Beta a 15 de julho
A Sitetra lança o beta público a 15 de julho! Inscreva-se na nossa newsletter para acesso antecipado e recompensas exclusivas. Os primeiros participantes recebem créditos bónus e suporte prioritário.
Política de Privacidade
[Este documento foi traduzido para sua conveniência. A versão juridicamente vinculativa é a versão em inglês (Canadá).]
Última atualização: 21 de março de 2026
Esta Política de Privacidade descreve como a RAPID DEV GROUP INC., uma sociedade de Ontário (Canadá) que opera sob o nome Sitetra ("nós" ou "nosso"), recolhe, utiliza, divulga e protege as suas informações pessoais quando utiliza a nossa plataforma em sitetra.com e quaisquer serviços relacionados (coletivamente, o "Serviço").
A Sitetra é uma plataforma multi-tenant de construção e gestão de websites. Operamos numa dupla capacidade:
- Responsável pelo tratamento de dados: Para utilizadores que criam contas diretamente na Sitetra (operadores de websites, programadores e administradores).
- Subcontratante de dados: Para utilizadores finais de websites construídos e operados pelos nossos clientes (operadores de websites). Nesta capacidade, o operador do website é o responsável pelo tratamento de dados.
A versão em língua inglesa desta Política de Privacidade (en-CA) é a versão vinculativa e juridicamente obrigatória. As traduções são disponibilizadas apenas por cortesia.
Ao utilizar o Serviço, concorda com a recolha e utilização de informações de acordo com esta Política de Privacidade. Se não concordar, por favor não utilize o Serviço.
1. Informações que recolhemos
1.1 Informações da conta
Quando cria uma conta, recolhemos: nome completo, endereço de e-mail, palavra-passe (armazenada apenas em formato hash, nunca em texto simples), número de telefone (opcional), idioma/localização preferida e nome de utilizador.
1.2 Dados de autenticação e segurança
Recolhemos dados relacionados com a sua atividade de autenticação: registos temporais de início de sessão, endereços IP, cadeias de agente de utilizador (analisadas para identificar o navegador, sistema operativo e dispositivo), geolocalização aproximada derivada de endereços IP, tokens OAuth e identificadores de perfil (ao iniciar sessão através de Google, Microsoft, Facebook ou GitHub), dados de configuração MFA e registos de deteção de novos dispositivos.
1.3 Informações de faturação e pagamento
O processamento de pagamentos é assegurado por processadores terceiros, incluindo Stripe, Square, PayPal e Wise. Não armazenamos números completos de cartões de crédito nos nossos servidores. Podemos armazenar informações parciais do cartão (como os últimos quatro dígitos e o tipo de cartão), moradas de faturação e registos de transações fornecidos por estes processadores. Mantemos também saldos de contas de crédito e históricos completos de transações de crédito.
1.4 Dados de conteúdo
Armazenamos conteúdo que cria e carrega através do Serviço, incluindo: páginas web, publicações de blogue, artigos e FAQ; listagens de produtos, configurações de SKU e dados de inventário; imagens, documentos e outros ficheiros carregados (armazenados no Cloudflare R2, com cópia de segurança redundante no Vultr Object Storage); configurações do website, estilos, modelos e definições de design.
1.5 Dados de comércio eletrónico e transações
Quando os operadores de websites utilizam funcionalidades de comércio eletrónico, processamos: conteúdo do carrinho de compras (artigos, quantidades, preços), informações de checkout (nome do cliente, e-mail, moradas de envio e faturação), registos de encomendas (números de bilhete, estado, estado do pagamento, artigos, totais, impostos, descontos), registos de utilização e resgate de cupões, detalhes dos métodos de pagamento (tokenizados, apenas os últimos quatro dígitos) e histórico de reembolsos.
1.6 Dados de CRM e relações
Os operadores de websites podem armazenar dados de relações com clientes, incluindo: informações de contacto (nomes, e-mails, números de telefone, moradas), registos de contas empresariais e subcontas, histórico de comunicação (e-mails, notas, etiquetas), atribuições de agentes de vendas e tipos e categorias de relações.
1.7 Dados de reservas
Quando são utilizadas funcionalidades de reservas, processamos: datas, horas e durações de compromissos, tamanhos de grupos e preferências de lugares, pedidos especiais e notas, bloqueios de pré-autorização de pagamento, estado das reservas e detalhes de confirmação e configurações de mesas e turnos do restaurante.
1.8 Dados de avaliações
Quando as funcionalidades de avaliação estão ativadas, recolhemos: classificações por estrelas e classificações por categoria (qualidade, valor, serviço, etc.), texto de avaliação escrito, fotografias de avaliações (carregadas através do sistema de ficheiros), identidade do avaliador (autenticada ou anónima, consoante a configuração do operador) e verificação do estado de compra.
1.9 Dados de newsletter e comunicação
Para funcionalidades de newsletter e marketing por e-mail, processamos: endereços de e-mail e preferências dos subscritores, atribuições de segmentos e temas de subscrição, dados de acompanhamento de entrega de e-mails (entregue, devolvido, aberto, clicado) recebidos via webhooks de fornecedores de e-mail, registos de cancelamento de subscrição e histórico de consentimento e registos de estado de entrega de SMS.
