Este documento apresenta o mapeamento completo de dados tratados pela LOWSBOT — o que coletamos, de quem, por qual finalidade, por quanto tempo e com quem compartilhamos. Elaborado em conformidade com a LGPD (Lei 13.709/2018), Art. 37 (Registro das Operações de Tratamento).
| Razão social | LOWSBOT |
| CNPJ | 66.453.569/0001-10 |
| E-mail DPO | suport@lowsbot.com |
| Site | lowsbot.com |
Pessoas físicas ou jurídicas que criam conta e utilizam a LOWSBOT para vender via bots no Telegram.
| Dado | Finalidade | Base Legal (LGPD) | Retenção | Compartilhado com |
|---|---|---|---|---|
| Nome completo | Identificação na plataforma, exibição no painel | Art. 7º, V — Contrato | Duração da conta + 30 dias | Não compartilhado externamente |
| Endereço de e-mail | Login, comunicações essenciais, verificação de conta, redefinição de senha | Art. 7º, V — Contrato | Duração da conta + 30 dias | Resend (envio de e-mail transacional) |
| Senha (hash bcrypt) | Autenticação segura — senha original nunca armazenada | Art. 7º, V — Contrato | Duração da conta | Não compartilhado |
| CPF / CNPJ | Identificação fiscal, exigência de alguns gateways de pagamento | Art. 7º, II — Obrigação legal | 5 anos (fiscal) | Gateway escolhido pelo vendedor, quando exigido |
| Chave PIX e tipo | Processar saques para o vendedor | Art. 7º, V — Contrato | Duração da conta + 5 anos (fiscal) | Não compartilhado (processamento interno) |
| Credenciais de gateway (tokens, client_id, client_secret) | Integrar o gateway de pagamento escolhido pelo vendedor para processar vendas | Art. 7º, V — Contrato | Até remoção pelo vendedor | Gateway correspondente (MercadoPago, PushinPay, SyncPay, Oasyfy ou EfiPay) |
| Token do bot Telegram | Conectar e operar o bot do vendedor via API oficial do Telegram | Art. 7º, V — Contrato | Até exclusão do bot | Telegram (API oficial) |
| Saldo e histórico financeiro | Relatórios, cálculo de saques, conciliação de taxas | Art. 7º, II — Obrigação legal | 5 anos (Lei 9.430/1996) | Não compartilhado externamente |
| Token de verificação de e-mail (hash SHA-256) | Confirmar que o e-mail pertence ao usuário | Art. 7º, V — Contrato | 24 horas (auto-expira) | Não compartilhado |
| Token de redefinição de senha (hash SHA-256) | Permitir troca de senha por e-mail verificado | Art. 7º, V — Contrato | 1 hora (auto-expira) | Não compartilhado |
| Cookie de sessão (JWT httpOnly) | Manter o vendedor autenticado no painel sem expor o token ao JavaScript | Art. 7º, V — Contrato | 7 dias ou logout | Não compartilhado |
| Endereço IP | Rate limiting, prevenção de fraudes, segurança operacional | Art. 7º, IX — Legítimo interesse | 90 dias em memória (não persistido em banco) | Não compartilhado |
| Código de indicação (referral) | Rastrear indicações entre vendedores para programa de afiliados | Art. 7º, V — Contrato | Duração da conta | Não compartilhado |
Pessoas que interagem com os bots criados por vendedores via Telegram. A LOWSBOT atua como operadora desses dados, em nome do vendedor (controlador). O vendedor é responsável por informar seus compradores e obter consentimento adequado.
| Dado | Finalidade | Base Legal (LGPD) | Retenção | Compartilhado com |
|---|---|---|---|---|
| ID numérico do Telegram | Identificar o comprador para envio de conteúdo, controle de acesso ao canal e remarketing autorizado | Art. 7º, V — Contrato | Duração do bot do vendedor na plataforma | Telegram (API — para envio de mensagens) |
| Nome e @username do Telegram | Exibição no painel do vendedor, notificações de venda | Art. 7º, V — Contrato | Duração do bot do vendedor na plataforma | Não compartilhado externamente |
| Histórico de pedidos (produto, valor, status, data) | Controle de acesso (canal VIP), relatórios do vendedor, comprovante da transação | Art. 7º, II — Obrigação legal Art. 7º, V — Contrato | 5 anos (registro fiscal) | Gateway de pagamento (dados mínimos da cobrança PIX) |
| Data/hora do primeiro e último acesso ao bot | Análise de funil de vendas, segmentação para remarketing | Art. 7º, IX — Legítimo interesse | Duração do bot do vendedor | Não compartilhado |
| Endereço IP na página de checkout | Rate limiting, prevenção de fraude no pagamento | Art. 7º, IX — Legítimo interesse | 90 dias em memória | Não compartilhado |
Dados gerados automaticamente para operação, segurança e manutenção da plataforma.
