LGPD, Privacidade e Segurança no Yuris
1. Nosso compromisso
A privacidade e a segurança dos dados pessoais são tratadas pela Inovaize como processo contínuo de melhoria. Buscamos atender aos princípios da Lei Geral de Proteção de Dados (Lei 13.709/2018) e adotamos medidas técnicas e organizacionais para proteger os dados confiados ao Yuris.
2. Como protegemos seus dados
- Isolamento multi-tenant. Cada conta (escritório) tem seus dados isolados; queries são filtradas server-side por
account_ide validadas em múltiplas camadas. - Senhas em bcrypt. Nunca armazenamos senhas em texto plano.
- Autenticação em dois fatores (TOTP). Disponível para super administradores.
- Comunicação cifrada. HTTPS em todas as conexões; cookies HttpOnly, Secure e SameSite.
- Validação CSRF em endpoints state-changing.
- Rate limit contra ataques de força bruta no login.
- Allowlist de uploads com validação por magic bytes (não confia em MIME do cliente).
- Logs de auditoria imutáveis para ações administrativas críticas.
- Cifragem at-rest para segredos sensíveis (tokens TOTP, chaves de API de integração).
- Webhooks isolados por tenant — eventos de um escritório nunca vazam para webhooks de outro.
3. Como funciona o tratamento
3.1 Quando somos controlador
Para os dados próprios da relação SaaS: cadastro do escritório PJ, dados de cobrança, suporte, segurança e marketing direto. Decidimos a finalidade e respondemos pelos direitos dos titulares.
3.2 Quando somos operador
Para os dados que o escritório cadastra na plataforma (clientes finais, processos, mensagens). O escritório é o controlador desses dados e decide finalidade, base legal e retenção. Atuamos sob suas instruções e contrato.
4. Direitos dos titulares
Você (titular dos dados) pode exercer os direitos previstos no Art. 18 da LGPD:
- Confirmação da existência de tratamento;
- Acesso aos seus dados;
- Correção;
- Anonimização, bloqueio ou eliminação;
- Portabilidade;
- Revogação de consentimento;
- Informação sobre compartilhamento.
Solicite pelo canal do DPO. Prazo de resposta: até 15 dias.
5. Subprocessadores e terceiros
O Yuris pode utilizar operadores essenciais à prestação do serviço:
- Evolution API + Meta WhatsApp — para mensageria;
- Gateway de pagamento — para cobrança;
- Provedores de e-mail e infraestrutura;
- CDNs (Google Fonts, jsDelivr).
A lista completa e atualizada está na Política de Privacidade.
6. Incidentes
Em caso de incidente que represente risco aos direitos dos titulares, comunicaremos a ANPD e os titulares afetados conforme o Art. 48 da LGPD, em prazo razoável (geralmente 2 dias úteis a partir da ciência).
7. Responsabilidade compartilhada
- Yuris fornece: infraestrutura, código seguro, isolamento de dados, logs, ferramentas de exercício de direitos.
- O escritório (cliente Yuris) é responsável por: base legal para tratar dados de seus clientes finais, manter dados atualizados, atender solicitações de seus próprios titulares, configurar 2FA e gestão de acessos da sua equipe.
- O titular é responsável por: proteger sua senha, ativar 2FA quando disponível, não compartilhar credenciais.