A gente vende LGPD.
Então a gente é exemplo de LGPD.
Nossa política foi gerada pelo próprio Cravar. Nosso ROPA também. Cada sub-processador tá listado por nome, país e DPA. Nosso score público fica em 95+ ou o build cai.
Política de Privacidade
Como tratamos seus dados, com qual base legal, por quanto tempo.
Termos de Uso
Regras do serviço — sem letra miúda, sem pegadinhas.
DPA público
Quando você é Controlador e a gente é Operador (Resolução CD/ANPD 19/2024).
Sub-processadores
Lista nominal de todos os operadores que tocam dados seus.
Segurança
Bug bounty, PGP, responsible disclosure, hall of fame.
Incidentes
Postmortems públicos. Tudo que aconteceu, o quê fizemos, o quê mudou.
Princípios
Dogfooding obrigatório
Tudo que pedimos pro nosso cliente fazer, a gente faz primeiro no Cravar. Política gerada pelo Cravar. ROPA gerado pelo Cravar. Score em 95+ ou CI vermelho.
Brasil como default
Banco em São Paulo (Supabase sa-east-1). Edge Vercel em Guarulhos quando possível. Sub-processadores fora do BR são declarados com cláusulas-padrão da ANPD (Resolução 19/2024).
Incidente é público
Comunicamos clientes em 24h após detecção (legalmente o prazo é 3 dias úteis pra ANPD). Postmortem público em 5 dias. Sem firula, sem advogado escondendo a bola.