You are using an outdated browser. For a faster, safer browsing experience, upgrade for free today.

Carregando...

Política de Privacidade

Política de Privacidade e Proteção de Dados da ObjectData

A ObjectData tem a missão de empoderar o comércio e dar oportunidades reais de crescimento para negócios de todos os portes. Em linha com a nossa missão, respeitamos a privacidade dos nossos clientes e de todos os indivíduos que escolhem compartilhar suas informações conosco. Temos o compromisso de proteger seus Dados Pessoais e sua privacidade.

Esta Política de Privacidade informa sobre nossas práticas de privacidade e proteção de dados, além da maneira como seus Dados Pessoais são coletados e utilizados por nós. As disposições deste documento aplicam-se a todas as atividades operacionais da ObjectData.

Ao utilizar nossos serviços, você concorda com os termos desta política. Se você não concordar, por favor, não utilize nossa plataforma.

1. A Quem se Aplica esta Política

Esta Política descreve o Tratamento de Dados Pessoais realizado pela ObjectData e se aplica a:

  • Clientes: Pessoas físicas que efetivamente contratam, utilizam ou acessam nossos serviços representando uma pessoa jurídica.
  • Prospectos: Pessoas que demonstram interesse ou já solicitaram a contratação de nossos serviços, mas ainda não se tornaram clientes.

Este documento é parte integrante dos nossos Termos e Condições de Uso. Ao aceitar os Termos de Uso, você também aceita esta Política, consentindo com a obtenção e uso de suas informações para as finalidades contratuais. A aceitação desta política é uma condição para o uso de nossos serviços.

2. O Que São Dados Pessoais

Entende-se por Dados Pessoais toda informação relacionada a uma pessoa natural identificada ou identificável, de acordo com a Lei Geral de Proteção de Dados (LGPD). Os Dados Pessoais que coletamos são usados para oferecer e aprimorar nossos serviços, além de viabilizar a manutenção do nosso vínculo com você.

3. Quais Dados Pessoais Coletamos

Para o cadastro e uso de nossa plataforma, coletamos os seguintes dados, a depender do serviço contratado:

  1. Informações sobre pessoas físicas:
    • Nome completo;
    • Número de telefone;
    • Endereço de e-mail;
    • Endereço residencial;
    • CPF.
  2. Informações sobre pessoas jurídicas:
    • Número do Cadastro Nacional da Pessoa Jurídica (CNPJ);
    • Razão Social;
    • Número de telefone;
    • Endereço de e-mail;
    • Endereço comercial.

Além dos dados fornecidos no cadastro, também podemos coletar dados de log, como endereço IP, tipo de navegador e sistema operacional, para melhorar a plataforma e identificar falhas. Em eventos e campanhas promocionais, podemos coletar nome, e-mail e telefone, sempre com o consentimento do participante.

4. Como Usamos Seus Dados Pessoais

O tratamento dos seus dados pela ObjectData tem as seguintes finalidades:

  • Cadastro e identificação: Para criar e gerenciar seu acesso à plataforma.
  • Comunicação: Enviar informações sobre serviços, novidades, suporte técnico e marketing, com a possibilidade de você se descadastrar a qualquer momento.
  • Aprimoramento do serviço: Analisar o uso da plataforma para identificar melhorias e falhas.
  • Verificação e segurança: Ajudar na verificação de dados e prevenção de fraudes.
  • Criação de perfis de usuário: Ajudar a fornecer serviços mais eficientes e personalizados com base em seu histórico de uso.

A ObjectData não controla, armazena ou tem acesso a mensagens e conteúdos enviados pelos usuários por outros meios que não a nossa plataforma.

5. Compartilhamento de Dados Pessoais

Podemos compartilhar seus Dados Pessoais com terceiros apenas quando necessário para a prestação de nossos serviços. Isso inclui:

  • Prestadores de serviços contratados para atuar em nosso nome (por exemplo, gateways de pagamento).
  • Autoridades administrativas e judiciais que, no exercício de sua competência, exijam informações.

Em todos os casos, garantimos que os terceiros envolvidos também sigam padrões de segurança e privacidade rigorosos.

