Política de Privacidade

• Dados de conta via Clerk — nome, email, hash da senha, provedor de auth usado (Google, GitHub etc.).
• Dados da empresa que você informa — o que você está construindo, sua stack, suas metas (via /audit, onboarding, formulários no app).
• Dados de plataformas conectadas — quando você liga suas contas sociais via nosso adapter de analytics cross-platform, puxamos posts, comentários, métricas de engajamento, número de seguidores e performance de anúncios das contas conectadas.
• Eventos de engajamento — cliques em links que a Infi gera, aberturas de emails enviados em seu nome, conversões quando dá pra atribuir.
• Telemetria de uso — PostHog e Google Analytics 4 capturam pageviews, uso de features e info básica de device pra a gente debugar e saber o que está quebrado.
• Dados de cobrança — Stripe guarda os dados do cartão; a gente só vê os últimos 4 dígitos, bandeira e país.

• Entregar os Serviços — mostrar seus dashboards, gerar seu conteúdo, publicar nas plataformas conectadas quando você aprovar.
• Gerar drafts e respostas com IA — enviamos contexto relevante (seus posts antigos, sua stack, o prompt) pra API do Claude da Anthropic. A Anthropic não treina modelos com inputs enviados via API.
• Insights agregados — tendências anonimizadas e agregadas (ex: “founders nesse estágio postam em média 3x/semana”) podem aparecer no produto e em conteúdo.
• Mandar emails transacionais — recibos, boas-vindas, alertas de segurança, “seu audit está pronto” — via Resend.
• Marketing — só se você optou. Nossa newsletter (Founder Pipeline) é entregue via Loops; descadastra em um clique.

Usamos esses fornecedores pra rodar a Infi. Cada um vê só o dado que precisa:

• Clerk — autenticação (email, hash de senha, tokens de OAuth).
• Stripe — cobrança e processamento de pagamento (dados de cartão, endereço de cobrança, dados fiscais).
• Anthropic — inferência de IA pra gerar drafts e respostas (prompts e completions). Não treina com inputs de API.
• Zernio — adapter cross-platform de analytics social (as contas sociais que você conecta, métricas públicas e conteúdo).
• Apify — dados públicos da web (ex: sinal de concorrentes) pras contas que você pedir pra a gente acompanhar.
• Resend — entrega de email transacional.
• Loops — entrega de newsletter (só se você optou).
• Railway — hospedagem da aplicação, bancos, filas.
• PostHog — analytics de produto (pageviews, eventos, IDs anônimos de device).
• Google Analytics 4 — analytics do site beinfi.com (visitas, origens).
• Meta Pixel — medição de ads pra beinfi.com (visitas, conversões).

LGPD se aplique a você estritamente ou não, vamos honrar esses direitos mediante solicitação:

• Acesso — copiar os dados que mantemos sobre você.
• Retificação — corrigir o que estiver errado.
• Exclusão — pedir pra apagar sua conta e dados.
• Portabilidade — exportar seus dados em formato portável.
• Descadastro — sair de email marketing (transacional mantemos, por necessidade).

Manda email pra privacy@beinfi.com (ou caio@beinfi.com) com o pedido. Respondemos em até 14 dias.

Mantemos seus dados enquanto sua assinatura está ativa. Depois que você fecha a conta (ou a gente fecha), apagamos seus dados ativos em até 30 dias. Backups expiram no ciclo normal (máximo 90 dias).

Podemos manter dados limitados por mais tempo se houver obrigação legal (ex: fiscal, contábil) — só o estritamente necessário.

TLS pra todo dado em trânsito. Encriptação at-rest no Postgres na Railway. Dados de cartão ficam na Stripe — nunca em servidor nosso. Arquivos enviados ficam no Cloudflare R2, servidos via proxy autenticado.

Acesso de equipe é least-privilege: só engenheiros que precisam de uma tabela específica têm read de produção, com audit log. A gente não folheia conteúdo de cliente por diversão.

Se tivermos um incidente de segurança que afete seus dados, notificamos em até 72h depois de confirmar — direto, por email.

Infi não é pra criança. Não coletamos conscientemente dados de menores de 18 anos. Se descobrir que um menor se cadastrou, manda email que a gente apaga a conta.

Nossa infraestrutura roda principalmente nos Estados Unidos. Se você está fora dos EUA, seus dados são transferidos pra lá pra serem processados. Onde exigido (ex: GDPR, LGPD), usamos Standard Contractual Clauses ou mecanismos equivalentes com nossos processadores.

Atualizamos esta política quando lançamos algo que mexe com fluxo de dados. Mudanças relevantes ganham email + banner em beinfi.com antes de valer.