Política de Privacidade
Esta política se aplica ao Abundera QR Pro (o serviço pago em pro.qr.abundera.ai). Para a ferramenta gratuita Abundera QR em qr.abundera.ai, consulte qr.abundera.ai/privacy/.
Como o Abundera QR trata dados: praticamente nenhum na ferramenta gratuita; mínimo e explícito no Pro.
1. Resumo
Dois produtos, dois panoramas de dados diferentes.
- Free Tool (qr.abundera.ai): sem conta, sem cookies, sem análises, sem requisições aos nossos servidores para geração de QR. Seu conteúdo nunca sai do seu navegador.
- Pro Service (pro.qr.abundera.ai): baseado em conta. Armazenamos seu e-mail, ID de cliente Stripe, os códigos QR que você cria e os registros mínimos de scan descritos na Seção 4. Não rastreamos seus usuários finais pela web; não vendemos seus dados; não usamos tecnologia de anúncios.
2. Dados que processamos no Pro Service
2.1 Dados da conta
Quando você entra via abundera.ai, recebemos seu endereço de e-mail e um identificador de usuário por meio do nosso fluxo de autenticação delegada via JWKS. Armazenamos:
- Endereço de e-mail (para enviar avisos de cobrança, mensagens críticas do serviço e confirmações de cancelamento)
- ID de cliente Stripe (para cobrar o método de pagamento que você fornece)
- Preferências da conta (plano, associações a equipes, metadados de chave de API)
- Timestamps (conta criada, atualizada, solicitação de exclusão)
Não armazenamos senhas; a autenticação é delegada a abundera.ai. Não coletamos dados demográficos, preferências de marketing ou identificadores de dispositivo além do descrito aqui.
2.2 Seus códigos e URLs
Quando você cria um código QR dinâmico, armazenamos a URL de destino, um rótulo opcional que você define, tags opcionais, o shortcode de 7 caracteres e o status do ciclo de vida do código. Isso é o que torna possível a resolução dinâmica do QR.
2.3 Dados de pagamento
Os pagamentos são processados pela Stripe, Inc. Não armazenamos números de cartão, CVC ou números de conta bancária. A Stripe retorna uma referência (o ID do cliente e o ID da assinatura), que armazenamos para reconciliar renovações e faturas. Os detalhes do seu método de pagamento ficam com a Stripe.
3. Análises de scan (o que registramos quando alguém escaneia um dos seus códigos)
É aqui que a maioria dos fornecedores comerciais de QR coleta um perfil comportamental detalhado. Fazemos o oposto.
O que registramos por scan:
- A data do calendário UTC (agrupamento por dia)
- O país derivado do cabeçalho de solicitação
CF-IPCountrydo Cloudflare - A classe de dispositivo (mobile / tablet / desktop / unknown) classificada a partir de uma regex curta de User-Agent
- O shortcode do código (para atribuir o scan ao código correto)
Para os planos Team e Agency, registramos adicionalmente o agrupamento UTC por hora do dia para até 7 dias retroativos. Registros agrupados por dia são retidos conforme o plano (ver Seção 7).
O que não registramos: endereço IP, geolocalização precisa (sem cidade ou latitude/longitude), URL de referência, string bruta de User-Agent, timestamp sub-horário, cookie ou identificador de sessão do scanner, ou qualquer outra coisa. Após a classificação da classe de dispositivo, a string de User-Agent é descartada; ela nunca é gravada em nosso banco de dados.
Países com menos de cinco scans na janela de análise selecionada são agrupados como "Outros" para que os usuários individuais não possam ser reidentificados a partir de uma amostra pequena.
4. Cookies e rastreamento
Free Tool: sem cookies, sem rastreamento, sem fingerprinting.
Pro Service: um único cookie estritamente necessário, __Secure-abundera_session, carrega o token de sessão assinado necessário para mantê-lo conectado. Ele é HttpOnly, Secure e SameSite=Strict. Não usamos cookies de marketing, cookies de publicidade ou rastreadores entre sites. Sem Google Analytics, Meta Pixel ou similares.
5. Sub-processadores que usamos
A operação do serviço requer alguns terceiros. A lista atual:
| Sub-processador | Finalidade | Dados acessados | Jurisdição |
|---|---|---|---|
| Cloudflare, Inc. | Computação, cache de borda, banco de dados (D1), armazenamento de chave-valor (KV), DNS | Todos os dados do Pro Service; cabeçalhos de scan na borda | EUA com borda global |
| Stripe, Inc. | Processamento de pagamentos e cobrança | E-mail, dados de pagamento, registros de assinatura | EUA |
| Zoho Corporation / ZeptoMail | E-mail transacional (boas-vindas, cancelamento, falha de pagamento) | Endereço de e-mail, corpo do e-mail | EUA / Índia |
Uma lista atualizada e datada de sub-processadores é mantida em abundera.ai/legal/subprocessors/. Atualizaremos essa página antes de adicionar um novo sub-processador e daremos aos assinantes pelo menos trinta (30) dias para se opor quando exigido pela lei aplicável.
6. Por quanto tempo mantemos seus dados
Dados da conta: retidos enquanto sua conta estiver ativa. Quando você solicitar a exclusão da conta, ela entra em um período de retenção de 30 dias; após isso, todos os dados pessoais são excluídos dos sistemas de produção.
Códigos QR dinâmicos: retidos enquanto a assinatura associada estiver ativa, durante qualquer período de carência e durante o período de retenção de 30 dias após a exclusão da conta. Após isso, os códigos e seus shortcodes são excluídos.
Registros de scan: retidos conforme o plano: 365 dias no Solo, 730 dias no Business, 1.095 dias no Team e Agency, 30 dias no Keep-Alive. Além dessa janela, registros de scan mais antigos são excluídos de forma contínua pelo nosso cron diário.
