Sua privacidade, protegida por padrão

OLIMPO PAY TECNOLOGIA E INSTITUIÇÃO DE PAGAMENTO LTDA — Rua Santa Luzia, 100, Sala 601, Trindade, Florianópolis/SC, CEP 88036-540. CNPJ nº 46.340.689/0001-02.

Hub de Infraestrutura de Pagamentos B2B que conecta múltiplos Banks parceiros, antifraude e roteamento inteligente em uma única API. Atende empresas (SaaS, ERP, Aplicativos, Tráfego Pago, E-commerce, Marketplaces) que processam volume e exigem estabilidade.

Contato Compliance: [email protected] | Contato DPO: [email protected]

Em resumo: Esta Política descreve como a Olimpo Pay trata dados pessoais em conformidade com LGPD, BACEN, CDC e demais normas brasileiras.

Esta Política descreve como a OLIMPO PAY trata dados pessoais de empresas clientes, parceiros, colaboradores e visitantes, em conformidade com: LGPD (Lei nº 13.709/2018); Marco Civil da Internet (Lei nº 12.965/2014); Circular BACEN nº 3.978/2020; Resolução BCB nº 80/2021 (Instituições de Pagamento); CDC (Lei nº 8.078/1990); e GDPR (UE) supletivamente para transferência internacional.

A Olimpo Pay atua como Controladora dos dados coletados em sua plataforma, na condição de Hub de Infraestrutura de Pagamentos B2B.

Em resumo: Se você navega, cadastra ou opera com Olimpo, esta política te alcança.

Esta Política se aplica a: empresas clientes (PJ) cadastradas na plataforma; representantes legais e administradores autorizados (PF vinculadas à PJ); parceiros (Banks, antifraude, registradoras, integradores); visitantes do site olimpopay.com.br e subdomínios; e colaboradores Olimpo Pay (cobertos em política interna separada).

Controlador: Olimpo Pay — decide o tratamento dos dados.

Operador: Terceiros que tratam dados em nome da Olimpo (Banks, cloud, antifraude).

Titular: Pessoa natural a quem os dados se referem.

Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável.

Dados Sensíveis: Origem racial, religião, saúde, biometria (art. 5º II LGPD).

Consentimento: Manifestação livre, informada e inequívoca.

Anonimização: Dado que perde a possibilidade de identificar o titular.

DPO / Encarregado: Profissional responsável pelo canal de comunicação com titulares e ANPD.

Smart Routing: Roteamento inteligente entre Banks parceiros.

Bank: Instituição de Pagamento parceira autorizada BACEN (camada invisível ao cliente final).

Webhook: Notificação automática enviada à sua aplicação.

Em resumo: Cada dado coletado tem finalidade clara e base legal explícita.

Cadastro (razão social, CNPJ, sócios, endereço, contato) → Habilitação de conta + KYC + AML → Base: Art. 7, II (obrigação legal) + V (execução de contrato).

Documentos (contrato social, RG, comprovante endereço) → KYC + prevenção lavagem (Lei 9.613/98) → Base: Art. 7, II.

Transacionais (valor, BIN, timestamp, status) → Processamento + Smart Routing + antifraude → Base: Art. 7, V + IX (legítimo interesse).

Comportamentais (IP, device, geolocalização) → Antifraude + segurança → Base: Art. 7, IX.

Comunicações (e-mail, telefone, suporte) → Atendimento, alertas, notificações → Base: Art. 7, V.

Marketing → Comunicações promocionais → Base: Art. 7, I (consentimento opt-in ativo).

Cookies analíticos → Métricas, melhoria UX → Base: Art. 7, IX + consentimento granular.

Cookies marketing → Remarketing, pixel ads → Base: Art. 7, I (consentimento ativo).

Em resumo: Coletamos apenas o mínimo necessário pra operar pagamentos com segurança e cumprir regulação.

Fornecidos diretamente pela empresa cliente: razão social, CNPJ, atividade econômica (CNAE); endereço, telefone, e-mails de contato técnico/comercial/financeiro; dados dos sócios e representantes (RG, CPF, comprovante); dados bancários para liquidação; volume estimado de TPV mensal.

Gerados automaticamente: logs técnicos (IP, user-agent, device fingerprint, geolocalização aproximada); métricas de uso da API (endpoints chamados, latência, status); trilhas de auditoria (login, alteração de configuração, transação); cookies essenciais (sessão, segurança); cookies opcionais (analytics, marketing — somente após opt-in).

Dados anonimizados ou agregados: estatísticas de TPV por segmento, sem identificação; dashboards internos de performance da rede.

Em resumo: Você escolhe quais cookies aceita. Pode mudar a qualquer momento em /cookies.

Categorias: Essenciais (sempre ativos) — autenticação, segurança, sessão; Funcionais (opt-in granular) — preferências de idioma, layout; Analíticos (opt-in granular) — Google Analytics, Hotjar, Plausible; Marketing (opt-in granular) — Meta Pixel, Google Ads tag, LinkedIn Insight.

Cookie banner: apresentado na primeira visita com opções de aceitar todos, recusar opcionais ou configurar granularmente.

Lista completa de cookies, SDKs e parceiros disponível em olimpopay.com.br/cookies.

Consentimento é solicitado apenas quando outra base legal não se aplica (ex: marketing, cookies opcionais, dados sensíveis).

Características: livre (sem coerção); informado (com finalidade clara); inequívoco (ação afirmativa, sem opt-out tácito); granular (por finalidade); revogável a qualquer momento.

Revogação: canal [email protected] ou painel /conta/privacidade. Resposta em até 15 dias úteis. Não afeta tratamentos já realizados com base legal válida.

Dados armazenados em servidores cloud confiáveis no Brasil e exterior (EUA, Europa). Parceiros cloud auditados.

Segurança: criptografia em trânsito (TLS 1.3); criptografia em repouso (AES-256); tokenização PCI DSS para dados de cartão; segregação por tenant; logs imutáveis + audit trail; backup geo-redundante.

Transferência internacional: garantia contratual de padrão LGPD-compatível (SCC ou equivalente). Países de destino listados em /cookies (seção infraestrutura).

Em resumo: Cada categoria de dado tem prazo específico baseado em lei aplicável.

Dados cadastrais ativos: durante a relação contratual (Art. 7, V LGPD).

Dados cadastrais após encerramento: 10 anos (Circular BACEN 3.978/2020).

Trilhas transacionais: 10 anos (Circular BACEN 3.978/2020).

KYC / AML / documentação: 5 anos após encerramento (Lei 9.613/98).

Logs técnicos: 12 meses, rotacionados (Marco Civil art. 13).

Comunicações de marketing: até revogação do consentimento (LGPD art. 8º §5º).

Cookies analíticos: 12 meses (configuração padrão).

Cookies marketing: 90 dias (configuração padrão).

Backup criptografado: 90 dias após exclusão lógica (boas práticas).

Após o prazo, dados são anonimizados ou eliminados de forma irrecuperável.

Em resumo: Quem recebe seus dados é listado aqui. Quem aparece, aparece com base legal e contrato.

Banks parceiros: processamento de transação e liquidação. Compartilhamos dados transacionais + cadastrais mínimos.

Antifraude (Ethoca, Verifi e parceiros): score de risco e alerta pré-chargeback. Compartilhamos BIN, valor, IP, padrão de uso.

Bureaus de crédito: compliance KYC e score. Compartilhamos CNPJ e dados públicos.

Cloud / Infraestrutura: armazenamento e processamento criptografado.

Atendimento (CRM, ticket): suporte ao cliente. Cadastrais e interações.

Marketing tools (somente com consentimento): e-mail marketing e ads. E-mail e comportamento.

Autoridades (BACEN, COAF, Receita Federal, polícia, judiciário): cumprimento legal conforme requisição oficial.

Garantias contratuais: todos os operadores assinam DPA (Data Processing Agreement) com confidencialidade, padrão LGPD/GDPR-compatível, sub-contratação restrita, notificação de incidentes em 24h e auditoria sob demanda.

PCI DSS — em conformidade (dados de cartão tokenizados, nunca armazenados em texto).

