Política de Privacidade

Última atualização: 03/06/2026 · Versão 2.0

A LOWSBOT (CNPJ 66.453.569/0001-10) é uma plataforma SaaS que permite a vendedores criarem bots de venda automatizados no Telegram com pagamento via PIX. Esta política descreve, de forma transparente, quais dados coletamos, de quem, para que e com quem compartilhamos — em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

Responsável pelo tratamento: LOWSBOT · CNPJ 66.453.569/0001-10 · suport@lowsbot.com

1. Quem são os titulares dos dados

Esta política cobre dois grupos distintos de pessoas:

Vendedores: pessoas físicas ou jurídicas que se cadastram na plataforma LOWSBOT para criar e operar bots de venda.
Compradores (usuários finais): pessoas que interagem com os bots criados pelos vendedores via Telegram e realizam pagamentos via PIX.

2. Dados que coletamos

2.1 Dados dos Vendedores

Dado	Finalidade	Obrigatório?
Nome completo	Identificação na plataforma	Sim
E-mail	Login, comunicações, redefinição de senha, verificação de conta	Sim
Senha (armazenada como hash bcrypt — nunca em texto puro)	Autenticação	Sim
CPF ou CNPJ	Identificação fiscal, exigência de gateways de pagamento	Opcional
Chave PIX e tipo (e-mail, CPF, CNPJ, telefone, aleatória)	Processamento de saques para o vendedor	Para saques
Banco associado à chave PIX	Identificação para saques	Opcional
Credenciais de gateway de pagamento (tokens/chaves de API do MercadoPago, PushinPay, SyncPay, Oasyfy, EfiPay)	Integrar o gateway escolhido pelo vendedor para processar vendas dos seus clientes	Para vendas
Token do bot Telegram	Conectar e operar o bot de vendas do vendedor	Para operar bot
Endereço IP	Rate limiting, segurança, prevenção de fraudes	Automático
Cookie de sessão httpOnly (JWT)	Manter o vendedor autenticado no painel	Automático
Histórico de vendas e saques	Relatórios financeiros, obrigações fiscais	Automático

2.2 Dados dos Compradores (usuários finais dos bots)

Quando um comprador interage com um bot criado na plataforma LOWSBOT, os seguintes dados são coletados e armazenados em nome do vendedor:

Dado	Finalidade	Origem
ID do Telegram (numérico, não o @username)	Identificar o comprador para envio de conteúdo e controle de acesso ao canal	API Telegram
Nome e @username do Telegram (quando disponíveis)	Exibição no painel do vendedor, notificações	API Telegram
Data e hora do primeiro e último acesso ao bot	Análise de leads, remarketing autorizado pelo vendedor	Automático
Histórico de pedidos (produto, valor, status, data)	Controle de acesso, relatórios do vendedor, comprovante da transação	Automático
Dados enviados ao gateway de pagamento (nome fictício, e-mail e CPF placeholder usados em cobranças PIX)	Cumprimento de campos obrigatórios da API do gateway — não correspondem a dados reais do comprador	Sistema
Endereço IP na página de checkout	Rate limiting, prevenção de fraude	Automático

    Os dados dos compradores são tratados pela LOWSBOT na condição de operadora (art. 5º, VII da LGPD), agindo em nome do vendedor (controlador). O vendedor é responsável por informar seus próprios clientes sobre o uso dos dados.
  

3. Base legal para tratamento (LGPD)

Execução de contrato (art. 7º, V): dados necessários para prestar o serviço contratado (cadastro, bots, pagamentos, saques).
Legítimo interesse (art. 7º, IX): segurança da plataforma, rate limiting, prevenção de fraudes, logs operacionais.
Obrigação legal (art. 7º, II): dados financeiros mantidos por 5 anos para cumprimento fiscal (Lei 9.430/1996).
Consentimento (art. 7º, I): envio de comunicações sobre atualizações e novidades da plataforma.

4. Compartilhamento de dados e subprocessadores

Não vendemos seus dados. Compartilhamos apenas com os seguintes parceiros, estritamente para operar o serviço:

Parceiro	Dado compartilhado	Finalidade
Railway (hospedagem — servidores nos EUA)	Todos os dados da plataforma (banco de dados, uploads)	Infraestrutura de hospedagem
Telegram (API)	Token do bot do vendedor; mensagens enviadas pelo bot	Operação dos bots de venda
MercadoPago (gateway de pagamento)	Dados da cobrança PIX, credenciais OAuth do vendedor	Processar pagamentos (vendedores que escolheram este gateway)
PushinPay (gateway de pagamento)	Dados da cobrança PIX, token do vendedor	Processar pagamentos (vendedores que escolheram este gateway)
SyncPay (gateway de pagamento)	Dados da cobrança PIX, credenciais do vendedor	Processar pagamentos (vendedores que escolheram este gateway)
Oasyfy (gateway de pagamento)	Dados da cobrança PIX, chaves do vendedor	Processar pagamentos (vendedores que escolheram este gateway)
EfiPay / EfiBank (gateway de pagamento)	Dados da cobrança PIX, certificado e credenciais do vendedor	Processar pagamentos (vendedores que escolheram este gateway)
Resend (serviço de e-mail transacional)	Endereço de e-mail do vendedor, conteúdo do e-mail enviado	Enviar e-mails de verificação de conta, redefinição de senha e comunicações da plataforma
Cloudflare Turnstile (captcha)	Endereço IP, informações do navegador	Verificar que o acesso é humano (anti-bot) nas telas de login e cadastro
Cloudflare R2 (backup)	Cópia criptografada do banco de dados	Backup diário para recuperação em caso de falha
Autoridades competentes	Dados solicitados formalmente	Cumprimento de ordem judicial ou exigência legal

