Política de Privacidade
Versão 1.1 · julho de 2026 · Lei nº 13.709/2018 (LGPD)
Em uma frase: coletamos o mínimo, ciframos o que é sensível, guardamos no Brasil pelo prazo que a norma manda, e não vendemos dado de ninguém.
1. Quem trata os seus dados
A Chainfy é um produto da Lurie Labs LTDA, CNPJ 54.725.412/0001-18, com sede na Rua Victor Meirelles, 62, Santa Rita, Brusque/SC, CEP 88352-155. O canal para qualquer assunto de privacidade, incluindo o contato com o encarregado (DPO), é contato@chainfy.com.br.
2. Dois papéis diferentes: controladora e operadora
No site e no console, a Lurie Labs é controladora: decide o que coletar e para quê, e responde por isso diretamente a você.
Já os dados que os nossos clientes registram na plataforma para cumprir as obrigações deles de prevenção à lavagem de dinheiro e ao financiamento do terrorismo — como nome e CPF ou CNPJ de titulares de carteiras — são tratados pela Chainfy como operadora, por conta e ordem do cliente, que é o controlador. A base legal desse tratamento é a obrigação legal e regulatória do próprio cliente (Lei nº 9.613/1998 e regulamentação do Banco Central aplicável à atividade dele). Nesse papel, tratamos os dados exclusivamente conforme as instruções contratuais do cliente e esta política.
3. O que coletamos, para quê, e com qual base legal
Visitantes do site. Se você preencher o formulário de contato: nome, e-mail e empresa, usados para responder ao seu pedido. Base legal: procedimentos preliminares ao contrato (art. 7º, V) e legítimo interesse em responder a quem nos procura (art. 7º, IX). Não usamos rastreadores de publicidade nem vendemos audiência.
Usuários do console. Nome, e-mail, credenciais (a senha é armazenada apenas como hash), segundo fator de autenticação e registros de acesso e de ações. Base legal: execução do contrato (art. 7º, V) e cumprimento de obrigação legal quanto à trilha de auditoria (art. 7º, II). Esses registros são também uma exigência de segurança: cada ação sensível tem autor e motivo.
Dados tratados em nome dos clientes (como operadora). Identificação de titulares de carteiras (nome, CPF ou CNPJ), endereços de blockchain, resultados de análises e as evidências que os sustentam. Finalidade única: prestar o serviço de conformidade contratado pelo cliente controlador.
4. Cookies
Usamos apenas cookies essenciais de sessão (autenticação do console), protegidos contra acesso por script. Não há cookies de publicidade, de rastreamento entre sites ou de terceiros.
5. Como protegemos
Nome e documento de titulares são cifrados em repouso com AES-256-GCM e comparados por hash, de modo que buscas não exigem decifrar o dado. Cada cliente fica isolado em nível de linha do banco de dados, com política de acesso aplicada pelo próprio banco, em todas as tabelas de negócio. Dado pessoal não aparece em logs. Todo acesso a dado identificado é registrado com autor e finalidade; acesso administrativo excepcional a dados de cliente exige justificativa, fica registrado e é notificado ao cliente. O acesso ao console exige segundo fator de autenticação.
6. Onde os dados ficam
A infraestrutura de produção fica no Brasil. A identificação dos titulares (nome, documento) nunca sai do nosso ambiente: consultas a provedores de dados de blockchain envolvem apenas endereços públicos da rede, sem vínculo com a pessoa.
7. Com quem compartilhamos
Fontes oficiais de verificação: para conferência cadastral, enviamos ao Serpro (Receita Federal) somente o documento a consultar, que é o mínimo necessário para a verificação. Autoridades públicas: apenas mediante obrigação legal ou ordem válida, e, sendo lícito, informamos o cliente. Nunca: venda de dados pessoais, compartilhamento para publicidade ou enriquecimento de bases de terceiros.
8. Por quanto tempo guardamos
Dados ligados a obrigações de PLD-FT (cadastros, análises, evidências, trilha): pelo prazo mínimo legal de 5 anos, podendo chegar a 10, conforme o contrato do cliente e a regulamentação aplicável. Esse prazo existe para proteger o próprio cliente numa fiscalização. Dados de contato do site: pelo tempo necessário ao atendimento e ao relacionamento comercial. Contas do console: registros de auditoria seguem o prazo legal mesmo após o desligamento do usuário.
9. Seus direitos
A LGPD garante a você: confirmação de tratamento, acesso, correção, anonimização ou eliminação do que for tratado em desconformidade, portabilidade, informação sobre compartilhamentos e revisão de decisões automatizadas. Para exercer qualquer um, escreva para contato@chainfy.com.br; respondemos nos prazos da lei. Quando a Chainfy atua como operadora, encaminhamos o pedido ao cliente controlador e o ajudamos a responder. Você também pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD).
Importante: um pedido de eliminação não alcança dados que o cliente controlador tem obrigação legal de guardar (cláusula 8) — nesses casos, a eliminação ocorre ao fim do prazo legal.
10. Incidentes de segurança
Incidente com risco relevante a titulares é comunicado à ANPD e aos afetados nos termos do art. 48 da LGPD, com o que se sabe, o que foi feito e o que fazer. Sem minimização e sem juridiquês.
11. Crianças e adolescentes
O site, o console e a API destinam-se a uso profissional por maiores de 18 anos. Não coletamos conscientemente dados de crianças ou adolescentes.
12. Mudanças nesta política
Se esta política mudar, a versão e a data no topo mudam junto, e alterações relevantes são comunicadas aos clientes pelos canais registrados. O histórico de versões fica disponível a quem pedir.