Como tratamos seus dados.

A Crxate atua como operadora de dados pessoais nos termos do art. 5º, VII, da Lei 13.709/2018 (LGPD). Tratamos dados em nome do cliente controlador (sua empresa). O cliente define finalidade e meios; a Crxate executa o tratamento conforme contrato.

• Dados cadastrais de funcionários do cliente (nome, email)
• Dados operacionais financeiros (vendas, conciliação, fluxo)
• Dados de uso do produto (logs de skill runs, auditoria)
• Dados de integração (credenciais de gateways, ERPs — encriptadas)

Execução do contrato com o cliente controlador. Análise via IA e geração de relatórios financeiros (DRE, conciliação, etc). Suporte técnico. Auditoria e segurança.

Compartilhamos dados com os seguintes operadores autorizados:

• Supabase — armazenamento de dados (Postgres) + autenticação. Região: São Paulo (BR).
• Hostinger VPS — hospedagem da aplicação web. Dados em trânsito protegidos por HTTPS via Nginx.
• Anthropic — provedor de IA (Claude). Dados de contexto e queries enviados via API. DPA assinado.
• Inngest — orquestração de jobs background. Metadados de execução.
• Sentry — observabilidade de erros. Dados anonimizados.

• RLS multi-tenant com `force row level security` em 100% das tabelas
• Audit log append-only com retenção 5 anos
• Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
• Credenciais de integração encriptadas via Supabase Vault
• Acesso interno restrito ao princípio do menor privilégio

Em caso de incidente de segurança, notificamos o cliente controlador em até 48 horas. Cliente é responsável pela comunicação subsequente à ANPD e aos titulares, conforme art. 48 da LGPD.

Ver direitos e como exercê-los →

Bernardo Soares (interim)
dpo@crxate.com.br