Segurança e privacidade

Como tratamos os seus dados, sua senha e a infraestrutura do ContrataX.

Hospedagem e infraestrutura

O ContrataX roda em servidores da Railway, com domínio próprio (contratax.com.br) e certificado SSL TLS 1.3. Toda comunicação entre o seu navegador e o nosso servidor é criptografada por HTTPS.

O banco de dados fica em volume persistente isolado, com backup automático diário pela infraestrutura da Railway. O acesso administrativo ao banco é restrito por token e auditado.

Senhas e autenticação

As senhas dos usuários são armazenadas com hash criptográfico (não em texto puro). Mesmo que um atacante obtenha o banco, não consegue reverter as senhas.

Cada conta tem um token de acesso único usado no link do painel. O token é gerado aleatoriamente e nunca exposto em URLs públicas indexáveis.

Dados pessoais e LGPD

Coletamos apenas o necessário para operar o serviço: nome da empresa, CNPJ, e-mail, ramo de atuação e estados onde atua. Opcionalmente, datas de validade das suas certidões e endereço (para gerar declarações de habilitação).

Não compartilhamos seus dados com terceiros para marketing ou publicidade. Os únicos parceiros que processam dados são: Asaas (pagamento), Resend (envio de e-mail), Anthropic (leitura técnica de editais) e Railway (hospedagem). Todos com políticas próprias de privacidade compatíveis com a LGPD.

Você pode pedir a exclusão completa dos seus dados a qualquer momento em contato. Processamos em até 7 dias úteis e enviamos confirmação.

Dados públicos vs dados privados

O ContrataX cruza duas fontes:

• Dados públicos: editais, contratos, vencedores e órgãos públicos do PNCP. São informações oficiais e abertas, disponíveis em pncp.gov.br.
• Dados privados: o que você cadastrou no seu perfil (CNPJ, certidões, ramo). Esses dados são seus, ficam isolados e nunca aparecem para outros usuários nem em buscas públicas.

Pagamentos

O processamento de pagamento é feito pelo Asaas (gateway brasileiro autorizado pelo Banco Central). Não armazenamos dados de cartão de crédito no nosso servidor. Quando você assina um plano, é redirecionado para o checkout seguro do Asaas, e nós recebemos apenas a confirmação de pagamento via webhook autenticado.

Incidentes

Se identificarmos qualquer incidente de segurança que afete seus dados, comunicaremos por e-mail em até 72 horas, com a descrição do que aconteceu e as medidas tomadas, conforme exigido pela LGPD.

Dúvidas sobre segurança ou privacidade? Envie em contato.