Politica de Privacidade

Versao: 1.0.0 · Vigente desde: 30/04/2026

Esta Politica descreve como a Axxen Consultoria (controladora) e a plataforma ReformaTax tratam dados pessoais, em conformidade com a Lei nº 13.709/2018 (LGPD).

1. Dados que tratamos

Conta de usuario: nome, login, senha (hash), papel (admin/padrao/user) e historico de acesso.
Empresa cliente: razao social, CNPJ, regime tributario, faturamento informado, setor, logo.
Curva ABC e XMLs: dados extraidos das NF-e enviadas, incluindo NCM, valores, fornecedores e seus documentos (CNPJ/CPF). Documentos sao cifrados em repouso (AES via Fernet).
Logs de auditoria: acoes praticadas na plataforma, com IP pseudonimizado (HMAC-SHA256) e User-Agent truncado.
Cookies essenciais: apenas o cookie de sessao (__session), HttpOnly + Secure + SameSite=Lax.

2. Finalidades

Prestar o servico de diagnostico tributario contratado.
Cumprir obrigacoes legais e regulatorias (e.g. retencao fiscal).
Auditoria de seguranca e investigacao de incidentes.

3. Bases legais

Execucao de contrato (Art. 7º, V) — servico ao cliente.
Cumprimento de obrigacao legal (Art. 7º, II) — registros fiscais.
Legitimo interesse (Art. 7º, IX) — auditoria e seguranca.

4. Compartilhamento

Nao vendemos dados pessoais. Compartilhamos apenas com:

Google Cloud Platform — operador para hospedagem (Cloud Run, Cloud SQL).
BrasilAPI — apenas o CNPJ consultado durante o enriquecimento de regime tributario.
Autoridades, mediante ordem judicial.

5. Retencao

Logs de auditoria sao retidos por 5 anos. Dados cadastrais sao mantidos enquanto a conta estiver ativa e por ate 5 anos apos o encerramento (Art. 16, II e III).

6. Direitos do titular (Art. 18)

Voce pode, a qualquer momento, solicitar:

Confirmacao e acesso aos seus dados — GET /lgpd/me
Correcao de dados — POST /lgpd/correction
Portabilidade (exportacao em JSON) — GET /lgpd/portability
Eliminacao / anonimizacao da conta — DELETE /lgpd/account

7. Seguranca

HTTPS obrigatorio em producao (HSTS preload).
Senhas com hash (Werkzeug PBKDF2-SHA256) e politica de complexidade.
2FA TOTP opcional — recomendado para administradores.
Rate limiting + lockout temporario apos 5 falhas de login.
CSP, X-Frame-Options=DENY, X-Content-Type-Options=nosniff, Referrer-Policy=strict-origin-when-cross-origin.
Cifragem em repouso para CNPJ/CPF de participantes da Curva ABC.

8. Encarregado (DPO)

Em caso de duvidas ou para exercer seus direitos, contate o Encarregado de Dados: dpo@axxen.com.br.

9. Comunicacao de incidentes

Em caso de incidente de seguranca com risco a direitos dos titulares, comunicaremos a ANPD em ate 72 horas e os titulares afetados em prazo razoavel (Art. 48 LGPD).

10. Mudancas nesta politica

Alteracoes sao comunicadas com 15 dias de antecedencia via banner no login. Versoes anteriores ficam arquivadas e podem ser solicitadas ao DPO.