Política de Privacidade

• Controlador: Grupo Nexa — CNPJ 57.542.168/0001-46 (Zyra CRM)
• Encarregado (DPO): dpo@zyracrm.com.br
• Suporte geral: contato@zyracrm.com.br

Coletamos apenas o necessário para operar a plataforma. Os dados se dividem em:

• Dados cadastrais: nome, e-mail, telefone, empresa — informados por você ao criar conta.
• Dados de uso: logs de acesso (IP, user-agent, data/hora), ações realizadas no app, eventos de erro.
• Dados de pagamento: processados diretamente pelo MercadoPago. Não armazenamos dados de cartão; guardamos apenas o identificador da transação.
• Dados dos seus contatos: nome, telefone, e-mail, mensagens trocadas, tags, anotações, arquivos enviados — inseridos por você ou recebidos dos canais conectados (WhatsApp, Telegram, e-mail).
• Dados técnicos de conexão: credenciais de integrações (Meta API, Telegram Bot Token, SMTP, provedores de IA) — armazenadas criptografadas (AES-256-GCM).

• Prover as funcionalidades do serviço (inbox, automações, IA, analytics).
• Autenticar você e proteger a conta (2FA, detecção de acesso suspeito).
• Processar cobranças e emitir faturas.
• Enviar comunicações operacionais e, com seu consentimento, comunicações de marketing.
• Melhorar o produto com base em métricas agregadas e anônimas.
• Cumprir obrigações legais e regulatórias.

Tratamos dados pessoais com base em:

• Execução de contrato: para entregar o serviço que você contratou.
• Consentimento: para comunicações de marketing ou recursos opcionais (cookies de analytics).
• Legítimo interesse: para prevenção de fraude, segurança e melhoria do produto.
• Obrigação legal: emissão fiscal, cumprimento de requisições judiciais.

Em relação aos dados dos seus contatos, você é o controlador e o Zyra é o operador — armazenamos e processamos esses dados conforme suas instruções. Você é responsável por obter o consentimento apropriado dos seus contatos antes de utilizá-los na plataforma.

Em relação aos seus dados de cadastro e uso, o Zyra é o controlador.

Contamos com subcontratados que auxiliam na operação do serviço:

• Neon — hospedagem do banco PostgreSQL (EUA/Brasil).
• Upstash — cache Redis (São Paulo).
• Hostinger — servidores VPS que rodam a API.
• Vercel — hospedagem da aplicação web.
• MercadoPago — processamento de pagamentos.
• Meta / WhatsApp, Telegram — canais de mensagens escolhidos por você.
• OpenAI, Google e provedores similares — chamadas de IA, quando configuradas. Você controla qual provedor usar e fornece a própria API key.
• Sentry — monitoramento de erros agregados, sem PII sensível.

Cada subcontratado é submetido a cláusulas contratuais de proteção de dados equivalentes às estabelecidas nesta política.

Alguns dos nossos subcontratados operam fora do Brasil (por ex. OpenAI, Vercel, Neon US). Adotamos salvaguardas adequadas (cláusulas contratuais específicas, políticas de segurança equivalentes) conforme permitido pelo artigo 33 da LGPD.

• Dados cadastrais: enquanto sua conta estiver ativa + 5 anos para fins fiscais.
• Mensagens e histórico de conversas: enquanto a conta estiver ativa; podem ser excluídos por você a qualquer momento.
• Logs técnicos: 12 meses.
• Dados de pagamento: conforme legislação aplicável (mínimo 5 anos).

Você pode solicitar a exclusão da sua conta e de todos os dados associados a qualquer momento.

• TLS 1.3 em todas as conexões.
• Criptografia em repouso (AES-256-GCM) para credenciais de integração, API keys de IA, tokens 2FA e segredos de webhook.
• Autenticação JWT com expiração curta e 2FA opcional via TOTP.
• Controle granular de permissões (28 permissões por usuário).
• Auditoria de acesso e logs de atividade.
• Backups automáticos do banco (PITR).

Como titular de dados, você tem direito a:

• Confirmar a existência de tratamento e acessar seus dados.
• Corrigir dados incompletos, inexatos ou desatualizados.
• Solicitar anonimização, bloqueio ou eliminação.
• Portar seus dados para outro fornecedor.
• Revogar o consentimento a qualquer tempo.
• Ser informado sobre compartilhamentos.

Você pode exercer esses direitos diretamente em Configurações → Privacidade (LGPD) dentro do app, ou escrevendo para dpo@zyracrm.com.br. Respondemos em até 15 dias.

Usamos apenas cookies essenciais (sessão, preferências) e, com seu consentimento, cookies de analytics. Não usamos cookies de anunciantes no app autenticado.

O Zyra CRM não se destina a menores de 18 anos. Se identificarmos dados de menores na plataforma, removeremos o cadastro e notificaremos o titular ou responsável.

Podemos atualizar esta política. Mudanças materiais serão comunicadas por e-mail ou dentro do app com antecedência mínima de 15 dias.

Dúvidas sobre privacidade, exercício de direitos ou denúncias podem ser enviadas para dpo@zyracrm.com.br. Em casos não resolvidos, você pode recorrer à Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.