| Dado | Finalidade | Base Legal (LGPD) | Retenção | Compartilhado com |
|---|---|---|---|---|
| Logs de erro e exceções do servidor | Diagnóstico de falhas, manutenção da plataforma | Art. 7º, IX — Legítimo interesse | 30 dias (logs Railway) | Railway (infraestrutura de hospedagem) |
| Backup do banco de dados (criptografado) | Recuperação em caso de falha catastrófica, continuidade do serviço | Art. 7º, IX — Legítimo interesse | 30 dias rotativos | Cloudflare R2 (armazenamento de backup) |
| Contadores de rate limit por IP | Prevenir ataques de força bruta e DDoS | Art. 7º, IX — Legítimo interesse | 1 minuto a 1 hora (em memória, não persistido) | Não compartilhado |
| Token de captcha Cloudflare Turnstile (IP + fingerprint do browser) | Verificar que o acesso é humano nas telas de login e cadastro | Art. 7º, IX — Legítimo interesse | Processado em tempo real — não armazenado pela LOWSBOT | Cloudflare (verificação do token) |
Parceiros que processam dados em nome da LOWSBOT, incluindo os que operam fora do Brasil.
| Parceiro | País/Região | Dados tratados | Finalidade |
|---|---|---|---|
| Railway | EUA | Todos os dados da plataforma (banco de dados, uploads, logs) | Hospedagem e infraestrutura |
| Resend | EUA | E-mail e nome do destinatário, conteúdo do e-mail | Envio de e-mails transacionais |
| Cloudflare Turnstile | EUA/Global | IP, fingerprint do browser (processado em tempo real) | Captcha anti-bot |
| Cloudflare R2 | EUA | Cópia cifrada do banco de dados | Backup de recuperação de desastres |
| Telegram | EUA/Emirados | Tokens de bot, mensagens enviadas pelo bot | Operação dos bots de venda |
| MercadoPago | Brasil/Argentina | Dados da cobrança PIX, OAuth do vendedor | Gateway de pagamento (opcional) |
| PushinPay | Brasil | Dados da cobrança PIX, token do vendedor | Gateway de pagamento (opcional) |
| SyncPay | Brasil | Dados da cobrança PIX, credenciais do vendedor | Gateway de pagamento (opcional) |
| Oasyfy | Brasil | Dados da cobrança PIX, chaves do vendedor | Gateway de pagamento (opcional) |
| EfiPay / EfiBank | Brasil | Dados da cobrança PIX, certificado do vendedor | Gateway de pagamento (opcional) |
| Medida | Descrição |
|---|---|
| Hash de senhas | bcrypt com fator de custo 12 — inviável de reverter mesmo com o banco exposto |
| Tokens de segurança | Armazenados como SHA-256 — o token original nunca fica no banco |
| Sessão | Cookie httpOnly + Secure + SameSite=Strict — não acessível por JavaScript |
| Transporte | HTTPS obrigatório (TLS 1.2+) em produção via Railway |
| Rate limiting | Por IP: global 500 req/min, auth 5 req/15min, API 200 req/min, checkout 60 req/min |
| IDOR | Todas as rotas que aceitam IDs validam que o recurso pertence ao usuário autenticado |
| SQL Injection | 100% queries parametrizadas (prepared statements) — sem interpolação de strings |
| XSS | CSP via Helmet, escape de HTML no checkout, cookie httpOnly |
| Captcha | Cloudflare Turnstile em login, cadastro e recuperação de senha |
| Backup | Cópia diária do banco de dados em Cloudflare R2 com retenção de 30 dias |
Em conformidade com o Art. 18 da LGPD, você pode exercer os seguintes direitos:
| Direito | Como exercer | Prazo de resposta |
|---|---|---|
| Acesso aos dados | E-mail para suport@lowsbot.com com assunto "LGPD – Acesso" | 15 dias úteis |
| Correção | Painel → Perfil (dados cadastrais) ou e-mail para dados não editáveis | Imediato (painel) / 15 dias úteis (e-mail) |
| Exclusão da conta | E-mail para suport@lowsbot.com com assunto "LGPD – Exclusão" | 15 dias úteis |
| Portabilidade | E-mail com assunto "LGPD – Portabilidade" — entregamos JSON com seus dados | 15 dias úteis |
| Revogação de consentimento | E-mail com assunto "LGPD – Revogar consentimento" | 15 dias úteis |
| Oposição ao tratamento | E-mail com assunto "LGPD – Oposição" | 15 dias úteis |
Você também pode registrar reclamações na ANPD: www.gov.br/anpd
Em caso de vazamento, acesso não autorizado ou incidente de segurança que possa causar risco ou dano relevante aos titulares, a LOWSBOT se compromete a:
Para reportar uma vulnerabilidade de segurança: suport@lowsbot.com com assunto "SEGURANÇA – [descrição breve]".
Descrição detalhada do tratamento de dados e seus direitos como titular
Regras de uso da plataforma, pagamentos e responsabilidades