1.10 Dados de interação com IA
Quando utiliza as nossas funcionalidades baseadas em IA, recolhemos: instruções e indicações que fornece aos serviços de IA, respostas e conteúdo gerados por IA, contagens de tokens e custos estimados, o modelo de IA e fornecedor utilizado, identificadores de sessão e histórico de conversação e dados de contexto empresarial (diretrizes de voz/tom, descrições da empresa) fornecidos pelos operadores.
1.11 Dados áudio
Se utilizar funcionalidades de conversão de voz em texto, as gravações áudio são processadas via OpenAI Whisper API (processamento externo) ou Speaches (processamento na própria infraestrutura). Os dados áudio são utilizados exclusivamente para transcrição e não são retidos após a conclusão do processamento.
1.12 Dados de verificação de identidade
Quando um operador de website solicita verificação de identidade, a IDenfy pode processar: digitalizações de reconhecimento facial, imagens de documentos emitidos pelo governo e dados extraídos (nome, data de nascimento, sexo, tipo de documento, número de documento), estado de verificação (pendente, enviado por e-mail, aprovado, suspeito), resultados de rastreio AML e documentos de comprovativo de morada. Os dados biométricos (reconhecimento facial) são processados pela IDenfy. A Sitetra armazena os resultados da verificação e os dados pessoais extraídos, mas não armazena dados biométricos brutos.
1.13 Dados analíticos e de rastreio
Recolhemos dados de utilização do website, incluindo: visualizações de páginas e caminhos de navegação, identificadores de sessão e duração, impressões digitais do navegador (via FingerprintJS, utilizadas para segurança e identificação anónima do carrinho, não para publicidade), tipo de dispositivo e informações do ecrã, URLs de referência e preferências de localização/idioma.
1.14 Dados de carregamento de ficheiros
Para ficheiros carregados, armazenamos: nomes de ficheiros, tamanhos e tipos MIME, designação de acesso público/privado, metadados e etiquetas associados, tipos especiais de ficheiros (ícones, logótipos, capas) e resultados de verificação antivírus.
1.15 Dados de registo de domínio
Se registar um domínio através do Serviço, os dados de registo WHOIS são processados através da EasyDNS ou Cloudflare Registrar. Isto pode incluir o seu nome, organização, morada, e-mail e número de telefone, conforme exigido pelos regulamentos de registo de domínios e políticas da ICANN.
1.16 Dados de notificações push
Se ativar as notificações push, armazenamos tokens do dispositivo (pontos finais e chaves de encriptação) necessários para entregar notificações ao seu dispositivo.
1.17 Dados de mercado e financeiros
Para websites que utilizam funcionalidades de metais preciosos, processamos: dados de feeds de preços em tempo real (preços de compra/venda de ouro, prata, platina, paládio), preços diários de fixação de Londres, dados de gráficos de preços históricos e notícias do mercado de matérias-primas.
2. Como utilizamos as suas informações
Utilizamos as informações que recolhemos para os seguintes fins:
- Operação do Serviço: Para fornecer, manter e melhorar a plataforma Sitetra, incluindo a construção de websites, gestão de conteúdos, alojamento e infraestrutura multi-tenant.
- Geração de Conteúdo por IA: Para alimentar funcionalidades assistidas por IA, como criação de conteúdos, tradução, otimização de SEO, construção de websites, transcrição de voz para texto e análise de imagens, utilizando fornecedores de IA terceiros.
- Processamento de Comércio Eletrónico: Para facilitar a gestão de produtos, funcionalidade de carrinho de compras, processamento de encomendas, coordenação de pagamentos, gestão de cupões e acompanhamento de inventário em nome dos operadores de websites.
- Gestão de Reservas: Para processar reservas, marcações e sincronização de calendário em nome dos operadores de websites.
- Verificação de Identidade: Para facilitar a verificação KYC/AML quando exigida pelos operadores de websites, utilizando o IDenfy.
- Licenciamento de Imagens de Arquivo: Para pesquisar, pré-visualizar, licenciar e entregar imagens de arquivo da Shutterstock.
- Gestão de Domínios: Para registar, renovar, monitorizar e gerir nomes de domínio através da EasyDNS ou Cloudflare Registrar.
- Segurança: Para proteger contas e a plataforma através de verificação de malware ClamAV, autenticação multifator (MFA), impressão digital do navegador, limitação de taxa, registo de autenticação e geolocalização baseada em IP.
- Faturação e Pagamentos: Para processar pagamentos, gerir contas de crédito, processar recarga automática, faturação mensal de websites e manter registos financeiros.
- Comunicações Transacionais: Para enviar e-mails e mensagens SMS relacionados com o serviço, incluindo verificação de conta, reposição de palavra-passe, notificações de faturação, alertas de segurança, confirmações de encomendas, confirmações de reservas e e-mails de recuperação de carrinhos abandonados.
- Entrega de Newsletters: Para enviar newsletters de marketing e campanhas de e-mail em nome dos operadores de websites aos seus subscritores.