6. Transferência Internacional de Dados Pessoais

A infraestrutura tecnológica da ObjectData pode utilizar serviços de parceiros localizados fora do Brasil, como servidores em nuvem. Nesses casos, garantimos que os terceiros contratados atendam aos mais altos padrões de segurança, pelo menos no mesmo nível de proteção de dados exigido pela legislação brasileira.

7. Segurança dos Seus Dados Pessoais

Valorizamos a sua confiança e, por isso, adotamos medidas de segurança administrativas e técnicas para proteger seus dados contra acessos não autorizados, perdas ou alterações. Nossas medidas incluem a criptografia dos dados e o acesso restrito a colaboradores autorizados.

É sua responsabilidade manter a guarda e o sigilo de seu e-mail e senha de acesso. Em caso de perda, furto ou roubo de suas credenciais, comunique-nos imediatamente.

8. Duração do Tratamento

Enquanto mantido o seu vínculo com a ObjectData, seus dados continuarão a ser utilizados e tratados. Após o término da sua relação, seus dados poderão ser mantidos pelo tempo necessário para:

  • Cumprimento de obrigações legais ou regulatórias.
  • Exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
  • Garantir a prevenção de fraudes e a segurança.

9. Seus Direitos como Titular dos Dados

De acordo com a LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

  1. Confirmação e Acesso: Confirmar a existência do tratamento e solicitar acesso aos seus dados.
  2. Correção: Corrigir dados incompletos, inexatos ou desatualizados.
  3. Anonimização, Bloqueio ou Eliminação: Solicitar que dados desnecessários sejam anonimizados, bloqueados ou eliminados.
  4. Revogação do Consentimento: Revogar o consentimento a qualquer momento.

Para exercer esses direitos, entre em contato conosco pelos canais de atendimento indicados abaixo.

10. Contato - Encarregado pelo Tratamento de Dados Pessoais

Em caso de Dúvidas sobre nossa Política de Privacidade, você pode entrar em contato com nosso Encarregado de Dados pelo e-mail diretoria@objectdata.com.br.

Política de Proteção de Dados — Integração Amazon (SP-API)

Esta seção descreve especificamente como a ObjectData coleta, usa, armazena, protege, compartilha e exclui dados obtidos por meio da integração com a Amazon através da Selling Partner API (SP-API), em conformidade com as Políticas de Proteção de Dados da Amazon (Amazon Data Protection Policy — DPP), a Política de Uso Aceitável (AUP) e os Requisitos de Acesso a Dados Restritos (Restricted Data Access — RDA). URL desta política: https://www.objectdata.com.br/politica.html#amazon-data-policy

A. Coleta de Dados e Justificativa de Uso de IIP (AUP 4.1)

Os dados da Amazon são coletados exclusivamente por meio da SP-API oficial, utilizando credenciais de acesso fornecidas e autorizadas pelo próprio vendedor (nosso cliente). Os dados coletados incluem:

  • Informações de pedidos (número do pedido, itens, valores, status);
  • Informações de identificação pessoal do comprador (nome, endereço de entrega, CPF/CNPJ, telefone);
  • Etiquetas de envio e códigos de rastreio;
  • Informações de anúncios e produtos do vendedor.

Por que as IIP (Informações de Identificação Pessoal) são estritamente necessárias:

O uso de dados pessoais do comprador é uma exigência legal incontornável no Brasil, decorrente de duas obrigações fiscais e operacionais:

  1. Emissão de Nota Fiscal Eletrônica (NF-e) — Obrigação Fiscal: A NF-e é um documento fiscal obrigatório para toda transação de venda no Brasil, conforme o Ajuste SINIEF 07/2005 e legislação tributária vigente. O schema XML da NF-e (padrão SEFAZ) exige, como campos obrigatórios: nome completo do destinatário, endereço completo (logradouro, número, bairro, município, UF, CEP), CPF ou CNPJ do comprador. Sem esses dados, a NF-e é tecnicamente inválida e não pode ser transmitida à SEFAZ. A emissão incorreta ou ausente sujeita o vendedor a autuações fiscais e impossibilita a venda regular do produto.
  2. Expedição e Rastreio do Pedido: O nome completo do destinatário e o endereço de entrega completo são obrigatórios para geração da etiqueta de envio pela transportadora e pela própria Amazon Shipping. Esses dados são inseridos diretamente na etiqueta física impressa e nos sistemas das transportadoras para viabilizar a entrega.

