Conformidade com a LGPD para Integradores
Quick Reference
O que é a LGPD
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é a lei abrangente de proteção de dados do Brasil, em vigor desde setembro de 2020. Ela regulamenta como dados pessoais são coletados, tratados, armazenados e compartilhados — incluindo dados de pagamento.
A LGPD é fiscalizada pela ANPD (Autoridade Nacional de Proteção de Dados) e se aplica a qualquer organização que trate dados pessoais de indivíduos no Brasil, independentemente de onde a organização esteja sediada.
Dados que a A55 Trata
| Categoria de Dados | Exemplos | Armazenamento |
|---|---|---|
| Nome do titular do cartão | Conforme fornecido em payer.name | Criptografia Fernet em nível de campo no PostgreSQL |
| Número do cartão (PAN) | 4111 1111 1111 1111 | Criptografado em nível de campo (Fernet AES-128-CBC) — armazenado no PostgreSQL, nunca em texto aberto |
| Validade do cartão | Mês/ano | Criptografia Fernet em nível de campo no PostgreSQL |
| CVV | Código de 3 dígitos | Nunca armazenado — usado apenas durante a autorização |
| CPF/CNPJ | payer.document | Criptografado em repouso |
payer.email | Criptografado em repouso | |
| Endereço IP | Coletado para antifraude | Retido conforme política antifraude |
| Dados da transação | Valor, status, timestamps | Retido conforme requisitos regulatórios |
Tratamento do CVV
A A55 nunca armazena o CVV. Ele é transmitido em memória para a adquirente durante a autorização e descartado imediatamente. Você também nunca deve armazenar o CVV do seu lado — isso representa um risco de segurança.
Base Legal para Tratamento
A A55 trata dados pessoais com base nas seguintes bases legais da LGPD:
| Base Legal | Artigo da LGPD | Aplica-se a |
|---|---|---|
| Execução de contrato | Art. 7, V | Processamento de pagamentos como parte de um contrato de compra entre comerciante e comprador |
| Obrigação legal | Art. 7, II | Retenção de registros de transações conforme exigido pelo BACEN e regulamentações fiscais |
| Interesse legítimo | Art. 7, IX | Análise antifraude e monitoramento de transações |
| Consentimento | Art. 7, I | Comunicações de marketing (quando aplicável) |
Responsabilidades do Comerciante
Como comerciante integrando com a A55, você é o controlador dos dados pessoais que coleta. A A55 atua como operador para as operações de pagamento.
Você deve:
- Obter consentimento válido — Informe os usuários sobre quais dados você coleta e por que, antes do pagamento
- Manter uma política de privacidade — Sua política deve informar que dados de pagamento são tratados por um terceiro (A55)
- Designar um DPO — Nomeie um Encarregado e divulgue suas informações de contato
- Manter um registro de atividades de tratamento — Documente quais dados pessoais você trata, por que e por quanto tempo
- Reportar incidentes — Notifique a ANPD e os titulares afetados em caso de violação de dados
- Atender aos direitos dos titulares — Responda a solicitações de acesso, correção e exclusão em até 15 dias
Checklist da política de privacidade:
- Divulga quais dados pessoais são coletados durante o checkout
- Nomeia a A55 como processador de pagamentos (operador de dados)
- Indica a base legal para tratamento (execução de contrato)
- Descreve os períodos de retenção de dados
- Fornece contato para solicitações de direitos dos titulares
- Lista os direitos dos titulares conforme a LGPD
Direitos dos Titulares de Dados
A LGPD garante aos indivíduos os seguintes direitos em relação aos seus dados pessoais:
| Direito | Artigo da LGPD | Sua Obrigação |
|---|---|---|
| Acesso | Art. 18, II | Fornecer uma cópia de todos os dados pessoais que você possui |
| Correção | Art. 18, III | Corrigir dados pessoais incorretos |
| Anonimização/bloqueio/eliminação | Art. 18, IV | Excluir dados que não são mais necessários |
| Portabilidade | Art. 18, V | Transferir dados para outro prestador de serviço |
| Informação sobre compartilhamento | Art. 18, VII | Divulgar quais terceiros receberam os dados |
| Revogação do consentimento | Art. 18, IX | Cessar o tratamento de dados baseado em consentimento |
Limitações de exclusão
Alguns dados de pagamento não podem ser excluídos devido a requisitos regulatórios. Registros de transações devem ser retidos por pelo menos 5 anos conforme regulamentações do BACEN. Informe os titulares de dados sobre esta limitação ao processar solicitações de exclusão.
Períodos de Retenção de Dados
| Tipo de Dado | Retenção | Motivo |
|---|---|---|
| PAN / validade / nome do titular (criptografado) | Comerciante ativo + 12 meses | Armazenamento mínimo regulatório |
| Logs de transações | 365 dias | Conformidade operacional e regulatória |
| CVV | 0 segundos — nunca armazenado | Melhor prática de segurança — nunca armazenado após autorização |
| Dados antifraude (IP, dispositivo) | Conforme política antifraude | Janela de investigação de fraude |
| Logs de auditoria | 12+ meses | Segurança e conformidade |
| Backups | 7 dias | Retenção gerenciada pelo Azure |
Notificação à ANPD
Em caso de incidente de segurança que afete dados pessoais:
- Notifique a ANPD em prazo razoável (a LGPD não especifica horas exatas, mas a ANPD recomenda 2 dias úteis)
- Notifique os titulares afetados se o incidente representar risco aos seus direitos
- Documente o incidente — natureza, dados afetados, medidas tomadas e plano de remediação
A A55 irá notificá-lo caso um incidente do nosso lado afete os dados dos seus clientes, conforme previsto em nosso Acordo de Tratamento de Dados.
Boas Práticas
- Colete apenas o necessário — Não solicite dados pessoais adicionais além do necessário para a transação
- Use a tokenização da A55 — Nunca armazene números de cartão em texto aberto; use tokens retornados pela A55
- Criptografe dados em repouso — Todos os dados pessoais armazenados do seu lado devem ser criptografados
- Implemente controles de acesso — Limite quem na sua organização pode acessar dados pessoais
- Documente tudo — Mantenha registros de atividades de tratamento, consentimento e solicitações dos titulares
- Auditorias regulares — Revise suas práticas de tratamento de dados trimestralmente
- Treine sua equipe — Garanta que os funcionários que lidam com dados pessoais compreendam as obrigações da LGPD