- Notificações Push: Para entregar alertas de faturação, notificações de encomendas, confirmações de reservas, notificações de avaliações e outras notificações em tempo real.
- Analítica: Para agregar visualizações de páginas e eventos em resumos diários e mensais, fornecendo aos operadores de websites informações sobre tráfego e utilização.
- Sincronização de Calendário: Para sincronizar dados de reservas e eventos com serviços de calendário externos através do protocolo CalDAV.
- Melhoria do Serviço: Para analisar dados de utilização agregados e anonimizados, de modo a melhorar funcionalidades, desempenho e experiência do utilizador.
- Conformidade Legal: Para cumprir as leis, regulamentos e processos legais aplicáveis.
3. Como partilhamos as suas informações
Não vendemos suas informações pessoais.
Compartilhamos informações com as seguintes categorias de terceiros apenas conforme necessário para fornecer e proteger o Serviço:
3.1 Provedores de Serviço de IA
- Anthropic (Claude): Prompts de conteúdo e dados de contexto para geração por IA.
- OpenAI: Prompts de conteúdo, dados de contexto e dados de áudio para geração por IA e conversão de fala em texto.
- Google (Gemini): Prompts de conteúdo e dados de contexto para geração por IA.
- Ollama (auto-hospedado): Os dados permanecem em nossa infraestrutura e não são transmitidos externamente.
3.2 Processadores de Pagamento
Stripe, Square, PayPal e Wise para processamento de pagamentos, assinaturas e transferências de dinheiro.
3.3 Provedores de Comunicação
Postmark e Mailgun para entrega de e-mail (incluindo rastreamento de status de entrega). VoIP.ms para entrega de SMS.
3.4 Registradores de Domínio
EasyDNS e Cloudflare Registrar para registro de domínio, renovação e gestão de DNS.
3.5 Provedor de Imagens de Banco
Shutterstock para consultas de pesquisa de imagens de banco e licenciamento de imagens.
3.6 Verificação de Identidade
IDenfy para verificação de identidade KYC/KYB/AML, reconhecimento facial e verificação de documentos.
3.7 Provedores de Infraestrutura
Cloudflare para CDN, DNS, firewall de aplicação web, proteção DDoS e armazenamento de arquivos (R2). Vultr para armazenamento de arquivos de backup redundante (Nova York, Estados Unidos).
3.8 Análises
Google Analytics (apenas quando habilitado pelo Operador do Site em seu site individual).
3.9 Provedores de OAuth/Autenticação
Google, Microsoft, Facebook e GitHub para autenticação de login social (apenas quando o utilizador optar por se autenticar através desses provedores).
3.10 Operadores de Sites
Os Operadores de Sites recebem seus próprios dados de clientes através da interface de administração e API da Plataforma. Construtores com acesso entre sites (através do sistema de atribuição de construtores) podem visualizar dados em seus sites atribuídos.
3.11 Requisitos Legais
Podemos divulgar suas informações se exigido por lei, ordem judicial, intimação ou processo legal válido, ou se acreditarmos de boa-fé que tal ação é necessária para: cumprir uma obrigação legal, proteger e defender os direitos ou propriedade da RAPID DEV GROUP INC., prevenir ou investigar possíveis irregularidades ou proteger a segurança pessoal dos usuários ou do público.
3.12 Transferências Comerciais
No caso de fusão, aquisição, reorganização ou venda de ativos, suas informações pessoais podem ser transferidas como parte dessa transação. Notificaremos o utilizador por e-mail ou aviso proeminente no Serviço antes que suas informações fiquem sujeitas a uma política de privacidade diferente.
4. Armazenamento e segurança dos dados
Implementamos medidas técnicas e organizacionais apropriadas para proteger suas informações pessoais:
- Localização: Nossa infraestrutura principal está localizada no Canadá (Ontário). O armazenamento de arquivos no Cloudflare R2 pode ser distribuído globalmente. Backups redundantes de arquivos são armazenados no Vultr Object Storage nos Estados Unidos (Nova York).
- Banco de Dados: Os dados são armazenados em PostgreSQL com chaves primárias UUID e validação de tipo de dados aplicada.
- Isolamento Multilocatário: Os dados são logicamente isolados entre sites usando uma arquitetura baseada em websiteId. Os dados de cada site são separados e não podem ser acessados por outros locatários.
- Criptografia em Trânsito: Todos os dados transmitidos entre seu dispositivo e nossos servidores são criptografados usando TLS/HTTPS.
- Segurança de Senhas: As senhas são armazenadas usando hash bcrypt padrão da indústria. Nunca armazenamos senhas em texto simples.
- Segurança de Credenciais de API: Chaves de API de terceiros e segredos de webhook armazenados em configurações por site são criptografados em repouso.
- Autenticação Multifator: MFA está disponível para todas as contas e é obrigatória para acesso entre sites em nível de desenvolvedor.
- Verificação de Malware: Todos os arquivos enviados são verificados usando ClamAV.
- Autenticação: O acesso à API é protegido usando autenticação JWT (JSON Web Token) com expiração configurável.
- Limitação de Taxa: Limites de taxa são aplicados a endpoints de autenticação, processamento de IA e acesso geral à API para prevenir abuso.
