Engenha Rio

Política de Privacidade

Última atualização: 10 de maio de 2026

1. Quem somos

O Engenha Rio é um sistema de gestão (ERP) para construtoras. Esta política descreve como tratamos dados pessoais conforme a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

2. Dados que coletamos

  • Cadastro: nome completo, e-mail, organização à qual você pertence.
  • Autenticação: hash de senha (bcrypt) ou identificador do provedor OAuth (Google).
  • Operacionais: registros de obras, fornecedores, financeiro, estoque e demais entidades que você criar no sistema.
  • Integrações de e-mail: credenciais SMTP/IMAP que você optar por configurar (armazenadas com criptografia AES-256-GCM).
  • Logs técnicos: ações realizadas no sistema (audit log) para fins de segurança e rastreabilidade.

3. Como usamos seus dados

Os dados são usados exclusivamente para operar o sistema contratado por sua organização: autenticação, autorização, registro de operações, notificações por e-mail e geração de relatórios. Não vendemos nem compartilhamos seus dados com terceiros para fins comerciais.

4. Subprocessadores

  • Supabase (hospedagem de banco de dados, autenticação e armazenamento de arquivos, região São Paulo).
  • Vercel (hospedagem da aplicação web e CDN).
  • Cloudflare (proteção contra bots via Turnstile no login/cadastro — sem armazenar dados pessoais; processa apenas sinais de comportamento na requisição).
  • Sentry (monitoramento de erros). Eventos enviados passam por redação prévia: e-mail, CPF, telefone e tokens são substituídos por placeholders antes do envio.
  • Resend (envio de e-mails transacionais).
  • Anthropic(assistente de IA "Severino" — só é acionado quando você usa explicitamente o recurso; mensagens enviadas seguem a política de retenção do provedor).
  • Meta / WhatsApp Business (apenas se você configurar a integração de envio de propostas).
  • Google (apenas se você optar por login OAuth).

5. Segurança

Aplicamos defesa em profundidade em camadas:

  • TLS em trânsito e criptografia em repouso (Supabase).
  • Row-Level Security (RLS) no banco para isolar dados entre organizações.
  • Hash bcrypt de senhas; AES-256-GCM para credenciais de integração (IMAP/SMTP).
  • Autenticação em duas etapas (TOTP) opcional para o usuário; rate limit + captcha (Cloudflare Turnstile) em login/cadastro/ recuperação de senha; bloqueio temporário após 5 falhas seguidas no mesmo email.
  • Log de auditoria imutável; cron diário monitora padrões anômalos (volume incomum, IP novo, exportação em massa) e alerta o owner.
  • Headers HTTP estritos: Content Security Policy contra XSS, X-Frame-Options DENY contra clickjacking, Referrer-Policy restrito.
  • Mascaramento de CPF em listagens visíveis a outros membros da mesma organização (***.***.***-XX).

6. Seus direitos (LGPD)

Você pode, a qualquer momento:

  • Acessar e exportar seus dados pessoais — Configurações → Conta → Meus dados.
  • Corrigir dados desatualizados em Configurações → Conta.
  • Solicitar exclusão da sua conta. Após processamento, dados pessoais são anonimizados; registros operacionais (notas, OCs) permanecem por exigência fiscal e contábil.
  • Revogar consentimento de integrações (Google, IMAP/SMTP).

7. Retenção

  • Dados pessoais identificáveis (nome, foto, CPF, telefone) — anonimizados imediatamente ao solicitar exclusão da conta.
  • Registro de autenticação (e-mail, hash de senha) — removido 30 dias após a solicitação de exclusão (janela para reversão por suporte).
  • Logs de auditoria — 365 dias para eventos comuns; eventos de segurança (login, mudança de senha, alteração de papéis) ficam indefinidamente para rastreio de incidente.
  • Registros operacionais (notas fiscais, ordens de compra, lançamentos financeiros) — até 5 anos por exigência fiscal/contábil, de forma anonimizada quanto aos titulares.

8. Notificação de incidente

Em caso de incidente de segurança que afete dados pessoais, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em até 2 dias úteis após confirmação, conforme Art. 48 da LGPD.

9. Encarregado (DPO)

Para exercer seus direitos ou tirar dúvidas, contate o Encarregado pelo Tratamento de Dados Pessoais:

rafael@engenhario.com

10. Alterações

Esta política pode ser atualizada. Mudanças relevantes serão comunicadas por e-mail e/ou aviso no sistema com pelo menos 30 dias de antecedência.