Zalax Digital

Política de Privacidade

Última atualização: 08 de junho de 2025

Esta Política de Privacidade descreve como a Zalax Digital coleta, utiliza, armazena e protege os dados pessoais dos usuários da plataforma ZaPost, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) e demais normas aplicáveis. Ao usar a plataforma, você concorda com as práticas descritas aqui. Esta Política é parte integrante dos nossos Termos de Uso.

1. Controlador dos Dados

O controlador responsável pelo tratamento dos seus dados pessoais é:

Empresa: Zalax Digital
Registro: Registro empresarial em processo de constituição.
Endereço: Consolação – MG, Brasil
E-mail: contato@zalax.com.br
DPO (LGPD): privacidade@zalax.com.br

Para exercer qualquer direito previsto na LGPD ou para dúvidas sobre esta Política, entre em contato com nosso Encarregado de Dados (DPO) pelo e-mail indicado acima.

2. Dados que Coletamos

2.1. Dados fornecidos diretamente por você

Nome completo - fornecido no cadastro ou via login social (Google);
Endereço de e-mail - usado para autenticação, comunicações transacionais e recuperação de senha;
Senha - armazenada exclusivamente como hash bcrypt (algoritmo de custo 12); nunca armazenamos sua senha em texto puro;
Dados de marca - nome da marca, paleta de cores, tipografia, estilos visuais e perfil do Instagram informados durante o onboarding;
Briefings e conteúdos - temas, textos e instruções enviados para geração de posts via IA;
Imagens de upload - arquivos enviados como fundo ou elemento visual dos posts.

2.2. Dados coletados automaticamente

Logs de uso - registros de criação de posts, geração por IA, buscas de imagem e exportações (formato, data/hora, modelo de IA utilizado);
Dados de sessão - token de sessão (armazenado em cookie seguro HttpOnly) e data/hora do último acesso;
Dados de aquisição - parâmetros UTM (utm_source, utm_medium, utm_campaign, utm_content) capturados na página de vendas para mensuração de campanhas de marketing;
Endereço IP e agente de navegador - coletados para segurança (detecção de acessos suspeitos, proteção contra força bruta e CSRF).

2.3. Dados que NÃO coletamos

Número completo de cartão de crédito, CVV ou dados bancários - todo o processamento financeiro é realizado diretamente pelo Stripe (PCI DSS nível 1). Recebemos apenas um identificador de cliente (Stripe Customer ID) e confirmação de status do pagamento;
Documentos de identidade (RG, CPF) - não solicitados na plataforma;
Dados sensíveis (biometria, saúde, orientação sexual, convicções religiosas ou políticas).

3. Como Usamos seus Dados

Finalidade	Base Legal (LGPD)
Criar e gerenciar sua conta e sessão de acesso	Execução de contrato (art. 7º, V)
Processar pagamentos e gerenciar sua assinatura	Execução de contrato (art. 7º, V)
Gerar conteúdo via IA a partir dos seus briefings	Execução de contrato (art. 7º, V)
Enviar e-mails transacionais (reset de senha, boas-vindas pós-compra, alertas de conta)	Execução de contrato / Legítimo interesse (art. 7º, V e IX)
Enviar comunicações de marketing e recuperação de carrinho	Consentimento (art. 7º, I) - você pode cancelar a qualquer momento
Melhorar algoritmos e funcionalidades da plataforma (dados anonimizados/agregados)	Legítimo interesse (art. 7º, IX)
Garantir a segurança da plataforma e prevenir fraudes	Legítimo interesse (art. 7º, IX)
Mensurar eficácia de campanhas de marketing (UTMs, Pixel do Meta)	Consentimento / Legítimo interesse (art. 7º, I e IX)
Cumprir obrigações legais e regulatórias	Obrigação legal (art. 7º, II)

4. Cookies e Tecnologias de Rastreamento

4.1. Cookies Essenciais

Utilizamos cookies estritamente necessários para o funcionamento da plataforma. Sem eles, o serviço não opera corretamente:

Cookie de sessão (HttpOnly, Secure, SameSite=Lax) - mantém você autenticado entre as páginas. Expira automaticamente após período de inatividade;
Cookie de tema (light/dark/system) - armazena sua preferência de aparência da interface;
Cookie de consentimento - registra se você aceitou esta Política.

