Política de Privacidade
Como o svdy coleta, usa, compartilha e protege seus dados pessoais — redigida conforme o padrão de divulgação dos artigos 13/14 do GDPR e alinhada com o CCPA/CPRA. Linguagem clara, compromissos concretos e links para os mecanismos operacionais por trás deles.
1. O que coletamos
Coletamos três categorias de dados pessoais:
• Dados de conta fornecidos por você: nome, e-mail corporativo, nome da organização, cargo, telefone (opcional), contato de cobrança. Fornecidos por você ou pelo administrador da sua organização durante o cadastro.
• Dados operacionais gerados pelo uso: registros de ponto (timestamps de entrada/saída + coordenadas GPS quando o geofencing está ativado), escalas, solicitações de folga, submissões de formulários de processo, mensagens in-app, logs de auditoria de ações administrativas.
• Telemetria técnica: endereço IP, tipo de navegador/dispositivo, timestamps de sessão, traces de erro (amostrados). Usados para monitoramento de segurança e confiabilidade do produto — nunca para targeting publicitário.
Não compramos dados pessoais de data brokers, não rodamos SDKs de analytics que compartilham dados com redes de anúncios de terceiros e não vendemos informações pessoais conforme definido pelo CCPA §1798.140(t).
2. Como usamos seus dados
Processamos dados pessoais apenas para os seguintes fins:
• Entrega do serviço — operação dos recursos de presença, escalas e workflow contratados pela sua organização. Base contratual conforme o Art. 6(1)(b) do GDPR.
• Melhoria do serviço — estatísticas de uso agregadas e desidentificadas para identificar gargalos de performance e solicitações de funcionalidades. Não podem ser reidentificadas para um colaborador. Interesse legítimo conforme o Art. 6(1)(f) do GDPR.
• Segurança e prevenção a fraudes — detecção de acessos não autorizados, padrões de abuso e ataques à plataforma. Interesse legítimo conforme o Art. 6(1)(f) do GDPR, balanceado com sua privacidade por meio de minimização e retenção curta.
• Conformidade legal — resposta a intimações, ordens judiciais e solicitações regulatórias legítimas. Art. 6(1)(c) do GDPR.
• Comunicações — anúncios de serviço (sempre), onboarding de teste (apenas durante o trial), atualizações de produto (opt-out via Configurações de Notificação).
NÃO usamos seus dados para treinar modelos de linguagem de grande porte, não compartilhamos com redes publicitárias e não enriquecemos seus dados de colaboradores com fontes externas.
3. Como protegemos seus dados
Controles concretos de segurança em vigor hoje:
• Criptografia em repouso: AES-256 em todos os dados de cliente armazenados (RDS / S3 / EBS).
• Criptografia em trânsito: TLS 1.2+ em cada endpoint voltado ao cliente e em cada hop interno entre serviços.
• Controle de acesso: controle de acesso baseado em papéis na camada de aplicação; AWS IAM com privilégio mínimo na camada de infraestrutura; autenticação multifator obrigatória para todos os acessos administrativos de funcionários.
• Logs de auditoria: cada ação administrativa registrada com ator, timestamp e alvo. Retenção de 7 dias (Free) / 1 ano (Starter+) / 3 anos (Pro+).
• Rede: deployment AWS Multi-AZ em us-east-1; sem endpoints públicos de banco de dados; ingress de security groups restrito a load balancers.
• Segredos: credenciais de produção no AWS Secrets Manager; nunca em variáveis de ambiente ou código-fonte.
Para a arquitetura de segurança em direto e a cronologia SOC 2, veja /trust e /trust/soc2.
4. Seus direitos
Independentemente de onde você mora, você tem os seguintes direitos sobre seus dados pessoais:
• Direito de acesso — obter uma cópia do que detemos sobre você. Exportação disponível nas configurações da conta; respondemos a solicitações diretas em até 30 dias.
