Política de Privacidade
Como o SysWP Radar coleta, processa e armazena dados — em linguagem direta, sem letra miúda.
Resumo de uma frase: coletamos o mínimo possível, não vendemos nada, sem cookies de tracking de terceiros, e você apaga ou exporta seus dados quando quiser. O resto deste documento explica isso em detalhe.
1. Quem somos
O SysWP Radar é um produto da SysWP, pessoa jurídica de direito privado inscrita no CNPJ 29.557.871/0001-92, com sede no Brasil. Contato comercial: contato@syswp.com.br. Para o exercício de direitos LGPD ou qualquer assunto relacionado a tratamento de dados pessoais, fale diretamente com nosso Encarregado de Proteção de Dados (DPO) em dpo@syswp.com.br.
2. Que dados o Radar coleta dos visitantes do seu site
Quando você instala o pixel do Radar no seu site, cada request HTTP gerada pelos seus visitantes deixa um registro com os seguintes campos:
- Endereço IP. Por padrão é anonimizado antes de armazenar (apagamos o último octeto em IPv4, mantemos só o prefixo
/48em IPv6). Você, como operador do site, pode desativar a anonimização nas configurações de cada site se precisar do IP completo para análise de ataques — nesse caso é sua responsabilidade comunicar isso aos visitantes na sua própria política de privacidade. - User-Agent completo + hash para deduplicação interna, e cabeçalhos HTTP relevantes (Accept-Language, Referer).
- URI e método HTTP (
GET,POST, etc.). - País + região (estado/província) derivados do IP via Cloudflare (header
CF-IPCountryquando disponível) ou ip-api.com como fallback. Não armazenamos cidade, CEP, coordenadas, ou qualquer dado mais granular que estado/província. - Categoria de tráfego classificada automaticamente (humano / verified bot / AI crawler / atacante / etc.).
- Timestamp com precisão de segundos.
- Identificadores de campanha publicitária na URL, quando presentes:
utm_source,utm_medium,utm_campaign,utm_content,utm_term,gclid(Google Ads),fbclid(Meta/Facebook Ads). Esses parâmetros vêm do seu próprio link de campanha — o Radar apenas registra o valor que já estava na URL para você poder analisar a atribuição. Não enviamos nada de volta para Google ou Meta. - Cookies first-party técnicos:
_rdid(identificador anônimo do visitante, válido até 13 meses para você poder distinguir visitantes recorrentes) e_rds(identificador de sessão, expira em 30 min). Ambos contêm apenas valores aleatórios sem dado pessoal e não atravessam para outros sites (são first-party do seu domínio). - Métricas opcionais via JS enrichment (somente se ativado e somente em browsers que suportam): LCP, FCP, TTFB, INP, CLS, idioma do browser, fuso horário, resolução de tela. Usadas para Web Vitals e classificação de dispositivo. Nunca conteúdo digitado, mouse moves, ou capturas de tela.
O que NÃO coletamos
- Não usamos cookies de tracking cross-site. Os cookies
_rdide_rdssão first-party do seu domínio e não compartilhamos com terceiros. - Não fazemos fingerprinting de dispositivo via Canvas, WebGL, ou enumeração de fontes.
- Não cruzamos dados com outras fontes (data brokers, redes de ads).
- Não capturamos formulários, senhas, ou conteúdo de páginas.
- Não construímos perfis individuais de visitantes para venda — os relatórios são sempre agregados a nível de visitante anônimo, sem identificação real.
3. Que dados coletamos de você (cliente do Radar)
- Email (obrigatório para signup e comunicação).
- Nome (opcional).
- Senha (armazenada como hash bcrypt; nunca em texto plano).
- Domínios dos sites que você adicionar.
- Logs técnicos de uso do dashboard (IP do login, sessões ativas) por 30 dias para fins de segurança.
- Histórico de pagamentos (quando aplicável) processado pelo nosso parceiro de pagamentos (não armazenamos números de cartão).
4. Por que coletamos esses dados (base legal — LGPD Art. 7º)
- Execução do serviço (Art. 7º, V): IP, User-Agent e URI são tecnicamente necessários para classificar o tráfego do seu site. Sem eles, o Radar não funciona.
- Legítimo interesse (Art. 7º, IX): detecção de ataques, prevenção de fraude, métricas agregadas para diagnóstico do produto.
- Consentimento (Art. 7º, I): JS enrichment, comunicações de marketing, e qualquer dado opcional. Você pode revogar a qualquer momento.
- Cumprimento de obrigação legal (Art. 7º, II): preservação de logs por períodos exigidos por lei.
5. Quanto tempo guardamos os dados
A retenção de eventos depende do plano contratado:
- Free: 7 dias.
- Starter: 30 dias.
- Pro: 90 dias.
- Agency: 365 dias.
Após a janela de retenção, os eventos individuais são apagados automaticamente. Métricas agregadas (totais por hora, por dia, por categoria) podem ser preservadas indefinidamente para fins históricos do próprio cliente.