4.2. Cookies e Pixels de Marketing (páginas públicas)

Nas nossas páginas públicas (landing page, página de vendas), utilizamos tecnologias de rastreamento de marketing para mensurar a conversão de anúncios e personalizar ofertas:

Pixel do Meta (Facebook/Instagram) - rastreia ações como visitas à página e inícios de checkout para otimizar campanhas de anúncios no Facebook e Instagram. Os dados são enviados ao Meta conforme a Política de Privacidade do Meta (facebook.com/privacy/policy);
Parâmetros UTM - capturados via URL para identificar a origem de cada visita (ex: instagram, facebook_ads, email). Esses dados são armazenados no banco de dados associados ao seu perfil de lead;
Cookies de análise (quando aplicável) - utilizados para compreender padrões de uso das páginas públicas.

Seus direitos sobre cookies: Você pode desativar cookies não essenciais nas configurações do seu navegador. A desativação de cookies essenciais pode impedir o funcionamento correto da plataforma. Os cookies de marketing são utilizados apenas nas páginas públicas e podem ser bloqueados via configurações do navegador ou ferramentas como o painel de preferências de anúncios do Meta.

5. Dados de Pagamento

Todo o processamento financeiro é realizado pelo Stripe, gateway de pagamentos certificado PCI DSS nível 1 (o mais alto nível de certificação de segurança para pagamentos online).

A Zalax Digital não armazena, não processa e não tem acesso aos dados completos do seu cartão de crédito (número, validade ou CVV). Esses dados trafegam diretamente entre o seu navegador e os servidores do Stripe, criptografados com TLS.

O que armazenamos em nosso banco de dados é apenas: identificador de cliente Stripe (Stripe Customer ID), status da assinatura, data de início e vencimento do período e registros de transações (valor, moeda, status: PAGO / FALHOU / REEMBOLSADO). Consulte a Política de Privacidade do Stripe para entender como seus dados financeiros são tratados.

6. Compartilhamento de Dados

Não vendemos, alugamos nem comercializamos seus dados pessoais. Compartilhamos seus dados apenas nas seguintes situações e estritamente no necessário para cada finalidade:

Parceiro	Finalidade
Stripe	Processamento de pagamentos e gestão de assinaturas
Cloudflare R2	Armazenamento de imagens enviadas pelo usuário
Resend	Envio de e-mails transacionais (reset de senha, boas-vindas)
OpenRouter / OpenAI / Google / Anthropic	Processamento dos briefings para geração de conteúdo por IA (os briefings são enviados como prompts)
Pexels / Unsplash / DuckDuckGo	Busca de imagens (palavras-chave são enviadas como queries de pesquisa)
Tavily	Pesquisa web em tempo real (quando ativada pelo usuário)
Meta (Facebook/Instagram)	Pixel de conversão nas páginas públicas (marketing)
Google	Login social (OAuth) e análise de conversão (quando configurado)
Autoridades públicas	Quando exigido por lei, ordem judicial ou para proteção de direitos

7. Retenção de Dados

Mantemos seus dados pelo tempo necessário para prestar o serviço e cumprir obrigações legais:

Dados de conta ativa - mantidos enquanto a conta existir e o serviço estiver ativo;
Dados após encerramento - excluídos em até 30 dias após a solicitação de exclusão de conta, salvo obrigações legais de retenção;
Registros financeiros (transações) - mantidos pelo prazo legal de 5 anos (conforme legislação tributária e fiscal brasileira);
Logs de segurança (IPs, tentativas de acesso) - mantidos por até 6 meses para fins de segurança e investigação de incidentes;
Dados de leads que não converteram - excluídos automaticamente após 12 meses sem atividade.