- CORS: Restrições de Compartilhamento de Recursos de Origem Cruzada são aplicadas com base nos domínios dos sites.
- Arquitetura de Exclusão Reversível: Registros excluídos são inicialmente excluídos de forma reversível (marcados com um carimbo de data/hora de exclusão) antes da remoção permanente, fornecendo uma janela de recuperação.
Embora nos esforcemos para usar meios comercialmente aceitáveis para proteger suas informações pessoais, nenhum método de transmissão pela Internet ou método de armazenamento eletrônico é 100% seguro. Não podemos garantir segurança absoluta.
5. Retenção de dados
| Categoria de Dados | Período de Retenção |
|---|---|
| Dados de conta ativa | Duração de sua conta ativa |
| Dados de conta/site excluídos | 90 dias após a exclusão, depois removidos permanentemente |
| Registros de faturamento e transações de crédito | Retidos indefinidamente (registros financeiros imutáveis); mínimo de 7 anos conforme exigido pela lei tributária canadense |
| Registros de autenticação | Configurável por site; tempo de vida de sessão padrão se aplica |
| Históricos de entrega de e-mail | Retidos durante a vida útil do site |
| Históricos de entrega de SMS | Retidos durante a vida útil do site |
| Registros de erros | Retidos durante a vida útil do site |
| Dados brutos de análise (visualizações de página) | Agregados em resumos diários, dados brutos limpos diariamente |
| Resumos diários de análise | 13 meses, depois agregados em resumos mensais |
| Resumos mensais de análise | Retidos indefinidamente |
| Cache de geolocalização por IP | Retido enquanto os registros associados existirem |
| Dados de sessão e uso de IA | Retidos durante a vida útil do site |
| Dados de verificação de identidade | Retidos conforme requisitos do operador e regulamentos KYC/AML aplicáveis |
| Registros de reserva/agendamento | Retidos durante a vida útil do site |
| Carrinhos de compras abandonados | Limpos diariamente após o período de inatividade configurado pelo operador |
| Registros de assinaturas canceladas | Excluídos de forma reversível após 90 dias |
| Contas de usuário não verificadas | Limpas diariamente após o período de expiração |
| Dados de site suspenso (com domínio órfão) | 90 dias após o domínio se tornar órfão |
| Dados anonimizados e agregados | Retidos indefinidamente para análise e melhoria do serviço |
Os Operadores podem solicitar a exclusão antecipada dos dados de seu site, sujeito a retenções legais e requisitos regulatórios.
6. Os seus direitos e opções
6.1 Todos os Usuários
Independentemente de sua localização, o utilizador tem o direito de:
- Acesso: Solicitar uma cópia das informações pessoais que mantemos sobre o utilizador.
- Correção: Solicitar a correção de informações imprecisas ou incompletas.
- Exclusão: Solicitar a exclusão de suas informações pessoais.
- Portabilidade: Solicitar seus dados em um formato estruturado, comumente usado e legível por máquina (JSON).
- Recusa: Recusar comunicações de marketing não essenciais a qualquer momento.
- Cancelamento de Inscrição em Newsletter: Todo e-mail de marketing inclui um link funcional de cancelamento de inscrição.
- Controle de Notificações Push: Revogar a permissão de notificações push a qualquer momento através das configurações do seu navegador ou dispositivo.
- Exclusão de Conta: Solicitar a exclusão completa de sua conta e dados associados.
6.2 Residentes Canadenses (PIPEDA)
Sob a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), o utilizador tem o direito de: acessar suas informações pessoais mantidas por nós, contestar a precisão e integridade de suas informações e solicitar sua alteração, e retirar o consentimento para a coleta, uso ou divulgação de suas informações, sujeito a restrições legais ou contratuais.
Responderemos a solicitações de acesso dentro de 30 dias. Se o utilizador não estiver satisfeito com nossa resposta, pode registrar uma reclamação junto ao Escritório do Comissário de Privacidade do Canadá.
6.3 Residentes Europeus (GDPR)
Se o utilizador estiver localizado na União Europeia ou no Espaço Econômico Europeu, o utilizador tem direitos adicionais sob o Regulamento Geral de Proteção de Dados (GDPR):
- Direito de Acesso (Art. 15): Obter confirmação se processamos seus dados e solicitar uma cópia.
- Direito de Retificação (Art. 16): Ter dados pessoais imprecisos corrigidos.
- Direito ao Apagamento (Art. 17): Solicitar a exclusão de seus dados pessoais ("direito ao esquecimento").
- Direito à Restrição (Art. 18): Solicitar a restrição do processamento em certas circunstâncias.
- Direito à Portabilidade de Dados (Art. 20): Receber seus dados em um formato estruturado e legível por máquina.
- Direito de Oposição (Art. 21): Opor-se ao processamento baseado em interesses legítimos ou para marketing direto.
- Direito de Retirar o Consentimento: Retirar o consentimento a qualquer momento quando o processamento for baseado em consentimento.
Responderemos a solicitações GDPR dentro de 30 dias. O utilizador também tem o direito de apresentar uma reclamação à sua autoridade local de proteção de dados.
