Jurídico

Documentação Jurídica e de Conformidade

Os termos, políticas e documentos de conformidade que regem como a Octa8 opera e como protegemos os seus dados.

Jurídico e contratos

Termos de Uso

Regras e condições para utilização da plataforma Octa8.

Versão 1.0 · Vigente em 04/06/2026

1. Identificação e Aceitação

Octa8 é uma plataforma de software como serviço (SaaS) de múltiplos inquilinos operada por Octa8 Tecnologia LTDA, inscrita no CNPJ sob o nº 12.345.678/0001-90, com sede em Jaú, São Paulo, Brasil ("Plataforma", "nós", "nos" ou "nosso"). Estes Termos de Uso ("Termos") regem o acesso e a utilização de todos os serviços, funcionalidades, aplicativos, APIs, painéis de controle e conteúdos disponibilizados pela Octa8.

Ao se cadastrar, acessar, clicar em "Aceitar", assinar um plano ou de qualquer forma utilizar a Plataforma, o Usuário declara ter lido, compreendido e concordado integralmente com estes Termos e com a nossa Política de Privacidade. Se o Usuário não concordar com qualquer disposição, deve cessar imediatamente o uso e encerrar sua conta.

Estes Termos constituem contrato vinculante entre o Usuário (pessoa física ou jurídica) e a Octa8 Tecnologia LTDA. Quando o Usuário aceitar estes Termos em nome de uma pessoa jurídica, declara possuir poderes para tanto, vinculando a entidade representada.

2. Definições

Para fins destes Termos, aplicam-se as seguintes definições:

"Usuário" – qualquer pessoa física ou jurídica que acesse ou utilize a Plataforma, incluindo titulares de conta, administradores, membros de workspace e usuários convidados.
"Conta" – o registro individual ou organizacional criado pelo Usuário para acessar a Plataforma.
"Workspace" – ambiente lógico isolado pertencente a um titular de conta, no qual usuários adicionais podem ser convidados e recursos da Plataforma consumidos.
"Plano" – pacote de funcionalidades e limites de uso disponibilizado mediante contraprestação periódica (assinatura) ou, quando aplicável, sem custo (plano gratuito).
"Dados do Usuário" – quaisquer dados, arquivos, conteúdos, informações pessoais e materiais inseridos, carregados ou gerados pelo Usuário na Plataforma.
"Serviços de Terceiros" – APIs, integrações, ferramentas e plataformas externas acessadas por meio da Octa8, mas cujos termos são regidos pelos respectivos fornecedores.
"Administrador" – Usuário com permissão de gerenciar configurações do Workspace, planos, membros e integrações.
"Revendedor" / "White-label" – empresa ou profissional que, mediante autorização contratual específica, oferece a Plataforma sob sua própria marca a clientes finais.
"Afiliado" – pessoa física ou jurídica participante do programa de indicação da Octa8 Tecnologia LTDA, sujeito às regras complementares do respectivo programa.

3. Elegibilidade e Cadastro

3.1 Requisitos de elegibilidade

O acesso à Plataforma é permitido a:

Pessoas físicas com capacidade civil plena, com idade mínima de 18 (dezoito) anos ou emancipadas legalmente;
Pessoas jurídicas regularmente constituídas, representadas por administrador com poderes para contratar em nome da entidade.

É vedado o cadastro por menores de 18 anos não emancipados. O uso por adolescentes entre 16 e 18 anos emancipados depende de autorização expressa dos representantes legais e declaração de emancipação quando solicitado.

3.2 Processo de cadastro

O Usuário deverá fornecer informações verdadeiras, precisas, atuais e completas no momento do cadastro ("Dados de Cadastro") e mantê-las sempre atualizadas. O fornecimento de informações falsas constitui violação destes Termos e pode resultar no cancelamento imediato da conta.

O Usuário é integralmente responsável por:

a) manter a confidencialidade de suas credenciais de acesso (login e senha);
b) todas as atividades realizadas sob sua conta, independentemente de quem as execute;
c) notificar imediatamente a Octa8 Tecnologia LTDA, pelo canal help@octa8.app, em caso de uso não autorizado ou suspeita de comprometimento de suas credenciais.

3.3 Contas corporativas e múltiplos usuários

Quando um Administrador convida membros para um Workspace, torna-se responsável por assegurar que os convidados também estejam cientes e em conformidade com estes Termos antes de acessar a Plataforma. A violação dos Termos por qualquer membro do Workspace poderá ensejar medidas contra a conta titular.

3.4 Verificação de identidade

A Octa8 Tecnologia LTDA reserva-se o direito de, a qualquer tempo, solicitar documentos ou informações adicionais para verificar a identidade do Usuário ou a regularidade da pessoa jurídica representada, podendo suspender o acesso enquanto a verificação estiver pendente.

4. Planos, Recursos e Limites de Uso

4.1 Planos disponíveis

A Octa8 disponibiliza diferentes Planos com funcionalidades, limites de uso, usuários, armazenamento e cotas de API distintos. Os detalhes de cada Plano estão descritos na página de preços em https://octa8.app//pricing, incorporada a estes Termos por referência.

4.2 Plano gratuito

Quando disponível, o plano gratuito está sujeito a limites mais restritivos de uso, recursos e suporte. A Octa8 Tecnologia LTDA poderá, a seu critério, alterar, restringir ou descontinuar o plano gratuito mediante aviso prévio de 30 (trinta) dias.

4.3 Limites de uso e cotas

Cada Plano estabelece cotas relativas a (conforme aplicável): armazenamento de arquivos, largura de banda, número de domínios, requisições de API, usuários por Workspace, mensagens, execuções de automação e outros recursos. O excedente às cotas contratadas poderá resultar em: (i) suspensão automática do recurso excedido; (ii) cobrança adicional proporcional ao excesso, conforme tabela publicada; ou (iii) bloqueio temporário até a renovação do ciclo de faturamento. O Usuário será notificado quando atingir 80% e 100% de qualquer cota relevante.

4.4 Uso de APIs e integrações

O acesso a APIs de terceiros disponibilizadas através da Plataforma está sujeito, simultaneamente, a estes Termos e aos termos de serviço dos respectivos fornecedores. O Usuário é responsável por cumprir os termos dos Serviços de Terceiros e por quaisquer custos adicionais cobrados por esses fornecedores diretamente ao Usuário. A Octa8 Tecnologia LTDA não se responsabiliza por indisponibilidades, alterações ou descontinuação de APIs de terceiros.

A utilização das APIs da própria Octa8 requer autenticação mediante chaves de API (API Keys) geradas na Plataforma. O Usuário deve: (i) manter suas chaves de API em sigilo; (ii) não compartilhá-las com terceiros não autorizados; (iii) revogar imediatamente chaves comprometidas. O uso das APIs da Octa8 está sujeito a limites de taxa (rate limits) definidos por Plano e documentados no portal de desenvolvedores em https://octa8.app//docs/api.

4.5 Uso aceitável

É expressamente vedado ao Usuário:

a) utilizar a Plataforma para fins ilegais, fraudulentos ou lesivos a terceiros;
b) enviar, armazenar ou transmitir vírus, malware, ransomware ou qualquer código malicioso;
c) realizar ataques de negação de serviço (DDoS), varredura de vulnerabilidades não autorizada ou qualquer tentativa de comprometimento da infraestrutura da Plataforma;
d) acessar contas, dados ou sistemas de outros Usuários sem autorização expressa;
e) violar direitos de propriedade intelectual de terceiros;
f) enviar comunicações não solicitadas (spam) por meio dos recursos da Plataforma;
g) utilizar a Plataforma para processar conteúdo que viole legislação aplicável, incluindo material de exploração sexual infantil (CSAM), discurso de ódio ilegal ou material que incite à violência;
h) fazer engenharia reversa, decompilar ou desmontar qualquer componente da Plataforma;
i) revender, sublicenciar ou ceder acesso à Plataforma sem autorização contratual expressa da Octa8 Tecnologia LTDA;
j) burlar mecanismos de autenticação, limitação de acesso ou controles de segurança.

A violação das regras de uso aceitável poderá acarretar suspensão imediata ou encerramento da conta, sem direito a reembolso, além de responsabilização civil e criminal.

5. Pagamentos, Faturamento e Impostos

5.1 Preços e moeda

Os preços dos Planos estão indicados em https://octa8.app//pricing e podem ser expressos em Reais (BRL) ou outra moeda, conforme configuração de conta do Usuário. Os preços são exibidos sem tributos incidentes, exceto quando expressamente indicado.

5.2 Métodos de pagamento

A Octa8 Tecnologia LTDA aceita os métodos de pagamento disponibilizados no momento da assinatura, podendo incluir cartão de crédito, boleto bancário, PIX e outros meios eletrônicos. O Usuário autoriza a Octa8 Tecnologia LTDA a cobrar, no método de pagamento cadastrado, os valores correspondentes ao Plano contratado e eventuais excedentes de uso.

5.3 Ciclo de faturamento

O faturamento ocorre de forma antecipada, no início de cada ciclo (mensal ou anual, conforme o Plano escolhido). A data de renovação corresponde à data original da assinatura ou ao dia acordado no momento da contratação.

5.4 Falha de pagamento

Em caso de falha no processamento do pagamento, a Octa8 Tecnologia LTDA realizará até 3 (três) tentativas automáticas em intervalos de 3 (três) dias cada. Durante o período de tentativas, o acesso poderá ser mantido em modo restrito. Persistindo a falha após o período de retentativas, a conta será suspensa até a regularização.

5.5 Tributação

O Usuário é responsável pelo recolhimento de todos os tributos aplicáveis à sua utilização dos serviços, nos termos da legislação vigente. A Octa8 Tecnologia LTDA emitirá notas fiscais de acordo com a legislação brasileira aplicável. Para Usuários fora do Brasil, tributos locais (como IVA, GST ou VAT) poderão ser adicionados conforme exigência legal da jurisdição do Usuário.

5.6 Contestação de cobranças

O Usuário deve notificar a Octa8 Tecnologia LTDA por escrito, em até 30 (trinta) dias após o vencimento da fatura contestada, enviando mensagem para help@octa8.app com descrição fundamentada da discrepância. Cobranças não contestadas nesse prazo são consideradas aceitas. A contestação não suspende a obrigação de pagamento de valores incontroversos.

5.7 Política de reembolso

Salvo disposição legal em contrário ou conforme expressamente previsto no Plano contratado:

Assinaturas mensais: não há reembolso proporcional por cancelamento antes do fim do ciclo vigente.
Assinaturas anuais: reembolso proporcional ao período não utilizado poderá ser concedido, a critério exclusivo da Octa8 Tecnologia LTDA, nos primeiros 14 (quatorze) dias após o início de cada ciclo anual, salvo se o Usuário já tiver consumido recursos significativos.
Direito de arrependimento: nos termos do art. 49 do Código de Defesa do Consumidor, o Usuário-consumidor tem direito de arrependimento em até 7 (sete) dias corridos da contratação, com reembolso integral, desde que o cancelamento seja solicitado pelo canal help@octa8.app ou diretamente na Plataforma.

6. Renovação Automática

6.1 Renovação

Os Planos pagos renovam-se automaticamente ao término de cada ciclo de faturamento (mensal ou anual), pelo mesmo período e valor vigente, salvo se o Usuário efetuar o cancelamento antes da data de renovação ou se a Octa8 Tecnologia LTDA comunicar alteração de preço nos termos da Cláusula 6.2.

6.2 Alteração de preços

A Octa8 Tecnologia LTDA poderá reajustar os preços dos Planos mediante notificação ao Usuário com antecedência mínima de 30 (trinta) dias para planos mensais e 60 (sessenta) dias para planos anuais, por e-mail e/ou notificação dentro da Plataforma. Se o Usuário não cancelar antes do próximo ciclo de faturamento após o aviso, considera-se que aceitou o novo preço.

6.3 Desativação da renovação automática

O Usuário pode desativar a renovação automática a qualquer momento por meio do painel de administração da conta, na seção "Assinatura". A desativação não cancela o acesso durante o período já pago.

7. Cancelamento e Encerramento pelo Usuário

7.1 Direito de cancelamento

O Usuário pode cancelar sua assinatura a qualquer momento, sem necessidade de justificativa, acessando o painel da conta em https://octa8.app//account ou mediante solicitação pelo e-mail help@octa8.app. O cancelamento produz efeito ao término do ciclo de faturamento vigente, salvo se o Usuário solicitar encerramento imediato.

7.2 Efeitos do cancelamento

Após o encerramento da assinatura:

a) O acesso às funcionalidades pagas será encerrado ao término do ciclo pago;
b) Os Dados do Usuário serão mantidos em estado de leitura por um período de 30 (trinta) dias após o encerramento, durante o qual o Usuário poderá exportá-los;
c) Após o período de 30 dias, os Dados do Usuário serão excluídos definitivamente dos sistemas da Octa8 Tecnologia LTDA, salvo obrigação legal de retenção;
d) Dados necessários para cumprimento de obrigações fiscais, contábeis ou regulatórias serão retidos pelo prazo legalmente exigido.

7.3 Exportação de dados

A Octa8 Tecnologia LTDA disponibiliza ferramentas de exportação de dados dentro da Plataforma. O Usuário é responsável por exportar seus dados antes do encerramento definitivo da conta. A Octa8 Tecnologia LTDA não se responsabiliza pela perda de dados após o prazo de retenção pós-cancelamento.

8. Suspensão pela Plataforma

8.1 Suspensão por inadimplência

A Octa8 Tecnologia LTDA poderá suspender o acesso à conta em caso de atraso no pagamento superior a 10 (dez) dias corridos após o vencimento, após notificação por e-mail. Durante a suspensão por inadimplência, os Dados do Usuário são preservados.

8.2 Suspensão por violação destes Termos

A Octa8 Tecnologia LTDA poderá suspender ou restringir imediatamente o acesso à conta, sem aviso prévio, caso haja:

a) suspeita fundamentada de uso fraudulento ou abusivo;
b) ameaça à segurança, integridade ou disponibilidade da Plataforma ou de outros Usuários;
c) violação de legislação aplicável;
d) descumprimento das regras de uso aceitável (Cláusula 4.5).

A Octa8 Tecnologia LTDA notificará o Usuário sobre a suspensão e sua motivação o mais breve possível, respeitados os limites impostos por investigações em curso ou determinações legais.

8.3 Suspensão por ordem judicial ou regulatória

A Octa8 Tecnologia LTDA cumprirá ordens judiciais, regulatórias ou de autoridades competentes que determinem a suspensão, restrição ou encerramento de contas, independentemente de aviso ao Usuário afetado.

9. Encerramento pela Plataforma

9.1 Encerramento por justa causa

A Octa8 Tecnologia LTDA poderá encerrar definitivamente a conta do Usuário, sem direito a reembolso, nas seguintes hipóteses:

a) reincidência em violações destes Termos após advertência;
b) fornecimento de informações falsas no cadastro;
c) inadimplência não regularizada após o período de suspensão;
d) uso da Plataforma para fins criminosos ou que causem danos graves a terceiros ou à Octa8 Tecnologia LTDA;
e) determinação judicial ou regulatória.

9.2 Encerramento sem justa causa

A Octa8 Tecnologia LTDA poderá encerrar a prestação dos serviços mediante aviso prévio de 90 (noventa) dias, reembolsando ao Usuário os valores pagos correspondentes ao período não utilizado de planos anuais.

9.3 Efeitos do encerramento

Aplicam-se ao encerramento os mesmos efeitos previstos na Cláusula 7.2, observados os prazos correspondentes. O encerramento não exime o Usuário de obrigações financeiras já vencidas.

10. Responsabilidades das Partes

10.1 Responsabilidades da Octa8 Tecnologia LTDA

A Octa8 Tecnologia LTDA compromete-se a:

a) disponibilizar a Plataforma com esforço razoável para manter disponibilidade mínima de 99,5% mensais (excluídas janelas de manutenção programada, eventos de força maior e falhas de terceiros), com monitoramento contínuo;
b) comunicar manutenções programadas com antecedência mínima de 48 (quarenta e oito) horas, exceto em casos de emergência;
c) implementar medidas técnicas e organizacionais adequadas para proteger os Dados do Usuário;
d) notificar o Usuário sobre incidentes de segurança que afetem seus dados, nos prazos e formas exigidos pela legislação aplicável;
e) processar dados pessoais do Usuário em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) e, quando aplicável, com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR – Regulamento (UE) 2016/679).

10.2 Responsabilidades do Usuário

O Usuário é inteiramente responsável por:

a) todos os conteúdos, dados, informações e materiais que inserir, publicar, transmitir ou armazenar na Plataforma ("Conteúdo do Usuário");
b) garantir que o Conteúdo do Usuário não viole direitos de terceiros (incluindo direitos autorais, marcas registradas, privacidade e proteção de dados);
c) cumprir toda a legislação aplicável ao seu negócio e ao uso que faz da Plataforma, incluindo legislação de proteção de dados quando tratar dados pessoais de seus próprios clientes por meio dos recursos da Octa8;
d) manter seguras as credenciais de acesso e dispositivos utilizados para acessar a Plataforma;
e) fazer backup independente dos seus dados, não obstante as salvaguardas técnicas implementadas pela Octa8 Tecnologia LTDA;
f) cumprir as cotas, limites e restrições de uso estabelecidas no Plano contratado.

10.3 Isenção de responsabilidade por conteúdo de terceiros

A Octa8 Tecnologia LTDA não monitora, não aprova e não é responsável pelo Conteúdo do Usuário ou por conteúdos de Serviços de Terceiros acessados por meio da Plataforma. O Usuário reconhece que a Octa8 Tecnologia LTDA atua como mero intermediário tecnológico em relação ao Conteúdo do Usuário.

11. Propriedade Intelectual

11.1 Titularidade da Plataforma

Todos os direitos de propriedade intelectual relacionados à Plataforma Octa8 — incluindo, sem limitação, software, código-fonte, interfaces, designs, logotipos, marcas, textos, metodologias, APIs proprietárias e documentação — são de titularidade exclusiva da Octa8 Tecnologia LTDA ou de seus licenciantes. Nenhuma disposição destes Termos transfere qualquer direito de propriedade intelectual ao Usuário.

11.2 Licença de uso concedida ao Usuário

Sujeito ao cumprimento destes Termos e ao pagamento das contraprestações devidas, a Octa8 Tecnologia LTDA concede ao Usuário uma licença limitada, não exclusiva, não transferível, não sublicenciável e revogável para acessar e utilizar a Plataforma exclusivamente para os fins lícitos para os quais foi contratada, durante o período de vigência da assinatura.

Esta licença não autoriza o Usuário a: (i) copiar, modificar, distribuir, vender ou sublicenciar qualquer parte da Plataforma; (ii) fazer engenharia reversa ou tentar extrair o código-fonte; (iii) remover avisos de direitos autorais ou marcas da Octa8 Tecnologia LTDA.

