Política de Privacidade & Termos de Uso

Sua privacidade é importante para nós. Este documento descreve como coletamos, utilizamos, armazenamos e protegemos seus dados pessoais, em total conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 - LGPD) e com as práticas e controles do Sistema de Gestão de Segurança da Informação (SGSI) baseados na norma ABNT NBR ISO/IEC 27001:2022.

Conforme LGPD ISO/IEC 27001:2022 Dados Criptografados Direitos do Titular Garantidos Hospedagem Segura

Sumário

  1. Introdução
  2. Definições
  3. Dados que coletamos
  4. Finalidade do tratamento
  5. Base legal
  6. Compartilhamento de dados
  7. Armazenamento e segurança
  8. Certificação ISO/IEC 27001:2022
  9. Retenção de dados
  10. Cookies e tecnologias
  11. Direitos do titular
  12. Termos de Uso
  13. Contato e Encarregado (DPO)

1. Introdução

A COSTA & FERREIRA - PLACAS AUTOMOTIVAS, mantenedora do Sistema CF Placas (sistemacfplacas.com.br), valoriza a privacidade e a proteção dos dados pessoais de todos os seus usuários, clientes (estampadores, fabricantes, despachantes, órgãos do Detran) e visitantes.

Esta Política de Privacidade tem como objetivo informar de maneira clara e transparente quais dados pessoais são coletados, como são utilizados e quais são os direitos dos titulares, em conformidade com a Lei nº 13.709/2018 (LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990).

Adicionalmente, a Costa & Ferreira mantém um Sistema de Gestão de Segurança da Informação (SGSI) alinhado à norma ABNT NBR ISO/IEC 27001:2022, adotando controles reconhecidos internacionalmente para preservar a confidencialidade, integridade e disponibilidade da informação tratada pelo Sistema CF Placas (vide seção específica adiante).

2. Definições

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
  • Dado pessoal sensível: dado sobre origem racial, religião, saúde, biometria, entre outros.
  • Titular: pessoa natural a quem se referem os dados pessoais.
  • Controlador: pessoa jurídica a quem competem as decisões sobre o tratamento de dados (a Costa & Ferreira).
  • Operador: pessoa que realiza o tratamento de dados em nome do controlador.
  • Encarregado (DPO): pessoa indicada para atuar como canal entre titulares, ANPD e o controlador.
  • Tratamento: toda operação realizada com dados pessoais (coleta, uso, armazenamento, transmissão, eliminação etc.).

3. Dados que coletamos

Dados de cadastro do usuário

  • Nome completo, CPF, RG, data de nascimento;
  • E-mail, telefone e endereço;
  • Foto e assinatura digital (quando aplicável).

Dados de cadastro da empresa

  • Razão social, nome fantasia, CNPJ, inscrição estadual;
  • Endereço comercial, telefone e e-mail corporativo;
  • Dados bancários (utilizados apenas para gestão de pagamentos);
  • Certificado Digital A1/A3 (e-CNPJ) - armazenado de forma criptografada.

Dados operacionais

  • Autorizações de estampagem, lotes, materiais e seriais de placas;
  • Imagens capturadas durante o processo de estampagem (veículo, placa, cliente);
  • Notas fiscais eletrônicas (NF-e) emitidas pelo sistema;
  • Logs de acesso, IP, data, hora e geolocalização das operações;
  • Histórico de transações e ações realizadas no sistema.

Dados de navegação

  • Endereço IP, navegador, sistema operacional, dispositivo;
  • Páginas acessadas, tempo de permanência, cliques.

4. Finalidade do tratamento

Os dados pessoais coletados são utilizados para as seguintes finalidades legítimas:

  • Permitir o acesso, identificação e autenticação dos usuários no sistema;
  • Operacionalizar o processo de estampagem de placas Mercosul, conforme regulamentação do Contran e do Denatran/Senatran;
  • Comunicação com os Detrans estaduais para validação de autorizações;
  • Emissão de Notas Fiscais Eletrônicas (NF-e) e cumprimento de obrigações fiscais;
  • Cumprir obrigações legais, regulatórias e contratuais;
  • Prevenir fraudes, garantir auditoria e a integridade das informações;
  • Suporte técnico, melhoria contínua e análise de uso da plataforma;
  • Cobranças, gestão financeira e antecipação de recebíveis.

