Esta Politica descreve como o Temaki Enterprises ("plataforma", "nos") coleta, utiliza e protege os dados pessoais dos lojistas e colaboradores que utilizam a plataforma. Estamos comprometidos com o cumprimento da Lei Geral de Protecao de Dados (Lei 13.709/2018 — LGPD).
1. Controlador dos dados
Raphael Jose Ferraro (MEI, CNPJ 67.046.267/0001-90). Contato do encarregado de dados (DPO): contato@risetemaki.com.br.
2. Dados que coletamos
2.1 Dados do lojista (owner / manager)
- Nome completo, CPF (somente para lojista pessoa fisica), e-mail e telefone;
- Foto de perfil (opcional);
- Dados do estabelecimento (nome fantasia, CNPJ, endereco, cidade);
- Token de notificacao (FCM) — opcional, somente quando o usuario aceita receber notificacoes operacionais (novos pedidos).
2.2 Dados de colaboradores
- Cadastrados pelo lojista: nome, e-mail, telefone, cargo;
- Foto de perfil (opcional);
- Credenciais de acesso geradas para uso no sistema.
2.3 Dados de uso
- Registros de login e acoes na plataforma;
- Identificadores tecnicos (cookies, token de sessao do Firebase Auth);
- Eventos de produto (criacao/edicao de produtos, pedidos).
2.4 Dados de pagamento
Os dados de cartao da assinatura mensal e da compra de pacotes de Rise Coins sao processados diretamente pelo Pagar.me/Stone. O cartao e' tokenizado no dispositivo e enviado direto ao Pagar.me — nao recebemos nem armazenamos numero de cartao, CVV ou validade. Guardamos apenas identificadores da assinatura/cobranca (pagarmeSubscriptionId, pagarmeOrderId) e o status.
Os pagamentos de pedidos feitos pelos clientes finais (PIX e cartao
de credito) sao processados diretamente pelo Pagar.me/Stone.
Os dados sensiveis do cartao (numero, CVV, validade) sao tokenizados
no dispositivo do cliente e enviados direto ao Pagar.me — nao
passam pelos nossos servidores. Armazenamos apenas o
pagarmeOrderId, status do pagamento e o valor.
Para habilitar o repasse, o estabelecimento cadastra dados de
recebedor (CNPJ, razao social, dados bancarios, dados do socio
responsavel) na pagina “Configurar Repasse” — esses
dados sao enviados ao Pagar.me para criacao do recebedor. Em nossos
bancos guardamos apenas mascaras (ex.: ultimos 4 digitos da conta) e
o ID do recebedor.
2.5 Dados de Rise Coins (moeda virtual)
- Saldo atual do estabelecimento (campo numerico em
merchants/{id}.riseCoins); - Quantidade de slots adicionais comprados (gerentes, co-owners, pacotes de funcionarios);
- Historico de transacoes (creditos por renovacao, compras de
pacotes, gastos em recursos) com data, tipo e valor. Ficam
registradas na subcolecao
merchants/{id}/rise_coin_transactionsem formato append-only para auditoria; - Identificador do pagamento (
paymentId) apenas em compras de pacote, para fins de conciliacao.
3. Finalidades e bases legais
- Execucao do contrato: gerenciar conta, processar assinatura, viabilizar o uso da plataforma;
- Cumprimento de obrigacao legal: emissao de comprovantes, atendimento a requisicoes de autoridades;
- Legitimo interesse: prevenir fraudes, melhorar a plataforma, suporte tecnico;
- Consentimento: envio de notificacoes push e marketing (quando aplicavel).
4. Compartilhamento com terceiros
Compartilhamos dados estritamente necessarios com:
- Google Firebase (autenticacao, banco de dados, hospedagem) — infraestrutura;
- Pagar.me/Stone — processamento da assinatura mensal do estabelecimento, da compra de pacotes de Rise Coins e dos pagamentos de pedidos (PIX e cartao) feitos pelos clientes finais, alem do repasse automatico ao estabelecimento via split de pagamento;
- Mixpanel — analise de uso do produto (analytics). Enviamos seu identificador, nome, e-mail e telefone para conseguir vincular o uso da plataforma ao perfil do lojista, alem de eventos de produto (acessos, cliques relevantes). Nao enviamos CPF/CNPJ, foto ou dados de pagamento;
- Sentry — monitoramento de erros e estabilidade do aplicativo. Enviamos relatorios tecnicos de falhas (mensagem de erro, stack trace, versao do app e do navegador) para identificar e corrigir problemas. Nao enviamos IP, CPF/CNPJ, foto, dados de pagamento nem identificadores pessoais do usuario;
- Autoridades publicas, mediante requisicao legal.
Nao vendemos dados pessoais.
5. Retencao
Mantemos os dados enquanto a conta estiver ativa e por ate 5 anos apos o encerramento, para fins fiscais e legais. Voce pode solicitar exclusao antecipada, respeitadas as obrigacoes legais de guarda.
6. Seus direitos (LGPD)
- Confirmar a existencia e acessar seus dados;
- Corrigir dados incompletos ou desatualizados;
- Solicitar exclusao ou anonimizacao;
- Solicitar portabilidade;
- Revogar o consentimento;
- Informacao sobre com quem compartilhamos seus dados.
Para exercer seus direitos, envie e-mail para contato@risetemaki.com.br.
7. Seguranca
Adotamos controles tecnicos e organizacionais para proteger os dados (LGPD Art. 46):
- Transmissao via HTTPS;
- Criptografia em repouso (Firestore/Storage);
- Autenticacao com Firebase Auth + politica de senha forte (8+ caracteres, maiuscula, numero);
- Regras de acesso por papel (owner, manager, employee, admin) aplicadas server-side no Firestore;
- Firebase App Check (reCAPTCHA Enterprise) para atestar que requisicoes a servicos backend vem do aplicativo oficial — defesa contra bots/abuso automatizado;
- Rate limiting por usuario nos endpoints sensiveis (export de dados pessoais, checkout) — mitiga uso como canal de exfiltracao;
- Scrubber de PII (e-mail, CPF, CNPJ, telefone, tokens) em relatorios de erro antes de saida da maquina do usuario;
- Logs auditaveis.
8. Cookies e armazenamento local
Usamos cookies e armazenamento local do navegador apenas para manter a sessao autenticada (Firebase Auth) e funcionamento basico da plataforma. Nao usamos cookies de rastreamento publicitario.
9. Localizacao dos dados e transferencia internacional
Os dados principais sao armazenados em servidores localizados no Brasil:
- Firestore (banco de dados): regiao
southamerica-east1(Sao Paulo, Brasil); - Cloud Functions (logica server-side): regiao
us-central1(Iowa, EUA); - Cloud Storage (fotos de produto e perfil): regiao multi-regional dos EUA.
Servicos auxiliares (Mixpanel, Sentry e demais servicos da Google) processam dados em servidores fora do Brasil. A transferencia internacional segue as garantias adequadas previstas no art. 33 da LGPD (provedores que atendem padroes equivalentes de protecao de dados).
10. Idade minima
A plataforma e destinada a maiores de 18 anos. Nao coletamos dados de menores de idade conscientemente. Se voce e responsavel legal e identificar coleta indevida, entre em contato com o encarregado.
11. Notificacao de incidentes
Em caso de incidente de seguranca que possa acarretar risco ou dano relevante aos titulares, notificaremos a Autoridade Nacional de Protecao de Dados (ANPD) e os titulares afetados em ate 72 horas da ciencia do incidente, conforme o art. 48 da LGPD.
12. Alteracoes
Podemos atualizar esta politica. A versao mais recente sempre estara nesta pagina, com a data de atualizacao no topo. Mudancas materiais serao comunicadas via e-mail e/ou notificacao no app.
13. Contato
Duvidas sobre privacidade: contato@risetemaki.com.br.