Política de Privacidade

A Vorseum é uma startup brasileira de tecnologia responsável pelo desenvolvimento e operação do Zenthor — plataforma de monitoramento e verificação de exposição de dados digitais.

Para fins desta política, a Vorseum atua como Controladora dos dados pessoais tratados em decorrência do uso dos serviços.

• Ao criar uma conta: nome completo, endereço de e-mail e senha (armazenada de forma criptografada).
• Durante o uso do serviço: e-mails, CPFs, domínios e outros identificadores que você informar para verificação; endereço IP; logs de acesso (data, hora, ações realizadas); informações sobre o dispositivo e navegador.
• Para organizações (plano corporativo): CNPJ, nome da empresa e dados dos membros convidados.
• Dados de pagamento são processados diretamente pela Stripe, Inc. A Vorseum não armazena dados completos de cartão de crédito.

• Execução de contrato (LGPD, art. 7º, V): prestação do serviço de monitoramento e verificação de dados contratado.
• Legítimo interesse (LGPD, art. 7º, IX): prevenção a fraudes, segurança da plataforma, melhoria dos serviços e comunicações operacionais.
• Cumprimento de obrigação legal (LGPD, art. 7º, II): retenção de logs de acesso conforme exigido pelo Marco Civil da Internet (Lei nº 12.965/2014, art. 15).
• Consentimento (LGPD, art. 7º, I): envio de comunicações de marketing e novidades, quando você optar por recebê-las.

• Criar e gerenciar sua conta na plataforma.
• Executar as verificações e monitoramentos solicitados.
• Enviar alertas e notificações sobre novos riscos identificados.
• Processar pagamentos e gerenciar sua assinatura.
• Prestar suporte ao cliente e responder a solicitações.
• Cumprir obrigações legais e regulatórias.
• Melhorar a qualidade e a segurança dos serviços.

Não vendemos, alugamos nem comercializamos seus dados pessoais com terceiros.

• Podemos compartilhar dados com prestadores de serviço essenciais à operação da plataforma — como provedores de hospedagem (Hetzner), processamento de pagamentos (Stripe), monitoramento de erros (Sentry) e envio de e-mails transacionais (Resend) — exclusivamente para a finalidade contratada e com obrigação contratual de confidencialidade.
• Em caso de fusão, aquisição ou transferência de ativos, seus dados poderão ser transferidos, com aviso prévio.
• Podemos divulgar dados quando exigido por lei, ordem judicial ou autoridade competente.

• Dados de conta: mantidos enquanto a conta estiver ativa. Após cancelamento, excluídos em até 90 dias, salvo obrigação legal de retenção.
• Logs de acesso: retidos por 6 meses, conforme exigido pelo Marco Civil da Internet.
• Dados de faturamento: retidos por 5 anos conforme legislação tributária brasileira.
• Dados de verificação (e-mails, CPFs verificados): retidos pelo prazo de vigência do plano contratado e excluídos após o cancelamento.
• Brand Watch — candidatos sem match: domínios capturados de Certificate Transparency Logs públicos que não casam com seus domínios protegidos são purgados automaticamente em 30 dias após processamento.
• Brand Watch — matches resolvidos: após você marcar um match como resolvido ou falso positivo, o payload sensível (screenshot do site fraudulento, título da página, indicação de formulário de login, score de imitação) é automaticamente apagado em 90 dias. Os metadados agregados (severidade, tipo de variante, data) são preservados para análises estatísticas.

O serviço Brand Watch monitora domínios fraudulentos similares aos seus domínios protegidos. A coleta e retenção dos dados deste serviço seguem regras específicas, em conformidade com o art. 16 da LGPD.

Domínios protegidos cadastrados por você são armazenados de forma criptografada (AES-256-GCM determinística), de modo que um eventual vazamento do banco de dados não revela quais marcas você protege.

Domínios candidatos vêm exclusivamente de Certificate Transparency Logs públicos (Certstream), que são por natureza dados públicos. Ainda assim, candidatos sem match com seus domínios protegidos são purgados em 30 dias.

Quando um match é validado pelo crawler ativo, capturamos uma screenshot do site fraudulento para servir como evidência em denúncias formais (registrar, Google Safe Browsing, BO online). Esta screenshot fica disponível enquanto o match estiver pendente; após resolução, é apagada em 90 dias.

Você pode forçar a exclusão imediata de todos os dados de Brand Watch removendo seus domínios protegidos do painel — a remoção é em soft-delete e o purge físico segue os mesmos prazos descritos acima.

Nos termos da LGPD (arts. 17 a 22), você tem direito a:

• Confirmação e acesso: saber se tratamos dados seus e obter cópia.
• Correção: corrigir dados incompletos, inexatos ou desatualizados.
• Anonimização ou exclusão: anonimizar, bloquear ou excluir dados desnecessários ou tratados em desconformidade.
• Portabilidade: receber seus dados em formato estruturado para transferência a outro serviço.
• Informação: conhecer as entidades com quem compartilhamos seus dados.
• Revogação do consentimento: retirar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior.
• Oposição: opor-se ao tratamento realizado com base em legítimo interesse, em casos previstos pela LGPD.

Para exercer qualquer desses direitos, entre em contato: [email protected]

Adotamos medidas técnicas e organizacionais para proteger seus dados:

• Criptografia em trânsito (TLS/HTTPS) e em repouso.
• Controle de acesso com princípio do menor privilégio.
• Autenticação de dois fatores disponível para todos os usuários.
• Monitoramento contínuo de anomalias e incidentes.

Em caso de incidente de segurança que possa afetar seus dados, notificaremos você e a Autoridade Nacional de Proteção de Dados (ANPD) nos prazos legais.

• Cookies de sessão: necessários para manter você autenticado.
• Cookies analíticos: para entender como a plataforma é usada, via PostHog.
• Cookies de preferência: para lembrar suas configurações.

Você pode gerenciar ou desabilitar cookies nas configurações do seu navegador. A desativação de cookies essenciais pode impactar o funcionamento da plataforma.

Alguns de nossos prestadores de serviço estão localizados fora do Brasil (EUA, UE). Exigimos contratualmente que esses parceiros adotem padrões equivalentes de proteção de dados, incluindo cláusulas contratuais padrão ou certificações reconhecidas.

Nomeamos um Encarregado de Proteção de Dados (DPO) responsável por intermediar a comunicação entre a Vorseum, os titulares de dados e a ANPD.

Contato do DPO: [email protected] — com assunto 'DPO / Proteção de Dados'.

Podemos atualizar esta política periodicamente. Alterações relevantes serão comunicadas por e-mail ou por aviso em destaque na plataforma com antecedência mínima de 15 dias.

A data da última atualização é sempre indicada no início desta página.

Dúvidas, solicitações relacionadas a dados pessoais ou qualquer questão sobre esta política: [email protected]

Vorseum Tecnologia Ltda. — CNPJ em processo de abertura. São Paulo, SP, Brasil.