11.3 Conteúdo do Usuário — licença concedida à Octa8 Tecnologia LTDA

O Usuário concede à Octa8 Tecnologia LTDA licença mundial, gratuita, não exclusiva e pelo prazo necessário para prestação dos serviços, para hospedar, armazenar, reproduzir, processar, transmitir e exibir o Conteúdo do Usuário exclusivamente com o propósito de operar, manter e melhorar a Plataforma e prestar os serviços contratados. Essa licença não autoriza a Octa8 Tecnologia LTDA a comercializar, sublicenciar ou divulgar publicamente o Conteúdo do Usuário.

11.4 Feedback e sugestões

Caso o Usuário envie à Octa8 Tecnologia LTDA sugestões, ideias, melhorias ou feedback sobre a Plataforma ("Feedback"), a Octa8 Tecnologia LTDA poderá usar tais contribuições sem restrição, obrigação de compensação ou atribuição. O Feedback não é considerado informação confidencial do Usuário.

11.5 Marca e identidade visual

O Usuário não pode utilizar o nome, logotipo, marcas ou identidade visual da Octa8 Tecnologia LTDA ou da Octa8 sem autorização prévia e por escrito, exceto no contexto expressamente permitido por estes Termos ou por acordo de parceria/revendedor.

12. Licenciamento para Revendedores e White-label

Empresas ou profissionais que desejem oferecer a Plataforma sob marca própria (white-label) ou revender serviços da Octa8 devem celebrar contrato específico de revendedor com a Octa8 Tecnologia LTDA. As condições, limites, percentuais de comissão, obrigações de suporte e restrições aplicáveis a revendedores são definidas exclusivamente nesse contrato complementar. Na ausência de contrato de revendedor vigente, qualquer tentativa de revenda ou sublicenciamento é expressamente vedada.

Revendedores são responsáveis por assegurar que seus clientes finais também estejam vinculados a termos de uso equivalentes em nível de proteção aos aqui previstos.

13. Confidencialidade

Cada parte pode receber informações confidenciais da outra no curso da relação estabelecida por estes Termos ("Informações Confidenciais"). Cada parte compromete-se a: (i) manter as Informações Confidenciais da outra em estrita confidencialidade; (ii) não divulgá-las a terceiros sem autorização prévia e escrita; (iii) utilizá-las exclusivamente para os fins da relação contratual. Não são consideradas confidenciais informações que: (a) já sejam de conhecimento público sem violação destes Termos; (b) sejam recebidas legitimamente de terceiro sem restrição de confidencialidade; (c) sejam desenvolvidas independentemente pela parte receptora; ou (d) cuja divulgação seja exigida por lei ou ordem judicial, hipótese em que a parte deverá notificar a outra com a máxima antecedência possível.

As obrigações de confidencialidade sobrevivem ao encerramento destes Termos por um período de 5 (cinco) anos.

14. Proteção de Dados Pessoais

A Octa8 Tecnologia LTDA trata dados pessoais em conformidade com sua Política de Privacidade disponível em https://octa8.app//legal/privacy-policy, com a LGPD (Lei nº 13.709/2018) e, quando aplicável, com o GDPR. O Usuário que utilize a Plataforma para tratar dados pessoais de terceiros atua como controlador perante esses terceiros, sendo a Octa8 Tecnologia LTDA operadora de tais dados. As condições de tratamento de dados pessoais realizadas pela Octa8 Tecnologia LTDA na qualidade de operadora constam do Adendo de Processamento de Dados ("DPA") disponível em https://octa8.app//legal/dpa, incorporado a estes Termos por referência para os Usuários que tratam dados pessoais de terceiros.

Para dúvidas sobre privacidade e proteção de dados, o Usuário pode contatar o Encarregado de Dados (DPO) da Octa8 Tecnologia LTDA: Encarregado de Proteção de Dados (DPO) — Octa8 — dpo@acme.test.

15. Limitação de Responsabilidade

15.1 Exclusão de garantias

A PLATAFORMA É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E "CONFORME DISPONÍVEL". NA MÁXIMA EXTENSÃO PERMITIDA PELA LEGISLAÇÃO APLICÁVEL, A Octa8 Tecnologia LTDA EXCLUI TODA E QUALQUER GARANTIA, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, INCLUINDO GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A FINALIDADE ESPECÍFICA, NÃO VIOLAÇÃO, DESEMPENHO ININTERRUPTO OU AUSÊNCIA DE ERROS.

15.2 Limitação de danos

NA MÁXIMA EXTENSÃO PERMITIDA PELA LEGISLAÇÃO APLICÁVEL, A Octa8 Tecnologia LTDA, SEUS DIRETORES, FUNCIONÁRIOS, AGENTES, FORNECEDORES E LICENCIANTES NÃO SERÃO RESPONSÁVEIS POR:

DANOS INDIRETOS, INCIDENTAIS, ESPECIAIS, PUNITIVOS OU CONSEQUENCIAIS;
LUCROS CESSANTES, PERDA DE RECEITA, PERDA DE DADOS OU PERDA DE OPORTUNIDADES DE NEGÓCIO;

MESMO QUE A Octa8 Tecnologia LTDA TENHA SIDO INFORMADA DA POSSIBILIDADE DE TAIS DANOS.

15.3 Teto de responsabilidade

A RESPONSABILIDADE TOTAL E ACUMULADA DA Octa8 Tecnologia LTDA PERANTE O USUÁRIO, POR QUALQUER CAUSA E INDEPENDENTEMENTE DA FORMA DE AÇÃO (CONTRATUAL, EXTRACONTRATUAL OU OUTRA), FICA LIMITADA AO MAIOR ENTRE: (I) OS VALORES EFETIVAMENTE PAGOS PELO USUÁRIO À Octa8 Tecnologia LTDA NOS 12 (DOZE) MESES IMEDIATAMENTE ANTERIORES AO EVENTO CAUSADOR DO DANO; OU (II) R$ 500,00 (QUINHENTOS REAIS).

15.4 Exceções

As limitações acima não se aplicam a: (i) danos causados por dolo ou culpa grave da Octa8 Tecnologia LTDA; (ii) responsabilidade por violação de dados pessoais decorrente de falha de segurança imputável exclusivamente à Octa8 Tecnologia LTDA, na extensão prevista pela LGPD; (iii) casos em que a exclusão ou limitação seja vedada pela legislação aplicável de proteção ao consumidor.

16. Indenização

O Usuário concorda em indenizar, defender e isentar a Octa8 Tecnologia LTDA, seus sócios, diretores, funcionários, agentes e licenciantes de e contra quaisquer reclamações, ações, perdas, danos, custos e despesas (incluindo honorários advocatícios razoáveis) decorrentes de: (i) uso da Plataforma em violação destes Termos; (ii) Conteúdo do Usuário; (iii) violação de direitos de terceiros; (iv) descumprimento de legislação aplicável pelo Usuário.

17. Força Maior

Nenhuma das partes será responsabilizada por atraso ou falha no cumprimento de suas obrigações decorrentes de causas fora de seu controle razoável, incluindo, sem limitação: catástrofes naturais, guerras, pandemias, atos terroristas, interrupções de energia elétrica em larga escala, falhas de infraestrutura de internet, greves generalizadas, atos de governo ou regulatórios imprevistos ("Evento de Força Maior").

A parte afetada deverá: (i) notificar a outra parte por escrito no prazo de 5 (cinco) dias úteis após o início do Evento de Força Maior; (ii) empregar esforços razoáveis para mitigar os efeitos; (iii) retomar o cumprimento das obrigações assim que possível. Se o Evento de Força Maior perdurar por mais de 90 (noventa) dias corridos, qualquer das partes poderá rescindir este contrato mediante aviso escrito, sem penalidades, e o Usuário fará jus ao reembolso proporcional de valores pagos por período não utilizado.

18. Modificações destes Termos

A Octa8 Tecnologia LTDA poderá modificar estes Termos periodicamente para refletir mudanças nos serviços, legislação ou práticas de negócio. Modificações relevantes serão comunicadas ao Usuário com antecedência mínima de 15 (quinze) dias por e-mail e/ou notificação dentro da Plataforma. Modificações decorrentes de exigência legal imediata poderão entrar em vigor imediatamente.

O uso continuado da Plataforma após a data de vigência das modificações constituirá aceitação dos novos Termos. Se o Usuário não concordar com as modificações, deverá cancelar sua conta antes da data de vigência.

19. Programa de Afiliados

O programa de afiliados da Octa8 é facultativo e sujeito a regulamento específico disponível em https://octa8.app//affiliates/terms. Participantes são responsáveis por cumprir as leis de publicidade, divulgação de vínculos comerciais (incluindo as normas do CONAR e as exigências da Resolução ANPD pertinente) e tributação aplicável às comissões recebidas. A Octa8 Tecnologia LTDA reserva-se o direito de alterar, suspender ou encerrar o programa de afiliados com aviso prévio de 30 (trinta) dias.

20. Penalidades por Violação

Sem prejuízo do encerramento da conta e das responsabilidades civis e criminais cabíveis, a violação destes Termos poderá acarretar:

a) Advertência formal por e-mail, em casos de primeira infração não grave;
b) Suspensão temporária de até 30 (trinta) dias, em casos de infração moderada ou reincidência leve;
c) Encerramento permanente da conta, sem reembolso, em casos de infração grave, uso criminoso ou reincidência após suspensão;
d) Cobrança de custos incorridos pela Octa8 Tecnologia LTDA para remediar danos causados pelo Usuário à infraestrutura ou a terceiros, incluindo custos jurídicos;
e) Comunicação a autoridades competentes quando a conduta configurar ilícito penal ou exigir notificação regulatória obrigatória.

A aplicação de penalidades observará os princípios da proporcionalidade e razoabilidade, podendo ser revisada pelo canal de suporte em help@octa8.app.

21. Resolução de Disputas

21.1 Resolução amigável

As partes comprometem-se a tentar resolver qualquer disputa decorrente ou relacionada a estes Termos de forma amigável, mediante comunicação por escrito para help@octa8.app, dentro de 30 (trinta) dias corridos do surgimento da controvérsia.

21.2 Mediação

Não havendo acordo no prazo previsto na Cláusula 21.1, as partes poderão submeter a disputa à mediação perante câmara de mediação e arbitragem reconhecida, antes de iniciar procedimento judicial ou arbitral.

21.3 Arbitragem

As disputas de natureza empresarial (B2B) entre a Octa8 Tecnologia LTDA e Usuários pessoas jurídicas, cujo valor exceda R$ 50.000,00 (cinquenta mil reais), poderão ser submetidas, por escolha de qualquer das partes, à arbitragem institucional perante câmara a ser acordada entre as partes no momento da controvérsia, com sede em Foro da Comarca de Jaú/SP, Brasil, em língua portuguesa, aplicando-se a legislação brasileira. A existência e o conteúdo do procedimento arbitral são confidenciais.

21.4 Direitos do consumidor

Nada nesta Cláusula 21 restringe ou afasta direitos assegurados ao Usuário-consumidor pelo Código de Defesa do Consumidor (Lei nº 8.078/1990) e demais normas protetivas aplicáveis, incluindo o direito de acesso à via judicial e ao PROCON ou demais órgãos de defesa do consumidor.

22. Disposições Gerais

22.1 Integralidade do acordo

Estes Termos, juntamente com a Política de Privacidade, o DPA (quando aplicável), os Termos Específicos de Planos e quaisquer contratos de revendedor ou afiliado aplicáveis, constituem o acordo integral entre as partes com relação ao seu objeto, substituindo todos os entendimentos anteriores, escritos ou orais.

22.2 Divisibilidade

Se qualquer disposição destes Termos for declarada nula, inválida ou inaplicável por tribunal ou autoridade competente, as demais disposições permanecerão em pleno vigor e efeito. A disposição invalidada será interpretada de forma a aproximar-se ao máximo da intenção original das partes.

22.3 Renúncia

A falha da Octa8 Tecnologia LTDA em exercer ou fazer cumprir qualquer direito ou disposição destes Termos não constituirá renúncia a tal direito ou disposição. Qualquer renúncia deve ser feita por escrito e assinada por representante autorizado.

22.4 Cessão

O Usuário não poderá ceder ou transferir seus direitos e obrigações decorrentes destes Termos sem o consentimento prévio e por escrito da Octa8 Tecnologia LTDA. A Octa8 Tecnologia LTDA poderá ceder estes Termos, no todo ou em parte, em conexão com fusão, aquisição, reorganização societária ou venda de ativos, mediante notificação ao Usuário.

22.5 Comunicações

Todas as comunicações oficiais da Octa8 Tecnologia LTDA ao Usuário serão enviadas ao e-mail cadastrado na conta. O Usuário é responsável por manter o e-mail de cadastro atualizado. Comunicações do Usuário à Octa8 Tecnologia LTDA devem ser direcionadas para help@octa8.app.

22.6 Independência das partes

Nada nestes Termos cria vínculo empregatício, societário, de representação ou mandato entre as partes. Cada parte atua de forma independente.

22.7 Ausência de beneficiários terceiros

Estes Termos são celebrados exclusivamente em benefício das partes e não conferem direitos a quaisquer terceiros, salvo nos casos expressamente previstos (como membros do Workspace que aceitam estes Termos).

23. Vigência e Foro

Estes Termos de Uso entram em vigor na data de 04 de junho de 2026 e permanecem vigentes enquanto o Usuário mantiver conta ativa na Plataforma ou utilizar quaisquer de seus serviços.

Estes Termos são regidos pelas leis da República Federativa do Brasil. Para a resolução de disputas que não sejam submetidas à arbitragem nos termos da Cláusula 21.3, e ressalvados os direitos do consumidor previstos na Cláusula 21.4, fica eleito o foro da comarca de Foro da Comarca de Jaú/SP, Brasil, com exclusão de qualquer outro, por mais privilegiado que seja.

Para dúvidas, suporte e contato:

E-mail: help@octa8.app
Telefone: 0800 000 8888 (WhatsApp também)
Endereço: Jaú, São Paulo, Brasil
Site: https://octa8.app/
DPO: Encarregado de Proteção de Dados (DPO) — Octa8 — dpo@acme.test

Privacidade e proteção de dados

Política de Privacidade

Como a Octa8 Tecnologia LTDA coleta, usa e protege seus dados pessoais.

Versão 1.0 · Vigente em 04/06/2026

1. Identificação do Controlador

Octa8 Tecnologia LTDA, inscrita no CNPJ sob o nº 12.345.678/0001-90, com sede em Jaú, São Paulo, Brasil, é a controladora dos dados pessoais tratados no âmbito da plataforma Octa8, doravante denominada "Plataforma", acessível em https://octa8.app/.

Para fins desta Política, aplicam-se as definições da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD) e, quando aplicável, do Regulamento (UE) 2016/679 (GDPR).

Contato geral: help@octa8.app | 0800 000 8888 (WhatsApp também)

2. Encarregado pelo Tratamento de Dados (DPO)

O Encarregado pelo Tratamento de Dados da Octa8 Tecnologia LTDA é:

Nome: Encarregado de Proteção de Dados (DPO) — Octa8
E-mail: dpo@acme.test

O Encarregado é o canal preferencial para o exercício de direitos, reclamações e esclarecimentos sobre esta Política. Todas as solicitações recebidas são registradas, triadas e respondidas em até 15 (quinze) dias corridos, prorrogáveis por igual período mediante justificativa fundamentada, nos termos do art. 18, § 4º, da LGPD.

3. Âmbito e Aplicação

Esta Política aplica-se a:

Usuários finais — pessoas naturais que acessam, utilizam ou se cadastram na Plataforma em conta própria;
Administradores de workspace — pessoas que criam ou gerenciam tenants (espaços de trabalho), contratam planos e configuram integrações;
Colaboradores e membros de equipe — pessoas convidadas a participar de um workspace;
Afiliados e revendedores — parceiros que promovem ou redistribuem a Plataforma;
Visitantes — pessoas que acessam páginas públicas, landing pages, portais ou chatbots hospedados na Plataforma;
Suboperadores e parceiros de integração — quando interagem com a Plataforma em nome de um controlador terceiro.

Esta Política não cobre o tratamento realizado pelos controladores independentes que hospedam seus próprios negócios na Plataforma (ex.: titulares de workspaces que tratam dados de seus próprios clientes). Esses controladores devem adotar suas próprias políticas de privacidade e são responsáveis pelo tratamento de dados de seus usuários finais.

4. Dados Pessoais Coletados

4.1 Dados Fornecidos Diretamente pelo Titular

Categoria	Exemplos	Contexto de Coleta
Identificação e contato	Nome completo, endereço de e-mail, número de telefone, foto de perfil	Cadastro de conta, perfil de usuário
Credenciais de acesso	Hash de senha (bcrypt), tokens de sessão, tokens OAuth	Autenticação
Dados de faturamento	Nome do titular do cartão, últimos 4 dígitos, bandeira, endereço de cobrança, CPF/CNPJ para emissão de nota fiscal	Contratação de planos, topups de carteira
Dados profissionais e empresariais	Razão social, CNPJ, endereço comercial, nome de domínio, setor de atividade	Configuração do workspace
Conteúdo gerado pelo usuário	Textos, imagens, vídeos, documentos, templates, posts agendados, respostas de formulários	Uso das ferramentas da Plataforma
Comunicações	Mensagens trocadas via chat interno, tickets de suporte, e-mails enviados ao DPO ou ao suporte	Suporte e comunicação interna
Dados de subafiliados e comissões	Nome, e-mail, chave Pix/conta bancária, histórico de indicações e pagamentos	Módulo de afiliados

4.2 Dados Coletados Automaticamente

Categoria	Exemplos	Mecanismo
Identificadores de dispositivo e rede	Endereço IP (IPv4/IPv6), User-Agent, tipo e versão de navegador, sistema operacional, resolução de tela	Requisições HTTP
Dados de navegação e interação	Páginas visitadas, tempo de sessão, cliques, sequência de navegação, erros de interface	Logs de aplicação, scripts de telemetria
Dados de localização aproximada	País, estado, cidade (derivados do IP via geolocalização)	Processamento server-side
Metadados de arquivos	Nome do arquivo, tipo MIME, tamanho, data de modificação; dados EXIF de imagens são removidos no momento do upload por razões de privacidade	Upload de arquivos
Cookies e tecnologias similares	Identificadores de sessão, preferências de interface, tokens anti-CSRF, cookies analíticos e de desempenho	Ver Seção 5 e Política de Cookies
Dados de uso da API	Endpoints acessados, volume de requisições, latência, códigos de resposta, chaves de API utilizadas	Logs de API
Dados de eventos de webhook	Payloads recebidos de provedores de pagamento, integrações de CRM, plataformas de e-mail e demais serviços conectados	Integrações de terceiros

4.3 Dados Inferidos e Derivados

A Plataforma pode gerar dados inferidos a partir das informações coletadas, incluindo:

Segmentação comportamental — padrões de uso que auxiliam na personalização de funcionalidades e recomendações;
Pontuação de engajamento — métricas agregadas de interação com conteúdo publicado;
Perfil de risco de segurança — detecção de anomalias de login e comportamentos suspeitos para fins de proteção da conta;
Previsões de uso — estimativas de consumo de recursos para dimensionamento de infraestrutura e alertas proativos.