6.4 Residentes da Califórnia (CCPA)
Se o utilizador é residente da Califórnia, o utilizador tem os seguintes direitos sob a Lei de Privacidade do Consumidor da Califórnia (CCPA):
- Direito de Saber: Solicitar informações sobre as categorias e peças específicas de informações pessoais que coletamos.
- Direito de Excluir: Solicitar a exclusão de suas informações pessoais.
- Direito de Recusar a Venda: Não vendemos informações pessoais, portanto este direito não é aplicável.
- Direito à Não Discriminação: O utilizador não receberá tratamento discriminatório por exercer seus direitos de privacidade.
Responderemos a solicitações CCPA dentro de 45 dias.
6.5 Usuários Finais de Sites de Operadores
Se o utilizador é um Usuário Final de um site operado na plataforma Sitetra, por favor direcione solicitações de privacidade ao Operador do Site primeiro, pois ele é o controlador de dados para suas informações. Se o utilizador não conseguir entrar em contato com o Operador ou resolver sua solicitação, pode contatar a Sitetra e auxiliaremos na medida do possível.
7. Transferências internacionais de dados
A RAPID DEV GROUP INC. tem sede em Ontário, Canadá. As suas informações podem ser transferidas e processadas em países diferentes do seu através dos nossos prestadores de serviços terceiros.
Os principais destinos de transferência de dados incluem:
- Estados Unidos: Fornecedores de IA (Anthropic, OpenAI, Google), processadores de pagamentos (Stripe, Square, PayPal), fornecedores de e-mail (Postmark, Mailgun), imagens de arquivo (Shutterstock) e verificação de identidade (IDenfy).
- Canadá: Infraestrutura e base de dados principal.
- Distribuição global: Cloudflare CDN e armazenamento de ficheiros (R2). Vultr Object Storage para cópias de segurança de ficheiros (Nova Iorque).
O Canadá recebeu uma decisão de adequação da Comissão Europeia, o que significa que as leis canadianas de proteção de dados são reconhecidas como proporcionando um nível adequado de proteção para dados pessoais transferidos da UE/EEE.
Para transferências para os Estados Unidos e outras jurisdições sem decisão de adequação, baseamo-nos em Cláusulas Contratuais-Tipo (CCT) ou outras salvaguardas adequadas conforme exigido pela legislação aplicável.
Para processamento de IA via Ollama e conversão de voz em texto via Speaches, os dados permanecem na nossa própria infraestrutura no Canadá e não saem dos nossos servidores.
Ao utilizar o Serviço, consente na transferência das suas informações para o Canadá e outros países conforme descrito nesta Política de Privacidade.
8. Privacidade das crianças
O Serviço não se destina a ser utilizado por menores de 16 anos. Não recolhemos conscientemente informações pessoais de crianças com menos de 16 anos. Se tivermos conhecimento de que recolhemos informações pessoais de uma criança com menos de 16 anos, tomaremos medidas para eliminar essas informações prontamente.
Os operadores de websites que criam websites que possam ser acedidos por crianças são responsáveis por garantir o cumprimento da COPPA e de outras leis de privacidade infantil aplicáveis na sua jurisdição.
Se acredita que podemos ter recolhido informações de uma criança com menos de 16 anos, contacte-nos imediatamente.
9. Cookies e tecnologias de rastreio
| Tipo | Finalidade | Detalhes |
|---|---|---|
| Cookies Essenciais | Autenticação e gestão de sessão | Tokens de sessão JWT, proteção CSRF. Necessários para o funcionamento do Serviço. |
| Cookies de Carrinho | Identificação do carrinho de compras | Identificador baseado em cookie para rastreamento anônimo de carrinho de compras, permitindo que visitantes mantenham um carrinho antes de criar uma conta. |
| Cookies de Consentimento | Armazenamento de preferências do usuário | Registra suas escolhas de consentimento de cookies para que sejam lembradas entre visitas. |
| Segurança | Prevenção de fraude e proteção de conta | Impressão digital do navegador FingerprintJS para segurança e análise. Não usado para publicidade. |
| Análise (Opcional) | Análise de tráfego do site | Google Analytics, habilitado apenas quando o Operador do Site o ativa. |
Não usamos cookies de publicidade ou cookies de rastreamento entre sites.
Modos de Consentimento
A Plataforma suporta três modos de consentimento, configuráveis por site pelo Operador:
- Aviso: Exibe um banner informativo sobre o uso de cookies.
- Jurisdição: Aplica configurações de consentimento padrão baseadas na jurisdição.
- Completo: Requer consentimento explícito antes que cookies não essenciais sejam definidos.
10. Operadores de websites (processamento de dados)
A Sitetra atua como plataforma para Operadores de Sites construírem e gerenciarem seus próprios sites. Neste contexto:
10.1 Funções e Responsabilidades
- Operadores de Sites são os controladores de dados para as informações pessoais de seus próprios Usuários Finais e clientes.
- Sitetra atua como processador de dados, processando dados em nome e sob as instruções do Operador do Site.
10.2 Obrigações do Operador
Os Operadores de Sites são responsáveis por:
- Manter suas próprias políticas de privacidade em conformidade com as leis aplicáveis.