ISO 27001 — em processo de certificação.

SOC 2 Type II — roadmap 2026.

Tokenização ponta-a-ponta de dados sensíveis.

MFA obrigatório para acesso administrativo.

Pentests semestrais por empresa independente.

Monitoramento 24/7 com SIEM.

Plano de resposta a incidentes documentado.

Em resumo: Decisões algorítmicas que te afetem podem ser revisadas por humano em 15 dias úteis.

A Olimpo Pay utiliza modelos algorítmicos (machine learning) para: score de antifraude em tempo real; Smart Routing (escolha do Bank com maior chance de aprovação); detecção de padrões anômalos.

Direito de revisão humana (art. 20 LGPD): decisões automatizadas que afetem materialmente seus interesses (ex: bloqueio de transação, suspensão de conta) podem ser revisadas por humano via [email protected]. Prazo de resposta: 15 dias úteis. Resultado: confirmação, reversão ou ajuste com justificativa.

Transparência: não usamos dados sensíveis em decisões automatizadas; modelos auditados internamente e ajustados para evitar viés; você pode solicitar explicação geral sobre os fatores considerados.

Em resumo: Você tem 9 direitos garantidos. Canal único: [email protected].

Confirmação de tratamento — SLA 15 dias.

Acesso aos dados — SLA 15 dias.

Correção de dados incompletos, inexatos ou desatualizados — SLA 15 dias.

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade — SLA 15 dias.

Portabilidade em formato estruturado e máquina-legível — SLA 30 dias.

Eliminação de dados tratados com consentimento (ressalvadas hipóteses legais) — SLA 15 dias.

Informação sobre entidades públicas e privadas com quem compartilhamos — SLA 15 dias.

Informação sobre possibilidade de não fornecer consentimento e suas consequências — imediato.

Revogação do consentimento — imediato. Em caso de negativa, motivamos por escrito.

Em resumo: Em incidente relevante, ANPD em 72h e você é comunicado em prazo razoável.

Em caso de incidente que envolva dados pessoais com risco relevante: ANPD notificada em até 72 horas; titulares afetados comunicados em prazo razoável; comunicação inclui natureza dos dados, titulares envolvidos, medidas adotadas, riscos e medidas de mitigação. Conforme Resolução ANPD nº 03/2024.

A Olimpo Pay é serviço B2B exclusivamente para maiores de 18 anos e empresas legalmente constituídas. Não coletamos intencionalmente dados de crianças ou adolescentes. Se identificado, dado é excluído e responsável legal contatado.

Encarregado de Proteção de Dados (DPO). Canal oficial: [email protected]. Endereço: Rua Santa Luzia, 100, Sala 601, Trindade, Florianópolis/SC, CEP 88036-540.

DPO responde por: recebimento de reclamações e comunicações dos titulares; recebimento de comunicações da ANPD; orientação interna sobre LGPD; coordenação de DPIA (Data Protection Impact Assessment).

Em resumo: Mudanças materiais exigem comunicação 120 dias antes + seu opt-in ativo.

Comunicação prévia obrigatória: alterações materiais (que afetem seus direitos ou base legal) serão comunicadas com 120 (cento e vinte) dias de antecedência via e-mail para o contato cadastrado; aviso no painel /conta; notificação push (quando aplicável); e banner no topo do site.

Opt-in ativo: após o período de 120 dias, será exigido aceite ativo (não tácito) no painel. Sem aceite, conta entra em modo somente-leitura até decisão do titular.

Alterações não materiais (correções ortográficas, atualizações de endereço, ajustes operacionais) não exigem opt-in, mas são registradas no changelog público em /legal/historico.

Direito de descontinuar: se discordar das alterações, pode encerrar a conta sem custo. Saldo é repassado conforme cláusula de encerramento dos Termos de Uso.

Histórico completo de versões disponível em olimpopay.com.br/legal/historico com versão, data de vigência, resumo das mudanças, diff visual entre versões e link para PDF arquivado de cada versão.

Política regida pelas leis da República Federativa do Brasil. Foro: Comarca de Florianópolis/SC, exceto quando legislação consumerista determinar foro do domicílio do titular.