Dados inferidos não são compartilhados com terceiros para fins comerciais independentes.

4.4 Dados de Terceiros

Quando o titular opta por autenticar-se via provedores OAuth (Google, Facebook, GitHub etc.), recebemos os dados autorizados pelo titular nessa plataforma, tipicamente: identificador único, nome, endereço de e-mail e foto de perfil. O escopo exato é informado no momento da autorização.

4.5 Dados Sensíveis

Não coletamos, de forma intencional, dados pessoais sensíveis (art. 5º, II, LGPD) — tais como origem racial ou étnica, convicção religiosa, opinião política, dados de saúde, biometria ou dados sobre a vida sexual — como parte do nosso serviço. Caso o usuário inclua tais dados em conteúdos que publica ou armazena na Plataforma, o tratamento ocorre sob a responsabilidade do respectivo controlador (workspace admin), cabendo a este obter as bases legais adequadas.

5. Cookies e Tecnologias de Rastreamento

A Plataforma utiliza cookies próprios e de terceiros para garantir o funcionamento técnico, analisar o desempenho e personalizar a experiência. Os cookies são classificados em:

Estritamente necessários — indispensáveis para autenticação, segurança e funcionamento da sessão; não requerem consentimento;
Funcionais — armazenam preferências do usuário (idioma, tema, layout); requerem consentimento ou interesse legítimo;
Analíticos e de desempenho — medem audiência e performance (ex.: métricas agregadas de uso); requerem consentimento;
Marketing e rastreamento — utilizados por integrações de terceiros (ex.: pixels de conversão); requerem consentimento explícito.

Para informações detalhadas sobre cada cookie utilizado, período de retenção e como gerenciar suas preferências, consulte nossa Política de Cookies, disponível em https://octa8.app//cookies.

O consentimento para cookies não estritamente necessários pode ser retirado a qualquer momento através do painel de preferências de cookies, acessível no rodapé da Plataforma.

6. Finalidades e Bases Legais do Tratamento

#	Finalidade	Dados Utilizados	Base Legal (LGPD)	Base Legal (GDPR)
F1	Criação e gerenciamento de conta de usuário	Identificação, credenciais, dados empresariais	Execução de contrato (art. 7º, V)	Art. 6(1)(b)
F2	Prestação dos serviços contratados (hospedagem, domínios, ferramentas, monitoramento, SEO, IA)	Todos os dados necessários ao serviço	Execução de contrato (art. 7º, V)	Art. 6(1)(b)
F3	Processamento de pagamentos e gestão de assinaturas	Dados de faturamento, histórico de transações	Execução de contrato (art. 7º, V)	Art. 6(1)(b)
F4	Prevenção a fraudes, segurança e proteção da conta	IP, logs, metadados de dispositivo, dados de autenticação	Interesse legítimo (art. 7º, IX)	Art. 6(1)(f)
F5	Conformidade com obrigações legais e regulatórias (retenção fiscal, ordem judicial, ANPD)	Conforme exigido pela autoridade	Cumprimento de obrigação legal (art. 7º, II)	Art. 6(1)(c)
F6	Comunicações transacionais (confirmações, alertas, faturas, notificações de segurança)	E-mail, telefone	Execução de contrato / Interesse legítimo (art. 7º, V e IX)	Art. 6(1)(b)(f)
F7	Comunicações de marketing e novidades (newsletter, lançamentos, promoções)	E-mail, preferências	Consentimento (art. 7º, I)	Art. 6(1)(a)
F8	Análise de uso e melhoria da Plataforma (métricas agregadas, testes A/B)	Dados de navegação, logs (anonimizados/pseudonimizados)	Interesse legítimo (art. 7º, IX)	Art. 6(1)(f)
F9	Suporte técnico e atendimento ao cliente	Dados de comunicação, logs relevantes	Execução de contrato / Interesse legítimo (art. 7º, V e IX)	Art. 6(1)(b)(f)
F10	Gestão do programa de afiliados e cálculo de comissões	Dados de afiliados, histórico de indicações, dados de pagamento	Execução de contrato (art. 7º, V)	Art. 6(1)(b)
F11	Personalização de funcionalidades e recomendações	Dados de uso, dados inferidos	Interesse legítimo / Consentimento (art. 7º, IX e I)	Art. 6(1)(f)(a)
F12	Exercício regular de direitos em processos administrativos e judiciais	Dados relevantes ao processo	Exercício regular de direitos (art. 7º, VI)	Art. 6(1)(f)
F13	Monitoramento de saúde da infraestrutura e prevenção de abuso (rate limiting, DDoS)	IP, logs de API, padrões de tráfego	Interesse legítimo (art. 7º, IX)	Art. 6(1)(f)

Quando o tratamento for baseado em consentimento (F7, F11 parcial), o titular poderá revogar seu consentimento a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente, mediante solicitação ao DPO ou pelas configurações da conta.

7. Compartilhamento de Dados com Terceiros e Suboperadores

A Octa8 Tecnologia LTDA compartilha dados pessoais apenas nas situações descritas abaixo, sempre com salvaguardas contratuais adequadas (cláusulas de proteção de dados, DPA — Data Processing Agreement — ou equivalente):

7.1 Suboperadores (Prestadores de Serviço)

Categoria de Suboperador	Finalidade	Dados Compartilhados
Provedores de infraestrutura em nuvem	Hospedagem, armazenamento, CDN, bancos de dados	Todos os dados armazenados na Plataforma
Processadores de pagamento	Processamento de transações financeiras	Dados de faturamento (tokenizados); nunca número completo do cartão
Provedores de e-mail transacional	Envio de e-mails de sistema e notificações	Endereço de e-mail, nome, conteúdo da mensagem
Provedores de SMS e notificação push	Envio de alertas e verificações	Número de telefone, conteúdo da mensagem
Ferramentas de monitoramento e log	Rastreamento de erros, análise de desempenho	Logs (pseudonimizados), dados técnicos
Provedores de serviços de IA e PLN	Funcionalidades de inteligência artificial integradas	Conteúdo submetido para processamento (conforme configuração do usuário)
Plataformas de comunicação (WhatsApp Business, integrações de CRM)	Envio/recebimento de mensagens em nome do usuário	Dados configurados pelo workspace admin
Provedores de DNS e registro de domínios	Gestão de domínios	Nome de domínio, dados de contato do titular
Parceiros de analytics	Análise de uso agregada	Dados anonimizados ou pseudonimizados

A lista atualizada de suboperadores pode ser solicitada ao DPO por meio do endereço dpo@acme.test.

7.2 Compartilhamento entre Tenants e Usuários

No contexto multi-tenant da Plataforma, cada workspace possui isolamento lógico de dados. Dados de um tenant não são acessíveis a outros tenants, salvo em funcionalidades expressamente configuradas pelo administrador do workspace (ex.: integrações, APIs externas, marketplace).

7.3 Autoridades Públicas e Cumprimento Legal

Podemos divulgar dados pessoais a autoridades governamentais, órgãos reguladores (incluindo a ANPD) ou mediante ordem judicial, nos limites estritamente necessários ao cumprimento da obrigação legal ou exercício regular de direito, conforme art. 7º, II e VI, da LGPD.

7.4 Transferências Corporativas

Em caso de fusão, aquisição, cisão ou venda de ativos, os dados pessoais poderão ser transferidos ao sucessor, que ficará vinculado às obrigações desta Política. O titular será notificado previamente por e-mail ou por aviso na Plataforma.

7.5 O Que Não Fazemos

❌ Não vendemos dados pessoais a terceiros;
❌ Não compartilhamos dados com anunciantes para fins de publicidade comportamental sem consentimento explícito;
❌ Não compartilhamos dados entre clientes (tenants) diferentes sem autorização expressa.

8. Transferências Internacionais de Dados

A Octa8 Tecnologia LTDA pode transferir dados pessoais para servidores e suboperadores localizados fora do Brasil. Tais transferências são realizadas somente quando:

O país destinatário oferece grau de proteção adequado, reconhecido pela ANPD nos termos do art. 33, I, da LGPD;
O suboperador fornece garantias suficientes por meio de:
- Cláusulas contratuais-padrão aprovadas pela ANPD ou pela Comissão Europeia (SCCs);
- Mecanismos equivalentes às Binding Corporate Rules (BCRs);
- Certificações de conformidade reconhecidas (ex.: ISO 27001, SOC 2 Type II);
O titular forneceu consentimento específico e destacado para a transferência (art. 33, VIII, LGPD);
A transferência é necessária para a execução do contrato com o titular ou para a tomada de providências por solicitação do titular anteriores à celebração do contrato (art. 33, V, LGPD).

Nossas principais transferências internacionais envolvem provedores de infraestrutura em nuvem com certificação ISO 27001 e SOC 2 Type II, e processadores de pagamento com certificação PCI-DSS, todos vinculados por Data Processing Agreements (DPAs) que garantem nível de proteção equivalente ao exigido pela LGPD e pelo GDPR.

Informações específicas sobre cada transferência podem ser solicitadas ao DPO.

9. Direitos do Titular dos Dados

Nos termos do art. 18 da LGPD (e, quando aplicável, dos arts. 15 a 22 do GDPR), o titular tem direito a:

Direito	Descrição	Como Exercer
Confirmação e Acesso	Confirmar a existência de tratamento e obter acesso aos dados pessoais tratados	Configurações da conta → "Meus Dados" ou solicitação ao DPO
Correção	Corrigir dados incompletos, inexatos ou desatualizados	Configurações da conta ou solicitação ao DPO
Anonimização, Bloqueio ou Eliminação	Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade	Solicitação ao DPO
Portabilidade	Receber os dados em formato estruturado e interoperável para transferência a outro fornecedor	Solicitação ao DPO (prazo: até 30 dias)
Eliminação (dados com consentimento)	Eliminar dados cujo tratamento se baseia no consentimento, após sua revogação	Configurações da conta ou solicitação ao DPO
Informação sobre compartilhamento	Saber com quais entidades públicas ou privadas os dados foram compartilhados	Solicitação ao DPO
Revogação do Consentimento	Revogar o consentimento a qualquer momento, sem efeitos retroativos	Configurações da conta → "Privacidade" ou solicitação ao DPO
Oposição	Opor-se ao tratamento baseado em interesse legítimo, quando houver fundamento legal	Solicitação ao DPO, com justificativa
Revisão de decisões automatizadas	Solicitar revisão humana de decisões tomadas exclusivamente com base em tratamento automatizado que afetem interesses do titular	Solicitação ao DPO
Petição à ANPD	Peticionar em relação aos dados contra o controlador perante a ANPD	www.gov.br/anpd

Prazo de resposta: até 15 (quinze) dias corridos a partir do recebimento da solicitação devidamente identificada, prorrogáveis por igual período com justificativa.

Identificação: Para garantir a segurança dos dados, todas as solicitações exigem verificação da identidade do titular. Não respondemos a solicitações anônimas que envolvam acesso, cópia ou eliminação de dados.

Limitações legais: Alguns direitos podem ser limitados quando o tratamento for necessário para cumprimento de obrigação legal, exercício regular de direitos em processo judicial, administrativo ou arbitral, ou proteção de direitos de terceiros, conforme art. 18, §§ 3º e 4º, da LGPD.

10. Retenção e Descarte de Dados

10.1 Prazos de Retenção

Mantemos os dados pessoais apenas pelo tempo necessário às finalidades que motivaram sua coleta, observados os prazos legais mínimos aplicáveis:

Categoria de Dado	Prazo de Retenção	Fundamento
Dados de conta ativa	Enquanto a conta estiver ativa	Execução contratual
Dados de conta encerrada	5 anos após o encerramento	Art. 27 do CDC; prescrição civil geral (art. 205 do CC)
Registros de transações financeiras	5 anos	Lei 9.613/1998 (AML); obrigações fiscais (Lei 9.430/1996)
Logs de acesso e segurança	6 meses (conforme Marco Civil da Internet, art. 15) a 1 ano (segurança)	Lei 12.965/2014
Registros de consentimento	Duração do consentimento + 5 anos	Accountability LGPD/GDPR
Dados para defesa em processo judicial ou administrativo	Até o trânsito em julgado ou encerramento definitivo	Art. 7º, VI, LGPD
Dados de marketing (com consentimento)	Até a revogação do consentimento	Art. 7º, I, LGPD
Backups e cópias de segurança	Até 90 dias após substituição pelo backup seguinte	Operacional

10.2 Eliminação e Anonimização

Após o término do prazo de retenção, os dados são:

Eliminados de forma segura e irreversível (sobrescrita, degaussing ou destruição física, conforme o meio), de modo que não possam ser recuperados; ou
Anonimizados quando houver interesse legítimo na análise estatística ou histórica, tornando-os incapazes de identificar o titular, nos termos do art. 5º, XI, da LGPD.

Dados anonimizados deixam de ser dados pessoais e podem ser mantidos indefinidamente para fins analíticos e de melhoria da Plataforma.

10.3 Encerramento de Conta

Ao solicitar o encerramento da conta, o titular poderá exportar seus dados antes da exclusão. Após a confirmação, os dados são marcados para eliminação e removidos dos sistemas ativos em até 30 (trinta) dias. Cópias em backups são eliminadas no ciclo de rotação descrito no item 10.1. Dados sujeitos a retenção legal são mantidos em repositório isolado, com acesso restrito, até o término do prazo aplicável.

11. Segurança da Informação

A Octa8 Tecnologia LTDA adota medidas técnicas e organizacionais adequadas ao risco para proteger os dados pessoais contra acesso não autorizado, alteração, divulgação, perda ou destruição acidental ou ilícita, incluindo:

11.1 Medidas Técnicas

Criptografia em trânsito: TLS 1.2+ em todas as comunicações externas; HSTS habilitado;
Criptografia em repouso: dados sensíveis e backups criptografados com AES-256 ou equivalente;
Hashing de senhas: bcrypt com fator de custo adequado; sem armazenamento de senhas em texto claro;
Controle de acesso: autenticação multifator (MFA) disponível; princípio do menor privilégio; RBAC (controle de acesso baseado em papéis) por tenant;
Isolamento de dados: arquitetura multi-tenant com isolamento lógico; cada tenant acessa apenas seus próprios dados;
Proteção contra ataques: rate limiting por endpoint; proteção contra CSRF, XSS e SQL injection; cabeçalhos de segurança (CSP, X-Frame-Options, HSTS);
Remoção de metadados: dados EXIF e GPS são removidos de imagens no momento do upload;
Monitoramento contínuo: logs de acesso, detecção de anomalias, alertas de segurança em tempo real;
Gestão de vulnerabilidades: processo de patch management; varreduras periódicas de vulnerabilidades.

11.2 Medidas Organizacionais

Política de acesso a dados: colaboradores acessam dados pessoais apenas quando necessário ao exercício de suas funções, sob compromisso de confidencialidade;
Treinamento: equipes que lidam com dados pessoais recebem treinamento periódico em proteção de dados e segurança da informação;
Avaliação de Impacto à Proteção de Dados (AIPD/DPIA): realizada para tratamentos de alto risco, conforme art. 38 da LGPD;
Gestão de fornecedores: suboperadores são avaliados quanto à conformidade com a LGPD antes da contratação e mediante cláusulas contratuais específicas (DPA);
Plano de Resposta a Incidentes: procedimentos documentados para contenção, notificação e recuperação;
Testes periódicos: testes de penetração e auditorias de segurança realizados periodicamente.

A adoção dessas medidas não garante segurança absoluta; riscos residuais inerentes à internet existem. Comunicamos incidentes conforme descrito na Seção 12.

12. Resposta a Incidentes e Notificação

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (violação, vazamento, acesso não autorizado, destruição ou alteração indevida de dados pessoais), a Octa8 Tecnologia LTDA adotará o seguinte procedimento:

Contenção imediata — isolamento do sistema afetado, revogação de acessos comprometidos e preservação de evidências forenses;
Avaliação de risco — classificação da gravidade e do potencial impacto para os titulares afetados;
Notificação à ANPD — em prazo razoável, nos termos do art. 48 da LGPD e da Resolução CD/ANPD nº 15/2024 (ou norma vigente à época), contendo as informações exigidas: natureza dos dados, categorias e número estimado de titulares afetados, medidas adotadas e contato do DPO;
Notificação aos titulares afetados — quando o incidente puder acarretar risco ou dano relevante, por e-mail e/ou aviso na Plataforma, de forma clara e acessível, com orientações sobre medidas protetivas que o titular pode adotar;
Remediação e melhoria — correção da causa raiz, revisão de controles e, se pertinente, atualização da AIPD.

O prazo para notificação à ANPD e aos titulares seguirá a regulamentação vigente da ANPD, atualmente fixado em 2 (dois) dias úteis para a comunicação preliminar a partir do conhecimento do incidente, conforme Resolução CD/ANPD nº 15/2024.

13. Privacidade de Menores

A Plataforma não é direcionada a menores de 18 (dezoito) anos para fins de contratação de serviços. O acesso e uso autônomo da Plataforma requerem capacidade civil plena.

Quanto às funcionalidades voltadas ao público em geral (ex.: landing pages, chatbots e portais hospedados por clientes da Plataforma):

Não coletamos dados pessoais de crianças (menores de 12 anos) de forma direta e consciente;
Para adolescentes (12 a 17 anos), o tratamento de dados requer o consentimento de pelo menos um dos pais ou responsável legal, conforme art. 14 da LGPD;
Caso identifiquemos que dados de crianças foram coletados sem o consentimento parental adequado, os dados serão eliminados imediatamente.

Titulares de workspaces que, no âmbito de seus serviços, coletam dados de menores são os responsáveis por obter e documentar o consentimento parental exigido pela LGPD e por qualquer legislação local aplicável.

14. Cookies de Terceiros e Integrações

A Plataforma permite integrações com serviços de terceiros (Google Analytics, Meta Pixel, plataformas de CRM, gateways de pagamento, redes sociais, entre outros). Cada um desses serviços possui sua própria política de privacidade, sobre a qual a Octa8 Tecnologia LTDA não possui controle.

Ao ativar integrações de terceiros, o administrador do workspace reconhece e assume a responsabilidade de:

Informar seus próprios usuários sobre as integrações ativas;
Obter os consentimentos necessários;
Cumprir as obrigações legais decorrentes do uso de cada integração.

A Octa8 Tecnologia LTDA atua como operadora em relação aos dados tratados por integrações configuradas pelos seus clientes (workspace admins).

15. Alterações nesta Política

Esta Política pode ser atualizada periodicamente para refletir mudanças nas práticas de tratamento de dados, na legislação aplicável ou nos serviços oferecidos.