- Obter os consentimentos necessários de seus Usuários Finais para coleta e processamento de dados.
- Responder a solicitações de titulares de dados de seus clientes.
- Determinar a base legal para o processamento dos dados de seus clientes.
- Garantir que o uso dos recursos da Plataforma (marketing por e-mail, avaliações, análises) esteja em conformidade com as leis de privacidade e antispam aplicáveis.
10.3 Processamento Automatizado
A Sitetra realiza o seguinte processamento automatizado em nome dos Operadores: e-mails de recuperação de carrinho abandonado, e-mails de solicitação de avaliação, faturamento de assinaturas, confirmações de reservas, entrega de newsletters, faturamento de sites e limpeza programada de dados.
10.4 Isolamento de Dados
Todos os dados são isolados por websiteId. Um Operador de Site não pode acessar os dados dos Usuários Finais de outro Operador. Construtores com acesso entre sites só podem visualizar dados de sites especificamente atribuídos a eles.
10.5 Subprocessadores
Nossos subprocessadores estão listados na Seção 18 desta Política de Privacidade. Os Operadores de Sites devem referenciar esta lista em suas próprias políticas de privacidade conforme aplicável.
10.6 Acordo de Processamento de Dados
Um Acordo de Processamento de Dados (DPA) formal está disponível mediante solicitação para Operadores que necessitem de um para conformidade com GDPR ou outra regulamentação.
10.7 Exclusão de Dados
Quando um site é excluído, todos os dados associados (incluindo dados de Usuários Finais) são removidos permanentemente após o período de retenção de 90 dias.
11. Práticas de dados específicas de IA
Nossa plataforma integra-se com vários provedores de IA. Veja como os dados são tratados para cada um:
- Anthropic (Claude): Prompts de texto, contexto de conteúdo, diretrizes comerciais e conteúdo existente do site são enviados para a API da Anthropic. O tratamento de dados da Anthropic é regido por sua política de privacidade e termos de serviço.
- OpenAI: Prompts de texto, contexto de conteúdo e dados de áudio (para conversão de fala em texto via Whisper) são enviados para a API da OpenAI. Dados de imagem podem ser enviados para análise de visão (análise de logotipo, classificação de imagens). O tratamento de dados da OpenAI é regido por sua política de privacidade e termos de serviço.
- Google (Gemini): Prompts de texto e contexto de conteúdo são enviados para a API Gemini do Google. O tratamento de dados do Google é regido por sua política de privacidade e termos de serviço.
- Ollama (Auto-Hospedado): Prompts de texto são processados inteiramente em nossa própria infraestrutura. Nenhum dado é enviado para servidores externos.
- Speaches (Auto-Hospedado): Dados de áudio para conversão de fala em texto são processados inteiramente em nossa própria infraestrutura. Nenhum dado é enviado para servidores externos.
Registro de Uso de IA
Para cada interação com IA, registramos: o provedor e modelo de IA utilizados, contagens de tokens de entrada/saída, custo estimado em créditos, um identificador de sessão e o site associado. Esses dados são usados para faturamento, análise de uso e melhoria do serviço.
Dados de Contexto da IA
Ao gerar conteúdo, a IA pode receber: o nome, descrição e contexto comercial do seu site, diretrizes de voz/tom configuradas pelo Operador, conteúdo existente do seu site (para geração contextualizada), dados de site de referência (quando uma URL de referência é fornecida) e consultas de pesquisa para imagens de banco.
Importante: Por favor, evite enviar informações pessoais sensíveis (como números de identificação governamental, números de contas financeiras ou informações de saúde) em prompts de IA. Embora implementemos medidas de segurança, os prompts de IA são transmitidos a provedores terceirizados conforme descrito acima.
12. Práticas de dados de verificação de identidade
Quando um Operador de Site habilita a verificação de identidade, as seguintes práticas de dados se aplicam:
12.1 Fluxo de Dados
Os usuários enviam documentos de identidade através da interface de verificação da IDenfy. A IDenfy processa os documentos e envia os resultados da verificação para a Sitetra via webhook seguro. A Sitetra armazena os resultados da verificação e os dados pessoais extraídos.
12.2 Dados Biométricos
O processamento de reconhecimento facial é realizado pela IDenfy. A Sitetra não armazena dados biométricos brutos (modelos de reconhecimento facial). Armazenamos apenas o resultado da verificação e as informações pessoais extraídas (nome, data de nascimento, detalhes do documento).
12.3 Dados Armazenados
Para cada verificação, armazenamos: tipo de verificação (KYC, KYB, POA, AML), status de verificação (aguardando, enviado por e-mail, aprovado, suspeito), informações pessoais extraídas (nome, data de nascimento, sexo, tipo de documento, número do documento), metadados de resposta do provedor e o carimbo de data/hora da verificação.
12.4 Retenção
Os dados de verificação são retidos enquanto a conta de usuário associada existir, ou conforme exigido pelos regulamentos KYC/AML aplicáveis. Operadores e usuários podem solicitar a exclusão dos dados de verificação, sujeito a requisitos regulatórios.
