Segurança e Privacidade

O Orquestra AI opera em modelo de responsabilidade compartilhada:

• Nós mantemos a plataforma, controles de acesso, criptografia em trânsito e processos descritos abaixo.
• Você (cliente contratante) é o Controlador dos dados dos seus contatos e responsável por base legal, opt-in e conteúdo dos agentes.
• Subprocessadores (listados abaixo) tratam dados sob nossas instruções para viabilizar o serviço.

• ✓Autenticação por e-mail + senha e OAuth com Google, com verificação de e-mail.
• ✓MFA obrigatório em operações sensíveis de cobrança (checkout e portal Stripe).
• ✓Permissões por papel no workspace: owner, admin, agent.
• ✓Aprovação manual de novos membros do workspace pelo owner/admin.
• ✓Proteções contra escalonamento de privilégios e auto-aprovação no banco de dados.
• ✓Row Level Security (RLS) habilitado em todas as tabelas — cada workspace só enxerga seus próprios dados.
• ✓Comunicação criptografada em trânsito via HTTPS/TLS em 100% do tráfego.
• ✓Criptografia de dados em repouso provida pela infraestrutura de banco (Supabase/Postgres).
• ✓Webhooks de pagamento e canais externos validados por assinatura criptográfica (HMAC).
• ✓Pagamentos processados pelo Stripe — dados de cartão nunca trafegam ou são armazenados nos nossos servidores.
• ✓Segredos e chaves de API armazenados em vault gerenciado, fora do código-fonte.
• ✓Senhas armazenadas com hashing — nunca em texto claro.
• ✓Logs de webhook e auditoria do workspace com retenção definida.

A aplicação é hospedada em infraestrutura serverless edge (Cloudflare / Lovable) com entrega global. O banco de dados primário roda em Supabase (Postgres gerenciado) com criptografia em repouso, backups automáticos e isolamento por projeto.

Para viabilizar o serviço, dados podem ser tratados pelos subprocessadores abaixo, todos sob acordos de tratamento de dados (DPA) ou cláusulas-padrão equivalentes:

A lista pode ser atualizada à medida que evoluímos a plataforma. Alterações relevantes são comunicadas via aviso na plataforma.

Em conformidade com a Lei Geral de Proteção de Dados, você pode solicitar confirmação, acesso, correção, anonimização, portabilidade ou eliminação dos seus dados pessoais. Detalhes completos e o fluxo de exercício de direitos estão na nossa Política de Privacidade.

Solicitações são respondidas em até 15 dias úteis via privacidade@orquestraai.com.br.

Mantemos um processo interno de resposta a incidentes de segurança. Em caso de evento que possa afetar dados pessoais dos titulares, comunicaremos a ANPD e os titulares afetados dentro do prazo legal, com descrição do incidente, dados envolvidos e medidas adotadas.

Encontrou uma falha de segurança? Envie um relato para seguranca@orquestraai.com.br com passos de reprodução. Pedimos divulgação responsável: não explore além do mínimo necessário para demonstrar o problema e não acesse dados de terceiros. Confirmamos o recebimento em até 5 dias úteis.

Esta página descreve controles atualmente habilitados e práticas declaradas pelo Orquestra AI. Ela não constitui certificação independente, atestado de conformidade regulatória, nem auditoria por terceiros. Não declaramos posse de certificações SOC 2, ISO 27001, PCI-DSS ou HIPAA. Para uma análise específica do seu caso de uso (por exemplo, contratos corporativos com requisitos de DPA dedicado), entre em contato.

Vinicius Koiti Nedachi Takiy Agência de Publicidade LTDA
CNPJ: 51.461.537/0001-90
Segurança: seguranca@orquestraai.com.br
Privacidade / DPO: privacidade@orquestraai.com.br
Site: orquestraai.com.br