Em caso de alterações materiais (que ampliem finalidades, introduzam novos compartilhamentos ou reduzam direitos dos titulares), notificaremos os titulares por:

E-mail para o endereço cadastrado; e/ou
Aviso destacado na Plataforma, com prazo mínimo de 30 (trinta) dias antes da entrada em vigor.

Alterações não materiais (correções editoriais, atualizações de contato, ajustes de clareza) entram em vigor na data de publicação, indicada no campo effective_date desta Política.

O histórico de versões anteriores desta Política pode ser solicitado ao DPO.

16. Foro e Legislação Aplicável

Esta Política é regida pelas leis vigentes em Foro da Comarca de Jaú/SP, Brasil, em especial pela Lei nº 13.709/2018 (LGPD) e legislação complementar editada pela ANPD. Para titulares localizados na União Europeia ou no Espaço Econômico Europeu, aplica-se adicionalmente o GDPR.

Eventuais disputas decorrentes desta Política serão submetidas ao foro da comarca de Foro da Comarca de Jaú/SP, Brasil, ressalvado o direito do titular consumidor de eleger o foro de seu domicílio.

17. Contato e Canal de Privacidade

Para exercer seus direitos, tirar dúvidas ou registrar reclamações relacionadas ao tratamento de seus dados pessoais:

Encarregado (DPO): Encarregado de Proteção de Dados (DPO) — Octa8
E-mail do DPO: dpo@acme.test
E-mail geral: help@octa8.app
Telefone: 0800 000 8888 (WhatsApp também)
Endereço: Jaú, São Paulo, Brasil
Portal: https://octa8.app//privacidade

Também é possível peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd, caso entenda que seus direitos não foram adequadamente atendidos.

Vigência

Esta Política entra em vigor na data de 04 de junho de 2026 e aplica-se a todos os tratamentos de dados pessoais realizados pela Octa8 Tecnologia LTDA no âmbito da Plataforma Octa8, na jurisdição de Foro da Comarca de Jaú/SP, Brasil e, quando aplicável, nas demais jurisdições onde a Plataforma opera.

Versão 1.0 — 04 de junho de 2026

Privacidade e proteção de dados

Política de Cookies

Como a Octa8 utiliza cookies e tecnologias semelhantes.

Versão 1.0 · Vigente em 04/06/2026

1. Introdução

Esta Política de Cookies descreve como a Octa8, operada por Octa8 Tecnologia LTDA ("nós", "nos" ou "nosso"), utiliza cookies e tecnologias de rastreamento semelhantes quando você acessa ou utiliza nossa plataforma, nossos produtos e serviços, nossas APIs, nossos subdomínios e qualquer outra propriedade digital sob nossa responsabilidade (coletivamente, "Serviços").

Ao interagir com nossos Serviços, você reconhece e concorda com o uso de cookies conforme descrito nesta Política, sem prejuízo dos direitos de consentimento e revogação previstos na Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018), no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR — Regulation EU 2016/679) e demais normas aplicáveis em Foro da Comarca de Jaú/SP, Brasil.

Esta Política complementa nossa Política de Privacidade e deve ser lida em conjunto com ela.

2. O que são cookies e tecnologias semelhantes

Cookies são pequenos arquivos de texto que um website ou aplicação web armazena no seu dispositivo (computador, smartphone, tablet ou outro) por meio do navegador quando você visita um site. Eles permitem que a plataforma reconheça o dispositivo em visitas subsequentes, armazenando preferências, autenticação e informações de uso.

Além de cookies tradicionais, utilizamos outras tecnologias funcionalmente equivalentes, incluindo:

Tecnologia	Descrição
Web beacons / pixels	Imagens de 1×1 pixel ou scripts invisíveis embutidos em páginas ou e-mails que registram abertura e interações.
Local Storage / Session Storage	Mecanismos de armazenamento do navegador que persistem dados localmente sem prazo de expiração (Local Storage) ou apenas durante a sessão (Session Storage).
IndexedDB	Banco de dados do lado do cliente para armazenamento estruturado de maior volume.
Fingerprinting de dispositivo	Coleta de atributos não sensíveis do dispositivo (tipo de sistema operacional, configuração de idioma, fuso horário, resolução de tela) exclusivamente para fins de segurança, detecção de fraude e consistência de sessão.
ETags e cache HTTP	Identificadores de recurso armazenados em cache pelo navegador, utilizados para otimização de desempenho.
SDKs e tags de terceiros	Bibliotecas JavaScript de parceiros carregadas em nossas páginas que podem definir seus próprios cookies ou acessar armazenamento local.

Para os efeitos desta Política, o termo "cookies" abrange todas as tecnologias listadas acima, salvo indicação expressa em contrário.

3. Categorias de cookies utilizados

Classificamos os cookies em quatro categorias, de acordo com sua finalidade e grau de essencialidade.

3.1 Cookies Estritamente Necessários

São indispensáveis para o funcionamento básico e seguro dos Serviços. Sem eles, recursos fundamentais — como autenticação, segurança de sessão, balanceamento de carga e preferências essenciais — não funcionariam corretamente.

Base legal: Interesse legítimo (art. 7º, IX, LGPD) e execução de contrato (art. 7º, V, LGPD). Estes cookies não requerem consentimento prévio, pois são condição sine qua non para a prestação do serviço solicitado.

Exemplos:

Nome / Padrão	Finalidade	Duração
`session_id`, `laravel_session`	Manutenção de sessão autenticada	Sessão / até logout
`XSRF-TOKEN`, `csrf_token`	Proteção contra Cross-Site Request Forgery (CSRF)	Sessão
`remember_*`	Opção "Manter conectado"	30 dias (configurável pelo usuário)
`locale`, `lang`	Idioma selecionado pelo usuário	12 meses
`theme_pref`	Preferência de tema (claro/escuro)	12 meses
`cookieconsent_*`	Registro do consentimento de cookies	12 meses
`load_balancer_*`	Roteamento de tráfego para servidores	Sessão
`2fa_*`	Controle de fluxo de autenticação multifator	Sessão

3.2 Cookies Funcionais

Melhoram a experiência do usuário lembrando preferências e personalizações que vão além da funcionalidade mínima, mas não são estritamente necessários para a operação dos Serviços.

Base legal: Consentimento (art. 7º, I, LGPD). Podem ser desativados sem impedir o acesso ao serviço essencial, porém com possível perda de conveniência.

Exemplos:

Nome / Padrão	Finalidade	Duração
`ui_layout`, `sidebar_state`	Estado do painel de administração (menus abertos/fechados)	6 meses
`timezone_pref`	Fuso horário preferido	12 meses
`notifications_dismissed`	Controle de notificações dispensadas	30 dias
`onboarding_step`	Progresso de fluxo de boas-vindas	30 dias
`last_workspace`	Espaço de trabalho selecionado recentemente	30 dias
`editor_prefs`	Preferências de editores de conteúdo e código	12 meses
`widget_config_*`	Configurações de widgets e painéis personalizados	6 meses

3.3 Cookies de Analytics e Desempenho

Coletam informações sobre como os visitantes usam os Serviços — páginas visitadas, tempo de permanência, origem do tráfego, erros encontrados — de forma agregada e, sempre que possível, anonimizada. Essas informações ajudam a melhorar continuamente a performance e a usabilidade da plataforma.

Base legal: Consentimento (art. 7º, I, LGPD).

Exemplos:

Provedor / Nome	Finalidade	Duração
Google Analytics 4 (`_ga`, `_ga_*`, `_gid`)	Análise de audiência, comportamento de navegação, conversões	Até 2 anos
Hotjar (`_hj`, `hjSession`)	Mapas de calor, gravações de sessão anonimizadas, pesquisas de UX	Até 365 dias
Mixpanel (`mp_*`)	Análise de funil de produto, retenção e coortes	Até 1 ano
Datadog RUM (`_dd_s`, `dd_cookie_test*`)	Monitoramento de desempenho real do usuário (Core Web Vitals)	Sessão / 15 min
Sentry (`sentry-sc`, `__sentry_*`)	Rastreamento de erros e exceções do lado do cliente	Sessão
Métricas internas (`p8w_analytics_*`)	Análise proprietária de uso de funcionalidades da plataforma	12 meses

3.4 Cookies de Marketing e Publicidade

Utilizados para entregar anúncios relevantes, medir a eficácia de campanhas e limitar a frequência com que o mesmo anúncio é exibido. Podem ser definidos por nós ou por parceiros de publicidade em nossos Serviços.

Base legal: Consentimento (art. 7º, I, LGPD). O consentimento para cookies de marketing é independente dos demais e pode ser revogado a qualquer momento.

Exemplos:

Provedor / Nome	Finalidade	Duração
Google Ads / Google Tag Manager (`_gcl_au`, `_gac_*`)	Rastreamento de conversões e remarketing	Até 90 dias
Meta Pixel (`_fbp`, `_fbc`)	Audiências personalizadas e atribuição de campanhas no Facebook/Instagram	Até 90 dias
LinkedIn Insight Tag (`li_fat_id`, `lidc`, `bcookie`)	Retargeting B2B e análise de campanhas profissionais	Até 1 ano
TikTok Pixel (`_tt_enable_cookie`, `_ttp`)	Rastreamento de conversões em campanhas TikTok	Até 13 meses
Bing / Microsoft Advertising (`_uetsid`, `_uetvid`)	Rastreamento de conversões e retargeting Bing Ads	Até 1 ano
Afiliados e parceiros (`p8w_ref_`, `p8w_aff_`)	Atribuição de indicações e conversões do programa de afiliados	30 dias

4. Cookies de terceiros

Alguns cookies são definidos diretamente por nós ("primários" ou "first-party"). Outros são definidos por terceiros cujos serviços incorporamos em nossa plataforma ("terceiros" ou "third-party"). Não controlamos os cookies de terceiros; o seu uso é regido pelas políticas de privacidade e cookies de cada respectivo terceiro.

4.1 Principais terceiros e suas políticas

Terceiro	Finalidade	Política
Google LLC	Analytics, publicidade, mapas, reCAPTCHA	policies.google.com
Meta Platforms, Inc.	Meta Pixel, audiências personalizadas	privacycenter.facebook.com
Hotjar Ltd	Análise de experiência do usuário	hotjar.com/legal/policies/privacy
Mixpanel, Inc.	Análise de produto	mixpanel.com/legal/privacy-policy
LinkedIn Ireland Unlimited Company	Insight Tag, publicidade B2B	linkedin.com/legal/privacy-policy
Datadog, Inc.	Monitoramento de desempenho	datadoghq.com/legal/privacy
Sentry (Functional Software, Inc.)	Rastreamento de erros	sentry.io/privacy
Cloudflare, Inc.	CDN, segurança, reCAPTCHA Enterprise	cloudflare.com/privacypolicy
Stripe, Inc.	Processamento de pagamentos	stripe.com/privacy
Intercom, Inc.	Suporte e comunicação in-app	intercom.com/legal/privacy

4.2 Transferência internacional de dados

Alguns terceiros listados acima estão sediados fora do Brasil e/ou do Espaço Econômico Europeu. As transferências internacionais de dados por meio desses cookies são realizadas com base em mecanismos adequados de proteção, incluindo Cláusulas Contratuais Padrão (SCCs), Decisões de Adequação emitidas pela Autoridade Nacional de Proteção de Dados (ANPD) ou pela Comissão Europeia, conforme aplicável.

5. Base legal e consentimento

5.1 Fundamentos legais

O tratamento de dados pessoais por meio de cookies na plataforma Octa8 fundamenta-se nas seguintes hipóteses previstas na LGPD:

Categoria de Cookie	Base Legal (LGPD)	Artigo
Estritamente Necessários	Execução de contrato / Interesse legítimo	Art. 7º, V e IX
Funcionais	Consentimento	Art. 7º, I
Analytics e Desempenho	Consentimento	Art. 7º, I
Marketing e Publicidade	Consentimento	Art. 7º, I

5.2 Coleta de consentimento granular

Ao acessar nossos Serviços pela primeira vez (ou após a renovação do período de consentimento), você verá um Painel de Consentimento de Cookies que permite:

Aceitar todos os cookies (incluindo não essenciais);
Recusar todos os cookies não essenciais (mantendo apenas os estritamente necessários);
Personalizar suas preferências por categoria, ativando ou desativando cada grupo individualmente.

Sua escolha é registrada com carimbo de data e hora, versão da política e identificador de sessão anonimizado, conforme exigido pela LGPD e recomendado pela ANPD.

5.3 Ausência de consentimento como padrão

Na ausência de escolha ativa, apenas os cookies estritamente necessários serão ativados (privacy by default, art. 46, LGPD). Nenhuma inferência de consentimento é realizada a partir de comportamento de navegação, rolagem ou inação.

5.4 Consentimento de menores

Nossos Serviços não são direcionados a crianças menores de 13 anos. Não coletamos intencionalmente cookies de marketing ou analytics de crianças. Se você tiver razões para acreditar que uma criança forneceu dados pessoais por meio de cookies, entre em contato com nosso Encarregado pelo Tratamento de Dados (DPO) no endereço indicado na seção 9.

6. Como gerenciar e revogar o consentimento

6.1 Painel de Preferências de Cookies da Plataforma

Você pode revisar, alterar ou revogar seu consentimento a qualquer momento acessando o Painel de Preferências de Cookies, disponível em:

Link permanente no rodapé: "Preferências de Cookies" em todas as páginas da plataforma;
Área do usuário autenticado: Configurações → Privacidade → Cookies;
Reabertura do banner: clicando no ícone de escudo de privacidade no canto inferior da tela.

A revogação do consentimento para categorias não essenciais será efetivada imediatamente para novos cookies. Cookies já definidos no seu dispositivo permanecerão até seu prazo natural de expiração ou até que você os exclua manualmente no navegador, pois não temos capacidade técnica de apagar remotamente arquivos já armazenados no seu dispositivo.

6.2 Configurações do navegador

Todos os navegadores modernos permitem controlar, bloquear ou excluir cookies. Consulte as instruções específicas para seu navegador:

Navegador	Como gerenciar cookies
Google Chrome	Configurações → Privacidade e segurança → Cookies e outros dados do site
Mozilla Firefox	Configurações → Privacidade e segurança → Cookies e dados do site
Apple Safari	Preferências → Privacidade → Gerenciar dados do site
Microsoft Edge	Configurações → Cookies e permissões do site
Opera	Configurações → Avançado → Privacidade e segurança → Cookies

Atenção: o bloqueio de cookies estritamente necessários por meio das configurações do navegador pode comprometer o funcionamento dos Serviços, incluindo impossibilidade de login e perda de preferências salvas.

6.3 Opt-out de ferramentas específicas de terceiros

Além das configurações do navegador e do nosso painel, você pode exercer o opt-out diretamente junto a alguns provedores de terceiros:

Ferramenta	Link de opt-out
Google Analytics	tools.google.com/dlpage/gaoptout
Google Ads	adssettings.google.com
Meta / Facebook	facebook.com/ads/preferences
LinkedIn	linkedin.com/psettings/guest-controls
Network Advertising Initiative (NAI)	optout.networkadvertising.org
Digital Advertising Alliance (DAA)	optout.aboutads.info
Your Online Choices (UE)	youronlinechoices.eu

6.4 Sinais de não rastreamento (Do Not Track / Global Privacy Control)

Nossa plataforma respeita o sinal Global Privacy Control (GPC) quando transmitido pelo navegador, interpretando-o como recusa ao uso de cookies de marketing e analytics. O sinal legado Do Not Track (DNT) não possui padrão técnico vinculante reconhecido pela ANPD ou pelo GDPR; entretanto, honramos o GPC como equivalente funcional.

7. Retenção de dados coletados por cookies

O período de retenção dos dados coletados por meio de cookies varia conforme a categoria:

Categoria	Retenção dos dados no servidor	Retenção do cookie no dispositivo
Estritamente Necessários	Duração da sessão ou até encerramento de conta	Sessão a 12 meses
Funcionais	Até 12 meses após a última interação	Sessão a 12 meses
Analytics e Desempenho	Até 26 meses (dados agregados/anonimizados)	Até 24 meses
Marketing e Publicidade	Conforme política do terceiro (máximo 13 meses)	Até 13 meses

Após o vencimento dos períodos acima, os dados são automaticamente excluídos ou irreversivelmente anonimizados, tornando impossível a reidentificação do titular.

Dados coletados por meio de cookies que se relacionem a obrigações legais, regulatórias, fiscais ou contratuais poderão ser retidos pelo prazo necessário ao cumprimento dessas obrigações, nos termos do art. 16, LGPD.

8. Atualizações desta Política

Podemos atualizar esta Política de Cookies periodicamente para refletir mudanças em nossas práticas, na plataforma, nas integrações de terceiros ou na legislação aplicável. As alterações serão comunicadas por meio de:

Aviso no Painel de Consentimento de Cookies: um novo banner de consentimento será exibido quando houver alterações materiais que requeiram nova manifestação de vontade;
Notificação in-app: para usuários autenticados, mediante notificação na plataforma;
E-mail: para alterações substanciais que afetem direitos de titulares, com antecedência mínima de 15 (quinze) dias corridos antes da entrada em vigor;
Versionamento: o campo doc_version no cabeçalho deste documento é incrementado a cada alteração material; o histórico de versões é mantido em nossos registros internos.

O uso continuado dos Serviços após a entrada em vigor de alterações na Política, sem manifestação de recusa, será considerado ciência das mudanças — nunca consentimento tácito para cookies não essenciais, que sempre requerem manifestação ativa.

9. Contato e Encarregado pelo Tratamento de Dados (DPO)

Para exercer seus direitos como titular de dados (acesso, correção, anonimização, portabilidade, eliminação, revogação de consentimento, oposição, entre outros previstos no art. 18, LGPD), esclarecer dúvidas sobre o uso de cookies ou apresentar reclamações relacionadas a esta Política, entre em contato:

Octa8 Tecnologia LTDA E-mail geral: help@octa8.app Encarregado pelo Tratamento de Dados (DPO): dpo@acme.test

Nos comprometemos a responder às solicitações de titulares em até 15 (quinze) dias úteis, conforme orientações da ANPD. Caso sua solicitação exija providências adicionais, informaremos o prazo estendido e os motivos.

Você também tem o direito de apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD), por meio do portal gov.br/anpd.

10. Vigência

Esta Política de Cookies entra em vigor na data de 04 de junho de 2026 e permanece válida até que seja substituída por versão posterior devidamente publicada e comunicada.

Versão atual: 1.0 — 04 de junho de 2026.

Octa8 Tecnologia LTDA — Octa8 — Foro da Comarca de Jaú/SP, Brasil

Privacidade e proteção de dados

Acordo de Tratamento de Dados (DPA)

Termos de tratamento de dados pessoais entre Octa8 Tecnologia LTDA (operadora) e o Cliente (controlador).