6. Compartilhamento de dados

Seus dados poderão ser compartilhados, exclusivamente para o cumprimento das finalidades acima descritas, com:

  • Detrans estaduais: para validação de autorizações de placas e comunicação obrigatória;
  • Senatran/Denatran: conforme exigências regulatórias federais;
  • Receita Federal e SEFAZ: para emissão e transmissão de NF-e;
  • Instituições financeiras (Asaas, Mercado Pago): para processamento de pagamentos;
  • Provedores de hospedagem em nuvem (AWS): para armazenamento seguro;
  • Autoridades competentes: mediante ordem judicial ou requisição legal;
  • Fabricantes e estampadores parceiros: exclusivamente para a operação contratada.
Compromisso: Não vendemos seus dados pessoais a terceiros e não os utilizamos para fins de marketing sem o seu consentimento expresso.

7. Armazenamento e segurança

Adotamos medidas técnicas e administrativas adequadas para proteger os dados pessoais, em linha com os controles do Anexo A da norma ABNT NBR ISO/IEC 27001:2022:

  • Criptografia de dados em trânsito (TLS/SSL) e em repouso (controle A.8.24 - Uso de criptografia);
  • Controle rigoroso de acesso, com autenticação por CPF e senha individualizada (controles A.5.15 e A.5.16);
  • Logs de auditoria de todas as operações realizadas no sistema (controle A.8.15 - Registro de eventos);
  • Hospedagem em datacenters certificados (Amazon Web Services - AWS), localizados no Brasil ou em regiões com nível adequado de proteção;
  • Backups periódicos para garantir disponibilidade e recuperação (controle A.8.13 - Backup de informações);
  • Política de senhas seguras e renovação periódica (controle A.5.17 - Informações de autenticação);
  • Segregação lógica entre clientes (multi-tenant seguro) (controle A.8.22 - Segregação de redes);
  • Monitoramento contínuo contra acessos não autorizados (controle A.8.16 - Atividades de monitoramento);
  • Gestão de incidentes de segurança da informação (controle A.5.24 a A.5.28);
  • Plano de continuidade do negócio e recuperação de desastres (controle A.5.29 e A.5.30).

8. Certificação ISO/IEC 27001:2022

Sistema de Gestão de Segurança da Informação (SGSI) A Costa & Ferreira opera segundo um SGSI estruturado conforme a norma ABNT NBR ISO/IEC 27001:2022, garantindo a aplicação sistemática de controles de segurança alinhados às melhores práticas internacionais.

A norma ISO/IEC 27001 é o padrão internacional de referência para a gestão da segurança da informação. Sua adoção formaliza o compromisso da empresa com a proteção dos ativos de informação - incluindo dados pessoais sob a tutela da LGPD - por meio de uma abordagem baseada em riscos e em um conjunto estruturado de controles descritos em seu Anexo A.

Pilares do SGSI

  • Confidencialidade: garantia de que a informação seja acessada apenas por pessoas autorizadas;
  • Integridade: garantia da exatidão e completude da informação e dos métodos de processamento;
  • Disponibilidade: garantia de que usuários autorizados tenham acesso à informação quando necessário.

Controles ISO 27001:2022 aplicados à proteção de dados pessoais

Em conformidade com o requisito de cumprimento de leis aplicáveis (LGPD, GDPR), destacam-se os seguintes controles do Anexo A:

A.5.1

Políticas de segurança da informação

Política de SI documentada, aprovada pela direção, comunicada aos colaboradores e revisada periodicamente. Documento interno disponibilizado mediante solicitação formal e justificada.

A.5.34

Privacidade e proteção de PII

Cumprimento dos requisitos legais aplicáveis ao tratamento de dados pessoais (PII). Esta Política de Privacidade pública é a evidência principal deste controle, materializando o compromisso com a LGPD.

