Introdução
Esta Política de Privacidade descreve como a FISQAL trata dados pessoais no contexto da API fiscal, do console web e dos serviços relacionados. O texto reflete o funcionamento atual da plataforma e deve ser lido em conjunto com os Termos de Uso.
Ao criar conta, integrar a API ou utilizar o console, você declara ter lido esta política. Se integrar a FISQAL em nome de uma empresa, você declara possuir autorização para aceitar estes termos em nome dessa organização.
Quem somos
A FISQAL é a marca que oferece infraestrutura fiscal via API REST, console de operações, webhooks e monitoramento de autoridades (SEFAZ e provedores municipais de NFS-e).
Para questões sobre privacidade e exercício de direitos do titular, entre em contato pelo e-mail suporte@fisqal.com.br.
Dados que tratamos
Tratamos categorias de dados conforme o uso do serviço. A tabela abaixo resume as principais categorias e sua origem.
| Categoria | Exemplos e origem |
|---|---|
| Conta e autenticação | E-mail, credenciais e identificador de usuário gerenciados pelo Supabase Auth; no banco da API associamos apenas o user_id ao workspace. |
| Workspace e membros | Nome do workspace, slug, plano, fuso horário, ambiente padrão (homologação ou produção) e vínculo de membros. |
| Empresa (CNPJ) | Razão social, CNPJ, endereço, contatos, inscrições, CNAE, regime tributário e ambiente fiscal configurado no console. |
| Certificados e segredos fiscais | Certificado digital A1 (arquivo PFX em storage seguro), senha do certificado e token CSC de NFC-e armazenados de forma criptografada. |
| Documentos fiscais | DPS, NFS-e, NF-e, NFC-e: XML, status, chaves, valores, dados de tomador/destinatário e payloads enviados à API. |
| Integração e observabilidade | Logs de requisições fiscais (endpoint, ambiente, duração, request/response mascarados), métricas agregadas de uso e correlation/request ids. |
| API keys e webhooks | Hash da chave de API, prefixo, escopos, URLs de webhook, eventos inscritos, histórico de entregas e respostas do seu endpoint. |
Dados de terceiros nos XMLs
Documentos fiscais podem conter dados pessoais de tomadores, destinatários e terceiros. Você, como cliente que envia esses dados à API, é responsável por possuir base legal e informar esses titulares quando aplicável.
Finalidades do tratamento
- Autenticar usuários no console e associar operações ao workspace correto.
- Emitir, consultar, cancelar e rastrear documentos fiscais conforme solicitado via API ou console.
- Assinar XML, transmitir às autoridades competentes (SEFAZ, SEFIN Nacional, provedores municipais) e armazenar retornos.
- Entregar webhooks assinados com HMAC-SHA256 após eventos fiscais terminais.
- Aplicar limites de plano, rate limiting e filas de processamento assíncrono.
- Exibir analytics, logs e status de disponibilidade no console.
- Prestar suporte técnico e responder solicitações enviadas ao canal de contato.
- Melhorar segurança, detectar abuso e cumprir obrigações legais aplicáveis.
Bases legais (LGPD)
O tratamento pode se fundamentar, conforme o caso, em: execução de contrato ou procedimentos preliminares; cumprimento de obrigação legal ou regulatória (incluindo obrigações fiscais e de guarda de documentos); legítimo interesse para segurança, prevenção a fraudes e melhoria do serviço; e consentimento quando exigido por lei ou solicitado de forma específica.
O armazenamento de certificados digitais e credenciais de integração decorre da necessidade de executar o serviço contratado e das exigências técnicas da transmissão fiscal.
Compartilhamento e operadores
Compartilhamos dados apenas na medida necessária para operar o serviço:
| Destinatário | Finalidade |
|---|---|
| Supabase | Autenticação, banco de dados PostgreSQL e armazenamento de arquivos (XML, PDF, certificados). |
| Redis / filas | Processamento assíncrono de emissões, retries e entrega de webhooks. |
| Autoridades fiscais | SEFAZ, SEFIN Nacional (NFS-e) e provedores municipais conforme o documento emitido. |
| Seus endpoints | URLs de webhook configuradas por você recebem payloads de eventos fiscais. |
Infraestrutura em nuvem
A hospedagem pode envolver processamento em datacenters fora do Brasil, conforme a região do provedor de infraestrutura. Adotamos medidas contratuais e técnicas compatíveis com a LGPD para transferências internacionais quando aplicáveis.
Segurança
- API keys armazenadas apenas como hash (bcrypt); o valor completo é exibido uma única vez na criação.
- Senhas de certificado, secrets de webhook e CSC de NFC-e criptografados em repouso (AES-256-GCM).
- Arquivos sensíveis (PFX, XML) em storage com acesso via URLs assinadas de curta duração no backend.
- Comunicação com SEFAZ via mTLS quando exigido pelo serviço fiscal.
- Mascaramento de CPF, CNPJ, XML e tokens em logs de integração.
- Headers de rastreio (X-Request-Id, X-Correlation-Id) para auditoria operacional.
- Helmet, validação de entrada e rate limiting por plano na API.
Nenhuma medida de segurança é absoluta. Notifique-nos imediatamente em caso de suspeita de incidente envolvendo sua conta ou credenciais.
Retenção
Mantemos os dados enquanto sua conta estiver ativa e pelo tempo necessário para cumprir obrigações legais, resolver disputas e executar contratos. Documentos e logs fiscais podem ser retidos por prazos superiores quando exigidos pela legislação tributária ou por acordo comercial.
Expurgo automático
Atualmente não há rotina automatizada de exclusão em massa de histórico fiscal, logs de integração ou entregas de webhook. Você pode excluir empresas (CNPJ) pelo console, revogar API keys, desativar webhooks e solicitar orientação adicional pelo suporte.
Seus direitos
Nos termos da LGPD, você pode solicitar confirmação de tratamento, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamentos e revisão de decisões automatizadas, quando aplicável.
- Acesso e correção de dados de empresa e workspace pelo console autenticado.
- Revogação de API keys e desativação de webhooks pelo console.
- Exclusão de cadastro de empresa (CNPJ), com remoção em cascata dos registros vinculados no banco da API.
- Solicitações formais e dúvidas: suporte@fisqal.com.br.
Dados de login (e-mail e senha) são gerenciados pelo provedor de autenticação. A exclusão da conta de acesso pode exigir procedimentos adicionais junto a esse provedor e ao nosso suporte.
Não oferecemos, neste momento, exportação em lote automatizada de todos os dados do workspace pela interface.
Alterações desta política
Podemos atualizar esta política para refletir mudanças legais ou evoluções do produto. A data da última atualização aparece no topo desta página. Alterações relevantes podem ser comunicadas por e-mail ou aviso no console.
Contato
Para exercer direitos, esclarecer dúvidas ou reportar incidentes de privacidade: suporte@fisqal.com.br. Responderemos em prazo razoável, conforme a complexidade da solicitação.