Versão 1.0 · Vigente em 04/06/2026

Acordo de Tratamento de Dados (DPA)

Octa8 — Plataforma operada por Octa8 Tecnologia LTDA, inscrita no CNPJ sob o nº 12.345.678/0001-90, com sede em Jaú, São Paulo, Brasil ("Operadora").

Este Acordo de Tratamento de Dados ("DPA" ou "Acordo") é celebrado entre a Operadora e o Cliente, pessoa jurídica ou física identificada na conta da Plataforma ("Controlador"), e integra, complementa e prevalece sobre os Termos de Serviço da Octa8 no que respeita ao tratamento de dados pessoais. Ao aceitar os Termos de Serviço ou ao utilizar a Plataforma de forma a implicar tratamento de dados pessoais por conta do Controlador, o Controlador aceita integralmente as condições deste DPA.

1. Definições

Para os fins deste Acordo, os termos abaixo têm o sentido que se lhes atribui, sem prejuízo de outras definições contidas na legislação aplicável:

1.1 "LGPD" significa a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) e suas alterações, regulamentações e orientações emitidas pela Autoridade Nacional de Proteção de Dados ("ANPD").

1.2 "GDPR" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, conforme aplicável.

1.3 "Dado pessoal" significa qualquer informação relacionada a pessoa natural identificada ou identificável, conforme definido no art. 5º, I, da LGPD, e no art. 4º, nº 1, do GDPR.

1.4 "Dado pessoal sensível" significa dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, nos termos do art. 5º, II, da LGPD.

1.5 "Tratamento" significa qualquer operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração, conforme o art. 5º, X, da LGPD.

1.6 "Controlador" significa a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, nos termos do art. 5º, VI, da LGPD. No contexto deste DPA, o Controlador é o Cliente.

1.7 "Operadora" significa a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador, nos termos do art. 5º, VII, da LGPD. No contexto deste DPA, a Operadora é a Octa8 Tecnologia LTDA.

1.8 "Suboperadora" significa qualquer terceiro, incluindo afiliadas da Operadora, que a Operadora contrata para realizar atividades de tratamento de dados pessoais em nome do Controlador, na cadeia de subcontratação autorizada.

1.9 "Titular" significa a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, nos termos do art. 5º, V, da LGPD.

1.10 "Dados do Controlador" significa todos os dados pessoais que o Controlador ou seus usuários finais submetem, carregam, transmitem ou de outro modo disponibilizam à Plataforma para fins de tratamento em nome do Controlador, conforme descrito no Anexo I.

1.11 "Plataforma" significa o conjunto de serviços, funcionalidades, APIs, sistemas e infraestrutura fornecidos pela Operadora ao abrigo dos Termos de Serviço da Octa8, incluindo criação de websites, hospedagem, domínios, monitoramento, SEO, ferramentas de inteligência artificial, integrações com terceiros, armazenamento de arquivos e notificações.

1.12 "Violação de Dados Pessoais" significa um incidente de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a dados pessoais transmitidos, armazenados ou tratados de outro modo, nos termos do art. 48 da LGPD e do art. 4º, nº 12, do GDPR.

1.13 "RIPD" ou "DPIA" significa o Relatório de Impacto à Proteção de Dados Pessoais, instrumento previsto no art. 5º, XVII, da LGPD, e equivalente ao Data Protection Impact Assessment do art. 35 do GDPR.

1.14 "Instrução Documentada" significa instrução escrita do Controlador à Operadora sobre o tratamento de dados pessoais, incluindo instruções contidas neste DPA, nos Termos de Serviço, nas configurações da Plataforma ou em comunicações escritas posteriores.

1.15 "EEE" significa o Espaço Econômico Europeu.

1.16 "Cláusulas Contratuais Padrão" ou "CCPs" significa as cláusulas-tipo aprovadas pela Comissão Europeia para transferências internacionais de dados pessoais, conforme Decisão de Execução (UE) 2021/914, ou suas atualizações.

2. Objeto e Duração

2.1 Objeto. Este DPA estabelece os direitos, obrigações e responsabilidades das Partes quanto ao tratamento de Dados do Controlador pela Operadora no âmbito da prestação dos serviços da Plataforma, em conformidade com a LGPD e, na medida aplicável, com o GDPR e demais legislações de proteção de dados pessoais vigentes.

2.2 Duração. Este DPA é válido pelo mesmo período de vigência do contrato de serviços entre as Partes (Termos de Serviço), incluindo eventuais renovações, até o cumprimento integral das obrigações de devolução e eliminação de dados previstas na Cláusula 14.

2.3 Integração. Em caso de conflito entre este DPA e os Termos de Serviço quanto a matérias de proteção de dados pessoais, este DPA prevalece. Ambos os instrumentos formam o acordo completo entre as Partes sobre o objeto aqui regulado.

3. Papéis e Responsabilidades

3.1 Cliente como Controlador. O Cliente determina as finalidades e os meios do tratamento dos Dados do Controlador. O Cliente é o único responsável por garantir que possui base legal adequada para o tratamento dos dados que submete à Plataforma, por obter os consentimentos necessários dos Titulares e por cumprir todas as obrigações que a legislação aplicável impõe ao Controlador.

3.2 Octa8 Tecnologia LTDA como Operadora. A Octa8 Tecnologia LTDA trata os Dados do Controlador exclusivamente em nome e por conta do Controlador, de acordo com as Instruções Documentadas e conforme necessário para a prestação dos serviços contratados, nos limites deste DPA.

3.3 Separação de Tratamentos. As Partes reconhecem que a Operadora também pode tratar dados pessoais como controladora independente, para fins próprios e legítimos (por exemplo, dados de faturamento, segurança da Plataforma, cumprimento de obrigações legais, melhoria dos serviços), situação regulada pelos Termos de Privacidade da Octa8 e não por este DPA.

3.4 Conformidade do Controlador. O Controlador declara e garante que: (a) dispõe de base legal válida para o tratamento de cada categoria de dados pessoais submetida à Plataforma; (b) cumpre os princípios estabelecidos no art. 6º da LGPD; (c) forneceu e continuará fornecendo avisos de privacidade adequados aos Titulares; e (d) mantém registros das atividades de tratamento nos termos do art. 37 da LGPD.

4. Natureza, Finalidade, Categorias de Dados e Titulares

As categorias de dados pessoais tratados, as finalidades do tratamento, os tipos de Titulares e a duração estão descritos no Anexo I deste DPA, que é parte integrante do presente instrumento.

A Operadora não trata categorias especiais de dados pessoais, dados sensíveis ou dados de crianças e adolescentes, salvo mediante Instrução Documentada específica do Controlador e desde que o Controlador confirme por escrito que dispõe de base legal adequada para tanto.

5. Instruções Documentadas do Controlador

5.1 Conformidade com Instruções. A Operadora trata os Dados do Controlador somente de acordo com as Instruções Documentadas do Controlador. As instruções iniciais do Controlador estão incorporadas neste DPA e nos Termos de Serviço. O Controlador pode emitir instruções adicionais por escrito durante a vigência deste Acordo, desde que compatíveis com o escopo dos serviços contratados.

5.2 Instrução Ilegal. Caso a Operadora entenda que uma Instrução Documentada viola a LGPD, o GDPR ou outra legislação aplicável de proteção de dados, a Operadora notificará prontamente o Controlador por escrito, podendo suspender o cumprimento da instrução até que a situação seja resolvida. A Operadora não será responsável pelo descumprimento de instruções ilegais.

5.3 Tratamento Exigido por Lei. Caso a Operadora seja obrigada por lei, regulamento ou ordem de autoridade competente a tratar dados pessoais de forma diversa das Instruções Documentadas, notificará previamente o Controlador, salvo quando a lei proibir tal notificação.

5.4 Ausência de Venda ou Monetização. A Operadora não vende, aluga, cede, monetiza, divulga comercialmente nem compartilha os Dados do Controlador com terceiros para fins de publicidade ou marketing próprio.

6. Confidencialidade

6.1 Obrigação de Confidencialidade. A Operadora garante que todas as pessoas autorizadas a tratar os Dados do Controlador estão sujeitas a obrigações de confidencialidade adequadas, contratuais ou legais, que persistem após o término do vínculo.

6.2 Acesso Restrito. O acesso aos Dados do Controlador é limitado ao pessoal da Operadora e das Suboperadoras que necessitem conhecer tais dados para a prestação dos serviços, observado o princípio do mínimo necessário (need-to-know e least privilege).

6.3 Duração. As obrigações de confidencialidade previstas nesta cláusula sobrevivem ao término deste DPA pelo prazo máximo permitido por lei.

7. Medidas de Segurança

7.1 Medidas Técnicas e Organizacionais. A Operadora implementa e mantém as medidas técnicas e organizacionais de segurança descritas no Anexo II deste DPA, adequadas aos riscos apresentados pelo tratamento, levando em conta o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades dos Titulares.

7.2 Avaliação e Atualização. A Operadora avalia periodicamente suas medidas de segurança e as atualiza conforme necessário para garantir nível de proteção adequado ao risco.

7.3 Limitação. As medidas de segurança previstas neste DPA destinam-se à proteção da infraestrutura e dos dados mantidos na Plataforma. A segurança dos sistemas, dispositivos e conexões do Controlador e de seus usuários finais permanece sob responsabilidade exclusiva do Controlador.

8. Suboperadoras

8.1 Autorização Geral. O Controlador autoriza, de forma geral, a contratação de Suboperadoras pela Operadora para a realização de atividades de tratamento de dados em nome do Controlador, conforme a lista de Suboperadoras disponível em Octa8/legal/subprocessors (ou URL equivalente informada pela Operadora) ("Lista de Suboperadoras"), que é atualizada periodicamente e incorporada por referência a este DPA.

8.2 Notificação de Alterações. A Operadora notificará o Controlador sobre qualquer adição ou substituição relevante de Suboperadoras com antecedência mínima de trinta (30) dias, por meio de atualização publicada na Lista de Suboperadoras ou por comunicação eletrônica ao endereço de e-mail cadastrado na conta.

8.3 Direito de Oposição. O Controlador pode se opor a uma nova Suboperadora mediante notificação escrita à Operadora dentro do prazo de quinze (15) dias após a notificação de alteração, apresentando razões legítimas fundamentadas na proteção de dados. A Operadora envidará esforços razoáveis para acomodar a objeção; se não for possível, qualquer das Partes pode rescindir o contrato de serviços sem penalidade, com aviso prévio de trinta (30) dias.

8.4 Responsabilidade pelas Suboperadoras. A Operadora celebra com cada Suboperadora contrato que impõe obrigações de proteção de dados equivalentes às deste DPA. A Operadora permanece plenamente responsável perante o Controlador pelos atos e omissões das Suboperadoras no tocante ao tratamento dos Dados do Controlador.

8.5 Afiliadas como Suboperadoras. As afiliadas da Operadora podem ser contratadas como Suboperadoras; nesse caso, estão sujeitas às mesmas obrigações previstas nesta cláusula.

9. Auditorias e Inspeções

9.1 Direito de Auditoria. O Controlador tem o direito de auditar o cumprimento deste DPA pela Operadora, diretamente ou por meio de auditor externo independente e de confiança mútua, observado o disposto nesta cláusula.

9.2 Procedimento. O Controlador deve: (a) notificar a Operadora com antecedência mínima de trinta (30) dias; (b) realizar a auditoria em horário comercial, minimizando interferências nas operações; (c) arcar com os custos da auditoria; e (d) assegurar que o auditor esteja sujeito a obrigação de confidencialidade.

9.3 Relatórios de Conformidade. Como alternativa ou complemento à auditoria direta, a Operadora pode fornecer ao Controlador certificações de segurança vigentes (ISO 27001, SOC 2 Type II ou equivalentes) e relatórios de auditoria de terceiros pertinentes, sujeitos a acordo de confidencialidade, que evidenciem o cumprimento deste DPA.

9.4 Frequência. As auditorias presenciais estão limitadas a uma (1) por período de doze (12) meses, salvo em caso de Violação de Dados Pessoais documentada ou suspeita fundamentada de descumprimento deste DPA.

9.5 Cooperação. A Operadora cooperará razoavelmente com as auditorias e fornecerá as informações e o acesso necessários, na medida em que não prejudiquem a confidencialidade de informações de outros clientes ou de segredos empresariais da Operadora.

10. Assistência ao Controlador

10.1 Direitos dos Titulares. A Operadora, tendo em conta a natureza do tratamento, auxilia o Controlador, mediante medidas técnicas e organizacionais adequadas, no cumprimento de suas obrigações de responder a solicitações de exercício de direitos pelos Titulares, incluindo os direitos de confirmação, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, revogação de consentimento e oposição, nos termos do art. 18 da LGPD e equivalentes do GDPR.

10.2 Solicitações Diretas de Titulares. Caso a Operadora receba diretamente uma solicitação de exercício de direitos de um Titular relacionada a Dados do Controlador, a Operadora encaminhará a solicitação ao Controlador no prazo de cinco (5) dias úteis, sem atendê-la diretamente, salvo autorização expressa do Controlador ou exigência legal.

10.3 RIPD/DPIA. A Operadora auxilia o Controlador na realização de Relatórios de Impacto à Proteção de Dados Pessoais, fornecendo as informações razoavelmente necessárias sobre o tratamento realizado, conforme solicitado por escrito.

10.4 Medidas de Segurança. A Operadora auxilia o Controlador no cumprimento das obrigações previstas nos arts. 46 a 50 da LGPD e nos arts. 32 a 36 do GDPR, fornecendo informações sobre as medidas implementadas (Anexo II).

10.5 Custos de Assistência. A Operadora prestará a assistência prevista nesta cláusula de forma razoável e proporcional sem custo adicional, salvo quando a assistência exigir esforços substanciais acima do escopo ordinário dos serviços, hipótese em que as Partes acordarão a remuneração aplicável.

11. Notificação de Violação de Dados Pessoais

11.1 Notificação à Operadora. Caso a Operadora tome conhecimento de uma Violação de Dados Pessoais que afete os Dados do Controlador, notificará o Controlador sem atraso injustificado e, salvo impossibilidade devidamente justificada, dentro de setenta e duas (72) horas do conhecimento do incidente, por meio eletrônico ao endereço de e-mail cadastrado na conta ou ao endereço help@octa8.app.

11.2 Conteúdo da Notificação. A notificação incluirá, na medida disponível e sem prejudicar a investigação em curso: (a) descrição da natureza da Violação de Dados Pessoais, incluindo as categorias e o número aproximado de Titulares e de registros afetados; (b) nome e dados de contato do Encarregado da Operadora; (c) prováveis consequências da Violação; (d) medidas adotadas ou propostas para remediar a Violação e, quando adequado, para mitigar seus possíveis efeitos adversos. A notificação pode ser feita em etapas, à medida que mais informações se tornem disponíveis.

11.3 Cooperação na Investigação. A Operadora cooperará razoavelmente com o Controlador na investigação, contenção e remediação da Violação de Dados Pessoais, fornecendo as informações adicionais solicitadas.

11.4 Notificação à ANPD e aos Titulares. A responsabilidade pela comunicação da Violação de Dados Pessoais à ANPD e aos Titulares afetados, nos termos do art. 48 da LGPD, é do Controlador. A Operadora auxilia o Controlador com as informações necessárias para tal comunicação.

11.5 Violações por Suboperadoras. A Operadora assegurará que suas Suboperadoras notifiquem a Operadora de qualquer Violação de Dados Pessoais em prazo suficiente para que a Operadora cumpra o prazo de setenta e duas (72) horas previsto nesta cláusula.

12. Transferências Internacionais de Dados Pessoais

12.1 Princípio Geral. A Operadora somente transfere Dados do Controlador para países, territórios ou organizações internacionais que ofereçam grau de proteção de dados pessoais adequado, ou quando existir salvaguarda adequada, nos termos dos arts. 33 a 36 da LGPD e do Capítulo V do GDPR, conforme aplicável.

12.2 Salvaguardas Aplicáveis. As transferências internacionais de Dados do Controlador para Suboperadoras localizadas fora do Brasil ou do EEE são realizadas com base em um ou mais dos seguintes mecanismos: (a) decisão de adequação emitida pela ANPD ou pela Comissão Europeia; (b) Cláusulas Contratuais Padrão aprovadas pela ANPD ou pela Comissão Europeia; (c) Regras Corporativas Vinculantes; (d) consentimento específico e destacado do Titular, quando aplicável; ou (e) outra salvaguarda reconhecida pela legislação aplicável.

12.3 Documentação. A Operadora manterá documentação das salvaguardas aplicadas às transferências internacionais e a disponibilizará ao Controlador mediante solicitação escrita justificada.

12.4 Instruções de Localização. O Controlador pode, mediante Instrução Documentada, restringir o tratamento dos Dados do Controlador a determinados países ou regiões, sujeito à viabilidade técnica e operacional dos serviços contratados.

13. Registros de Atividades de Tratamento

13.1 Registros da Operadora. A Operadora mantém registros das atividades de tratamento realizadas em nome dos Controladores, contendo as informações exigidas pelo art. 37 da LGPD e pelo art. 30, nº 2, do GDPR, e os disponibilizará à ANPD ou à autoridade supervisora competente mediante solicitação.

13.2 Colaboração. A Operadora fornecerá ao Controlador as informações necessárias para que o Controlador cumpra sua própria obrigação de manutenção de registros, nos termos do art. 37 da LGPD.

14. Devolução e Eliminação dos Dados

14.1 Ao Término. Ao término deste DPA, por qualquer motivo, a Operadora, a critério documentado do Controlador, (a) devolverá ao Controlador, em formato estruturado, de uso corrente e de leitura automática, todos os Dados do Controlador que tenha em seu poder; ou (b) eliminará de forma segura e irreversível todos os Dados do Controlador, incluindo cópias, salvo na medida em que a lei exija sua conservação.

14.2 Prazo. A devolução ou eliminação será concluída no prazo de trinta (30) dias após o término do DPA ou após a solicitação do Controlador, o que ocorrer primeiro.

14.3 Certificação. A pedido do Controlador, a Operadora emitirá certificado escrito de eliminação dos Dados do Controlador.

14.4 Cópias de Segurança. Cópias de segurança (backups) serão eliminadas de acordo com o ciclo de retenção ordinário da Operadora, observado o prazo máximo adicional de noventa (90) dias após o término.

14.5 Dados Legalmente Retidos. Caso a lei obrigue a Operadora a conservar determinados dados pessoais após o término, a Operadora informará o Controlador sobre tal obrigação e sobre o prazo de retenção aplicável, e não tratará esses dados para qualquer outra finalidade durante o período de retenção obrigatório.

15. Responsabilidade

15.1 Responsabilidade da Operadora. A Operadora é responsável pelos danos causados ao Controlador e, onde aplicável, a Titulares, em decorrência do descumprimento das obrigações previstas neste DPA que sejam imputáveis à Operadora, nos termos da legislação aplicável.