Registros de pagamento e fiscais: registros de transações Stripe e registros fiscais são retidos por pelo menos sete (7) anos, conforme exigido pela legislação fiscal dos EUA; as jurisdições de IVA da UE podem exigir retenção adicional. Esses dados não podem ser excluídos por solicitação durante esse período.
Logs de segurança: logs de aplicação estruturados (sem PII além do que o handler escreve explicitamente, como IDs de usuário do webhook Stripe) são retidos pelo Cloudflare por até 30 dias.
7. Base legal para processamento (usuários do GDPR / EEA)
Onde o GDPR se aplica, baseamo-nos nas seguintes bases legais:
- Execução de contrato, para criação de conta, cobrança de assinatura, resolução de código e suporte técnico. Isso cobre praticamente todo o processamento do Pro Service.
- Interesses legítimos, para monitoramento de segurança, prevenção de fraudes e as análises de scan que você, como nosso cliente, usa para entender o desempenho da campanha, que são mínimas por design. Nossa avaliação é que o impacto nos usuários que escaneiam é mínimo porque nenhum dado identificador do scanner é retido.
- Obrigação legal, para retenção de registros de pagamento e fiscais conforme descrito na Seção 7.
- Consentimento, apenas onde o solicitamos explicitamente (por exemplo, futuras comunicações opcionais de opt-in). Atualmente não dependemos de consentimento para nenhum processamento obrigatório.
8. Seus direitos
Sujeito à lei aplicável e às exceções de retenção da Seção 7, você tem os seguintes direitos:
- Acesso: baixe um ZIP com os dados da sua conta (códigos, scans, README) a qualquer momento em Conta → Privacidade → Exportar, ou enviando e-mail para support@abundera.ai.
- Retificação: atualize os dados da conta na sua página de conta ou entre em contato com o suporte.
- Exclusão: solicite a exclusão da conta em Conta → Privacidade → Excluir. Período de retenção de 30 dias, depois exclusão definitiva.
- Portabilidade: o ZIP de exportação é CSV legível por máquina mais um README.
- Oposição / restrição de processamento: entre em contato com support@abundera.ai. Atenderemos solicitações válidas e confirmaremos por escrito.
- Retirar consentimento: onde o processamento é baseado em consentimento, você pode retirá-lo a qualquer momento sem afetar o processamento realizado antes da retirada.
- Registrar reclamação: usuários do EEA podem reclamar à sua autoridade supervisora local. Usuários do Reino Unido: ao ICO. Outras jurisdições: à autoridade equivalente.
Prazo de resposta: reconhecemos em até 5 dias úteis e atendemos em até 30 dias após o reconhecimento, conforme exigido pelo Artigo 12 do GDPR. Solicitações complexas podem ser estendidas para 90 dias com aviso. Os direitos de privacidade do estado da Califórnia (CCPA), Colorado (CPA), Virgínia (VCDPA) e outros estados dos EUA são atendidos no mesmo prazo de 30 dias.
9. "Não venda nem compartilhe minhas informações pessoais"
Não vendemos suas informações pessoais. Não compartilhamos suas informações pessoais para publicidade comportamental entre contextos. Não usamos nem divulgamos informações pessoais sensíveis para outros fins além de fornecer o serviço. Como não praticamos essas atividades, nenhum opt-out é necessário. No entanto, residentes da Califórnia que queiram uma confirmação por escrito podem solicitá-la em support@abundera.ai.
10. Menores
O Pro Service não é direcionado a menores de 16 anos. Não coletamos deliberadamente informações pessoais de menores de 16 anos. Se você acreditar que coletamos, entre em contato com support@abundera.ai e excluiremos esses dados.
11. Transferências internacionais
Temos sede nos EUA. Dados pessoais coletados de residentes do EEA, Reino Unido ou Suíça são transferidos para os EUA. Baseamo-nos nas Cláusulas Contratuais Padrão da UE (SCC) para essas transferências com nossos sub-processadores (Cloudflare, Stripe, Zoho/ZeptoMail). A lista atual de sub-processadores em abundera.ai/legal/subprocessors/ documenta o mecanismo de transferência para cada um.
12. Segurança
Usamos controles padrão da indústria: TLS 1.3 em trânsito, armazenamento criptografado em repouso (Cloudflare D1, KV), chaves de API com escopo, limitação de taxa, proteção CSRF (cookies SameSite=Strict + verificações de origem) e log de acesso estruturado. Não afirmamos que o serviço é impenetrável. Se você suspeitar de um problema de segurança, reporte para security@abundera.ai.
13. Notificação de violação
Se tomarmos conhecimento de uma violação de dados pessoais que afete sua conta, notificaremos você sem demora indevida e, em qualquer caso, dentro de setenta e duas (72) horas após tomarmos conhecimento, conforme exigido pelo Artigo 33 do GDPR para nosso papel como controlador de dados. As notificações incluem: natureza da violação, categorias e número aproximado de registros afetados, consequências prováveis e medidas tomadas ou propostas.
14. Alterações nesta política
Podemos atualizar esta Política de Privacidade periodicamente. Alterações relevantes serão notificadas por e-mail para o endereço registrado dos assinantes Pro e mediante publicação de aviso em destaque nesta página. A data de vigência no topo desta página reflete a versão atual. Versões históricas estão disponíveis no changelog.
15. Contato
Dúvidas sobre privacidade, solicitações de titulares de dados ou preocupações: privacy@abundera.ai (dedicado) ou support@abundera.ai.
Abundera, Inc., 200 W Sahara Ave, Unit 3301, Las Vegas, NV 89102, USA.