Em conformidade com a LGPD (Lei 13.709/2018) · Versão 1.1 · Atualizada em 25 de abril de 2026
📌 Resumo Rápido (TL;DR)
Em 30 segundos, o essencial:
Coletamos: seu nome, e-mail, senha (criptografada), CPF/CNPJ (pra emitir cobrança), telefone (opcional) e dados financeiros que você cadastra.
Se conectar o banco: coletamos extratos autorizados por você via Open Finance (nunca sua senha do banco).
Compartilhamos com: Supabase, Vercel, Pluggy, Anthropic, Resend, Hotmart, Asaas — todos necessários pro serviço.
Você pode: acessar, corrigir, exportar e excluir seus dados a qualquer momento.
Segurança: HTTPS, senhas com hash bcrypt, Row Level Security ativa no banco.
Retenção: enquanto sua conta estiver ativa + 5 anos pra dados fiscais.
1. Introdução
A aM Soluções Estratégicas (CNPJ 43.691.802/0001-06), doravante denominada "AEXION" ou "nós", está comprometida com a privacidade e proteção dos dados pessoais dos usuários do aplicativo AEXION, disponível em app.aexion.com.br, lite.aexion.com.br e subdomínios relacionados.
Esta Política descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).
Ao utilizar o AEXION, você concorda expressamente com as práticas descritas. Se não concordar, por favor, não utilize nossos serviços.
A Encarregada é responsável por: (a) aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências; (b) receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD); (c) orientar funcionários e contratados sobre práticas de proteção de dados; (d) executar demais atribuições previstas na LGPD e em normas complementares.
Comprometemo-nos a responder solicitações encaminhadas ao DPO em até 15 (quinze) dias corridos, conforme prazo recomendado pela ANPD. A indicação formal está documentada em Ato de Indicação interno, arquivado pela empresa, disponível para apresentação à ANPD em caso de fiscalização.
3. Dados Pessoais Coletados
3.1. Dados fornecidos por você diretamente
Nome completo
E-mail
Senha (armazenada com hash bcrypt, nunca em texto puro)
CPF (Pessoa Física) ou CNPJ (Pessoa Jurídica) — necessário para emissão de cobranças, nota fiscal e cadastro no provedor de pagamento
Telefone celular (opcional, usado para envio de notificações de cobrança e suporte)
Perfil: Pessoa Física ou Pessoa Jurídica
Dados financeiros cadastrados manualmente (lançamentos, categorias, metas, contas, cartões)
Dados do cartão de crédito quando você opta por pagar via cartão (capturados diretamente pelo provedor de pagamento Asaas em página segura PCI-DSS — a AEXION não armazena número, CVV ou validade)
3.2. Dados coletados automaticamente
Endereço IP de acesso
User-agent (navegador, sistema operacional, dispositivo)
Timestamps de acesso e interações
Cookie de sessão (obs_session, HttpOnly, Secure)
3.3. Dados via Integração Bancária (Open Finance)
Quando você AUTORIZA a conexão com sua instituição bancária via Pluggy (parceiro certificado Open Finance Brasil), coletamos:
Saldos de contas bancárias
Extratos de movimentação (descrição, data, valor, categoria sugerida pelo banco)
Informações de cartões de crédito (limite, fatura, parcelas)
IMPORTANTE: suas credenciais bancárias (usuário/senha/token) NUNCA são armazenadas pela AEXION. A autenticação ocorre exclusivamente no site do banco. A conexão é apenas LEITURA — não realizamos transferências nem movimentações em sua conta.
4. Finalidades do Tratamento
Criar e manter sua conta
Fornecer funcionalidades do app (Fluxo de Caixa, DRE, Balanço, etc.)
Categorizar automaticamente transações via IA (Claude Sonnet 4.5)
Gerar relatórios e exportações solicitadas
Enviar comunicações transacionais (boas-vindas, reset de senha, alertas)
Processar pagamentos via Hotmart e Asaas (PIX, boleto, cartão)
Garantir segurança e prevenir fraudes
Cumprir obrigações legais, regulatórias e fiscais
Melhorar a qualidade do serviço (análises agregadas e anonimizadas)
5. Base Legal para o Tratamento
O tratamento se baseia nas hipóteses da LGPD (Art. 7º):
Consentimento (art. 7º, I) — para IA, integração bancária e comunicações de marketing
Execução de contrato (art. 7º, V) — para fornecer o serviço contratado
Obrigação legal (art. 7º, II) — para fins fiscais, antilavagem, etc.
Legítimo interesse (art. 7º, IX) — para segurança, prevenção de fraude e melhoria do serviço
6. Compartilhamento com Terceiros (Operadores)
Os dados são compartilhados apenas com operadores estritamente necessários ao serviço, todos sob obrigações contratuais de confidencialidade (DPA):
Parceiro
Localização
Finalidade
Supabase Inc.
Brasil (SP)
Banco de dados PostgreSQL com criptografia em repouso e RLS ativa
Vercel Inc.