15.2 Responsabilidade do Controlador. O Controlador é responsável pelos danos causados à Operadora e a Titulares em decorrência do descumprimento de suas obrigações como Controlador, incluindo a utilização dos serviços em desacordo com este DPA, com os Termos de Serviço ou com a legislação aplicável.

15.3 Limite de Responsabilidade. Salvo em casos de dolo ou culpa grave, a responsabilidade total da Operadora perante o Controlador ao abrigo deste DPA está sujeita aos limites de responsabilidade previstos nos Termos de Serviço. Nenhuma disposição deste DPA exclui ou limita a responsabilidade de qualquer das Partes na medida em que tal exclusão ou limitação não seja permitida pela legislação aplicável.

15.4 Solidariedade Perante Titulares. As Partes reconhecem que podem ser responsabilizadas solidariamente perante Titulares por danos decorrentes do tratamento, nos termos do art. 42 da LGPD, e que cada Parte tem direito de regresso contra a outra na proporção da culpa verificada.

15.5 Força Maior. Nenhuma das Partes será responsável por falhas no cumprimento de suas obrigações causadas por eventos de força maior ou caso fortuito, nos termos do art. 393 do Código Civil Brasileiro, desde que a Parte afetada notifique a outra sem demora e adote esforços razoáveis para mitigar os efeitos.

16. Encarregado pelo Tratamento de Dados (DPO)

16.1 DPO da Operadora. A Operadora designou um Encarregado pelo Tratamento de Dados Pessoais (DPO), nos termos do art. 41 da LGPD:

Nome: Encarregado de Proteção de Dados (DPO) — Octa8
E-mail: dpo@acme.test
Contato geral: help@octa8.app

16.2 DPO do Controlador. O Controlador deve manter as informações de seu próprio Encarregado, se aplicável, atualizadas em sua conta na Plataforma.

17. Disposições Gerais

17.1 Hierarquia de Normas. Em caso de conflito entre este DPA e qualquer outro instrumento celebrado entre as Partes, prevalece, na matéria de proteção de dados pessoais, a seguinte ordem: (i) legislação aplicável imperativa; (ii) este DPA; (iii) Termos de Serviço.

17.2 Alterações. A Operadora pode alterar este DPA para refletir mudanças na legislação, em regulamentos, em orientações de autoridades ou nos serviços prestados, mediante notificação ao Controlador com antecedência mínima de trinta (30) dias. O uso continuado dos serviços após o decurso do prazo implica aceitação das alterações.

17.3 Separabilidade. A invalidade ou inaplicabilidade de qualquer disposição deste DPA não afeta a validade ou eficácia das demais disposições, que permanecem em pleno vigor.

17.4 Cessão. O Controlador não pode ceder seus direitos ou obrigações sob este DPA sem consentimento prévio e escrito da Operadora. A Operadora pode ceder este DPA a uma afiliada ou no contexto de uma fusão, aquisição ou reorganização societária, mediante notificação ao Controlador.

17.5 Renúncia. A omissão ou tolerância de qualquer das Partes em exigir o cumprimento de uma obrigação não implica renúncia ao direito de exigi-la futuramente.

17.6 Comunicações. Todas as comunicações formais ao abrigo deste DPA devem ser feitas por escrito e enviadas ao endereço help@octa8.app (para a Operadora) ou ao e-mail cadastrado na conta da Plataforma (para o Controlador).

18. Vigência e Foro

Este Acordo entra em vigor em 04 de junho de 2026 e permanece vigente pelo mesmo prazo do contrato de serviços entre as Partes, sendo automaticamente renovado com eventuais atualizações publicadas pela Operadora, nos termos da Cláusula 17.2.

Este DPA é regido e interpretado de acordo com as leis da República Federativa do Brasil, em especial a LGPD e, subsidiariamente, o Código Civil Brasileiro. As Partes elegem o foro da comarca de Foro da Comarca de Jaú/SP, Brasil para dirimir quaisquer litígios decorrentes ou relacionados a este DPA, com expressa renúncia a qualquer outro, por mais privilegiado que seja, salvo para casos que, por lei, devam ser submetidos a foro diverso.

Anexo I — Descrição das Atividades de Tratamento

Este Anexo descreve as atividades de tratamento de dados pessoais realizadas pela Operadora em nome do Controlador no âmbito da Plataforma Octa8.

A. Natureza e Finalidade do Tratamento

A Operadora trata Dados do Controlador para as seguintes finalidades, de acordo com as Instruções Documentadas do Controlador:

Finalidade	Descrição
Hospedagem e entrega de conteúdo	Armazenar e servir o conteúdo (websites, arquivos, mídia) do Controlador e de seus usuários finais
Gestão de domínios e DNS	Registrar, configurar e gerenciar domínios e registros DNS em nome do Controlador
Monitoramento e disponibilidade	Monitorar a disponibilidade e o desempenho dos recursos do Controlador na Plataforma
Otimização para motores de busca (SEO)	Analisar e otimizar o conteúdo e a estrutura técnica dos websites do Controlador
Ferramentas de inteligência artificial	Processar inputs e outputs de ferramentas de IA conforme solicitado pelo Controlador ou seus usuários
APIs e integrações com terceiros	Transmitir dados entre a Plataforma e serviços de terceiros configurados pelo Controlador
Armazenamento de arquivos e documentos	Armazenar, organizar e fornecer acesso a arquivos enviados pelo Controlador ou seus usuários
Notificações e comunicações	Enviar notificações (e-mail, push, SMS, webhooks) configuradas pelo Controlador
Assinaturas e faturamento	Processar e registrar transações de assinatura, pagamentos e eventos de faturamento
Logs e auditoria	Gerar, armazenar e disponibilizar logs de acesso, eventos e erros para fins operacionais e de segurança
Gestão de usuários	Autenticar e gerenciar contas de usuários finais do Controlador na Plataforma
Marketplace e afiliados (futuro)	Facilitar transações entre o Controlador e terceiros na marketplace, gestão de afiliados e revendedores

B. Categorias de Dados Pessoais

A Operadora poderá tratar, conforme determinado pelo Controlador, as seguintes categorias de dados pessoais:

Dados de identificação: nome completo, nome de exibição, nome de usuário, identificador único de conta.
Dados de contato: endereço de e-mail, número de telefone, endereço postal, país.
Dados de autenticação: credenciais de acesso (armazenadas em formato hash), tokens de sessão, logs de autenticação.
Dados profissionais: nome da empresa, CNPJ/CPF (quando fornecido), cargo, setor.
Dados de uso e comportamento: logs de acesso, endereços IP, metadados de sessão, interações com a Plataforma, preferências de configuração.
Dados de conteúdo: textos, imagens, vídeos, documentos, arquivos e demais conteúdos enviados ou gerados pelo Controlador ou seus usuários finais na Plataforma.
Dados de faturamento: informações de pagamento (gerenciadas por processadores de pagamento certificados PCI-DSS, não armazenadas em texto claro pela Operadora), histórico de transações, dados de faturamento.
Dados de comunicação: conteúdo de mensagens, notificações e comunicações transmitidas por meio dos serviços.
Dados técnicos: endereço IP, agente de usuário (user agent), tipo e versão de navegador ou dispositivo, sistema operacional, configurações de DNS.
Dados de integração: tokens de API, webhooks e demais dados necessários às integrações configuradas pelo Controlador com serviços de terceiros.

Dados Sensíveis: A Operadora não coleta nem trata intencionalmente dados pessoais sensíveis, conforme definido na Cláusula 1.4, salvo mediante Instrução Documentada específica e confirmação de base legal pelo Controlador.

Dados de Crianças e Adolescentes: A Plataforma não é destinada a crianças menores de dezoito (18) anos. O Controlador é responsável por garantir que seus usuários finais sejam maiores de idade ou, quando aplicável, que o tratamento de dados de menores atenda aos requisitos legais, incluindo consentimento dos responsáveis.

C. Categorias de Titulares

Usuários finais do Controlador (clientes, visitantes, assinantes dos serviços do Controlador).
Colaboradores, prestadores de serviços e representantes do Controlador.
Contatos de negócios e leads do Controlador.
Afiliados, revendedores e parceiros de canal do Controlador (quando aplicável).

D. Duração do Tratamento

A Operadora trata os Dados do Controlador pelo período de vigência do contrato de serviços, acrescido do prazo necessário ao cumprimento das obrigações de devolução e eliminação previstas na Cláusula 14. Dados que devem ser retidos por obrigação legal serão mantidos exclusivamente pelo prazo exigido por lei.

Anexo II — Medidas Técnicas e Organizacionais de Segurança

A Operadora implementa e mantém, no mínimo, as seguintes medidas técnicas e organizacionais de segurança para proteção dos Dados do Controlador:

A. Controles de Acesso

Controle de acesso baseado em função (RBAC): acesso aos Dados do Controlador limitado ao pessoal com necessidade operacional documentada (need-to-know), com revisão periódica de permissões.
Autenticação forte: autenticação multifator (MFA) obrigatória para acesso a sistemas de produção e painéis administrativos internos da Operadora.
Gerenciamento de credenciais: política de senhas fortes, uso de gerenciadores de senhas corporativos, rotação periódica de credenciais privilegiadas, e imediata revogação de acessos ao término de vínculos.
Acesso privilegiado (PAM): controle e auditoria de acessos privilegiados, com registro de sessões administrativas.

B. Criptografia

Em trânsito: toda comunicação entre o cliente e a Plataforma é protegida por TLS 1.2 ou superior. Certificados digitais gerenciados com renovação automática.
Em repouso: dados sensíveis armazenados com criptografia em repouso (AES-256 ou equivalente), incluindo backups e volumes de armazenamento.
Gerenciamento de chaves: chaves criptográficas gerenciadas por sistemas dedicados (KMS — Key Management Service), com rotação periódica e acesso auditado.

C. Segurança de Rede e Infraestrutura

Segregação de redes: separação lógica entre redes de produção, de desenvolvimento e de administração.
Firewall e WAF: uso de firewalls de aplicação web (WAF), firewalls de rede e sistemas de detecção/prevenção de intrusão (IDS/IPS).
Proteção contra DDoS: mitigação de ataques de negação de serviço distribuído por meio de provedores especializados.
Gestão de vulnerabilidades: varredura periódica de vulnerabilidades em sistemas e aplicações, com processo de priorização e correção baseado em risco.
Teste de penetração: testes de penetração periódicos realizados por equipes internas ou terceiros especializados.
Gestão de patches: processo formal de aplicação de patches de segurança críticos em prazo compatível com o risco identificado.

D. Segurança Física

Data centers: a Operadora hospeda seus sistemas em data centers de terceiros certificados (ISO 27001, SOC 2 Type II ou equivalente), com controles físicos de acesso (catracas biométricas, CFTV, guardas de segurança), redundância de energia e refrigeração.
Eliminação de mídias: mídias físicas contendo dados pessoais são destruídas de forma segura e certificada ao final de sua vida útil.

E. Resiliência e Continuidade

Backups: rotina de backup automatizado com frequência compatível com os SLAs dos serviços, armazenados em localização geograficamente distinta da produção, com verificação periódica de integridade e restauração.
Plano de Recuperação de Desastres (DRP): plano formal de recuperação de desastres, com RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definidos e testados periodicamente.
Alta disponibilidade: infraestrutura com redundância para componentes críticos, eliminação de pontos únicos de falha (SPOF) nos serviços essenciais.

F. Segurança de Aplicações

Ciclo de desenvolvimento seguro (S-SDLC): integração de práticas de segurança em todas as fases do ciclo de desenvolvimento de software, incluindo revisões de código orientadas à segurança, análise estática (SAST) e dinâmica (DAST).
Gestão de dependências: monitoramento de vulnerabilidades em dependências de software de terceiros (SCA — Software Composition Analysis), com processo de atualização e remediação.
Validação de entrada: controles para prevenção de injeção (SQL injection, XSS, CSRF e similares) em todas as entradas da Plataforma.
Logs de auditoria de aplicação: registro imutável de eventos relevantes de segurança (autenticação, autorização, alterações de dados sensíveis), com retenção compatível com as obrigações legais.

G. Gestão de Incidentes

Plano de Resposta a Incidentes: processo formal de resposta a incidentes de segurança, com papéis e responsabilidades definidos, incluindo identificação, contenção, erradicação, recuperação e lições aprendidas.
Equipe de Resposta: equipe dedicada (ou contratada) para resposta a incidentes de segurança, com canais de comunicação interna e externa definidos.
Monitoramento contínuo: sistemas de SIEM (Security Information and Event Management) e alertas automatizados para detecção de atividades anômalas.

H. Gestão de Fornecedores e Suboperadoras

Due diligence: avaliação de segurança de fornecedores e Suboperadoras antes da contratação, com revisão periódica.
Contratos de segurança: inclusão de cláusulas de proteção de dados e requisitos mínimos de segurança nos contratos com fornecedores que acessam Dados do Controlador.
Lista de Suboperadoras: manutenção e publicação de lista atualizada de Suboperadoras que tratam Dados do Controlador, nos termos da Cláusula 8.

I. Políticas e Treinamento

Políticas de segurança: conjunto de políticas formais de segurança da informação, privacidade e proteção de dados, revisadas anualmente ou quando ocorrem mudanças relevantes.
Treinamento: treinamento periódico obrigatório de todos os colaboradores em proteção de dados, segurança da informação e resposta a incidentes; treinamento adicional para equipes com acesso a Dados do Controlador.
Acordo de confidencialidade: todos os colaboradores e prestadores de serviços com acesso a Dados do Controlador assinam obrigações de confidencialidade antes do acesso.

J. Auditoria e Conformidade

Certificações: a Operadora busca manter e/ou verificar certificações relevantes de segurança (ISO 27001, SOC 2 Type II ou equivalentes), cujos relatórios podem ser disponibilizados ao Controlador nos termos da Cláusula 9.3.
Avaliações internas: auditorias internas periódicas de conformidade com as políticas de segurança e com as obrigações deste DPA.
Programa de privacidade: programa formal de gestão de privacidade, incluindo registro de atividades de tratamento, avaliações de impacto (RIPD/DPIA) e gestão do ciclo de vida dos dados.

Este Acordo de Tratamento de Dados é parte integrante dos Termos de Serviço da Octa8, operada por Octa8 Tecnologia LTDA (12.345.678/0001-90), com sede em Jaú, São Paulo, Brasil. Dúvidas sobre este documento podem ser dirigidas a help@octa8.app ou ao Encarregado pelo Tratamento de Dados em dpo@acme.test.

Jurídico e contratos

Contrato de Prestação de Serviços

Condições contratuais, níveis de serviço (SLA) e garantias da Octa8 Tecnologia LTDA.

Versão 1.0 · Vigente em 04/06/2026

1. Objeto

O presente Contrato de Prestação de Serviços ("Contrato") regula a relação jurídica entre a Octa8 Tecnologia LTDA, inscrita no CNPJ sob o nº 12.345.678/0001-90, com sede em Jaú, São Paulo, Brasil ("Prestadora"), e a pessoa física ou jurídica que aderiu eletronicamente à plataforma Octa8 ("Cliente"), relativamente à prestação dos serviços de tecnologia da informação descritos na cláusula seguinte.

A adesão ao presente Contrato ocorre no momento em que o Cliente completa o processo de cadastro na plataforma, clica em botão ou opção equivalente que indique aceite, ou utiliza qualquer serviço disponibilizado pela Prestadora — o que ocorrer primeiro. Esse aceite produz os mesmos efeitos jurídicos de uma assinatura manuscrita, nos termos dos arts. 107 e 219 do Código Civil Brasileiro e do Marco Civil da Internet (Lei nº 12.965/2014).

2. Definições

Para fins deste Contrato, os termos a seguir terão os significados indicados:

Termo	Definição
Plataforma	Conjunto de softwares, APIs, interfaces e infraestrutura operados pela Prestadora sob a marca Octa8, acessíveis via internet.
Serviços	Todas as funcionalidades disponibilizadas ao Cliente no âmbito de seu Plano contratado, incluindo, sem limitação: criação e hospedagem de websites, gestão de domínios, monitoramento de disponibilidade, ferramentas de SEO, ferramentas de inteligência artificial, APIs programáticas, gestão de assinaturas, armazenamento e processamento de arquivos, notificações, logs e integrações com terceiros.
Plano	Pacote de recursos e limites contratado pelo Cliente, conforme tabela de preços vigente publicada na Plataforma.
Tenant	Ambiente isolado, vinculado à conta do Cliente, dentro da infraestrutura multilocatária da Plataforma.
Dados do Cliente	Todos os dados, conteúdos, arquivos, configurações e informações inseridos, transmitidos ou gerados pelo Cliente no uso da Plataforma.
Dados Pessoais	Qualquer informação relacionada a pessoa natural identificada ou identificável, nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e do Regulamento Geral sobre a Proteção de Dados (GDPR — Regulamento UE 2016/679).
Incidente de Segurança	Acesso não autorizado, divulgação, alteração, destruição ou perda acidental ou ilícita de Dados do Cliente ou Dados Pessoais.
Tempo de Inatividade	Período, medido em minutos inteiros consecutivos, durante o qual os Serviços se mostram inacessíveis ou inoperantes para o Cliente, excluídas as hipóteses previstas na Cláusula 4.4.
Crédito de Serviço	Valor em moeda corrente ou crédito aplicável à próxima fatura, concedido pela Prestadora ao Cliente como compensação por descumprimento do SLA.
Marketplace	Ambiente de distribuição de extensões, temas, integrações e plugins de terceiros disponibilizados na Plataforma, presente ou futuro.
Revendedor / Afiliado	Pessoa física ou jurídica que, mediante contrato específico com a Prestadora, oferece os Serviços em nome próprio ou de terceiros.

3. Descrição dos Serviços

3.1 Serviços Incluídos

A Prestadora disponibiliza ao Cliente, de acordo com o Plano vigente:

a) Hospedagem e Websites — provisionamento de ambiente de hospedagem, construtores de sites, templates e ferramentas de publicação;

b) Gestão de Domínios — registro, transferência, renovação e configuração de registros DNS;

c) Monitoramento — verificação periódica de disponibilidade de URLs e alertas configuráveis;

d) SEO e Analytics — ferramentas de análise de palavras-chave, rastreamento de posicionamento e relatórios de desempenho;

e) Ferramentas de Inteligência Artificial — modelos e funcionalidades de IA integradas à Plataforma para uso do Cliente, sujeitas aos limites de uso do Plano;

f) APIs Programáticas — acesso à API pública da Plataforma mediante autenticação, conforme documentação disponível na Plataforma;

g) Gestão de Assinaturas e Cobrança — emissão de faturas, processamento de pagamentos e controle de ciclo de vida de assinaturas;

h) Armazenamento de Arquivos — espaço em disco para upload, armazenamento e entrega de arquivos do Cliente, nos limites do Plano;

i) Notificações — envio de alertas, e-mails transacionais e webhooks conforme configuração do Cliente;

j) Integrações com Terceiros — conectores pré-construídos com serviços externos habilitados pelo Cliente, mediante credenciais próprias;

k) Logs e Auditoria — registros de atividades e eventos acessíveis pelo Cliente via painel de administração;

l) Marketplace (quando disponível) — acesso a extensões e integrações de parceiros, sujeitas a termos adicionais;

m) White-label / Revendedores (quando contratado) — personalização de marca e distribuição, conforme aditivo específico.

