma brecha de dados, você será notificado:

• Prazo: Em até 72 horas após descobrimento
• Canal: Via e-mail registrado em sua conta + notificação na plataforma
• Informações: O que foi afetado, que ações estamos tomando, e o que você deve fazer
• Autoridades: Autoridades relevantes também serão notificadas, conforme lei

Retenção de dados

Mantemos seus dados apenas enquanto necessário:

• Dados operacionais: Mantidos enquanto sua conta está ativa + 30 dias após cancelamento
• Dados de transação/faturamento: Retidos por 7 anos (obrigação fiscal e legal)
• Backups: Automaticamente deletados após 90 dias
• Logs de segurança: Mantidos por 1 ano para análise e auditoria

Transferências internacionais de dados

Como usamos infraestrutura em nuvem, seus dados podem ser processados internacionalmente. Implementamos:

• Cláusulas Contratuais Padrão (SCCs): Aprovadas pela UE para transferências seguras
• Criptografia de ponta a ponta: Dados permanecem criptografados mesmo em trânsito internacional
• Conformidade: Mesmo nível de proteção que você teria se tudo fosse local

Cookies e tecnologias de rastreamento

Utilizamos:

• Cookies de sessão: Necessários para manter você autenticado (expiram ao fechar navegador)
• Cookies de preferência: Lembram suas configurações de idioma, tema escuro, etc
• Google Analytics: Apenas para entender comportamento agregado (dados anonimizados, sem identificação pessoal)
• Você controla: Pode desabilitar cookies nas configurações do navegador (mas a plataforma pode não funcionar)

Contato para questões de segurança

Fale conosco sobre qualquer preocupação de segurança ou privacidade:

• Encarregado de Proteção de Dados (DPO): privacidade@antroamerica.com.br
• Segurança: security@antroamerica.com.br
• WhatsApp: +55 17 99220-0856

---

Sua segurança e privacidade são nossa prioridade absoluta. Confiamos em você, então protegemos seus dados como se fossem nossos.