A PeptiAxis valoriza a privacidade dos seus usuários e cumpre integralmente a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD). Esta política descreve quais dados coletamos, por que, como protegemos, e quais são os seus direitos.

1. Controlador dos Dados

O controlador dos dados pessoais coletados via PeptiAxis é o titular operacional da plataforma, contatável via contato@peptiaxis.com.

2. Dados Coletados

2.1 Dados de cadastro (você fornece)

• Nome completo — identificação da conta.
• CPF — verificação de identidade e prevenção a fraudes.
• Data de nascimento — verificação de idade mínima (18+).
• E-mail — comunicação transacional, autenticação, recuperação de senha.
• Senha — armazenada com hash bcrypt (irreversível). Nunca em texto puro.

2.2 Dados de pagamento

Dados de cartão de crédito são tratados exclusivamente pela Stripe (PCI-DSS Level 1). A PeptiAxis recebe apenas o ID do cliente Stripe, ID da assinatura e status — nunca números de cartão, CVV ou validade.

2.3 Dados de uso

• Logs de autenticação (IP, user-agent, timestamp).
• Logs de checkout/pagamento (audit trail para compliance financeiro).
• Cookies estritamente necessários para autenticação (Supabase session token).

3. Bases Legais (Art. 7º LGPD)

• Consentimento — coletado no cadastro (checkbox de aceite).
• Execução de contrato — dados necessários para fornecer o serviço pago.
• Cumprimento de obrigação legal — guarda de logs fiscais e de auditoria por até 5 anos.
• Legítimo interesse — prevenção a fraude, segurança da plataforma.

4. Compartilhamento

A PeptiAxis não vende dados pessoais. Compartilhamos apenas com:

• Stripe (processador de pagamento) — nome, e-mail, CPF, dados de cartão fornecidos no checkout. Sediada nos EUA, certificada PCI-DSS Level 1, GDPR-compliant. Política: stripe.com/br/privacy.
• Supabase (provedor de banco de dados e autenticação) — armazena profile, senha (hash) e subscriptions. Sediada nos EUA, GDPR-compliant. Política: supabase.com/privacy.
• Vercel (hospedagem do frontend) — não armazena dados pessoais, apenas processa requisições. Política: vercel.com/legal/privacy-policy.
• Autoridades — apenas mediante ordem judicial, intimação legal, ou requisição formal de órgão regulador competente.

5. Transferência Internacional

Dados são armazenados em servidores nos EUA (Supabase, Stripe, Vercel). Estes provedores possuem cláusulas-padrão de proteção de dados (Standard Contractual Clauses) e são certificados em frameworks reconhecidos internacionalmente (SOC 2, ISO 27001, GDPR), conforme exigido pelo Art. 33 LGPD.

6. Segurança

• Tráfego 100% criptografado (HTTPS/TLS 1.3, HSTS preload).
• Senhas armazenadas como hash bcrypt (não-reversível).
• Row-Level Security (RLS) em todas as tabelas — usuários só acessam os próprios dados.
• Acesso administrativo auditado em log persistente (audit_log).
• Webhooks de pagamento validados por assinatura HMAC-SHA256 com proteção contra replay.
• Headers de segurança modernos: CSP, HSTS, X-Frame-Options, X-Content-Type-Options.
• Anti-screen-capture habilitado em telas com conteúdo sensível.

7. Retenção

• Dados de cadastro: enquanto a conta estiver ativa + 30 dias após exclusão.
• Logs de auditoria/pagamento: 5 anos (Lei nº 13.709/2018, Decreto nº 7.962/2013).
• Dados anonimizados podem ser retidos para fins estatísticos sem prazo.

8. Seus Direitos (Art. 18 LGPD)

Você pode, gratuitamente, solicitar:

• Confirmação de existência de tratamento.
• Acesso aos seus dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários.
• Portabilidade a outro fornecedor.
• Eliminação dos dados tratados com consentimento.
• Informação sobre compartilhamento.
• Revogação do consentimento.

Para exercer estes direitos, envie e-mail para contato@peptiaxis.com com o assunto "LGPD — solicitação de [direito]". Responderemos em até 15 dias.

9. Cookies

Usamos apenas cookies essenciais:

• sb-*: token de sessão Supabase (autenticação).
• Não usamos cookies de rastreamento, publicidade, ou analytics de terceiros.

10. Menores de 18 anos

A plataforma é restrita a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Se um menor for identificado, a conta será excluída imediatamente.

11. Encarregado (DPO)

Encarregado de Proteção de Dados: contato@peptiaxis.com.

12. Alterações

Esta Política pode ser atualizada. Alterações materiais serão comunicadas por e-mail com 15 dias de antecedência.

13. ANPD

Em caso de descumprimento desta política ou da LGPD, você pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd.