Vulcan Nexus
01. Quem Somos02. Controlador e Operador03. Dados que Coletamos04. Como Usamos seus Dados05. Inteligência Artificial e seus Documentos06. Base Legal do Tratamento07. Compartilhamento e Suboperadores08. Transferência Internacional09. Cookies e Rastreamento10. Segurança dos Dados11. Retenção de Dados12. Seus Direitos como Titular13. Crianças e Adolescentes14. Alterações desta Política15. Contato e DPO

Política de Privacidade — Vulcan Nexus

Versão: 1.0

Atualizado em: 3 de julho de 2026

Produto: Vulcan Nexus — assistente de operação automatizada para empresas, parte do ecossistema By Vulcan

DPO / Encarregado: privacidade@nexus.byvulcan.com

> Adaptada da Política de Privacidade do ecossistema By Vulcan (v2.0) para as especificidades do Vulcan Nexus: e-mail corporativo (mailroom), extração de documentos fiscais e financeiros, e processamento de IA por múltiplos provedores.

01. Quem Somos

A Vulcan Apps opera o Vulcan Nexus, parte do ecossistema By Vulcan (byvulcan.com). O Nexus é um assistente de operação automatizada para empresas: recebe pedidos por e-mail, upload ou app, lê e estrutura documentos (incluindo NF-e, extratos e PDFs), compara preços, concilia lançamentos e gera propostas e relatórios.

Comprometemo-nos a proteger seus dados com os mais altos padrões de segurança e privacidade, em conformidade com a LGPD (Brasil), o GDPR (União Europeia) e o CCPA/CPRA (EUA).

02. Controlador e Operador

O Nexus trata dados em dois papéis distintos:

  • Como Controlador: dos dados da sua conta e da sua empresa-cliente (nome, e-mail, autenticação, plano, uso do serviço).
  • Como Operador (processador): dos dados que você insere ou envia para operar o serviço — inclusive dados pessoais de terceiros (seus clientes, fornecedores e contatos comerciais) contidos em e-mails, propostas, cotações, NF-e e extratos. Nesse caso, sua empresa é a Controladora desses dados, e o Nexus os trata apenas sob suas instruções e para prestar o serviço.

Você declara ter base legal para nos fornecer os dados de terceiros que insere na plataforma.

03. Dados que Coletamos

Coletamos apenas o necessário para fornecer e melhorar o serviço:

Tipo de DadoExemplosFinalidade
IdentificaçãoNome, e-mail, senha (hash) ou login socialAutenticação e comunicação
PagamentoID de transação, plano ativo (sem dados de cartão)Cobrança e suporte financeiro
Uso do serviçoLogs de acesso, funcionalidades usadas, erros, custo de IA por chamadaSegurança, faturamento, melhoria
E-mails do mailroomMensagens recebidas e enviadas pelos endereços Nexus da sua empresa, com anexosTriagem, criação de tarefas/cotações, envio de propostas
Documentos e conteúdoNF-e, extratos bancários (OFX/CSV), PDFs, propostas, planilhas, logosExtração, cálculo e geração dos entregáveis
Dados operacionaisClientes, contatos, tarefas, projetos e histórico inseridos por vocêPrestação do serviço contratado
Dispositivo e redeIP, navegador, sistema operacionalSegurança e prevenção a fraudes

Dados de cartão: Nunca coletamos ou armazenamos dados de cartão. O pagamento é processado diretamente por Stripe e Asaas (certificados PCI DSS).

04. Como Usamos seus Dados

Seus dados são utilizados para:

  • Receber, triar e transformar e-mails e documentos em tarefas, cotações e propostas.
  • Extrair e conferir informações de NF-e, extratos e PDFs, e calcular totais, comparações e conciliações.
  • Gerar propostas, relatórios e planilhas, e enviá-los quando você aprova.
  • Autenticar sua identidade e proteger sua conta.
  • Processar pagamentos e gerenciar seu plano.
  • Enviar comunicações transacionais (confirmações, alertas de segurança, avisos de serviço).
  • Detectar e prevenir fraudes e abusos, inclusive controle de custo/uso de IA.
  • Cumprir obrigações legais e regulatórias.
  • Enviar comunicações de marketing somente com seu consentimento explícito.

05. Inteligência Artificial e seus Documentos

O Nexus usa IA apenas para o que exige linguagem aberta (redigir trechos, triar e-mails, extrair de PDFs); cálculos financeiros são feitos por código determinístico, não por IA.

  • Provedores utilizados: Google (Gemini), DeepInfra (que hospeda o modelo DeepSeek), Anthropic (Claude) e, como reserva, MiniMax — acessados por um gateway unificado do ecossistema.
  • Residência dos dados: conteúdo de cliente — especialmente documentos fiscais e financeiros — é processado apenas em hosts ocidentais. Não usamos a API direta do DeepSeek (host na China) para conteúdo de cliente; usamos DeepSeek via DeepInfra (host nos EUA). A rota Mistral (residência UE) fica disponível para clientes que a exijam.
  • Sem treino: não usamos seu conteúdo para treinar modelos de IA generativos. Os provedores atuam como suboperadores, processando apenas para gerar a resposta solicitada, sem retenção para treinamento.
  • Rastreabilidade: registramos qual provedor de IA processou qual documento, para auditoria e conformidade.
  • Supervisão humana: extrações e textos gerados por IA são assistivos; quando a conferência aritmética reprova, o item vai para revisão humana antes de qualquer uso.