As IIP não são utilizadas para nenhuma finalidade além das duas acima. Não há uso para marketing, criação de perfis, análise comportamental, publicidade ou compartilhamento com terceiros. O acesso às IIP é restrito ao módulo de emissão de NF-e e ao módulo de expedição/etiqueta dentro do ERP, e apenas pelos usuários do vendedor que possuem função operacional ativa nesses módulos.

B. Uso dos Dados

Os dados obtidos via SP-API são utilizados exclusivamente para as seguintes finalidades operacionais dentro do ERP:

  • Importação e processamento de pedidos recebidos na Amazon;
  • Emissão e transmissão automática de Nota Fiscal Eletrônica (NF-e) à SEFAZ e ao marketplace;
  • Separação, expedição e rastreio de pedidos;
  • Download e impressão de etiquetas de envio da Amazon;
  • Sincronização de status do pedido com a Amazon;
  • Gerenciamento de anúncios e atualização de estoque/preço.

Os dados não são utilizados para fins de marketing, criação de perfis, publicidade ou qualquer finalidade além das operacionais descritas acima.

C. Armazenamento dos Dados

Os dados da Amazon em repouso são armazenados em servidores seguros na nuvem, em redes privadas não acessíveis publicamente:

  • Criptografia em repouso com algoritmo AES-256;
  • Acesso restrito a ambientes de rede privada (bancos de dados não expostos à internet pública);
  • Backups automáticos diários, criptografados com AES-256, armazenados em local isolado com controle de acesso restrito e autenticação separada do ambiente de produção;
  • Controle de acesso ao banco de dados via autenticação individual — nenhum acesso compartilhado ou genérico é permitido.

D. Monitoramento, Detecção e Registro de Atividades (RDA 2.6)

A ObjectData mantém um sistema de monitoramento contínuo e em múltiplas camadas para detectar e registrar atividades maliciosas:

Tipos de logs coletados e retidos:

  • Logs de autenticação: Cada tentativa de login (com sucesso ou falha), horário, usuário, IP de origem e dispositivo são registrados com timestamp imutável;
  • Logs de acesso a dados da Amazon (SP-API): Toda chamada à SP-API é registrada com: usuário que iniciou, endpoint acessado, horário (UTC), endereço IP, resultado da operação e tipo de dado acessado (pedido, PII, catálogo, etc.);
  • Logs de operações sensíveis: Acesso ou exportação de dados de IIP, emissão de NF-e, download de etiquetas — todas registradas com identidade do operador;
  • Logs de infraestrutura: Tráfego de rede, conexões ao banco de dados, alterações de configuração de sistemas e firewall;
  • Logs de integridade: Alterações em arquivos críticos do sistema (integridade verificada por hash).

Retenção de logs: Todos os logs de segurança são retidos por no mínimo 12 meses, com os últimos 90 dias em armazenamento quente (consulta imediata) e o restante em armazenamento frio criptografado.

Mecanismos de alerta automático:

  • Alerta imediato (via e-mail e SMS para o responsável de segurança) em caso de: 5 ou mais falhas de autenticação consecutivas de um mesmo IP ou usuário; acesso fora do horário comercial por usuários com perfil operacional; acesso a dados de IIP por usuário sem função ativa nos módulos de NF-e ou expedição; tentativa de acesso direto ao banco de dados a partir de IP não autorizado;
  • Sistema de detecção de intrusão (IDS) com regras atualizadas monitorando tráfego de entrada e saída da infraestrutura;
  • WAF (Web Application Firewall) com alertas para tentativas de injeção SQL, XSS e outros padrões de ataque OWASP Top 10.

Revisão de logs: Os logs de segurança são revisados semanalmente pelo responsável técnico de segurança. Qualquer anomalia é registrada em sistema de tickets e tratada conforme o plano de resposta a incidentes (ver seção H).

