Última atualização: 23/04/2026 · Versão 2.0 · LGPD (Lei 13.709/2018) · Marco Civil (Lei 12.965/2014)
RESUMO EXECUTIVO: Esta política explica quais dados pessoais o Morpheus PDV coleta, para que usa, com quem compartilha,
por quanto tempo guarda, como protege e quais são os seus direitos como titular. O Morpheus PDV atua como controlador dos dados
cadastrais do Cliente e como operador dos dados que o Cliente insere em seu ambiente (clientes finais, vendas, fornecedores).
1. Controladoria e Papéis
- Morpheus PDV — Controlador: para os dados do titular da conta (Cliente) coletados no cadastro, uso da Plataforma, cobrança e suporte;
- Morpheus PDV — Operador: para os dados que o Cliente insere em seu ambiente (clientes finais, funcionários, fornecedores, vendas). Nesses casos, o Cliente é o controlador e a Plataforma processa em seu nome;
- Encarregado de Dados (DPO): 📧 dpo@morpheuspdv.com.br.
2. Dados Coletados
2.1 Do titular da conta (Cliente / Usuários)
- Identificação: nome completo, CPF, CNPJ, razão social, data de nascimento;
- Contato: e-mail, telefone, WhatsApp, endereço comercial;
- Credenciais: senha (armazenada como hash Bcrypt — nunca em texto claro), tokens de API, chaves OAuth;
- Financeiros: meio de pagamento (últimos 4 dígitos do cartão), histórico de cobrança, status de inadimplência — não armazenamos cartão completo; os dados ficam com o gateway PCI-DSS;
- Navegação: IP, user-agent, sistema operacional, logs de acesso, páginas visitadas, tempo de sessão, geolocalização aproximada por IP;
- Técnicos: cookies de sessão, tokens CSRF, fingerprint de dispositivo para prevenção de fraude.
2.2 Dos clientes finais do Cliente (processados como operador)
- Nome, CPF/CNPJ, e-mail, telefone, endereço, histórico de compras, preferências — inseridos pelo Cliente em seu ambiente e tratados sob sua responsabilidade.
3. Finalidades do Tratamento
- Prestação do serviço contratado (operação da Plataforma, emissão fiscal, PDV, CRM);
- Autenticação e segurança (proteção contra acesso não autorizado, fraude e abuso);
- Cobrança, faturamento e prevenção de inadimplência;
- Suporte técnico e atendimento ao Cliente;
- Cumprimento de obrigações legais (fiscais, contábeis, trabalhistas, regulatórias);
- Comunicações operacionais (ex: aviso de vencimento, manutenção, alteração de termos);
- Comunicações de marketing e novidades (apenas com consentimento, com opção clara de descadastro);
- Melhoria do produto via análises agregadas e anonimizadas.
4. Base Legal (Art. 7º e 11 da LGPD)
- Execução de contrato (Art. 7º, V) — para operar a Plataforma contratada;
- Cumprimento de obrigação legal (Art. 7º, II) — guarda fiscal, emissão NF-e;
- Legítimo interesse (Art. 7º, IX) — segurança, prevenção de fraude, analytics anonimizado;
- Consentimento (Art. 7º, I) — marketing, cookies não essenciais;
- Exercício regular de direitos (Art. 7º, VI) — defesa em processos judiciais/administrativos.
5. Compartilhamento de Dados
Compartilhamos dados pessoais apenas com as categorias abaixo, todas sujeitas a acordo de confidencialidade e adequação LGPD:
- Subprocessadores de infraestrutura: datacenter no Brasil, provedores de CDN, e-mail transacional (SMTP/SendGrid), monitoramento;
- Gateways de pagamento: Asaas, Mercado Pago, Stone, PagBank, PicPay, Sicredi, Caixa (para processar cobranças);
- SEFAZ e órgãos fiscais: para transmissão de NF-e, NFC-e, NFS-e e SAT, conforme exigência regulatória;
- Receita Federal: consulta de situação cadastral de CPF/CNPJ;
- Autoridades policiais ou judiciais: mediante ordem legal específica;
- Sucessão societária: em caso de fusão, aquisição ou venda da Plataforma, com comunicação prévia ao titular.
🚫 Não vendemos dados pessoais a terceiros para fins publicitários, comerciais ou de perfilamento externo.
