VenRisk

GRC platform

Acessar

Documento legal

Política de Privacidade

Como a VenRisk coleta, usa e protege dados pessoais, em conformidade com a LGPD (Lei 13.709/2018).

Última atualização: 24 de abril de 2026

1. Quem somos

VenRisk Tecnologia Ltda., inscrita no CNPJ sob nº [a informar], com sede em São Paulo/SP, é controladora dos dados pessoais coletados através do site www.venrisk.com.br e da plataforma VenRisk ("Plataforma"). Em relação aos dados processados dentro da plataforma pelos nossos clientes, a VenRisk atua como operadora (Art. 5º, VIII da LGPD) — ver nosso Acordo de Processamento de Dados.

2. Dados que coletamos

2.1 No site público (visitantes)

  • Dados de navegação: endereço IP, user agent, páginas visitadas, tempo de sessão (via Google Analytics 4, com anonimização de IP).
  • Formulário "Agendar reunião": nome completo, e-mail corporativo, empresa, cargo, mensagem opcional.
  • Formulário "Solicitar demonstração": mesmos dados do agendamento.

2.2 Na plataforma (clientes e usuários)

  • Dados de cadastro: nome completo, e-mail corporativo, cargo, telefone (opcional), organização.
  • Dados de autenticação: senha (armazenada com hash PBKDF2-SHA256), TOTP secret (criptografado via Fernet), IP de login, histórico de sessões.
  • Dados de uso: logs de ações (audit trail), preferências, módulos acessados.

3. Base legal para tratamento (Art. 7º LGPD)

  • Execução de contrato (Art. 7º, V): prestação dos serviços contratados pela plataforma.
  • Legítimo interesse (Art. 7º, IX): comunicação comercial com leads que solicitaram contato, analytics agregado para melhoria de produto.
  • Consentimento (Art. 7º, I): envio de newsletter (opt-in explícito).
  • Cumprimento de obrigação legal (Art. 7º, II): retenção de registros fiscais, audit trail exigido por regulador.

4. Como usamos os dados

Os dados coletados são utilizados para:

  • Prestar os serviços contratados (login, gestão de fornecedores, radar regulatório, etc.)
  • Comunicar atualizações da plataforma, alertas críticos, cobrança
  • Responder a solicitações de contato (agendamento, demo, suporte)
  • Melhorar funcionalidades através de analytics agregado
  • Detectar fraudes, uso indevido e ameaças de segurança
  • Cumprir obrigações legais e regulatórias

5. Compartilhamento de dados

A VenRisk não vende dados pessoais. Compartilhamos apenas com:

  • Sub-operadores tecnológicos necessários à operação: Railway (hospedagem), Postgres e Redis gerenciados, MinIO (arquivos), Brevo (envio de e-mail transacional), Stripe (cobrança), Sentry (monitoramento de erros). Cada um com seu próprio compromisso de confidencialidade e adequação à LGPD.
  • Autoridades públicas, quando exigido por lei ou ordem judicial.
  • Assessoria jurídica ou contábil, com obrigação contratual de sigilo.

6. Transferência internacional

Alguns dos nossos sub-operadores (Stripe, Sentry, Brevo) operam fora do Brasil. A VenRisk garante que essas transferências ocorrem para países com nível adequado de proteção de dados (União Europeia, sob GDPR, ou mediante cláusulas contratuais padrão nos termos do Art. 33 da LGPD).

7. Seus direitos (Art. 18 LGPD)

Como titular de dados pessoais, você tem direito a:

  • Confirmação e acesso aos seus dados
  • Correção de dados incompletos ou desatualizados
  • Anonimização ou eliminação de dados desnecessários ou tratados em desconformidade
  • Portabilidade para outro fornecedor de serviço
  • Revogação de consentimento a qualquer momento
  • Informação sobre com quem compartilhamos seus dados
  • Oposição ao tratamento quando baseado em legítimo interesse

Para exercer qualquer direito, envie solicitação para dpo@venrisk.com.br. Responderemos em até 15 dias corridos. Se você é usuário de uma organização cliente, alguns direitos devem ser exercidos junto à sua organização (controlador dos seus dados no contexto corporativo).

8. Retenção de dados

  • Leads (agendamento/demo): retidos por 24 meses, após o que são anonimizados se não houver contrato ativo.
  • Dados de usuários de clientes ativos: mantidos durante toda a vigência do contrato.
  • Após cancelamento: dados ficam disponíveis para exportação por 30 dias; em seguida, anonimizados (exceto audit trail, mantido por 5 anos para fins regulatórios).
  • Registros fiscais: mantidos por 5 anos conforme exigência do Fisco.

9. Segurança

Implementamos medidas técnicas e administrativas para proteger seus dados:

  • Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256)
  • Autenticação multi-fator (MFA) obrigatória para administradores
  • Senhas com hash PBKDF2-SHA256 + histórico (sem reuso)
  • Segregação lógica multi-tenant (cada cliente acessa apenas seus dados)
  • Audit log imutável de ações sensíveis
  • Rate limiting + detecção de ataques de força bruta
  • Backups diários com retenção de 30 dias
  • Resposta a incidentes conforme runbook interno (notificação ANPD + clientes afetados em até 72h)

10. Cookies

Utilizamos cookies essenciais (autenticação, preferências) e analíticos (Google Analytics 4 com anonimização de IP). Cookies de marketing são opt-in e podem ser desabilitados a qualquer momento pelas configurações do seu navegador.

11. Menores de idade

A plataforma VenRisk é destinada exclusivamente a profissionais corporativos. Não coletamos intencionalmente dados de menores de 18 anos.

12. Atualizações desta política

Esta política pode ser atualizada para refletir mudanças nos nossos processos ou em regulamentação aplicável. Notificaremos por e-mail com 30 dias de antecedência em caso de mudanças materiais.

13. Contato do DPO

Nosso Encarregado de Proteção de Dados (DPO) pode ser contatado em dpo@venrisk.com.br. Você também pode registrar reclamação diretamente na Autoridade Nacional de Proteção de Dados (ANPD).

Política de Privacidade | VenRisk | VenRisk