Política de Privacidade
Versão v1.0 — vigente desde 02 de maio de 2026.
1. Quem somos
A plataforma EnfClex é mantida pela Nurse Marlon (USA), responsável pelo tratamento dos seus dados pessoais como controlador nos termos do art. 5º, VI da Lei nº 13.709/2018 (LGPD).
Encarregado de dados (DPO): privacy@nursemarlonusa.com.
2. Quais dados coletamos
- Cadastro: nome completo, e-mail, hash da senha (Argon2id), idioma preferido.
- Uso da plataforma: respostas a questões, simulados realizados, estatísticas de desempenho.
- Pagamento: processado pelo Stripe — não armazenamos dados de cartão nos nossos servidores.
- Logs de acesso: endereço IP, User-Agent, data/hora e cidade aproximada (resolução local via base offline geoip-lite — nunca consultamos serviço externo). Esses dados aparecem em “Configurações › Sessões” pra você revisar e revogar acessos suspeitos.
- Cookies: ver seção 7 abaixo.
Não coletamos CPF, endereço residencial, telefone, dados sensíveis de saúde ou dados de menores de 18 anos.
3. Pra que usamos seus dados (bases legais)
| Finalidade | Base legal (LGPD art. 7º) |
|---|---|
| Criar e operar a sua conta | Execução de contrato (V) |
| Autenticar você (login, recuperação de senha) | Execução de contrato (V) |
| Detectar acesso de novo dispositivo (e-mail informativo) | Legítimo interesse — segurança da conta (IX) |
| Logs de acesso (IP, User-Agent) | Cumprimento de obrigação legal — Marco Civil da Internet (II) |
| E-mail de marketing | Consentimento opt-in granular (I) — você pode revogar a qualquer momento |
| Cobrança de assinatura | Execução de contrato (V) |
4. Compartilhamento com terceiros (operadores)
- Stripe (EUA) — processamento de pagamento. Recebe apenas e-mail e valor da compra. Cláusulas contratuais padrão (SCC) em vigor.
- Sentry (EUA) — telemetria de erros. Recebe stack-trace + ID anônimo de sessão. Sem PII no payload.
- Resend (EUA) — envio de e-mail transacional (verificação, reset de senha, novo dispositivo). Recebe e-mail e nome.
- Vercel (EUA) — hospedagem do frontend.
- Provedor de hospedagem do backend e Postgres (a confirmar antes do go-live em produção).
Não vendemos seus dados. Não compartilhamos com anunciantes. Não enviamos dados pra treinamento de modelos de IA.
5. Por quanto tempo guardamos
- Conta ativa: enquanto durar a relação contratual.
- Logs de acesso (IP, User-Agent): 90 dias, depois descartados automaticamente.
- Logs de auditoria de eventos críticos (login bem-sucedido, alteração de senha, revogação de sessão, replay de token): 5 anos.
- Após exclusão da conta: anonimização em até 30 dias. Dados financeiros retidos por 5 anos por obrigação fiscal.
6. Seus direitos (LGPD art. 18)
Você pode, a qualquer momento:
- Confirmar e acessar seus dados (em “Configurações › Perfil”).
- Corrigir dados incompletos ou desatualizados.
- Revogar consentimento de marketing sem afetar o uso da plataforma (em “Configurações › Comunicações” — disponível na próxima fase).
- Solicitar exportação dos seus dados em JSON + CSV (link assinado válido por 72h — disponível na Fase 6).
- Solicitar a anonimização ou eliminação da sua conta (Fase 6).
- Reclamar à ANPD caso ache que seus direitos não foram atendidos.
Pra exercer qualquer um desses direitos antes da Fase 6, escreva pra privacy@nursemarlonusa.com — respondemos em até 15 dias úteis.
7. Cookies
Usamos três categorias de cookies, com opt-in granular no banner de aceite:
- Necessários (sempre ativos): cookie httpOnly
nclex_rtusado pra manter a sessão (refresh token). Sem ele, não conseguimos manter você logado entre páginas. - Analíticos (default desligado): nenhum ativo no momento. Quando tivermos analytics próprio (Plausible/PostHog), você precisa ativar explicitamente.
- Marketing (default desligado): nenhum ativo no momento. Não usamos pixels de anúncios.
A sua escolha fica salva no seu navegador (localStorage em nclex_cookie_consent) junto com a versão da política aceita. Você pode revisar a qualquer momento clicando em “Preferências de cookies” no rodapé.
8. Segurança
- Senhas com Argon2id (memória ≥ 64 MiB, 3 iterações).
- Tokens de sessão httpOnly + Secure + SameSite=Strict + rotação a cada uso.
- Lockout progressivo após 5 tentativas de login.
- Detecção de replay de refresh token (burn-the-chain) com alerta no Sentry.
- HTTPS obrigatório em produção, HSTS preload.
- Auditoria de eventos críticos por 5 anos.
9. Mudanças nesta política
Quando atualizarmos materialmente esta política, você verá um aviso obrigatório no seu próximo acesso pedindo a re-aceitação. Sem re-aceitar, você não consegue continuar usando o produto. O histórico de versões fica em /legal/terms.
10. Contato
Encarregado de dados: privacy@nursemarlonusa.com.
Suporte geral: contato@nursemarlonusa.com.
Veja também os Termos de Uso (v1.0).