A.8.24

Uso de criptografia

Política de uso de criptografia para proteção dos dados em trânsito (HTTPS/TLS) e em repouso, incluindo o armazenamento seguro de certificados digitais e credenciais.

A.5.31 / A.18.1

Conformidade legal e contratual

Identificação, documentação e atendimento contínuo das obrigações legais, regulatórias e contratuais relacionadas à segurança da informação e à privacidade (LGPD, Marco Civil, normativos do Contran/Detran).

A.5.15

Controle de acessos

Aplicação do princípio do menor privilégio e da segregação de funções: cada usuário possui acesso apenas aos recursos estritamente necessários à execução de suas atividades.

A.5.24 - A.5.28

Gestão de incidentes de SI

Processo formal de detecção, registro, resposta, escalonamento e aprendizado a partir de incidentes de segurança, incluindo o tratamento de violações de dados pessoais e a comunicação à ANPD quando aplicável.

A.6.3

Conscientização e treinamento

Treinamento periódico em segurança da informação e privacidade para todos os colaboradores, incluindo capacitação específica sobre LGPD.

A.5.19 - A.5.23

Segurança em fornecedores

Avaliação e gestão de riscos de segurança e privacidade na cadeia de fornecedores e operadores de dados (cloud, gateways de pagamento, integrações com Detrans).

Relação entre ISO 27001:2022 e LGPD

A ISO 27001:2022, isoladamente, não obriga a publicação de URL pública. Contudo, ao adotá-la em ambiente onde há tratamento de dados pessoais, o controle A.5.34 (Privacidade e proteção de PII) e o requisito A.5.31 (Conformidade legal) determinam o cumprimento integral da legislação aplicável - incluindo o art. 9º da LGPD, que assegura ao titular o "acesso facilitado às informações sobre o tratamento de seus dados". É por isso que esta página é pública e permanentemente acessível, materializando ambos os requisitos.

Nossa Política de Segurança da Informação é interna conforme A.5.1. A Política de Privacidade é pública em conformidade com o art. 9º da LGPD e evidenciada no controle A.5.34 do Anexo A da ISO/IEC 27001:2022.

Governança

  • Direção formalmente comprometida com o SGSI (cláusula 5 da norma);
  • Análise de riscos de segurança da informação realizada periodicamente (cláusula 6.1);
  • Auditorias internas e revisões pela direção (cláusulas 9.2 e 9.3);
  • Melhoria contínua a partir de não-conformidades e ações corretivas (cláusula 10);
  • Indicadores e métricas de desempenho de segurança da informação (cláusula 9.1).
Evidências de auditoria: registros, declarações de aplicabilidade (SoA), políticas internas e relatórios de auditoria do SGSI estão disponíveis para apresentação a auditores credenciados, mediante acordo de confidencialidade.

9. Retenção de dados

Os dados pessoais são mantidos pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados e em respeito aos prazos de obrigação legal:

  • Dados fiscais e contábeis: mínimo de 5 (cinco) anos, conforme legislação tributária;
  • Logs de acesso: mínimo de 6 (seis) meses, conforme Marco Civil da Internet;
  • Dados operacionais (autorizações, seriais): conforme exigência dos Detrans, normalmente 5 anos;
  • Dados cadastrais: enquanto durar a relação contratual e até o término dos prazos legais aplicáveis.

Após estes prazos, os dados serão anonimizados ou eliminados de forma segura.

10. Cookies e tecnologias similares

Utilizamos cookies e tecnologias similares para garantir o funcionamento do sistema, lembrar preferências do usuário e analisar o uso da plataforma. Tipos de cookies utilizados:

  • Essenciais: necessários para o funcionamento do sistema (sessão, autenticação, CSRF);
  • Funcionais: armazenam preferências do usuário (idioma, tema);
  • Analíticos: auxiliam a entender como o sistema é utilizado para melhorias.

Você pode configurar seu navegador para bloquear cookies, mas isso pode prejudicar funcionalidades essenciais do sistema.