06. Base Legal do Tratamento

Tratamos seus dados com base em (LGPD Art. 7º / GDPR Art. 6º):

  • Execução de contrato: dados necessários para operar o serviço (conta, mailroom, extração, geração, pagamento).
  • Obrigação legal: dados exigidos por legislação fiscal, contábil ou regulatória.
  • Interesses legítimos: segurança da plataforma, prevenção a fraudes, controle de custo de IA e melhorias — quando não prevalecerem sobre seus direitos.
  • Consentimento: marketing e análises não essenciais — sempre revogável.

07. Compartilhamento e Suboperadores

Seus dados não são vendidos. Compartilhamos apenas com suboperadores necessários à operação, todos avaliados quanto a privacidade e segurança:

  • Infraestrutura de banco e autenticação: Supabase (Postgres com isolamento por empresa via RLS).
  • Armazenamento de arquivos: Backblaze B2 (documentos, anexos, PDFs, logos), servido via Cloudflare.
  • E-mail (entrada e saída): Amazon SES; armazenamento transitório do e-mail bruto em Amazon S3.
  • Provedores de IA: Google, DeepInfra, Anthropic e MiniMax (conforme Seção 5), sem retenção para treino.
  • Processadores de pagamento: Stripe e Asaas.
  • Observabilidade: ferramentas de monitoramento e erros do ecossistema.
  • Autoridades legais: quando exigido por lei, ordem judicial ou para proteção de direitos.

08. Transferência Internacional

Parte da infraestrutura e dos provedores está fora do Brasil (ex.: SES/S3 em us-east-1, Backblaze B2, DeepInfra e Anthropic nos EUA). Para transferências internacionais, garantimos salvaguardas adequadas:

  • Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia.
  • Adequação reconhecida pela ANPD ou pela Comissão Europeia, quando aplicável.
  • Certificações dos suboperadores (ISO 27001, SOC 2, PCI DSS).

A escolha de hosts ocidentais para conteúdo de cliente é uma medida deliberada de conformidade (Seção 5), documentada internamente.

09. Cookies e Rastreamento

Utilizamos cookies e tecnologias similares para:

  • Essenciais: manter sua sessão autenticada e preferências de idioma.
  • Funcionais: lembrar configurações e personalizações.
  • Analíticos: com seu consentimento, entender como o produto é usado.

Você pode gerenciar ou recusar cookies não essenciais a qualquer momento nas configurações do navegador ou nas preferências de privacidade do aplicativo.

10. Segurança dos Dados

Medidas técnicas e organizacionais que aplicamos:

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256).
  • Isolamento por empresa no banco (Row-Level Security) — cada empresa só acessa os próprios dados.
  • Autenticação multifator (MFA) e login social (Google, magic link) sem senha reutilizável.
  • Controle de acesso por função (RBAC) com menor privilégio; chaves de provedores de IA fora do aplicativo, geridas por gateway centralizado.
  • Verificação de spam/vírus/SPF/DKIM no e-mail recebido e lista de supressão para bounces/reclamações.
  • Monitoramento contínuo e trilha de auditoria por documento.

Notificação de incidente: Em caso de violação de dados pessoais, notificaremos as autoridades e os titulares afetados nos prazos legais: 72 horas (GDPR), conforme a ANPD (LGPD) e conforme a lei aplicável (CCPA).

11. Retenção de Dados

Mantemos seus dados pelo tempo necessário para:

  • Prestar o serviço enquanto sua conta estiver ativa.
  • Cumprir obrigações legais, contábeis ou regulatórias (geralmente até 5 anos para documentos fiscais).
  • Resolver disputas e fazer cumprir acordos.

Prazos específicos do Nexus:

  • E-mail bruto (MIME) no S3: retido por até 60 dias (janela de reprocessamento) e então descartado; a versão estruturada e os anexos permanecem no B2 conforme a conta.
  • Encerramento de conta: exclusão permanente em até 30 dias, salvo retenção exigida por lei. Você pode exportar todos os seus dados antes (portabilidade).

12. Seus Direitos como Titular

Exercíveis a qualquer momento via privacidade@nexus.byvulcan.com:

  • Acesso, Correção, Exclusão, Portabilidade, Oposição, Restrição e Revogação do consentimento.
  • Reclamação à autoridade competente (ANPD no Brasil; autoridade de supervisão local na UE).

Respondemos em até 15 dias úteis (LGPD) ou 30 dias (GDPR), com possível extensão em casos complexos.

Dados de terceiros: se sua solicitação envolver dados dos quais sua empresa é Controladora (contatos, fornecedores), atuamos como Operador e cumprimos suas instruções documentadas.

13. Crianças e Adolescentes

O Nexus é um produto corporativo, não direcionado a menores de 18 anos. Não coletamos intencionalmente dados de menores. Se tomarmos conhecimento de coleta indevida, excluiremos as informações imediatamente.

14. Alterações desta Política

Podemos atualizar esta Política periodicamente. Mudanças substanciais serão comunicadas por e-mail com pelo menos 15 dias de antecedência. A data da última atualização é sempre exibida no topo. O uso continuado após a vigência implica aceitação.

15. Contato e DPO

  • Encarregado de Proteção de Dados (DPO): privacidade@nexus.byvulcan.com
  • Questões Legais: legal@nexus.byvulcan.com
  • Suporte: suporte@nexus.byvulcan.com
  • Website: byvulcan.com

Autoridade Nacional: usuários no Brasil podem contatar a ANPD (gov.br/anpd). Usuários na UE podem contatar a autoridade supervisora local.

© 2026 Vulcan Apps · Vulcan Nexus · byvulcan.com