Política de Privacidade
Versão 1.0 · Última atualização: 2026-05-14 · Ver histórico
1. Dados Coletados
Coletamos dados necessários para a prestação do serviço: nome, e-mail, telefone, CNPJ da empresa, dados de projetos cadastrados (obras, contratos, financeiro, equipe, anexos) e metadados técnicos (logs de acesso, IP, User-Agent) para segurança e auditoria.
2. Uso dos Dados
Seus dados são utilizados exclusivamente para operar o serviço, autenticar usuários, emitir cobranças, enviar comunicações operacionais (notificações, convites, recuperação de senha) e melhorar a experiência do usuário através de telemetria agregada. Não vendemos dados a terceiros.
3. Armazenamento e Criptografia
Os dados são armazenados em servidores seguros do Supabase (AWS us-east-1 — Virgínia, EUA). Dados sensíveis (credenciais de integrações, tokens) são protegidos com criptografia AES-256-GCM (padrão bancário). Toda comunicação entre seu navegador e nossos servidores utiliza TLS 1.3, e aplicamos HSTS com validade de 2 anos para garantir que conexões sejam sempre seguras. Backups locais operacionais usam AES-256-CBC + PBKDF2 (100 mil iterações).
4. Compartilhamento e Subprocessadores
Não vendemos nem compartilhamos seus dados, exceto com os subprocessadores listados abaixo (responsáveis por infraestrutura, processamento de pagamento, e-mail, monitoramento e funcionalidades de IA), que atuam sob instruções contratuais nossas e estão obrigados a manter o mesmo nível de proteção previsto nesta política.
5. Transferência Internacional
Parte da infraestrutura processa dados fora do Brasil (Supabase em AWS us-east-1 / Virgínia; Sentry, OpenAI e Resend nos EUA; Open-Meteo e OpenStreetMap na União Europeia). Essas transferências ocorrem sob cláusulas-padrão contratuais conforme Resolução CD/ANPD nº 19/2024 (LGPD Art. 33, II), garantindo nível de proteção equivalente ao previsto na LGPD.
6. Direitos do Titular
Conforme a LGPD, você tem direito a acessar, corrigir, excluir, portar (CSV/JSON) e revogar consentimento sobre seus dados. Entre em contato pelo email contato@mapra.com.br. Prazo de atendimento: até 15 dias úteis.
7. Cookies
Utilizamos cookies essenciais para autenticação (cookies HTTPOnly com SameSite Lax para o token de sessão) e cookies funcionais (preferências de UI). Não utilizamos cookies de rastreamento publicitário de terceiros.
8. Retenção de Dados
Dados ativos: enquanto a conta estiver ativa. Após a exclusão da conta, os dados são removidos definitivamente em até 30 dias. Trilhas de auditoria: 2 anos. Snapshots automáticos do banco (Supabase): 7 dias. Backup local cifrado (operacional): 90 dias. Logs de requisição (Vercel) e erros (Sentry): 30 dias. Após o período de retenção, os dados são excluídos de forma permanente.
9. Resposta a Incidentes
Em caso de incidente que afete dados pessoais, notificaremos os titulares afetados e a ANPD em até 3 dias úteis, conforme Resolução CD/ANPD nº 15/2024. Vulnerabilidades podem ser reportadas em contato@mapra.com.br ou via /.well-known/security.txt.
10. Inteligência Artificial
Funcionalidades de IA (Voz no Canteiro, IA de Propostas, Insights, Assistente) usam a API da OpenAI como subprocessador. Os dados enviados pela API não são utilizados para treinamento de modelos. A OpenAI pode reter logs por até 30 dias para detecção de abuso da plataforma, conforme política da OpenAI. Detalhamento por funcionalidade está disponível na página de Segurança.
11. Subprocessadores
Utilizamos os seguintes serviços terceiros para operar a plataforma. Para detalhes técnicos (dados enviados, políticas de retenção do provedor) consulte a página de Segurança.
| Serviço | Finalidade | Localização |
|---|---|---|
| Supabase | Banco de dados, autenticação e armazenamento de arquivos | AWS us-east-1 (Virgínia, EUA) |
| Vercel | Hospedagem do aplicativo e CDN | Edge Network global (request servido em gru1 / São Paulo) |
| OpenAI | Reconhecimento de voz (Whisper) e processamento de linguagem (GPT-4o) | EUA |
| Asaas | Processamento de pagamentos da assinatura (PIX, Boleto, Cartão) | Brasil |
| Resend | Envio de e-mails transacionais (convites, recuperação de senha, notificações) | EUA |
| Sentry | Monitoramento de erros e performance | EUA |
| Upstash | Rate limiting distribuído (proteção contra abuso de APIs) | Global (edge) |
| Open-Meteo | Previsão do tempo para o canteiro de obra | União Europeia |
| OpenStreetMap (Nominatim) | Geocodificação reversa do ponto eletrônico (RH) | União Europeia |
12. Encarregado pelo Tratamento de Dados (DPO)
Para contato com o Encarregado pelo Tratamento de Dados Pessoais (DPO) ou sobre qualquer questão relativa a esta Política de Privacidade, entre em contato pelo e-mail contato@mapra.com.br.