11. Direitos do titular (Art. 18 da LGPD)

Conforme a LGPD, você possui os seguintes direitos sobre seus dados pessoais:

ConfirmaçãoConfirmar a existência de tratamento dos seus dados.
AcessoAcessar os dados pessoais que tratamos.
CorreçãoCorrigir dados incompletos, inexatos ou desatualizados.
Anonimização / BloqueioSolicitar anonimização ou bloqueio de dados desnecessários.
EliminaçãoEliminar dados tratados com base em consentimento.
PortabilidadeSolicitar a portabilidade a outro fornecedor.
Informação de compartilhamentoSaber com quem compartilhamos seus dados.
Revogação do consentimentoRevogar o consentimento a qualquer momento.
PetiçãoPeticionar perante a ANPD em caso de violação.
Para exercer qualquer um dos direitos acima, entre em contato com nosso Encarregado (DPO) através dos canais informados ao final desta página.

12. Termos de Uso

Aceitação

Ao acessar ou utilizar o Sistema CF Placas, você declara ter lido, compreendido e concordado integralmente com estes Termos de Uso e com a Política de Privacidade. Caso não concorde, deverá interromper imediatamente o uso da plataforma.

Cadastro e responsabilidades do usuário

  • O usuário é responsável pela veracidade das informações fornecidas;
  • É responsável pela guarda e sigilo de suas credenciais de acesso (CPF e senha);
  • Compromete-se a não compartilhar suas credenciais com terceiros;
  • Deve comunicar imediatamente qualquer uso não autorizado de sua conta.

Uso permitido

O sistema deve ser utilizado exclusivamente para fins lícitos relacionados à estampagem, fabricação, controle e fiscalização de placas automotivas Mercosul, em conformidade com a legislação de trânsito vigente.

Condutas vedadas

  • Tentar burlar mecanismos de segurança ou auditoria;
  • Utilizar o sistema para qualquer finalidade ilegal;
  • Inserir dados falsos, adulterados ou de terceiros sem autorização;
  • Realizar engenharia reversa, descompilação ou cópia não autorizada do software;
  • Ceder, sublicenciar, vender ou transferir o acesso ao sistema sem autorização.

Propriedade intelectual

Todo o conteúdo, marcas, logotipos, código-fonte, layout e funcionalidades do Sistema CF Placas são de propriedade exclusiva da COSTA & FERREIRA - PLACAS AUTOMOTIVAS e são protegidos pela Lei nº 9.610/1998 (Direitos Autorais) e pela Lei nº 9.279/1996 (Propriedade Industrial).

Disponibilidade do serviço

Empenhamos os melhores esforços para manter o sistema disponível 24/7, mas não garantimos operação ininterrupta. Manutenções programadas serão comunicadas previamente quando possível.

Limitação de responsabilidade

A Costa & Ferreira não será responsável por danos decorrentes de uso indevido do sistema, falhas em redes ou equipamentos do usuário, ou eventos de força maior. Eventuais responsabilidades estarão limitadas ao previsto em contrato firmado entre as partes.

Suspensão e rescisão

Reservamos o direito de suspender ou cancelar o acesso de usuários que violarem estes Termos, a Política de Privacidade ou a legislação aplicável, sem prejuízo das medidas judiciais cabíveis.

Foro

Fica eleito o foro da Comarca da sede da Costa & Ferreira para dirimir quaisquer questões oriundas destes Termos, com renúncia a qualquer outro, por mais privilegiado que seja.

13. Contato e Encarregado (DPO)

Para exercer seus direitos, esclarecer dúvidas sobre esta Política, comunicar incidentes de segurança ou solicitar informações sobre o tratamento de seus dados pessoais, entre em contato através dos canais abaixo:

Razão Social: COSTA & FERREIRA - PLACAS AUTOMOTIVAS

Site: www.sistemacfplacas.com.br

E-mail (DPO): suporte@sistemacfplacas.com.br

WhatsApp: (19) 99291-2522

Autoridade Nacional (ANPD): www.gov.br/anpd

Última atualização: 12 de May de 2026. Esta política poderá ser atualizada a qualquer tempo. Recomenda-se a sua leitura periódica.
Página inicial Acessar sistema