3.2 Atualizações

A Prestadora poderá, a seu exclusivo critério, adicionar, modificar ou descontinuar funcionalidades dos Serviços, comprometendo-se a notificar o Cliente com antecedência mínima de 30 (trinta) dias para modificações que impactem materialmente as funcionalidades em uso, salvo determinação legal ou emergência de segurança.

3.3 Funcionalidades de Terceiros

Integrações com serviços de terceiros estão sujeitas aos termos e disponibilidade desses terceiros. A Prestadora não garante o funcionamento contínuo de integrações externas e não responde por falhas, descontinuidades ou alterações impostas pelo terceiro.

4. Acordo de Nível de Serviço (SLA)

4.1 Disponibilidade-Alvo

A Prestadora compromete-se a manter os Serviços disponíveis de acordo com os níveis descritos na tabela abaixo, medidos mensalmente, a partir da data de ativação do Plano do Cliente:

Plano	Disponibilidade Mensal Alvo
Básico	99,0%
Profissional	99,5%
Empresarial	99,9%
Enterprise / White-label	99,95% (SLA personalizado mediante aditivo)

Os percentuais acima correspondem ao tempo mensal disponível, calculado pela fórmula:

Disponibilidade (%) = ((Minutos Totais no Mês − Tempo de Inatividade) / Minutos Totais no Mês) × 100

Os níveis de SLA aplicáveis ao Plano vigente do Cliente estão detalhados no painel de administração da conta e na respectiva página de planos da Plataforma.

4.2 Janela de Manutenção Programada

A Prestadora realizará manutenções programadas preferencialmente nos seguintes horários, salvo emergência:

Janela padrão: terças e quintas-feiras, das 02h00 às 06h00 (horário de Brasília / UTC-3).
O Cliente será notificado por e-mail ou painel com antecedência mínima de 48 (quarenta e oito) horas para manutenções que impliquem Tempo de Inatividade esperado superior a 15 (quinze) minutos.
Manutenções de emergência (segurança crítica) poderão ocorrer sem aviso prévio, com comunicação imediata após o início.

O tempo de inatividade decorrente de manutenções notificadas dentro da janela padrão não será computado para fins de cálculo do SLA.

4.3 Métricas e Monitoramento

Método de medição: verificações automatizadas de disponibilidade executadas a partir de múltiplos pontos de presença com intervalo máximo de 1 (um) minuto.
Período de apuração: mês calendário (00h00 do dia 1 a 23h59 do último dia, UTC-3).
Relatório: o Cliente pode consultar o histórico de disponibilidade em tempo real no painel de administração e receber relatórios mensais por e-mail, se habilitado.
Registro de incidentes: a Prestadora mantém página de status pública em subdomínio dedicado com histórico de incidentes e atualizações em tempo real.

4.4 Exclusões do SLA

Não serão computados como Tempo de Inatividade os períodos resultantes de:

a) manutenções programadas dentro das janelas notificadas (Cláusula 4.2);

b) fatores de força maior ou caso fortuito (art. 393 do Código Civil), incluindo falhas generalizadas de infraestrutura de internet, desastres naturais, atos de guerra ou terrorismo;

c) atos ou omissões do Cliente, de seus usuários finais ou de sistemas sob seu controle, incluindo configurações incorretas, scripts abusivos ou ataques originados de sua infraestrutura;

d) falhas de serviços de terceiros externos à infraestrutura da Prestadora, incluindo provedores de DNS, CDN ou processadores de pagamento;

e) ataques de negação de serviço (DDoS) de magnitude excepcional que exceda a capacidade de mitigação da Prestadora, documentados e comunicados ao Cliente;

f) suspensão de Serviços por violação do presente Contrato, dos Termos de Uso ou de determinação legal;

g) solicitação expressa do Cliente para execução de tarefas de suporte que impliquem interrupção;

h) indisponibilidade de acesso à Plataforma causada por falhas no provedor de internet ou equipamentos do próprio Cliente.

4.5 Créditos de Serviço por Descumprimento do SLA

Quando a disponibilidade mensal apurada for inferior à meta contratada, o Cliente fará jus a Créditos de Serviço conforme tabela:

Disponibilidade Apurada	Crédito Sobre o Valor Mensal do Plano
≥ meta e < meta + 0,5%	Nenhum
< meta e ≥ meta − 1,0%	5%
< meta − 1,0% e ≥ meta − 2,0%	10%
< meta − 2,0% e ≥ meta − 5,0%	25%
< meta − 5,0%	50%

Condições para concessão:

i. O Cliente deve solicitar o Crédito de Serviço em até 30 (trinta) dias corridos após o encerramento do mês de apuração, por meio do canal de suporte oficial;

ii. O Crédito será aplicado na próxima fatura ou renovação do Plano, não sendo conversível em espécie salvo na hipótese de rescisão sem justa causa pela Prestadora;

iii. O total de Créditos de Serviço concedidos em um único mês não excederá 50% (cinquenta por cento) do valor mensal do Plano;

iv. Créditos de Serviço constituem o único e exclusivo remédio contratual do Cliente por descumprimento do SLA, sem prejuízo do direito de rescisão previsto na Cláusula 11.

5. Garantias e Isenções

5.1 Garantias da Prestadora

A Prestadora garante que:

a) os Serviços serão prestados com diligência, profissionalismo e de acordo com as práticas reconhecidas do setor de tecnologia;

b) implementará e manterá medidas técnicas e organizacionais de segurança da informação compatíveis com os padrões ISO/IEC 27001 e os requisitos da LGPD/GDPR, incluindo controles de acesso, criptografia de dados em trânsito (TLS 1.2+) e em repouso, gestão de vulnerabilidades e planos de resposta a incidentes;

c) processará os Dados Pessoais do Cliente e de seus usuários finais estritamente nos termos da Política de Privacidade e do Adendo de Tratamento de Dados disponíveis na Plataforma;

d) notificará o Cliente em até 72 (setenta e duas) horas após tomar conhecimento de Incidente de Segurança que afete seus Dados, conforme exigido pela LGPD (art. 48) e pelo GDPR (art. 33).

5.2 Isenções

SALVO AS GARANTIAS EXPRESSAMENTE PREVISTAS NESTE CONTRATO E NA MEDIDA MÁXIMA PERMITIDA PELA LEGISLAÇÃO APLICÁVEL:

a) A Plataforma é fornecida "como está" e "conforme disponível";

b) A Prestadora não garante que os Serviços serão ininterruptos, livres de erros, vírus ou outros componentes nocivos;

c) A Prestadora não garante resultados específicos de negócios, posicionamento em mecanismos de busca ou desempenho de campanhas decorrentes do uso dos Serviços;

d) A Prestadora não se responsabiliza pelo conteúdo publicado pelo Cliente na Plataforma, pela veracidade das informações inseridas ou pela conformidade do uso dos Serviços com a legislação aplicável ao negócio do Cliente.

6. Limitações de Responsabilidade

6.1 Limitação Quantitativa

NA MÁXIMA EXTENSÃO PERMITIDA PELA LEGISLAÇÃO APLICÁVEL, A RESPONSABILIDADE TOTAL E CUMULATIVA DA PRESTADORA PERANTE O CLIENTE, POR QUAISQUER REIVINDICAÇÕES DECORRENTES OU RELACIONADAS A ESTE CONTRATO OU AOS SERVIÇOS, SEJA CONTRATUAL, EXTRACONTRATUAL (INCLUINDO NEGLIGÊNCIA) OU OUTRA, FICARÁ LIMITADA AO MAIOR VALOR ENTRE:

(i) O total de valores efetivamente pagos pelo Cliente à Prestadora nos 12 (doze) meses imediatamente anteriores ao evento que deu origem à reivindicação; ou

(ii) R$ 500,00 (quinhentos reais).

6.2 Exclusão de Danos Indiretos

A PRESTADORA NÃO SERÁ RESPONSÁVEL POR DANOS INDIRETOS, INCIDENTAIS, ESPECIAIS, PUNITIVOS OU CONSEQUENTES, INCLUINDO LUCROS CESSANTES, PERDA DE RECEITA, PERDA DE DADOS, PERDA DE GOODWILL OU CUSTOS DE SERVIÇOS SUBSTITUTOS, MESMO QUE TENHA SIDO INFORMADA DA POSSIBILIDADE DE TAIS DANOS.

6.3 Exceções

As limitações previstas nesta cláusula não se aplicam a:

a) danos causados por dolo ou culpa grave da Prestadora;

b) violações de obrigações de confidencialidade (Cláusula 13);

c) violações de direitos de propriedade intelectual do Cliente;

d) obrigações de notificação de Incidentes de Segurança previstas em lei.

7. Suporte Técnico e Canais de Atendimento

7.1 Canais

O suporte técnico será prestado pelos seguintes canais, de acordo com o Plano do Cliente:

Canal	Disponibilidade	Planos
Base de conhecimento / Documentação online	24h × 7 dias	Todos
Chat online / Sistema de tickets	Horário comercial (seg.–sex., 09h–18h, UTC-3)	Básico e superiores
E-mail prioritário	Horário comercial	Profissional e superiores
Chat ao vivo com SLA de resposta de 4h	24h × 7 dias	Empresarial e superiores
Gerente de conta dedicado	Sob acordo	Enterprise

O endereço de contato principal é: help@octa8.app | Telefone: 0800 000 8888 (WhatsApp também).

7.2 Tempo de Primeira Resposta

Plano	Crítico (P1)	Alto (P2)	Médio (P3)	Baixo (P4)
Básico	24h	48h	5 dias úteis	10 dias úteis
Profissional	8h	24h	3 dias úteis	7 dias úteis
Empresarial	4h	8h	2 dias úteis	5 dias úteis
Enterprise	1h	4h	1 dia útil	3 dias úteis

Prioridade determinada pela Prestadora com base no impacto sobre os Serviços.

7.3 Escopo do Suporte

O suporte abrange o funcionamento dos Serviços contratados. Desenvolvimento personalizado, consultoria de negócios e suporte a produtos de terceiros estão fora do escopo, salvo mediante contratação adicional.

8. Cobrança, Faturamento e Impostos

8.1 Preços e Planos

Os preços vigentes estão publicados na Plataforma e incorporados a este Contrato por referência. A Prestadora reserva-se o direito de alterar preços, comunicando ao Cliente com antecedência mínima de 30 (trinta) dias, conforme Cláusula 9.

8.2 Ciclo de Cobrança

a) Os Serviços são cobrados de forma antecipada, em ciclos mensais ou anuais, conforme opção do Cliente no momento da contratação.

b) A cobrança ocorre automaticamente na data de renovação do Plano, mediante o método de pagamento cadastrado pelo Cliente.

c) Faturas estão disponíveis no painel de administração e enviadas por e-mail ao endereço cadastrado.

8.3 Inadimplência

a) O não pagamento até a data de vencimento sujeitará o Cliente a:

i. Suspensão preventiva dos Serviços após 7 (sete) dias corridos do vencimento, com aviso prévio por e-mail;

ii. Encerramento do Plano e exclusão dos Dados do Cliente após 30 (trinta) dias de inadimplência contínua, com notificação prévia;

iii. Multa moratória de 2% (dois por cento) sobre o valor em atraso e juros de 1% (um por cento) ao mês, calculados pro rata die.

b) A Prestadora não se responsabiliza pela perda de Dados do Cliente decorrente de encerramento por inadimplência após o prazo previsto nesta cláusula.

8.4 Impostos

Os preços divulgados são acrescidos dos tributos aplicáveis (ISS, PIS, COFINS e outros incidentes sobre a prestação de serviços de tecnologia), que serão discriminados na fatura. Obrigações tributárias do Cliente relativas ao seu negócio são de sua exclusiva responsabilidade.

8.5 Estorno e Reembolso

a) Planos mensais não são reembolsáveis após a data de cobrança, exceto nos casos previstos neste Contrato ou exigidos pela legislação de defesa do consumidor aplicável.

b) Planos anuais: o Cliente que exerce o direito de arrependimento (art. 49 do CDC, quando aplicável) em até 7 (sete) dias corridos da contratação receberá reembolso integral. Rescisões após esse prazo são regidas pela Cláusula 11.

c) Créditos de Serviço (Cláusula 4.5) não são conversíveis em espécie, salvo disposição contrária expressa.

9. Reajuste de Preços

9.1 Índice e Periodicidade

Os preços dos Planos poderão ser reajustados anualmente, com base na variação positiva do Índice Geral de Preços — Mercado (IGP-M) apurado pela Fundação Getulio Vargas (FGV), ou pelo IPCA (Índice Nacional de Preços ao Consumidor Amplo), o que for menor, referente aos 12 (doze) meses anteriores à data do reajuste.

9.2 Notificação

O reajuste será comunicado ao Cliente por e-mail e/ou notificação no painel de administração com antecedência mínima de 30 (trinta) dias da data de vigência.

9.3 Reajustes Extraordinários

Em caso de variação cambial significativa, aumento de custos de infraestrutura ou alterações tributárias que impactem materialmente o custo de prestação dos Serviços, a Prestadora poderá aplicar reajuste extraordinário, mediante notificação com prazo mínimo de 30 (trinta) dias e justificativa fundamentada. O Cliente que não concordar com o reajuste extraordinário poderá rescindir o Contrato sem penalidade, desde que o notifique no prazo de 15 (quinze) dias após o recebimento da comunicação.

10. Vigência e Renovação

10.1 Início da Vigência

O presente Contrato entra em vigor na data de ativação do Plano pelo Cliente ("Data de Início") e permanece válido por prazo indeterminado, salvo rescisão nos termos da Cláusula 11.

10.2 Renovação Automática

Planos com periodicidade definida (mensal ou anual) renovam-se automaticamente ao término de cada período, pelo mesmo prazo, salvo se o Cliente comunicar sua intenção de não renovar com antecedência mínima de 5 (cinco) dias úteis (planos mensais) ou 30 (trinta) dias corridos (planos anuais) antes do vencimento.

10.3 Período de Teste

Quando a Prestadora oferecer período de teste gratuito ("trial"), sua duração e condições serão informadas na Plataforma. Ao término do trial sem cancelamento expresso, o Plano selecionado será ativado e a cobrança iniciada automaticamente.

11. Rescisão

11.1 Rescisão por Conveniência pelo Cliente

O Cliente pode rescindir este Contrato a qualquer momento, mediante:

a) Solicitação no painel de administração ou por e-mail ao help@octa8.app;

b) Efeito ao final do período de cobrança corrente (sem reembolso proporcional para planos mensais; para planos anuais, o reembolso será proporcional ao período não utilizado, deduzida eventual desconto anual concedido);

c) Exportação e backup dos Dados do Cliente devem ser realizados pelo Cliente antes da rescisão; após o encerramento, a Prestadora reterá os Dados por 30 (trinta) dias adicionais para fins de recuperação, após o que serão eliminados definitivamente.

11.2 Rescisão por Justa Causa pela Prestadora

A Prestadora poderá rescindir ou suspender imediatamente os Serviços, sem reembolso, nas seguintes hipóteses:

a) violação de qualquer disposição dos Termos de Uso ou Política de Uso Aceitável;

b) uso dos Serviços para atividades ilícitas, fraudulentas ou que violem direitos de terceiros;

c) inadimplência não regularizada nos termos da Cláusula 8.3;

d) fornecimento de informações falsas ou enganosas no cadastro;

e) comportamento abusivo ou ofensivo direcionado a funcionários ou representantes da Prestadora;

f) determinação de autoridade judicial, administrativa ou regulatória competente.

11.3 Rescisão por Justa Causa pelo Cliente

O Cliente pode rescindir este Contrato sem penalidade nas seguintes hipóteses:

a) descumprimento material das obrigações da Prestadora não sanado em 15 (quinze) dias após notificação escrita;

b) reajuste extraordinário não aceito, nos termos da Cláusula 9.3;

c) modificação substancial desfavorável dos Serviços sem anuência do Cliente e sem manutenção da funcionalidade equivalente.

11.4 Efeitos da Rescisão

Rescindido o Contrato por qualquer causa:

a) O acesso do Cliente à Plataforma será encerrado na data efetiva da rescisão;

b) A Prestadora não terá obrigação de manter os Dados do Cliente por período superior ao previsto na Cláusula 11.1(c), salvo obrigação legal;

c) As cláusulas de Confidencialidade (13), Propriedade Intelectual (14), Limitação de Responsabilidade (6) e Lei Aplicável (15) sobreviverão à rescisão.

12. Penalidades e Créditos de Serviço

12.1 Créditos por SLA

O regime de Créditos de Serviço por descumprimento do SLA é integralmente disciplinado pela Cláusula 4.5.

12.2 Multa por Rescisão Antecipada de Plano Anual

Na hipótese de rescisão antecipada de plano anual pelo Cliente sem justa causa (Cláusula 11.3), será devida multa equivalente a 10% (dez por cento) do valor total anual contratado, deduzido o valor já pago pelo período decorrido.

12.3 Penalidade por Uso Abusivo

O uso dos Serviços em violação à Política de Uso Aceitável poderá acarretar:

a) suspensão imediata do Tenant afetado, sem prejuízo de notificação ao Cliente;

b) cobrança pelos custos extraordinários gerados pelo uso abusivo, incluindo consumo de recursos de infraestrutura além dos limites do Plano;

c) rescisão por justa causa nos termos da Cláusula 11.2.

13. Confidencialidade

13.1 Obrigações Recíprocas

Cada parte ("Parte Receptora") que receber informações confidenciais da outra parte ("Parte Divulgadora") compromete-se a:

a) manter em sigilo e não divulgar tais informações a terceiros sem consentimento prévio por escrito da Parte Divulgadora;

b) utilizar as informações confidenciais exclusivamente para os fins previstos neste Contrato;

c) adotar as mesmas medidas de proteção que adota para suas próprias informações confidenciais, nunca inferiores a medidas razoáveis de segurança.

13.2 Exceções

As obrigações de confidencialidade não se aplicam a informações que:

a) sejam ou se tornem de domínio público sem culpa da Parte Receptora;

b) sejam legitimamente conhecidas pela Parte Receptora antes da divulgação;

c) sejam divulgadas por determinação judicial, administrativa ou legal, desde que a Parte Receptora notifique previamente a Parte Divulgadora na medida permitida pela lei;

d) sejam desenvolvidas independentemente pela Parte Receptora sem uso das informações confidenciais.

13.3 Vigência

As obrigações de confidencialidade vigoram durante a vigência deste Contrato e por 5 (cinco) anos após sua rescisão.

13.4 Dados do Cliente como Informação Confidencial

Os Dados do Cliente são considerados informações confidenciais da mais alta sensibilidade. A Prestadora somente acessará Dados do Cliente para fins de prestação dos Serviços, suporte técnico solicitado pelo Cliente, cumprimento de obrigações legais ou conforme expressamente autorizado pelo Cliente.

14. Propriedade Intelectual

14.1 Propriedade da Prestadora

A Plataforma, incluindo seu código-fonte, algoritmos, interfaces, marcas, logotipos, documentação e demais elementos, é e permanecerá de propriedade exclusiva da Prestadora ou de seus licenciadores. Nenhuma disposição deste Contrato transfere ao Cliente qualquer direito de propriedade intelectual sobre a Plataforma.

14.2 Licença ao Cliente

A Prestadora concede ao Cliente licença limitada, não exclusiva, intransferível, revogável e pelo prazo deste Contrato, para acessar e utilizar a Plataforma exclusivamente para os fins permitidos neste Contrato.

14.3 Dados e Conteúdo do Cliente

O Cliente mantém todos os direitos sobre seus Dados e conteúdos inseridos na Plataforma. O Cliente concede à Prestadora licença não exclusiva, limitada, isenta de royalties, para processar, armazenar, transmitir e reproduzir os Dados do Cliente exclusivamente para fins de prestação dos Serviços contratados, suporte e cumprimento de obrigações legais.

14.4 Feedback

Caso o Cliente forneça sugestões, ideias ou feedback sobre os Serviços, a Prestadora poderá utilizá-los sem qualquer obrigação de compensação, confidencialidade ou crédito ao Cliente.

14.5 Marcas

Nenhuma das partes pode utilizar as marcas, logotipos ou nome comercial da outra parte sem consentimento prévio por escrito, exceto para referenciar a outra parte como parceira comercial de forma factual e não enganosa.

15. Tratamento de Dados Pessoais

15.1 Papéis

Para fins da LGPD e do GDPR:

O Cliente é o Controlador dos Dados Pessoais de seus usuários finais processados por meio da Plataforma.
A Prestadora atua como Operadora em relação a esses dados e como Controladora dos dados cadastrais do próprio Cliente.

15.2 Base Legal e Finalidades

A Prestadora processa Dados Pessoais com base nas seguintes hipóteses legais: execução contratual (art. 7º, V, da LGPD / art. 6º, 1, b, do GDPR); cumprimento de obrigação legal; legítimo interesse; e, quando aplicável, consentimento do titular.

15.3 Adendo de Tratamento de Dados

O processamento de Dados Pessoais é regido pelo Adendo de Tratamento de Dados (DPA) disponível na Plataforma, que complementa e integra este Contrato. Em caso de conflito entre este Contrato e o DPA em matéria de proteção de dados, o DPA prevalece.

15.4 Transferências Internacionais

Transferências internacionais de Dados Pessoais para países sem nível adequado de proteção serão realizadas mediante mecanismos legalmente admitidos (Cláusulas Contratuais Padrão, BCR ou equivalente), conforme detalhado no DPA.

16. Disposições Gerais

16.1 Comunicações

Comunicações formais entre as partes serão realizadas por escrito, para os endereços e e-mails registrados. Comunicações eletrônicas têm plena validade jurídica para os fins deste Contrato.

16.2 Cessão

O Cliente não pode ceder, transferir ou sublicenciar seus direitos ou obrigações neste Contrato sem consentimento prévio e por escrito da Prestadora. A Prestadora pode ceder este Contrato a qualquer afiliada ou em caso de fusão, aquisição ou venda de ativos, mediante notificação ao Cliente.

16.3 Força Maior

Nenhuma das partes será responsabilizada por atrasos ou inadimplemento causados por eventos de força maior ou caso fortuito (art. 393 do Código Civil), desde que notifique a outra parte no prazo de 5 (cinco) dias úteis após o evento.

16.4 Integralidade

Este Contrato, juntamente com a Política de Privacidade, os Termos de Uso, a Política de Uso Aceitável e o DPA disponíveis na Plataforma, constitui o acordo integral entre as partes e substitui todos os entendimentos anteriores, escritos ou verbais, sobre seu objeto.

16.5 Invalidade Parcial

A invalidade ou inexequibilidade de qualquer cláusula não afetará as demais, que permanecerão em pleno vigor.

16.6 Renúncia

A omissão de qualquer parte em exigir o cumprimento de qualquer disposição deste Contrato não constitui renúncia a tal direito.

16.7 Modificações ao Contrato

A Prestadora pode modificar este Contrato a qualquer momento, publicando a versão atualizada na Plataforma e notificando o Cliente por e-mail com antecedência mínima de 30 (trinta) dias para alterações materiais. O uso continuado dos Serviços após o prazo de notificação constitui aceite das alterações.

17. Vigência e Foro

O presente Contrato é celebrado em conformidade com as leis da República Federativa do Brasil, em especial o Código Civil (Lei nº 10.406/2002), o Código de Defesa do Consumidor (Lei nº 8.078/1990), quando aplicável, o Marco Civil da Internet (Lei nº 12.965/2014), a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) e demais normas vigentes.

As partes elegem o foro da comarca de Foro da Comarca de Jaú/SP, Brasil para dirimir quaisquer controvérsias decorrentes ou relacionadas a este Contrato, renunciando expressamente a qualquer outro, por mais privilegiado que seja, salvo nos casos em que a legislação de defesa do consumidor exigir foro diverso.

Este Contrato entra em vigor na data de 04 de junho de 2026 e permanece válido até rescisão nos termos aqui previstos.

Octa8 Tecnologia LTDA — 12.345.678/0001-90 — Jaú, São Paulo, Brasil — help@octa8.app — 0800 000 8888 (WhatsApp também)

Versão do documento: 1.0 | Vigente a partir de: 04 de junho de 2026

Jurídico e contratos

Política de Uso Aceitável

Condutas proibidas e regras de uso responsável da plataforma Octa8.

Versão 1.0 · Vigente em 04/06/2026

1. Introdução e Finalidade

Esta Política de Uso Aceitável ("PUA" ou "Política") estabelece os padrões de conduta aplicáveis a todo e qualquer uso dos serviços, plataformas, APIs, infraestrutura e recursos digitais oferecidos pela Octa8 Tecnologia LTDA sob a marca Octa8 (coletivamente, "Serviços").

A presente Política integra e complementa os Termos de Serviço e a Política de Privacidade da Octa8 Tecnologia LTDA, formando com eles um conjunto normativo único e indissociável. Em caso de conflito, os Termos de Serviço prevalecem, exceto nas hipóteses expressamente disciplinadas nesta Política, que constitui norma especial.

A Octa8 Tecnologia LTDA é comprometida com a disponibilidade, integridade e segurança dos Serviços para todos os seus usuários. Por isso, o uso de nossos Serviços para fins ilícitos, abusivos, prejudiciais ou em desacordo com esta Política é estritamente vedado.

2. Aplicabilidade

2.1 Sujeitos obrigados

Esta Política aplica-se, sem exceção, a:

Titulares de conta (pessoas físicas ou jurídicas que contrataram os Serviços diretamente com a Octa8 Tecnologia LTDA);
Usuários autorizados (empregados, colaboradores, prestadores de serviço ou qualquer pessoa que acesse os Serviços mediante credenciais vinculadas a uma conta);
Revendedores e parceiros de marca branca (white-label) que redistribuam os Serviços a terceiros;
Afiliados que promovam os Serviços sob acordo de afiliação;
Usuários finais de plataformas e ambientes criados por titulares de conta por meio dos Serviços;
Desenvolvedores que integrem sistemas de terceiros via APIs fornecidas pela Octa8 Tecnologia LTDA.

2.2 Responsabilidade por terceiros

O titular de conta responde solidariamente pela conduta de todos os usuários autorizados em sua conta, bem como dos usuários finais de qualquer ambiente que opere ou distribua por meio dos Serviços. Revendedores devem incorporar, em seus próprios termos e condições, obrigações equivalentes às desta Política, mantendo mecanismos efetivos de monitoramento e resposta.

2.3 Âmbito objetivo

A Política incide sobre todos os canais de acesso e uso dos Serviços, incluindo, mas não se limitando a: painel de administração web, aplicativos móveis, APIs REST e GraphQL, webhooks, integrações com sistemas de terceiros, tráfego de e-mail e mensagens gerado pela plataforma, conteúdos hospedados em infraestrutura da Octa8 Tecnologia LTDA, e qualquer recurso computacional (armazenamento, rede, processamento) alocado em benefício do usuário.

3. Condutas Proibidas

3.1 Spam e Comunicações Não Solicitadas

É vedado utilizar os Serviços para:

a) Enviar mensagens eletrônicas (e-mail, SMS, notificações push, mensagens instantâneas) em massa sem consentimento prévio, expresso e verificável do destinatário, conforme exigido pela Lei n.º 14.132/2021, pelo Marco Civil da Internet (Lei n.º 12.965/2014), pelo CAN-SPAM Act, pelo GDPR e demais legislações aplicáveis;

b) Coletar endereços eletrônicos ou outros dados de contato por meios automatizados, raspagem (scraping) de listas, compra de listas de terceiros ou qualquer método que produza bases de destinatários sem opt-in legítimo;

c) Dissimular a origem de mensagens, utilizar cabeçalhos falsificados, domínios inexistentes ou endereços de remetente enganosos (spoofing);

d) Operar listas de e-mail sem mecanismo funcional e imediato de descadastramento (unsubscribe), bem como continuar enviando mensagens a destinatários que tenham manifestado recusa após qualquer canal;

e) Utilizar os Serviços como infraestrutura de apoio a redes de spam de terceiros, incluindo o armazenamento de listas, a execução de scripts de disparo ou o roteamento de tráfego malicioso;

f) Praticar snowshoe spamming (distribuição de volume entre múltiplos domínios e IPs para diluir a reputação) ou qualquer técnica projetada para evadir filtros antispam.

3.2 Malware e Código Malicioso

É vedado:

a) Hospedar, distribuir, transmitir ou facilitar o acesso a vírus, worms, trojans, ransomware, spyware, adware, rootkits, keyloggers, cryptojackers, exploits ou qualquer outro código projetado para causar danos, obter acesso não autorizado ou comprometer sistemas, dispositivos ou dados de terceiros;

b) Utilizar os Serviços como plataforma de comando e controle (C2/C&C) de botnets ou redes de dispositivos comprometidos;

c) Armazenar ou transmitir payloads de exploração, ferramentas de ataque automatizado ou kits de phishing;

d) Modificar, ofuscar ou reempacotar software de terceiros de forma a ocultar funcionalidades maliciosas;

e) Executar código que interfira na operação dos Serviços, de servidores da Octa8 Tecnologia LTDA ou de quaisquer redes e sistemas conectados.

3.3 Fraudes e Estelionato

É vedado utilizar os Serviços para:

a) Realizar ou facilitar fraudes financeiras, incluindo emissão de cobranças indevidas, estorno fraudulento (chargeback fraud), fraude de afiliados, fraude em campanhas publicitárias (ad fraud) e lavagem de dinheiro;

b) Criar ou operar esquemas de pirâmide, ponzi, marketing multinível não regulamentado ou qualquer sistema que prometa retornos financeiros não lastreados em atividade econômica lícita;

c) Obter acesso não autorizado a contas, sistemas ou dados de terceiros mediante engano, falsidade ideológica ou qualquer meio ilícito;

d) Falsificar identidade, criar personas fictícias com intenção de enganar terceiros ou utilizar documentos falsos para contratação ou verificação de conta;

e) Promover jogos de azar ilegais, loterias não autorizadas ou quaisquer atividades vedadas pela legislação do Foro da Comarca de Jaú/SP, Brasil.

3.4 Phishing e Engenharia Social

É vedado:

a) Criar, hospedar ou distribuir páginas, formulários ou interfaces que imitem marcas, entidades governamentais, instituições financeiras ou qualquer organização legítima com o objetivo de induzir usuários a fornecer credenciais, dados financeiros ou informações pessoais sensíveis;

b) Utilizar os Serviços para disseminar links ou redirecionamentos que conduzam a páginas de phishing, independentemente de estarem hospedadas na infraestrutura da Octa8 Tecnologia LTDA;

c) Realizar ataques de engenharia social contra empregados, prestadores de serviço ou clientes da Octa8 Tecnologia LTDA, incluindo pretexting, vishing e smishing;

d) Registrar domínios ou criar subdomínios que imitem marcas de terceiros com intenção enganosa (typosquatting e cybersquatting);

e) Enviar comunicações que se apresentem como provenientes da Octa8 Tecnologia LTDA ou de Octa8 sem autorização prévia e expressa.

3.5 Conteúdo Ilegal e Ofensivo

É vedado hospedar, publicar, transmitir ou disponibilizar:

a) Material de abuso sexual infantil (MASI/CSAM) ou qualquer conteúdo que explore, abuse ou coloque em risco menores — conduta que será imediatamente reportada às autoridades competentes, incluindo o NCMEC (National Center for Missing & Exploited Children) quando aplicável, e às autoridades policiais do Foro da Comarca de Jaú/SP, Brasil;

b) Conteúdo que incite, glorifique ou instrua a prática de crimes, terrorismo, genocídio ou atos de violência contra pessoas ou grupos;

c) Discurso de ódio baseado em raça, etnia, religião, gênero, orientação sexual, deficiência ou qualquer outra característica protegida por lei;

d) Conteúdo que viole direitos de personalidade, incluindo imagens íntimas não consentidas (revenge porn), difamação e calúnia;

e) Informações que identifiquem ilegalmente indivíduos (doxing) ou que facilitem assédio, perseguição ou intimidação;

f) Conteúdo adulto ou para maiores de dezoito anos em ambientes sem verificação efetiva de idade, onde exigida por lei;

g) Qualquer material cuja publicação, hospedagem ou distribuição seja proibida pela legislação vigente no Foro da Comarca de Jaú/SP, Brasil ou no local de residência do usuário.

3.6 Pirataria e Violação de Propriedade Intelectual

É vedado:

a) Hospedar, distribuir ou disponibilizar obras protegidas por direitos autorais (software, música, filmes, livros, imagens, bases de dados) sem a devida licença ou autorização do titular;

b) Utilizar os Serviços para indexar, agregar ou redistribuir conteúdo protegido em violação à Lei n.º 9.610/1998 (Lei de Direitos Autorais), ao DMCA (Digital Millennium Copyright Act) ou a tratados internacionais aplicáveis;

c) Registrar, usar ou transferir nomes de domínio, marcas ou elementos de identidade visual que infrinjam direitos de propriedade industrial de terceiros;

d) Fazer engenharia reversa, decompilar, desassemblar ou de outro modo tentar extrair o código-fonte dos Serviços, exceto nos limites expressamente permitidos por lei;

e) Remover, alterar ou obscurecer avisos de direitos autorais, marcas registradas ou outras indicações de propriedade contidas em qualquer componente dos Serviços.

A Octa8 Tecnologia LTDA responde a notificações de violação de direitos autorais enviadas para help@octa8.app com as informações exigidas pela legislação aplicável.

3.7 Ataques, Intrusão e Atividades Ofensivas

É vedado:

a) Realizar ataques de negação de serviço (DoS) ou negação de serviço distribuída (DDoS) contra os Serviços, contra a infraestrutura da Octa8 Tecnologia LTDA ou contra quaisquer sistemas de terceiros, utilizando ou não os recursos computacionais fornecidos pela Octa8 Tecnologia LTDA;

b) Explorar vulnerabilidades em sistemas, aplicativos ou redes da Octa8 Tecnologia LTDA ou de terceiros sem autorização expressa e prévia (unauthorized penetration testing);

c) Realizar varreduras de rede (port scanning, vulnerability scanning, fingerprinting) em sistemas que não sejam de propriedade ou responsabilidade do usuário;

d) Tentar contornar mecanismos de autenticação, autorização ou controle de acesso dos Serviços, incluindo força bruta, credential stuffing e ataques de sessão;

e) Interceptar, capturar ou manipular tráfego de rede de outros usuários (sniffing, man-in-the-middle);

f) Injetar código malicioso em aplicativos hospedados nos Serviços (injeção de SQL, XSS, SSRF, RCE e similares) com intenção de causar dano ou obter acesso não autorizado;

g) Utilizar os Serviços como ponto de partida, intermediário ou destino de quaisquer das atividades acima descritas contra terceiros.

Pesquisa de segurança legítima: Usuários que identifiquem vulnerabilidades nos Serviços são encorajados a reportá-las de forma responsável (responsible disclosure) para help@octa8.app, com as informações suficientes para reprodução. A Octa8 Tecnologia LTDA não inicia ações legais contra pesquisadores que agirem de boa-fé e em conformidade com o programa de divulgação responsável publicado em seu portal.

3.8 Automação Abusiva e Raspagem de Dados

É vedado:

a) Utilizar robôs, crawlers, scrapers, headless browsers ou qualquer mecanismo automatizado para acessar os Serviços de forma que exceda o uso razoável de um usuário humano ou que não seja expressamente autorizado pela API oficial da Octa8 Tecnologia LTDA;

b) Raspar, coletar ou extrair dados de outras contas, perfis ou ambientes presentes nos Serviços sem autorização dos respectivos titulares;

c) Contornar mecanismos de controle de acesso (CAPTCHA, rate limiting, autenticação) por meios automatizados;

d) Realizar requisições em volume que degradem o desempenho dos Serviços para outros usuários ou que excedam os limites de uso definidos na documentação da API ou no plano contratado;

e) Agregar, revender ou redistribuir dados extraídos dos Serviços sem autorização expressa da Octa8 Tecnologia LTDA.

3.9 Mineração de Criptomoedas Não Autorizada

É vedado utilizar qualquer recurso computacional provisionado pela Octa8 Tecnologia LTDA — incluindo capacidade de processamento (CPU/GPU), largura de banda e armazenamento — para mineração de criptomoedas ou execução de qualquer algoritmo de prova de trabalho (proof of work) sem autorização prévia e por escrito da Octa8 Tecnologia LTDA.

Esta vedação inclui a execução de mineradores embutidos em páginas web (cryptojacking) que consumam recursos do dispositivo de visitantes sem consentimento informado.

3.10 Uso Indevido de Ferramentas de Inteligência Artificial

Os Serviços disponibilizam funcionalidades baseadas em inteligência artificial (IA) e modelos de linguagem. É vedado utilizar essas funcionalidades para:

a) Gerar, distribuir ou amplificar desinformação, notícias falsas, conteúdo enganoso ou propaganda coordenada;

b) Criar conteúdo que viole direitos de terceiros, incluindo textos, imagens, áudios e vídeos sintéticos (deepfakes) utilizados para difamar, enganar ou assediar;

c) