1. Apresentação e Identificação do Controlador
A INFRAPAY TECNOLOGIA LTDA, sociedade empresária limitada, inscrita no CNPJ sob o nº 66.689.331/0001-99, com sede na Rua Visconde do Rio Branco, nº 759, Sala 82 Anexo CLBC, Bairro Oficinas, Ponta Grossa/PR, CEP 84.036-030, doravante denominada simplesmente “InfraPay” ou “Empresa”, atua no segmento de tecnologia com atividades auxiliares de serviços financeiros, oferecendo soluções de infraestrutura para meios de pagamento eletrônico e serviços correlatos.
A presente Política de Privacidade e Proteção de Dados aplica-se a toda atividade de tratamento de dados pessoais realizada pela InfraPay e tem por objetivo demonstrar, de maneira transparente, como esses dados são coletados, utilizados, compartilhados, armazenados e eliminados, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD), o Marco Civil da Internet (Lei nº 12.965/2014), regulamentações do Banco Central do Brasil e diretrizes da ANPD.
Esta Política abrange todos os titulares com os quais a InfraPay mantém relação, incluindo clientes, representantes de empresas, parceiros comerciais, colaboradores e usuários da Plataforma InfraPay.
Identificação do Controlador
INFRAPAY TECNOLOGIA LTDA
InfraPay
66.689.331/0001-99
Sociedade Empresária Limitada
contato@infrapay.tech
(47) 99653-8777
2. Papel da InfraPay no Tratamento dos Dados Pessoais
2.1 Como Operadora de Dados
Na maior parte das atividades, a InfraPay atua na qualidade de Operadora de Dados Pessoais, realizando o tratamento de dados em nome e sob instruções das empresas contratantes da plataforma.
As finalidades, bases legais e tipos de dados tratados são definidos nas políticas de privacidade dos respectivos controladores.
2.2 Como Controladora de Dados
A InfraPay assume a posição de Controladora nas seguintes situações:
- • Dados de funcionários e colaboradores
- • Dados de representantes legais dos clientes
- • Dados de candidatos a vagas
- • Dados coletados para marketing institucional
2.3 Registro de Atividades de Tratamento (RAT)
A InfraPay mantém um Registro de Atividades de Tratamento atualizado, documentando todas as operações realizadas envolvendo dados pessoais.
| Atividade | Finalidade | Retenção |
|---|---|---|
| Onboarding e KYC | Validação de identidade | 5 anos |
| Transações Pix | Liquidação financeira | 10 anos |
| Segurança da Plataforma | Prevenção a fraudes | 6 meses |
| Prevenção AML | Cumprimento regulatório COAF/BACEN | 10 anos |
| Gestão de Colaboradores | Obrigações trabalhistas e previdenciárias | 5 anos após vínculo |
| Recrutamento e Seleção | Banco de talentos e processos seletivos | 2 anos |
| Segurança da Plataforma | Prevenção a fraudes e segurança cibernética | 6 meses |
| Marketing Institucional | Comunicação e relacionamento institucional | Até revogação |
Conceitos Fundamentais
3.1 Dados Pessoais
Dado pessoal é qualquer informação relacionada a uma pessoa natural identificada ou identificável, conforme previsto no art. 5º, inciso I, da LGPD.
Dados anonimizados não são considerados dados pessoais para fins da legislação aplicável.
3.2 Dados Pessoais Sensíveis
Dados pessoais sensíveis incluem informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dados genéticos ou biométricos.
A InfraPay realiza o tratamento dessas informações apenas quando estritamente necessário e sempre com base legal adequada, observando os princípios da LGPD.
3.3 Titular dos Dados
Titular é toda pessoa natural a quem os dados pessoais se referem e que possui os direitos garantidos pela LGPD e por esta Política de Privacidade.
3.4 Tratamento de Dados Biométricos e Processos KYC
Em razão da natureza de suas atividades, a InfraPay poderá realizar a coleta de dados biométricos, como imagem facial e selfie, para processos de verificação de identidade (KYC) e autenticação de usuários.
Finalidade
Validação de identidade, autenticação segura de usuários, prevenção a fraudes e cumprimento de exigências regulatórias do BACEN e COAF.
Base Legal
Consentimento específico do titular e cumprimento de obrigação legal ou regulatória, conforme arts. 11, I e 11, II, “a” da LGPD.
Consentimento Destacado
O consentimento para uso de dados biométricos é obtido separadamente, em linguagem clara e objetiva, podendo ser revogado a qualquer momento.
Minimização de Dados
Apenas os dados estritamente necessários são coletados e nunca compartilhados com terceiros para finalidades comerciais.
Segurança Específica
Os dados biométricos são armazenados em ambiente criptografado, com acesso restrito e monitorado, garantindo elevado nível de segurança.
Forma de Coleta de Dados Pessoais
A InfraPay poderá coletar dados pessoais por diferentes canais e métodos, sempre observando os princípios de necessidade, transparência e segurança.
| Canal / Forma | Exemplos |
|---|---|
| Diretamente pelo Titular | Cadastro na plataforma, envio de documentos, contratos, formulários, e-mails, chats e redes sociais. |
| Por Terceiros | Parceiros, clientes, bureaus de crédito, prestadores de serviços e entidades relacionadas. |
| Coleta Automática | Cookies, logs de acesso, endereço IP, dados de navegação e identificadores de dispositivos. |
| Fontes Públicas | Receita Federal, SERASA, CPF e bases relacionadas a Pessoas Expostas Politicamente (PEP). |
Dados Coletados e Finalidades
A InfraPay coleta apenas os dados estritamente necessários para execução de suas atividades e cumprimento de obrigações regulatórias.
Dados Cadastrais
Nome, CPF, RG, CNH, endereço, telefone, e-mail, comprovante de residência e informações relacionadas ao processo KYC.
Dados Biométricos
Imagem facial, selfie e identificadores biométricos utilizados em autenticação e onboarding.
Dados Financeiros
Chaves Pix, dados bancários, contas de pagamento e informações de transações.
Dados de Acesso
Logs, endereço IP, cookies, dispositivo e geolocalização autorizada.
Dados de Colaboradores
Dados trabalhistas, previdenciários, bancários e demais informações necessárias para gestão interna.
Dados de Candidatos
Currículos, experiências profissionais e formação acadêmica.
Bases Legais para o Tratamento
O tratamento de dados pessoais realizado pela InfraPay está fundamentado nas hipóteses previstas nos arts. 7º e 11 da LGPD.
| Base Legal | Aplicação | Categorias |
|---|---|---|
| Consentimento | Cookies não essenciais, marketing e onboarding biométrico. | Biométricos, navegação e contato. |
| Obrigação Legal | BACEN, COAF, Receita Federal e obrigações regulatórias. | Dados cadastrais e financeiros. |
| Execução Contratual | Prestação dos serviços financeiros contratados. | Dados cadastrais e financeiros. |
| Exercício Regular de Direitos | Defesa judicial, arbitral ou administrativa. | Dados necessários à defesa. |
| Proteção ao Crédito | Prevenção a fraudes e análise de risco. | Dados financeiros e cadastrais. |
| Legítimo Interesse | Segurança da plataforma e melhoria contínua dos serviços. | Logs, acessos e métricas de uso. |
Transparência e Governança
A InfraPay não realiza tratamento de dados pessoais fora das hipóteses previstas na LGPD. Novas atividades de tratamento passam por análise prévia de conformidade conduzida pelo Encarregado de Dados (DPO) antes de sua implementação.
Cookies, Tecnologias Similares e Gestão de Consentimento
A InfraPay utiliza cookies e tecnologias similares para garantir o funcionamento da plataforma, aumentar a segurança das transações e melhorar continuamente a experiência do usuário.
| Tipo | Descrição | Base Legal |
|---|---|---|
| Necessários | Essenciais para funcionamento da plataforma e autenticação segura. | Execução contratual e legítimo interesse. |
| Analíticos | Métricas de desempenho e análise de comportamento de uso. | Consentimento via CMP. |
| Segurança | Proteção contra acessos suspeitos e prevenção a fraudes. | Legítimo interesse e obrigação legal. |
7.1 Plataforma de Gerenciamento de Consentimento (CMP)
A InfraPay utiliza uma CMP (Consent Management Platform) para registrar, gerenciar e armazenar os consentimentos relacionados ao uso de cookies e tecnologias similares.
Banner de Consentimento
Exibição de banner no primeiro acesso com opções granulares de aceite ou recusa por categoria de cookie.
Registro Auditável
Registro de consentimentos concedidos e revogados com data, horário e identificador de sessão.
Alteração de Preferências
O usuário pode alterar suas preferências de privacidade a qualquer momento pela plataforma.
Privacy by Default
Cookies não essenciais permanecem bloqueados até autorização expressa do titular.
O titular poderá revogar consentimentos relacionados a cookies a qualquer momento sem afetar a legalidade dos tratamentos realizados anteriormente.
Compartilhamento de Dados e Suboperadores
A InfraPay não comercializa dados pessoais. O compartilhamento ocorre apenas quando necessário para prestação dos serviços, cumprimento legal ou proteção das operações.
8.1 Gestão de Suboperadores e DPAs
Todos os fornecedores que tratam dados pessoais em nome da InfraPay possuem contratos específicos de processamento de dados (DPA).
| Categoria | Dados Compartilhados | Governança |
|---|---|---|
| Infraestrutura Cloud | Dados armazenados na plataforma. | DPA com ISO 27001 e SOC 2. |
| Bureaus de Crédito | Dados cadastrais e financeiros. | Confidencialidade e limitação de uso. |
| T.I. e Segurança | Logs técnicos e dados operacionais. | NDA e restrições de acesso. |
| Instituições Financeiras | Dados financeiros e transacionais. | Contratos regulatórios BACEN + DPA. |
Segurança da Informação e Conformidade Cibernética
A InfraPay adota medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição indevida, em conformidade com o art. 46 da LGPD.
9.1 Controles Técnicos
Armazenamento exclusivo em ambiente de nuvem (cloud) certificado com padrões ISO 27001 e SOC 2 Tipo II.
Criptografia de dados em trânsito (TLS 1.2 ou superior) e em repouso (AES-256).
Controle de acesso baseado em função (RBAC) com autenticação multifator (MFA) obrigatória.
Monitoramento contínuo de segurança (SIEM), com alertas automáticos para acessos anômalos ou suspeitos.
Testes de penetração (pentest) e avaliações de vulnerabilidade realizados periodicamente por empresa especializada independente.
Segregação de ambientes de desenvolvimento, homologação e produção, com controles de acesso distintos.
9.2 Controles Organizacionais
Programa de treinamento anual obrigatório em privacidade e segurança da informação para todos os colaboradores.
Política de Segurança da Informação (PSI) e Política de Uso Aceitável de Recursos de T.I., com revisão anual.
Gestão de incidentes de segurança com Plano de Resposta a Incidentes, incluindo protocolo de notificação à ANPD e aos titulares no prazo de 72 horas.
Análise de impacto à proteção de dados (DPIA/RIPD) para novos projetos ou processos que envolvam tratamento de dados pessoais de alto risco.
9.3 Conformidade com Regulação Cibernética do BACEN
Considerando sua atuação no ecossistema de pagamentos digitais, a InfraPay adota controles adicionais exigidos pelo Banco Central do Brasil.
Política de Segurança Cibernética aprovada pela Diretoria, conforme Resolução BCB nº 85/2021.
Plano de Continuidade de Negócios (PCN) com testes semestrais e documentação de recuperação.
Relatório anual de avaliação de riscos cibernéticos com análise de ameaças e medidas mitigatórias.
Gestão de terceiros críticos com due diligence prévia baseada em critérios de risco cibernético.
Monitoramento contínuo dos serviços de pagamento e comunicação tempestiva ao BACEN em caso de incidentes relevantes.
Retenção e Eliminação de Dados
Os dados pessoais são mantidos apenas pelo período necessário para cumprimento das finalidades legais, regulatórias e contratuais aplicáveis.
Dados Cadastrais e KYC/AML
Mantidos conforme exigências regulatórias do COAF e BACEN.
Dados Financeiros e Pix
Informações relacionadas a transações financeiras e arranjos de pagamento.
Registros Contábeis
Dados mantidos conforme legislação fiscal e Código Civil.
Eliminação Segura
Após o término do período de retenção, os dados são eliminados de forma segura mediante exclusão irreversível, sobrescrita certificada ou anonimização, respeitando os limites legais previstos na LGPD.
Direitos dos Titulares e Canais de Atendimento
Em conformidade com o art. 18 da LGPD, os titulares podem exercer diversos direitos relacionados ao tratamento de seus dados pessoais.
| Direito | Descrição | Prazo |
|---|---|---|
| Confirmação e Acesso | Confirmar existência de tratamento e acessar dados pessoais tratados. | Até 15 dias |
| Correção | Corrigir dados incompletos, inexatos ou desatualizados. | Até 15 dias |
| Portabilidade | Receber dados em formato estruturado para transferência. | Até 15 dias |
| Revogação | Revogar consentimento gratuitamente e a qualquer momento. | Imediato |
11.1 Como Exercer os Direitos
Canal Digital: formulário disponível em www.infrapay.tech/privacidade
E-mail: dpo@infrapay.tech
Telefone: (47) 9653-8777 — segunda a sexta, das 9h às 18h.
Endereço: Rua Visconde do Rio Branco, nº 759, Sala 82 Anexo CLBC, Bairro Oficinas, Ponta Grossa/PR.
Encarregado de Proteção de Dados (DPO)
Em conformidade com o art. 41 da LGPD, a InfraPay designou formalmente um Encarregado de Proteção de Dados (DPO) responsável pela governança de privacidade e comunicação com titulares e ANPD.
Contato do Encarregado
Nome: Marcelo Renato Leite de Andrade
Cargo: Sócio Administrador e Encarregado de Proteção de Dados
OAB: PR 106.406 | SC 55.771
E-mail: dpo@infrapay.tech
Telefone: (47) 99653-8777
Horário: Segunda a sexta, das 9h às 18h.
13. Vigência, Atualização e Disposições Finais
13.1 Vigência da Política
Esta Política foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), as regulamentações do Banco Central do Brasil e as diretrizes da ANPD.
A Política entra em vigor na data de sua publicação e possui validade por prazo indeterminado, podendo ser revisada e atualizada a qualquer momento pela InfraPay.
13.2 Atualizações e Alterações
Alterações substanciais nesta Política serão comunicadas ao titular por meio de aviso na Plataforma ou por e-mail, com antecedência mínima de 15 (quinze) dias antes de sua vigência, respeitado o art. 8º, §6º da LGPD.
A versão atualizada desta Política estará sempre disponível no endereço:
A continuidade do uso dos serviços após a comunicação das alterações implica a concordância do titular com a versão atualizada desta Política.
13.3 Histórico de Versões
| Versão | Data | Descrição |
|---|---|---|
| 1.0 | 08/05/2026 | Versão inaugural da Política de Privacidade da InfraPay Tecnologia Ltda. (CNPJ 66.689.331/0001-99). |
13.4 Glossário
| Termo | Definição |
|---|---|
| ANPD | Autoridade Nacional de Proteção de Dados — órgão federal responsável por zelar pela proteção de dados pessoais no Brasil. |
| BACEN | Banco Central do Brasil — autoridade reguladora do sistema financeiro nacional. |
| COAF | Conselho de Controle de Atividades Financeiras — órgão responsável pela prevenção à lavagem de dinheiro. |
| CMP | Consent Management Platform — plataforma de gerenciamento de consentimento para cookies e preferências de privacidade. |
| Controlador | Pessoa natural ou jurídica que toma as decisões referentes ao tratamento de dados pessoais (art. 5º, VI, LGPD). |
| Cookies | Arquivos de texto armazenados no dispositivo do usuário que registram informações sobre sua navegação. |
| DPIA / RIPD | Documento que descreve processos de tratamento que podem gerar riscos aos titulares. |
| DPA | Contrato de processamento de dados entre controlador e operador, exigido pelo art. 39 da LGPD. |
| DPO / Encarregado | Pessoa indicada pelo controlador ou operador para atuar como canal entre controlador, titulares e ANPD. |
| KYC | Processo regulatório de identificação e verificação da identidade de clientes. |
| LGPD | Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018. |
| MFA | Autenticação multifator utilizada como mecanismo adicional de segurança. |
| Operador | Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. |
| PEP | Pessoa Exposta Politicamente, conforme regulamentação BACEN/COAF. |
| Pix | Sistema de pagamentos instantâneos operado pelo Banco Central do Brasil. |
| RAT | Registro de Atividades de Tratamento — documento interno que mapeia operações envolvendo dados pessoais. |
| RBAC | Controle de acesso baseado em função, restringindo permissões conforme o papel do usuário. |
| Titular | Pessoa natural a quem se referem os dados pessoais objeto de tratamento. |
| Tratamento | Toda operação realizada com dados pessoais: coleta, uso, acesso, armazenamento, transmissão, eliminação, entre outras. |