• Direito à retificação — corrigir dados pessoais inexatos. Self-service nas configurações da conta, ou e-mail para nós.
• Direito ao apagamento ("direito a ser esquecido") — apagar seus dados quando não houver razão comercial legítima para mantê-los. Observação: seu empregador (o controlador) pode precisar manter registros de presença para conformidade trabalhista; nosso papel como operador é seguir as instruções dele.
• Direito à limitação do tratamento — pausar o uso de seus dados enquanto uma disputa é resolvida.
• Direito à portabilidade dos dados — obter seus dados em formato legível por máquina (CSV / JSON).
• Direito de oposição — recusar o processamento de interesse legítimo, como analytics de melhoria de serviço.
• Direito de retirar o consentimento — para o ponto por reconhecimento facial biométrico (Art. 9(2)(a) do GDPR) e qualquer outro processamento baseado em consentimento.
• Direito de reclamar — junto à autoridade de proteção de dados local. Residentes da UE: sua DPA nacional. Residentes do Reino Unido: ICO. Residentes da Califórnia: California Privacy Protection Agency. Residentes do Brasil: ANPD.
Para exercer qualquer um desses direitos, escreva para legal@svdy.com. Respondemos em até 5 dias úteis; resolução completa em 30 dias por Art. 12(3) do GDPR.
5. Cookies e tecnologias similares
Usamos um conjunto mínimo de cookies. NÃO usamos cookies publicitários de terceiros, pixels de tracking ou fingerprinting.
• Cookies estritamente necessários (sem opt-out, sem fim de tracking): ID de sessão para autenticação, token CSRF para segurança.
• Cookies funcionais (você pode desativar no navegador): sua preferência de idioma, escolhas de layout do dashboard.
• Cookies de analytics: NENHUM nos subdomínios de tenant voltados ao cliente (qutime.com / pureoa.com). svdy.com (este site de marketing) atualmente não roda nenhum SDK de analytics. Analytics futuros serão sem cookies (apenas agregação server-side) por nosso compromisso de não usar adtech de terceiros.
Cookies estão limitados a primeiro-domínio (svdy.com / qutime.com / pureoa.com / id.svdy.com). Não embedamos iframes de terceiros que carregam cookies de tracking.
6. Contato, notificação de violação e atualizações
Contato de proteção de dados: legal@svdy.com — equipe disponível durante horário comercial dos EUA, resposta em até 5 dias úteis para consultas gerais e em até 24 horas para urgentes (assunto contendo "urgent" ou "breach").
Notificação de violação: se um incidente de segurança afetar seus dados pessoais, notificamos o contato DPO designado da sua organização em até 72 horas após tomar conhecimento (Art. 33(1) do GDPR) com escopo, causa suspeita, etapas de remediação e ações que você deva tomar.
Suboperadores: compartilhamos dados apenas com os serviços de terceiros listados em /trust/sub-processors (AWS, Stripe, Amazon SES, Expo, Cloudflare DNS). Cada um opera sob seu próprio DPA referenciado nessa página. Notificamos clientes 30 dias antes de adicionar ou remover um suboperador.
Transferências internacionais: dados de cliente são armazenados em AWS us-east-1 (Estados Unidos). Transferências UE → EUA são cobertas pelas Cláusulas Contratuais Padrão da UE (SCCs, versão 2021) incluídas em nosso DPA em /trust/dpa. Transferências do Reino Unido adicionam o UK Addendum às SCCs.
Atualizações desta política: publicamos mudanças materiais 30 dias antes de entrarem em vigor, com um changelog no topo. A data da última atualização é mostrada acima. A versão atual sempre vive em svdy.com/privacy.
Dúvidas sobre como tratamos seus dados ou deseja exercer direitos GDPR/LGPD/CCPA (acesso, exclusão, portabilidade)? Envie um e-mail para legal@svdy.com — respondemos em até 5 dias úteis.