8. Segurança dos Dados

Adotamos medidas técnicas e organizacionais para proteger seus dados:

Senhas armazenadas com hash bcrypt (custo 12) - nunca em texto puro;
Sessões autenticadas com tokens aleatórios de 48 bytes (criptograficamente seguros), armazenados em cookies HttpOnly e Secure;
Isolamento multi-tenant - cada conta (tenant) acessa exclusivamente seus próprios dados; todas as queries ao banco de dados são filtradas por tenantId;
Proteção contra força bruta - bloqueio temporário de 15 minutos após 5 tentativas de login falhas;
Proteção CSRF - verificação de Same-Origin em todas as rotas de mutação;
Tokens de redefinição de senha - armazenados como hash SHA-256, com TTL de 1 hora e consumo único;
Comunicação criptografada - todo o tráfego usa TLS (HTTPS);
Proxy de imagens externas - com proteção contra SSRF (falsificação de requisição do servidor);
Banco de dados PostgreSQL com acesso restrito por rede interna (sem exposição pública direta);
Armazenamento de arquivos na Cloudflare R2 com chave de acesso restrita.

Apesar de todas as medidas acima, nenhum sistema é 100% imune a ataques. Em caso de incidente de segurança que possa afetar seus dados, a Zalax Digital notificará os titulares afetados e a Autoridade Nacional de Proteção de Dados (ANPD) nos prazos e formas exigidos pela LGPD.

9. Seus Direitos como Titular (LGPD)

Nos termos do art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

Confirmação e Acesso

Saber se tratamos seus dados e obter cópia das informações que temos sobre você.

Correção

Solicitar a atualização ou correção de dados incompletos, inexatos ou desatualizados.

Anonimização ou Bloqueio

Solicitar que dados desnecessários ou tratados em desconformidade sejam anonimizados ou bloqueados.

Eliminação

Solicitar a exclusão dos seus dados pessoais e conta da plataforma a qualquer momento, pelo suporte. A exclusão ocorre em até 30 dias, ressalvados dados que devemos manter por obrigação legal.

Portabilidade

Solicitar a transferência dos seus dados para outro fornecedor de serviço, em formato estruturado.

Revogação do Consentimento

Retirar consentimentos dados (ex: e-mails de marketing) a qualquer momento, sem prejudicar o tratamento realizado anteriormente.

Informação sobre Compartilhamento

Saber com quais empresas compartilhamos seus dados.

Oposição

Opor-se a tratamentos realizados com base em legítimo interesse, quando não concordar com eles.

Para exercer qualquer desses direitos, entre em contato pelo e-mail privacidade@zalax.com.br. Responderemos em até 15 dias corridos, conforme o prazo estabelecido pela LGPD.

10. Menores de Idade

O ZaPost não é destinado a menores de 18 anos. Não coletamos intencionalmente dados pessoais de crianças ou adolescentes. Se tomarmos conhecimento de que coletamos dados de um menor sem o consentimento parental adequado, excluiremos essas informações imediatamente. Caso você identifique essa situação, entre em contato pelo nosso e-mail de DPO.

11. Transferência Internacional de Dados

Alguns dos nossos parceiros de infraestrutura (Stripe, Cloudflare, Resend, OpenRouter e provedores de IA) estão sediados fora do Brasil, o que pode envolver a transferência internacional dos seus dados. Essa transferência ocorre com base no art. 33 da LGPD, garantindo que os países e organizações de destino ofereçam grau de proteção adequado ou que existam cláusulas contratuais de proteção específicas.

Todos os contratos com esses parceiros exigem práticas de segurança compatíveis com a LGPD.

12. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Quando o fizermos, atualizaremos a data de "Última atualização" no topo desta página e, em caso de mudanças relevantes, enviaremos um aviso por e-mail ou notificação dentro da plataforma com antecedência mínima de 15 dias corridos. O uso continuado da plataforma após as alterações implica aceitação da Política revisada.

13. Contato e DPO

Para dúvidas, solicitações relacionadas aos seus dados pessoais ou para exercer seus direitos como titular, entre em contato:

Empresa: Zalax Digital
Registro: Registro empresarial em processo de constituição.
Endereço: Consolação – MG, Brasil
E-mail: contato@zalax.com.br
DPO (LGPD): privacidade@zalax.com.br

Esta Política de Privacidade foi atualizada pela última vez em 08 de junho de 2025 e está em conformidade com a LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990).