E. Gestão de Credenciais e Senhas (RDA 1.4)

A ObjectData aplica políticas de gerenciamento de senhas por meio de controles técnicos obrigatórios, não apenas por política declarativa:

Requisitos de senha para usuários do sistema ERP e funcionários:

  • Comprimento mínimo: 12 caracteres;
  • Complexidade obrigatória: deve conter ao menos uma letra maiúscula (A–Z), uma letra minúscula (a–z), um número (0–9) e um caractere especial (!@#$%^&*-_=+);
  • Expiração: Senhas de usuários expiram a cada 90 dias; o sistema bloqueia o acesso ao expirar e exige criação de nova senha antes de prosseguir;
  • Histórico: As últimas 10 senhas não podem ser reutilizadas — controlado pelo sistema;
  • Bloqueio por tentativas: Após 5 tentativas consecutivas incorretas, a conta é bloqueada automaticamente e requer ação do administrador para desbloqueio;
  • MFA (Autenticação Multifator): Obrigatório para todos os acessos administrativos, acesso remoto (VPN) e para qualquer operação que envolva dados de IIP da Amazon.

Requisitos de senha para contas de sistema e serviços:

  • Comprimento mínimo de 16 caracteres gerados aleatoriamente;
  • Rotação obrigatória a cada 180 dias;
  • Armazenadas exclusivamente em cofre de credenciais (secrets manager) com acesso auditado — nunca em código-fonte, repositórios, variáveis de ambiente em texto claro ou documentos compartilhados;
  • Chaves de API da Amazon (LWA Client ID/Secret, Refresh Token) armazenadas criptografadas no banco de dados, com acesso restrito ao módulo de integração.

F. Compartilhamento dos Dados

Os dados obtidos da Amazon não são compartilhados com terceiros externos à operação do cliente. O acesso é restrito a:

  • O próprio vendedor (nosso cliente) que autorizou a integração via suas credenciais;
  • Funcionários internos da ObjectData com função operacional diretamente relacionada à integração (desenvolvedores da equipe de integração, analistas de suporte tier 2 autorizados e administradores de sistema), com acesso estritamente no escopo de suas funções e registrado em log.

Não há compartilhamento com parceiros de marketing, provedores de análise de dados, ou qualquer outra parte que não seja estritamente necessária para a operação do serviço contratado.

G. Exclusão e Descarte dos Dados

  • Dados de IIP de compradores (nome, endereço, CPF/CNPJ, telefone): retidos por no máximo 30 dias após a confirmação da entrega e excluídos automaticamente por rotina agendada;
  • Dados de pedidos (número, itens, valores): retidos pelo período exigido pela legislação tributária brasileira (5 anos), sem associação com dados pessoais após os 30 dias;
  • Exclusão antecipada: Solicitável a qualquer momento via diretoria@objectdata.com.br;
  • Processo seguro: A exclusão remove os dados dos sistemas ativos e das cópias de backup, com registro de auditoria da operação.

H. Plano de Resposta a Incidentes (RDA 1.6)

A ObjectData mantém um plano formal de resposta a incidentes que cobre invasões de banco de dados, acessos não autorizados e vazamentos de dados. As etapas são:

  1. Detecção e Triagem (0–2 horas): O incidente é identificado pelo sistema de monitoramento automático (IDS/WAF/alertas de log) ou reportado internamente. O responsável de segurança classifica a severidade: Crítico (dados da Amazon ou IIP comprometidos), Alto (acesso não autorizado sem confirmação de exfiltração), Médio (anomalia com investigação em andamento).
  2. Contenção Imediata (0–4 horas para Crítico): Isolamento do sistema afetado da rede de produção; revogação imediata de credenciais comprometidas ou suspeitas; bloqueio de IPs maliciosos identificados; preservação dos logs e evidências em estado imutável para análise forense.
  3. Notificação Interna (até 4 horas após detecção): Comunicação imediata à diretoria e à equipe técnica responsável. Abertura de ticket de incidente com severidade, impacto estimado e responsável designado.
  4. Notificação à Amazon (até 24 horas para incidentes Críticos): Envio de notificação para security@amazon.com contendo: descrição do incidente, dados potencialmente afetados (incluindo quais dados da SP-API), período de exposição estimado, medidas de contenção tomadas e plano de remediação. A notificação segue o formato exigido pelas Políticas de Proteção de Dados da Amazon.
  5. Notificação Regulatória (se aplicável, até 72 horas): Para incidentes envolvendo dados pessoais de titulares brasileiros, notificação à ANPD (Autoridade Nacional de Proteção de Dados) conforme Art. 48 da LGPD, quando houver risco relevante aos titulares.
  6. Investigação e Erradicação (conforme severidade): Análise forense dos logs para determinar vetor de ataque, extensão do acesso e dados afetados. Aplicação de patch/correção, reforço de controles de acesso e eliminação do vetor de ataque confirmado. Validação da limpeza antes de restauração ao ambiente de produção.
  7. Recuperação e Pós-Incidente: Restauração controlada a partir de backup íntegro e validado. Teste de funcionalidade antes da liberação ao ambiente de produção. Elaboração de relatório de pós-incidente documentando: causa raiz, impacto real, linha do tempo, ações tomadas e melhorias implementadas. Revisão do plano de resposta se necessário.

O plano de resposta é revisado anualmente e após cada incidente de severidade Crítica ou Alta.

I. Gerenciamento de Vulnerabilidades (RDA 2.7)

A ObjectData mantém um processo formal para rastrear e remediar vulnerabilidades identificadas em varreduras e testes de penetração:

Processo de rastreio:

  1. Identificação: Vulnerabilidades são identificadas por: varredura automatizada de código (SAST) a cada build; varredura de dependências (SCA) a cada release; testes de penetração externos realizados a cada 180 dias (ou menos) por empresa especializada contratada.
  2. Registro: Cada vulnerabilidade identificada é registrada individualmente em sistema de gerenciamento de tickets (rastreabilidade completa), contendo: CVE/CWE (quando aplicável), componente afetado, severidade (CVSS), ambiente impactado, descoberta na data e prazo de resolução.
  3. Classificação e Priorização por Severidade:
    • Crítica (CVSS 9.0–10.0): Prazo de remediação — até 24 horas; tratamento imediato com notificação à diretoria;
    • Alta (CVSS 7.0–8.9): Prazo de remediação — até 7 dias;
    • Média (CVSS 4.0–6.9): Prazo de remediação — até 30 dias;
    • Baixa (CVSS 0.1–3.9): Prazo de remediação — até 90 dias.
  4. Remediação: O ticket é atribuído ao desenvolvedor responsável pelo componente afetado. A correção é desenvolvida, revisada por par (code review), testada em ambiente isolado e validada pelo responsável de segurança antes de ser promovida à produção.
  5. Validação pós-remediação: Após a aplicação da correção em produção, realiza-se nova varredura direcionada ao componente corrigido para confirmar a eliminação da vulnerabilidade. O ticket é encerrado somente após validação técnica positiva.
  6. Acompanhamento e Relatórios: O responsável de segurança gera relatório mensal de status contendo: total de vulnerabilidades abertas por severidade, vulnerabilidades remediadas no período, eventuais exceções com justificativa e prazo, e progresso acumulado dos testes de penetração do ciclo vigente. Este relatório é apresentado à diretoria e arquivado.
  7. Vulnerabilidades em aberto além do prazo: Requerem aprovação formal da diretoria com justificativa documentada e plano de mitigação compensatória enquanto não remediadas.

J. Conformidade e Contato

Esta política está em conformidade com:

  • Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018;
  • Políticas de Proteção de Dados da Amazon (Amazon Data Protection Policy — DPP);
  • Política de Uso Aceitável da Amazon (AUP), item 4.1;
  • Requisitos de Acesso a Dados Restritos da Amazon (RDA), itens 1.4, 1.6, 2.6 e 2.7.

Para dúvidas, solicitações de acesso, correção ou exclusão de dados relacionados à integração Amazon, entre em contato com nosso Encarregado de Dados: diretoria@objectdata.com.br.

Última atualização: Abril de 2026.

© . Todos os direitos reservados. Object Data