12.5 Acesso
Os usuários podem solicitar acesso a seus registros de verificação através do Operador do Site ou contatando a Sitetra diretamente. Os status de verificação são visíveis para o Operador do Site através da interface de administração.
13. Tomada de decisão automatizada
Em conformidade com o Artigo 22 do GDPR, divulgamos os seguintes processos de tomada de decisão automatizada:
- Geração de Conteúdo por IA: A IA gera conteúdo com base em prompts e contexto. Isso envolve processamento automatizado, mas não toma decisões com efeitos legais sobre indivíduos. Todo conteúdo gerado por IA é revisado por humanos antes da publicação.
- Verificação de Identidade: Os resultados da verificação são produzidos pelos sistemas automatizados da IDenfy. Esses resultados são apenas consultivos. As decisões finais sobre aprovação de conta ou restrições são tomadas pelo Operador do Site (tomador de decisão humano).
- Verificações de Saldo de Crédito: As operações são automaticamente bloqueadas quando o saldo de crédito de um usuário atinge zero ou abaixo. Os usuários podem resolver isso imediatamente comprando créditos adicionais.
- Limitação de Taxa: As solicitações de API são automaticamente limitadas quando os limites de taxa são excedidos. Isso é resolvido aguardando a janela de limite de taxa ser redefinida.
- Suspensão de Site: Os sites são automaticamente suspensos após 30 dias de não pagamento. Isso segue um cronograma documentado com avisos no Dia 0 e Dia 15, e pode ser revertido adicionando créditos suficientes.
- Aprovação Automática de Avaliações: Quando habilitada pelo Operador, as avaliações podem ser automaticamente publicadas sem moderação manual. Essa é uma escolha de configuração do Operador.
O utilizador tem o direito de solicitar revisão humana de qualquer decisão automatizada que o afete significativamente. Contate-nos ou o Operador do Site para solicitar uma revisão.
14. Notificação de violação de dados
No caso de uma violação de dados pessoais que possa resultar num risco para os direitos e liberdades dos indivíduos, a Sitetra irá:
- Notificar os operadores de websites afetados no prazo de 72 horas após tomar conhecimento da violação (em conformidade com o Artigo 33 do RGPD).
- Auxiliar os operadores no cumprimento das suas obrigações de notificação aos seus utilizadores finais e autoridades relevantes.
- Reportar ao Gabinete do Comissário de Privacidade do Canadá quando a violação envolva informações pessoais canadianas e atinja os limiares de reporte do PIPEDA.
Conteúdo da notificação de violação
As notificações de violação incluirão: a natureza da violação, as categorias de dados afetados, o número aproximado de registos envolvidos, as medidas tomadas ou propostas e informações de contacto para questões adicionais.
Resposta a incidentes
A Sitetra mantém procedimentos de resposta a incidentes, incluindo registo abrangente de autenticação, registo de erros, rastreio de geolocalização IP e registo de eventos webhook para auxiliar na investigação e resposta a violações.
15. Base jurídica do tratamento
Nos termos do Artigo 6 do RGPD, tratamos dados pessoais com base nos seguintes fundamentos jurídicos:
| Base jurídica | Atividades de tratamento |
|---|---|
| Execução de contrato | Gestão de contas, alojamento de websites, faturação de créditos, processamento de pagamentos, registo de domínios e outros serviços necessários para fornecer a Plataforma conforme acordado nos nossos Termos de Serviço. |
| Interesse legítimo | Registo de segurança (registos de autenticação, registos de erros, limitação de taxa), agregação de analítica, prevenção de fraude, impressão digital do navegador para segurança e melhoria da plataforma com base em dados de utilização anonimizados. |
| Consentimento | Subscrições de newsletters, notificações push, rastreio de cookies (no modo de consentimento "completo"), Google Analytics opcional e início de sessão social OAuth. |
| Obrigação legal | Verificação de identidade quando exigida pela legislação KYC/AML aplicável, retenção de registos financeiros conforme exigido pela legislação fiscal canadiana e divulgação de dados em resposta a processo legal válido. |
| Instruções do operador | Tratamento de dados de utilizadores finais (CRM, comércio eletrónico, reservas, avaliações, newsletters) como subcontratante, agindo de acordo com as instruções documentadas do operador do website. |
16. Notificações push
16.1 Requisito de aceitação
As notificações push requerem permissão explícita do navegador ou dispositivo. Ser-lhe-á solicitada permissão antes de serem enviadas quaisquer notificações push. Nunca enviaremos notificações push sem o seu consentimento.
16.2 Tipos de notificações
As notificações push podem incluir: alertas de faturação (saldo baixo, créditos insuficientes, confirmações de recarga automática), notificações de encomendas e pagamentos, confirmações e lembretes de reservas, notificações de avaliações e outras notificações operacionais configuradas pelo operador do website.
16.3 Dados armazenados
Quando subscreve notificações push, armazenamos um ponto final de subscrição push e chaves de encriptação associadas. Estes dados são armazenados por utilizador e por dispositivo.
16.4 Revogação
Pode revogar a permissão de notificações push a qualquer momento através das definições do navegador ou dispositivo. A revogação da permissão interrompe imediatamente todas as notificações push. Pode também cancelar a subscrição de tipos específicos de notificações através das definições da sua conta.
