Política de Privacidade

Zapfire é uma extensão para Chrome que adiciona recursos de produtividade ao WhatsApp Web — envio de áudios, scripts, mídias e funis automatizados. O serviço é operado pela IMP (O Improvável), CNPJ a ser informado, com sede no Brasil.

Contato para assuntos de privacidade: contato@zapfire.com.br

2.1 Dados fornecidos pelo cliente no momento da compra (via Kirvano)

• Nome completo
• Email
• CPF ou CNPJ (opcional, para emissão de nota fiscal)
• Dados de pagamento — processados exclusivamente pela Kirvano. Nós nunca armazenamos número de cartão ou código de segurança.

2.2 Dados coletados pela extensão durante o uso

• Número do WhatsApp do próprio usuário: lido do localStorage do WhatsApp Web para vincular sua chave de acesso a um número único (anti-compartilhamento).
• Identificador do dispositivo (UUID aleatório): gerado pela extensão na instalação, armazenado em chrome.storage.local. Usado para contar dispositivos simultâneos (limite de 4 por chave).
• User-Agent e versão do Chrome: enviados na validação para diagnóstico.
• Endereço IP: registrado pelo servidor em cada validação para detectar padrões de uso anômalo (anti-pirataria).

2.3 Dados gerados pelo cliente (nunca saem do navegador dele)

• Items criados no gerenciador (mensagens, áudios, imagens, vídeos, arquivos)
• Funis configurados
• Histórico de envios locais

Esses dados ficam exclusivamente em IndexedDB local do navegador do cliente. Nossos servidores não têm acesso a áudios, scripts, mídias ou quaisquer conteúdos criados no gerenciador.

• Email: comunicações transacionais (boas-vindas, confirmação de renovação, avisos de vencimento). Nunca marketing sem consentimento explícito.
• Nome e CPF: emissão de nota fiscal e identificação para suporte.
• Número do WhatsApp: vincular cada chave de acesso a um único número. Impede que um cliente compartilhe a chave comprada com outras pessoas.
• Device ID, User-Agent, IP: controlar limite de dispositivos simultâneos, detectar pirataria, diagnóstico de suporte.

• Banco de dados: PostgreSQL hospedado na Railway, data center us-east (EUA). Transferência internacional baseada em legítimo interesse (infra do serviço).
• Painel web: servido via Vercel, edge network global.
• Emails transacionais: enviados via Resend.
• Conteúdo criado no gerenciador (seu material): apenas no seu navegador. Nunca sai dele.

Compartilhamos dados estritamente necessários com:

• Kirvano (gateway de pagamento): nome, email, CPF, valor. Política da Kirvano: kirvano.com
• Resend (envio de email transacional): email do destinatário e conteúdo do email. Política: resend.com/legal/privacy-policy
• Railway (infra backend): processa os dados armazenados. Política: railway.com/legal/privacy
• Vercel (infra painel): requisições HTTP passam pelos servidores deles. Política: vercel.com/legal/privacy-policy

Nenhum dado é compartilhado com a Meta/WhatsApp. A extensão opera localmente no seu navegador; as ações que ela executa no WhatsApp Web acontecem como se fossem do próprio usuário.

• Dados de conta: enquanto sua conta estiver ativa, até 5 anos após o cancelamento (prazo para eventuais questões fiscais e legais).
• Logs de validação: 6 meses, depois são anonimizados.
• Emails enviados: registros no Resend por 30 dias (conforme política deles).

Você tem direito a:

• Acessar os dados que temos sobre você
• Corrigir dados incorretos
• Pedir a exclusão da sua conta e dados associados
• Portar seus dados para outro serviço
• Revogar consentimento ou se opor ao tratamento
• Reclamar junto à ANPD (Autoridade Nacional de Proteção de Dados)

Para exercer qualquer desses direitos, envie um email para contato@zapfire.com.br com o assunto "LGPD - [direito desejado]". Respondemos em até 15 dias úteis.

• Senhas armazenadas com bcrypt (cost factor 12).
• Tokens de magic link armazenados como SHA-256 hash (nunca em plaintext).
• Comunicação entre painel e backend via HTTPS.
• Cookies de sessão HttpOnly, Secure e SameSite=Lax.
• Rate limiting em endpoints sensíveis (login, webhooks).

Usamos apenas um cookie estritamente necessário:

• zf_refresh: token de sessão do painel web. HttpOnly, Secure, SameSite=Lax, válido por 30 dias, renovado automaticamente a cada uso.

Não usamos cookies de tracking, analytics de terceiros ou publicidade.

Podemos atualizar esta política. Mudanças materiais serão comunicadas por email para clientes ativos, com pelo menos 30 dias de antecedência. A data de última atualização no topo desta página indica a versão atual.