Conformidade LGPD
Política de Privacidade e Cookies
Este portal processa eventos do eSocial em nome dos nossos clientes. Atuamos como operador para dados dos trabalhadores e como controlador para dados dos usuários cadastrados no sistema. As informações abaixo explicam o tratamento de dados, bases legais, consentimento e como exercer seus direitos.
Resumo das políticas oficiais
As versões completas ficam disponíveis no repositório interno do projeto e podem ser fornecidas mediante solicitação. Utilize os arquivos listados abaixo como referência de auditoria.
Programa de Conformidade LGPD
docs/LGPD.md
Mapa de papéis (Controlador/Operador), bases legais e suboperadores.
Registro das Operações (ROPA)
docs/ROPA.md
Tabela das atividades de tratamento, finalidade, retenção e controles.
Política de Privacidade
docs/POLITICA_PRIVACIDADE.md
Versão detalhada do aviso legal exibido aos clientes.
Política de Cookies
docs/POLITICA_DE_COOKIES.md
Descrição dos cookies essenciais, funcionais e opcionais.
Processos para Titulares
docs/PROCESSOS_TITULARES.md
Procedimento interno para SLA de solicitações LGPD.
Dados coletados e finalidades
- Cadastros e autenticação: nome, usuário/login, e-mail corporativo e registros MFA para liberar o painel. Base legal: Execução do contrato.
- Uploads e retransmissões: arquivos XML/PDF, certificados e procurações exigidos pelo eSocial. Base legal: Obrigação legal + contrato.
- Suporte e monitoramento: tickets, IP, user-agent, falhas de autenticação e métricas de desempenho. Base legal: Legítimo interesse para segurança.
- Comunicação transacional: alertas de expiração de certificados, notificações de processamento e eventuais avisos legais.
O detalhamento de retenção está descrito na docs/POLITICA_RETENCAO.md e nas tabelas do ROPA.
Fluxo de consentimento e coleta
Login e sessão
Cookies essenciais (`sessionid`, `csrftoken`) são criados com flags `Secure`, `HttpOnly` e `SameSite=Strict`. MFA é aplicado para administradores.
Uploads de arquivos
Arquivos enviados em `/previdenciario` são validados, criptografados (`encrypt_uploads.py`) e mantidos por 30 dias ou conforme contrato.
Suporte e tickets
Solicitações registradas via painel/ticket armazenam logs mínimos para auditoria. Dados sensíveis são mascarados e seguem a matriz do cliente.
Cookies e banner
O banner apresentado em todas as páginas registra sua escolha em STG_COOKIE_CONSENT. Cookies opcionais só são ativados após consentimento.
Suboperadores e transferências
- AWS (us-east-2): EC2, S3, Secrets Manager, CloudWatch.
- Cloudflare: CDN/WAF, TLS 1.3 e Logpush.
- HostGator: DNS/registro de domínio.
- Tecnospeed: integração oficial do eSocial.
- Serviços de e-mail e SIEM: AWS SES, Elastic/CloudWatch para logs.
Todas as transferências ocorrem com TLS e cláusulas contratuais específicas.
Direitos dos titulares
Você pode exercer qualquer direito previsto na LGPD utilizando o formulário ou o e-mail do encarregado. Tipos aceitos:
ACESSO
Confirmação/Acesso/Tratamento
RETIFICACAO
Correção/Atualização
ANONIMIZACAO
Anonimização/Bloqueio
PORTABILIDADE
Portabilidade
OPOSICAO
Oposição ao tratamento
CONSENTIMENTO
Revogação de consentimento
ELIMINACAO
Eliminação de dados
INCIDENTE
Relatar incidente de segurança
Nos comprometemos a confirmar o recebimento em até 5 dias úteis e responder integralmente em até 15 dias. O status de acompanhamento fica registrado no arquivo logs/lgpd_requests.log.
Política de Cookies
Utilizamos somente cookies essenciais para autenticação/CSRF e cookies funcionais para lembrar preferências do modo Cliente/Admin. Cookies analíticos opcionais ficam desativados até o consentimento explícito.
- Essenciais: `sessionid`, `stg_session`, `csrftoken`.
- Funcionais: `remember_client_mode` (armazenado no localStorage).
- Consentimento: `STG_COOKIE_CONSENT` grava a escolha por 12 meses; pode ser removido via link “Gerenciar cookies”.
Para remover cookies, use o gerenciador do navegador ou o atalho abaixo. Bloquear cookies essenciais impede o login.
Planos de retenção e incidentes
As rotinas de retenção são automatizadas pelos scripts documentados em docs/POLITICA_RETENCAO.md. Backups ficam cifrados em S3 com ciclo de vida de 365 dias. Incidentes de segurança seguem o playbook descrito em docs/HARDENING_AWS.md e notificações são encaminhadas para clientes e, se necessário, à ANPD.