17. Registos de atividade e trilho de auditoria
A Plataforma mantém vários registros para segurança, depuração, conformidade e resolução de disputas:
- Registros de Autenticação: Todas as tentativas de login (bem-sucedidas e malsucedidas) são registradas com endereço IP, agente do usuário e geolocalização aproximada.
- Registros de Erros: Erros de aplicação são registrados com nome do serviço, método e contexto de dados relevante (com dados sensíveis redigidos).
- Rastreamento de Entrega de E-mail: O status de envio de e-mail (entregue, rejeitado, reclamado, aberto, clicado) é rastreado via webhooks de provedores de e-mail.
- Rastreamento de Entrega de SMS: O status de entrega de SMS e respostas são rastreados via webhooks do VoIP.ms.
- Histórico de Transações de Crédito: Todas as transações de crédito são registros imutáveis, incluindo o tipo de transação, valor, saldo antes e depois e metadados associados.
- Registros de Inventário: Movimentações de inventário (entrada, saída, bloqueado, ajuste, sincronização, pedido em espera) são registradas com quantidades antes e depois.
- Registros de Atividade: Ações dos usuários dentro da interface de administração podem ser registradas para fins de trilha de auditoria.
- Registros de Eventos de Webhook: Eventos de webhook recebidos de processadores de pagamento, provedores de e-mail e outros serviços são registrados para depuração e reconciliação.
Os Operadores de Sites podem visualizar registros relevantes para seu site através da interface de administração.
18. Lista de subcontratantes
A tabela a seguir lista nossos subprocessadores atuais. Notificaremos os Operadores de Sites sobre alterações materiais nesta lista.
| Subprocessador | Finalidade | Dados Processados | Localização |
|---|---|---|---|
| Anthropic | Geração de texto por IA (Claude) | Prompts, contexto de conteúdo | Estados Unidos |
| OpenAI | Geração de texto por IA, conversão de fala em texto, visão | Prompts, áudio, imagens | Estados Unidos |
| Geração de texto por IA (Gemini), Analytics | Prompts, análises do site | Estados Unidos | |
| Stripe | Processamento de pagamentos | Detalhes de pagamento, informações de faturamento | Estados Unidos |
| Square | Processamento de pagamentos, POS | Detalhes de pagamento, informações de faturamento | Estados Unidos |
| PayPal | Processamento de pagamentos | Detalhes de pagamento, informações de faturamento | Estados Unidos |
| Wise | Transferências de dinheiro | Detalhes de pagamento, informações de faturamento | Reino Unido |
| Postmark | Entrega de e-mail | Endereços de e-mail, conteúdo de e-mail | Estados Unidos |
| Mailgun | Entrega de e-mail | Endereços de e-mail, conteúdo de e-mail | Estados Unidos |
| VoIP.ms | Mensagens SMS | Números de telefone, conteúdo de mensagens | Canadá |
| Shutterstock | Licenciamento de imagens de banco | Consultas de pesquisa | Estados Unidos |
| IDenfy | Verificação de identidade (KYC/AML) | Documentos de identidade, imagens faciais, dados pessoais | Lituânia / UE |
| EasyDNS | Registro de domínio | Dados WHOIS, configuração de domínio | Canadá |
| Cloudflare | CDN, DNS, armazenamento, registro de domínio | Tráfego web, arquivos, configuração de domínio | Global |
| Microsoft | Autenticação OAuth | Tokens de autenticação, informações de perfil | Estados Unidos |
| Facebook (Meta) | Autenticação OAuth | Tokens de autenticação, informações de perfil | Estados Unidos |
| GitHub | Autenticação OAuth | Tokens de autenticação, informações de perfil | Estados Unidos |
Nota: Ollama (IA) e Speaches (conversão de fala em texto) são executados em nossa própria infraestrutura e não são subprocessadores externos.
19. Alterações a esta Política de Privacidade
Podemos atualizar esta Política de Privacidade periodicamente. Iremos notificá-lo de quaisquer alterações materiais publicando a política atualizada no Serviço e atualizando a data de "Última atualização". Quando exigido por lei, forneceremos pelo menos 30 dias de aviso prévio antes de as alterações entrarem em vigor.
A sua utilização continuada do Serviço após as alterações entrarem em vigor constitui a sua aceitação da Política de Privacidade revista.
A sua utilização da Sitetra é também regida pelos nossos Termos de Serviço, que são incorporados por referência nesta Política de Privacidade.
20. Contacte-nos
Se tiver questões, preocupações ou pedidos relativos a esta Política de Privacidade ou às nossas práticas de dados, contacte-nos:
RAPID DEV GROUP INC.
A operar como Sitetra
Ontário, Canadá
Questões de privacidade: [email protected]
Questões gerais: [email protected]
Questões jurídicas e forças de segurança: [email protected]
Para queixas ou questões de privacidade relacionadas com jurisdições específicas:
- Canadá: Gabinete do Comissário de Privacidade do Canadá (www.priv.gc.ca)
- União Europeia: Contacte a sua Autoridade de Proteção de Dados local
- Califórnia: Gabinete do Procurador-Geral da Califórnia