EUA (global CDN)
Hospedagem da aplicação web e API serverless
Pluggy
Brasil
Agregador bancário certificado Open Finance
Anthropic (Claude)
EUA
Processamento de IA — categorização e chat. Zero retention policy.
Resend
EUA
Envio de e-mails transacionais
Hotmart
Brasil
Pagamentos e gestão de licenças (canal alternativo)
Asaas Gestão Financeira S.A.
Brasil
Processamento de pagamentos (PIX, boleto, cartão de crédito) e gestão de assinaturas. Instituição autorizada pelo Banco Central
Todos os parceiros são avaliados quanto à conformidade com LGPD e firmam Acordos de Tratamento de Dados.
7. Transferência Internacional
Alguns operadores (Vercel, Anthropic, Resend) estão sediados nos EUA. Transferências seguem LGPD Art. 33, baseadas em cláusulas contratuais específicas e garantias equivalentes aos padrões brasileiros.
8. Medidas de Segurança
Criptografia HTTPS/TLS 1.3 em todas as comunicações
Senhas com hash bcrypt (12 rounds, não reversível)
Autenticação via JWT (HS256) com cookie HttpOnly + Secure + SameSite=None
Row Level Security (RLS) ativa em TODAS as tabelas do banco
Controle de acesso por princípio do menor privilégio
Logs de auditoria de acessos sensíveis (retenção: 2 anos)
Backups criptografados diários com retenção de 30 dias
Rate limiting contra ataques de força bruta
Cloudflare WAF (Web Application Firewall) com Bot Fight Mode ativo
8.1. Política de Sessão (TTL longo com sessão rolante)
O AEXION adota o modelo de "sessão rolante" — a sessão tem validade de até 365 dias, e é renovada automaticamente a cada acesso. Esse padrão é o mesmo usado por aplicativos financeiros consagrados (Mobills, Spotify, Nubank), priorizando UX sem comprometer a segurança.
Justificativas e mecanismos compensatórios:
Cookie de sessão: HttpOnly (inacessível ao JavaScript), Secure (só HTTPS) e SameSite=None com Domain restrito a .aexion.com.br (não acessível por outros domínios)
Sessão inativa expira: cliente que não acessa por 365 dias é forçado a relogar
Logout consciente: você pode encerrar sua sessão a qualquer momento pelo menu lateral do app, com modal de confirmação
Logout administrativo: a equipe técnica AEXION pode invalidar todas as sessões ativas em emergências (incidente de segurança, vazamento) trocando a chave de assinatura JWT em poucos segundos
Reauth em operações sensíveis: alteração de senha, exportação completa de dados (LGPD Art. 18 V) e exclusão definitiva de conta exigem confirmação adicional independente do estado da sessão
Versão de sessão: cada usuário tem um session_version próprio que pode ser incrementado pelo backend, invalidando todas as sessões antigas daquele usuário (útil quando o cliente perde um dispositivo)
Se você desejar uma TTL menor de sessão para sua conta específica (compatibilidade com políticas internas da sua empresa, p.ex.), entre em contato com dpo@aexion.com.br e ajustamos individualmente.
9. Período de Retenção
Dados da conta: enquanto sua conta estiver ativa + 30 dias pós-exclusão (backup)
Dados fiscais (pagamentos, NFs): 5 anos (obrigação fiscal)
Logs de auditoria: 2 anos
Dados de marketing/newsletter: até revogação do consentimento
10. Seus Direitos como Titular (LGPD Art. 18)
Confirmar a existência de tratamento
Acessar seus dados
Corrigir dados incompletos, inexatos ou desatualizados
Anonimizar, bloquear ou eliminar dados desnecessários
Portabilidade dos dados (exportar tudo em formato JSON/PDF)
A sessão é "rolante" — cada vez que você abre o app, o token é renovado. Não utilizamos cookies de rastreamento de terceiros para publicidade.
12. Uso de Inteligência Artificial (Claude)
Utilizamos o modelo Claude Sonnet 4.5 da Anthropic para:
Categorizar transações bancárias automaticamente
Fornecer agente de chat inteligente para dúvidas financeiras
Dados enviados à Anthropic são efêmeros (NÃO armazenados para treinamento — zero data retention). Você pode desativar o uso de IA nas configurações — nesse caso, categorização será 100% manual.
Direito à explicação (LGPD Art. 20): você pode solicitar explicação sobre qualquer decisão automatizada (ex: categoria sugerida) pelo email dpo@aexion.com.br.
13. Menores de Idade
O AEXION NÃO é destinado a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Se tomarmos conhecimento de dados de menor sem autorização dos responsáveis, removeremos imediatamente.
14. Incidentes de Segurança
Em caso de incidente com risco relevante aos titulares, notificaremos:
Autoridade Nacional de Proteção de Dados (ANPD) em até 72 horas
Titulares afetados por e-mail em prazo razoável
Tudo conforme LGPD Art. 48 e Resolução ANPD 15/2024.
15. Alterações nesta Política
Podemos atualizar esta Política. Alterações materiais são comunicadas por e-mail com 30 dias de antecedência e aviso em destaque no app. A versão vigente sempre está em aexion.com.br/privacidade.html.