SakuraSakura.
Voltar para a home

Política de Privacidade

Última atualização:

Esta Política de Privacidade explica como o Sakura Support (“nós”, “nosso”, “Sakura”) coleta, usa, compartilha e protege dados pessoais, em conformidade com a LGPD (Brasil), o GDPR (UE), o CCPA (Califórnia) e demais leis de privacidade aplicáveis.

1. Papéis

Atuamos como Controlador dos dados da sua conta (e-mail, nome, dados de cobrança). Atuamos como Operador (Processor) das mensagens de clientes que você importa para o Sakura — você continua sendo o Controlador desses dados.

2. Dados que coletamos

2.1 De você (titular da conta)

  • Identificação: nome, e-mail, senha (hash bcrypt).
  • Cobrança: nome, e-mail de cobrança, país, CNPJ/CPF/Tax ID. Dados de cartão ficam com a Stripe — nunca armazenamos número completo de cartão.
  • Uso: horários de login, IP, navegador, ações realizadas no painel (audit log, mantido por 12 meses).
  • Autenticação: segredo TOTP (para 2FA), refresh tokens.

2.2 Dos seus clientes finais (via inbox/Shopify)

  • Conteúdo dos e-mails do cliente (assunto, corpo, anexos).
  • Dados de pedidos do Shopify (número do pedido, itens, endereço de entrega, total) — apenas pedidos relacionados a um ticket.
  • Códigos de rastreio fornecidos por transportadoras.

3. Por que processamos (bases legais sob LGPD/GDPR)

  • Execução de contrato: prestação do serviço que você assinou.
  • Legítimo interesse: segurança, prevenção a fraude, melhoria de produto (de forma agregada e anônima).
  • Consentimento: cookies opcionais (não usamos NENHUM além dos estritamente necessários) e e-mails de marketing (opt-in).
  • Obrigação legal: registros fiscais, denúncia de fraude.

4. Compartilhamento com terceiros (sub-operadores)

Compartilhamos dados apenas com os sub-operadores abaixo, cada um sob contrato de processamento de dados (DPA):

  • Stripe, Inc. (EUA) — processamento de pagamento e cálculo de impostos.
  • Shopify Inc. (Canadá/EUA) — sincronização de dados da loja (pedidos, produtos, clientes, fulfillment) para inboxes conectadas a lojas Shopify. Solicitamos apenas os escopos necessários para rascunhar respostas de suporte. O Sakura não modifica seu catálogo sem ação explícita do operador.
  • Resend, Inc. (EUA) — entrega de e-mail transacional.
  • Anthropic PBC (EUA) — geração de texto por IA; recebe o conteúdo da mensagem do cliente necessário pra rascunhar a resposta. A Anthropic não usa conteúdo de API pra treinar modelos.
  • Google LLC (EUA) — API Gemini; mesmas condições da Anthropic.
  • Groq, Inc. (EUA) — inferência baseada em Llama; mesmas condições.
  • Oracle Cloud / DigitalOcean / Hetzner (a depender da região) — hospedagem de servidores. Dados de clientes são armazenados criptografados em repouso.

Não vendemos dados pessoais. Não compartilhamos dados pra publicidade comportamental.

5. Transferências internacionais

Alguns sub-operadores têm sede nos EUA. As transferências são feitas sob as Cláusulas Contratuais Padrão (UE 2021/914) aprovadas pela Comissão Europeia, e salvaguardas equivalentes sob a LGPD.

6. Retenção

  • Mensagens de clientes e dados de tickets: mantidos enquanto sua conta está ativa. Após o encerramento (self-service em Configurações → Zona de perigo, ou solicitação por escrito), todos os dados pessoais são deletados de forma definitiva em até 30 dias. Durante essa janela de 30 dias você pode cancelar a deleção e recuperar o acesso.
  • Registros fiscais: 5 anos (obrigação legal sob legislação tributária).
  • Audit logs: 90 dias rolantes. E-mails referenciados em entradas de audit são armazenados como hashes SHA-256 truncados, não em texto plano.
  • Backups: 30 dias rolantes. Após 30 dias, backups com dados deletados saem de rotação.

7. Seus direitos

Você tem direito de:

  • Acessar seus dados e obter cópia em formato legível por máquina.
  • Retificar dados incorretos.
  • Excluir seus dados (“direito ao esquecimento”) — sujeito a obrigações legais de retenção.
  • Restringir ou opor-se a determinados processamentos.
  • Portabilidade — receber seus dados em formato estruturado.
  • Revogar consentimento a qualquer momento (quando o consentimento for a base legal).
  • Apresentar reclamação à autoridade de proteção de dados local (ANPD no Brasil, CNIL na França, AEPD na Espanha, etc.).

Exerça qualquer direito enviando e-mail para privacy@sakuracrm.cloud. Respondemos em até 30 dias.

8. Segurança

Usamos medidas padrão da indústria: TLS 1.2+ em trânsito, AES-256 em repouso, bcrypt para senhas, 2FA obrigatório em contas administrativas, audit logging, princípio do menor privilégio, backups diários automáticos, acesso de produção restrito por IP allowlist, e revisões trimestrais de segurança internas. Veja /security para detalhes completos.

9. IA e seus dados

  • O Sakura envia o conteúdo da mensagem do cliente aos provedores de IA apenas para gerar uma resposta.
  • Provedores de IA não usam esse conteúdo para treinar modelos (conforme termos da API deles).
  • Você pode desativar o processamento por IA por inbox ou por ticket.
  • Você pode usar suas próprias chaves de IA (BYOK no plano Scale) — nesse caso, o processamento é regido pela sua relação direta com o provedor.

10. Cookies

Usamos apenas cookies estritamente necessários (sessão, autenticação, preferência de idioma). Não usamos cookies de publicidade ou tracking. Veja /cookies para a lista completa.

11. Crianças

O Sakura não é destinado a menores de 18 anos. Não coletamos conscientemente dados de menores. Se você acredita que coletamos, contate privacy@sakuracrm.cloud.

12. Mudanças nesta política

Podemos atualizar esta política. Mudanças materiais serão notificadas por e-mail com pelo menos 30 dias de antecedência da entrada em vigor.

13. Contato

Encarregado de Proteção de Dados (DPO): privacy@sakuracrm.cloud. Contato geral: /contact.