Política de auto-deleção de contas inativas: contas que não fizerem login em 15 dias após o término do trial gratuito são apagadas integralmente — conta, sites, eventos, sessões, alertas. Avisamos por email nos dias 6, 10 e 13. Veja detalhes em /docs/billing/.
6. Compartilhamento com terceiros (subprocessors)
Compartilhamos dados com os seguintes processadores, exclusivamente para a operação do serviço. A lista é mantida atualizada — qualquer adição material é comunicada por email com 30 dias de antecedência.
| Processador | Finalidade | Local |
|---|---|---|
| Provedor de hospedagem | Servidores onde o Radar roda — armazenamento e processamento. | Brasil |
| Cloudflare | CDN, proxy, country header (CF-IPCountry). | Global edge |
| ip-api.com | Fallback de geolocalização quando o IP não vem com header da Cloudflare. Recebem o IP, retornam país+região. | UE |
| n8n | Orquestração de emails transacionais (signup, alertas, billing, exclusão de conta). Toda comunicação por email passa por aqui. | Brasil (self-host) |
| Provedor SMTP (via n8n) | Envio efetivo de email. Provedor pode mudar; mantemos contrato de processamento com cláusulas padrão. | Global |
| OpenRouter (Anthropic Claude) | Apenas para o "AI Dashboard Explainer" (planos Pro+). Enviamos estatísticas agregadas anônimas — sem IPs nem dados pessoais. | EUA |
| Browserless | Renderização de relatórios em PDF sob demanda (planos Pro+). Recebe apenas o HTML gerado pelo Radar. | UE |
| Stripe | Processamento de pagamentos de assinatura. Não recebemos nem armazenamos dados de cartão — só ID do cliente Stripe. | EUA / global |
Não compartilhamos dados com redes de ads, data brokers, ou outras empresas para fins de marketing. Não vendemos seus dados nem os dos seus visitantes. Em hipótese nenhuma.
Para clientes Enterprise ou que precisem formalmente, oferecemos Acordo de Processamento de Dados (DPA) assinável — solicite por email para dpo@syswp.com.br.
7. Seus direitos (LGPD Art. 18 / GDPR Arts. 15–22)
Você pode, a qualquer momento e diretamente pelo painel:
- Acessar e portar todos os dados que temos sobre você ou os visitantes do seu site: pelo painel em
/account → "Exportar meus dados"(download JSON estruturado), disponível em todos os planos. Inclui conta, sites, regras de alerta, histórico de alertas, sessões e eventos dentro do seu período de retenção. - Corrigir dados desatualizados — diretamente em
/account(nome, idioma, senha). - Apagar sua conta e todos os dados associados — pelo painel em
/account → "Excluir conta". Por padrão você tem 30 dias para cancelar via email; se preferir pode marcar "apagar imediatamente" e processamos em até 24 horas. Também aceitamos pedidos por email para dpo@syswp.com.br. - Revogar consentimento para comunicações de marketing — link de descadastro em todo email opcional.
- Reclamar à ANPD (Brasil) ou à autoridade de proteção de dados do seu país caso entenda que seus direitos foram violados.
8. Segurança
- Todo tráfego é via HTTPS com HSTS preload.
- Senhas armazenadas com bcrypt cost 12.
- Sessões em DB com rotação automática.
- 2FA disponível em todos os planos pagos.
- Backups criptografados em repouso.
- Em caso de incidente de segurança, notificamos os afetados em até 72 horas (LGPD Art. 48).
9. Crianças e adolescentes
O Radar é uma ferramenta B2B para operadores de sites. Não é destinado a menores de 18 anos como usuário direto. Se você é responsável por uma criança que opera um site (ex: blog escolar) e usa o Radar, a coleta de dados se limita aos parâmetros descritos acima — nenhum dado pessoal de crianças é capturado pelo pixel além do IP anonimizado e do User-Agent.
10. Transferência internacional
Nossos servidores principais estão no Brasil. Backups e CDN podem residir em outras jurisdições (EUA, UE) protegidas por contratos com cláusulas-padrão de proteção de dados. Não transferimos dados para países sem nível adequado de proteção.
11. Mudanças nesta política
Mudanças materiais serão comunicadas por email com 30 dias de antecedência. Mudanças menores ficam registradas neste documento com a data atualizada no topo. O histórico de versões fica disponível em github.com/syswp/radar-legal (em breve).
12. Contato
Controlador dos dados: SysWP — CNPJ 29.557.871/0001-92
Encarregado de Proteção de Dados (DPO): dpo@syswp.com.br
Contato comercial / suporte: contato@syswp.com.br
Resposta a solicitações LGPD em até 15 dias corridos (art. 19, §1º, LGPD).
Disponível em outras línguas em breve. Em caso de divergência entre versões, prevalece esta versão em português.