6. Transferência Internacional
A infraestrutura principal está no Brasil. Em casos pontuais (ex: provedor de e-mail transacional internacional), garantimos
transferência adequada por meio de cláusulas contratuais padrão (SCC) ou países com nível de proteção reconhecido pela ANPD,
em conformidade com o Art. 33 da LGPD.
7. Cookies e Tecnologias
| Tipo | Finalidade | Pode desativar? |
|---|
| Essenciais (sessão, CSRF) | Autenticação, segurança | Não — quebra o serviço |
| Preferências | Tema, idioma, layout | Sim (perde configurações) |
| Analytics anonimizado | Métricas agregadas (Google Analytics com IP mascarado) | Sim (banner de cookies) |
| Marketing | Medição de campanhas (com consentimento) | Sim (opt-out) |
8. Segurança da Informação
- Criptografia em trânsito: TLS 1.3 (HTTPS obrigatório, HSTS ativo);
- Criptografia em repouso: AES-256 em backups e campos sensíveis;
- Autenticação: senhas com hash Bcrypt + salt, opção de 2FA para contas administrativas;
- Isolamento multi-tenant: cada Cliente tem banco de dados próprio (
morpheus_{slug}) — nenhum dado cruza tenants;
- Auditoria: logs de acesso, alteração e exclusão com carimbo de tempo e autoria;
- Controle de acesso: princípio do menor privilégio, RBAC por papel, revisão periódica;
- Backup diário com retenção de 30 dias e testes de restore mensais;
- Proteção DDoS / WAF na borda do CDN;
- Pen-test anual e monitoramento contínuo de vulnerabilidades (CVE).
9. Retenção de Dados
- Conta ativa: enquanto durar a assinatura;
- Dados cadastrais: até 5 anos após o encerramento (obrigação fiscal e defesa em processos);
- Dados fiscais (NF-e, XMLs, vendas): mínimo de 5 anos, conforme legislação tributária (Art. 173 e 174 CTN);
- Logs de acesso e auditoria: 6 meses (Marco Civil da Internet, Art. 15);
- Cookies de sessão: até o logout ou expiração (máx. 30 dias);
- Dados de trial não convertido: 30 dias após o término, depois eliminação;
- Dados após exercício de direito de eliminação: removidos em até 15 dias úteis, salvo quando houver base legal para manutenção.
10. Direitos do Titular (Art. 18 LGPD)
A qualquer momento, o titular pode exercer os seguintes direitos, gratuitamente:
- Confirmação da existência de tratamento;
- Acesso aos seus dados (relatório estruturado);
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- Portabilidade — exportação em formato aberto (CSV, JSON);
- Eliminação dos dados tratados com consentimento;
- Informação sobre entidades com quem compartilhamos dados;
- Revogação do consentimento, com ciência de consequências;
- Oposição a tratamento baseado em legítimo interesse;
- Revisão de decisões automatizadas que afetem seus interesses.
Para exercer qualquer direito, envie solicitação ao DPO: dpo@morpheuspdv.com.br.
Responderemos em até 15 dias, conforme Art. 19 da LGPD.
11. Menores de Idade
A Plataforma é destinada exclusivamente a pessoas maiores de 18 anos ou pessoas jurídicas. Não coletamos intencionalmente dados
de menores. Caso se constate coleta inadvertida, os dados serão eliminados imediatamente mediante solicitação do responsável legal.
12. Incidentes de Segurança
Em caso de incidente com risco ou dano relevante aos titulares, a Plataforma comunicará:
- À ANPD (Autoridade Nacional de Proteção de Dados) e aos titulares afetados;
- No prazo de até 72 horas após o conhecimento do incidente;
- Informando: natureza dos dados afetados, titulares envolvidos, medidas técnicas adotadas, riscos e recomendações mitigatórias.
13. Decisões Automatizadas
A Plataforma pode usar automação para: detecção de fraude, análise de crédito, bloqueio preventivo por uso anômalo.
O titular tem direito à revisão humana dessas decisões (Art. 20 LGPD).
14. Canal de Denúncias e Reclamações
Se você entender que seus dados estão sendo tratados em desconformidade com esta política ou com a LGPD:
15. Alterações desta Política
Podemos atualizar esta Política a qualquer tempo. Alterações materiais serão comunicadas por e-mail com antecedência mínima de
15 dias. A versão vigente estará sempre disponível nesta página, com a data da última atualização no topo.
16. Contato
👤 Encarregado de Dados (DPO): dpo@morpheuspdv.com.br
📧 Privacidade: privacidade@morpheuspdv.com.br
🌐 morpheuspdv.com.br