Os gateways de pagamento acima são acionados apenas para vendedores que os configurarem. Um vendedor que usa PushinPay, por exemplo, não tem seus dados compartilhados com MercadoPago ou outros gateways.

5. Transferência internacional de dados

A plataforma é hospedada na Railway, cujos servidores estão localizados nos Estados Unidos. Isso implica transferência internacional de dados. A Railway está em conformidade com regulações de privacidade aplicáveis. Ao utilizar a LOWSBOT, você consente com essa transferência para fins de operação do serviço.

O serviço de e-mail Resend também processa dados em servidores nos EUA.

6. Segurança dos dados

Senhas: armazenadas exclusivamente como hash bcrypt (custo 12) — impossível recuperar a senha original.
Tokens de segurança (reset de senha, verificação de e-mail): armazenados como hash SHA-256 — o token em si nunca é salvo.
Credenciais de gateway: armazenadas de forma isolada no banco de dados; nunca retornadas ao frontend.
Sessão: cookie httpOnly com flag Secure (acessível apenas pelo servidor, não por JavaScript).
Comunicação: HTTPS obrigatório em produção (SSL via Railway).
Proteção de força bruta: rate limiting em todos os endpoints de autenticação (máx. 5 tentativas/15 min por IP).
Captcha: Cloudflare Turnstile nas telas de login e cadastro para bloquear bots automatizados.
Backup: cópia diária do banco de dados em storage seguro (Cloudflare R2).

7. Cookies

Utilizamos apenas cookies essenciais para o funcionamento do serviço:

lowsbot_token (httpOnly, Secure, SameSite=Strict): cookie de sessão do vendedor. Expira em 7 dias. Não acessível por JavaScript.
lb-bg (localStorage): preferência de tema visual do painel. Não contém dados pessoais.

Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros.

8. Retenção de dados

Tipo de dado	Prazo de retenção
Conta do vendedor (dados cadastrais)	Enquanto a conta estiver ativa + 30 dias após exclusão solicitada
Registros financeiros (pedidos, saques, taxas)	5 anos após a transação (obrigação fiscal — Lei 9.430/1996)
Dados de compradores (leads, pedidos do bot)	Enquanto o bot do vendedor estiver ativo na plataforma
Logs de acesso (IP, timestamp)	90 dias (segurança operacional)
Tokens de redefinição de senha	1 hora (expiram automaticamente)
Tokens de verificação de e-mail	24 horas (expiram automaticamente)
Backups do banco de dados	30 dias rotativos

9. Seus direitos (LGPD — art. 18)

Como titular de dados, você tem os seguintes direitos, exercíveis pelo e-mail suport@lowsbot.com:

Confirmação e acesso: saber se tratamos seus dados e obter uma cópia.
Correção: atualizar dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade com a LGPD.
Portabilidade: receber seus dados em formato estruturado para transferência a outro serviço.
Exclusão: solicitar a exclusão da sua conta e dos dados tratados com base no consentimento (exceto os exigidos por lei).
Informação sobre compartilhamento: saber com quais entidades públicas ou privadas compartilhamos seus dados.
Revogação do consentimento: retirar o consentimento para tratamentos baseados nessa base legal, sem prejuízo dos tratamentos anteriores.
Oposição: se discordar de algum tratamento, pode manifestar oposição.

Responderemos solicitações em até 15 dias úteis.

10. Menores de idade

A plataforma LOWSBOT é destinada exclusivamente a pessoas com 18 anos ou mais. Não coletamos intencionalmente dados de menores. Se identificarmos que dados de um menor foram coletados, os excluiremos imediatamente.

11. Links externos

A plataforma pode conter links para sites de terceiros (gateways de pagamento, Telegram, etc.). Esta política não se aplica a esses sites. Recomendamos a leitura das políticas de privacidade de cada serviço externo utilizado.

12. Alterações desta política

Podemos atualizar esta política periodicamente. Mudanças significativas serão comunicadas via e-mail cadastrado com antecedência mínima de 15 dias. A data de "última atualização" no topo desta página sempre refletirá a versão vigente.

13. Contato e DPO

Para exercer seus direitos, reportar dúvidas ou incidentes de segurança:

E-mail: suport@lowsbot.com
Assunto: "LGPD – [sua solicitação]"

Também é possível registrar reclamações perante a Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd.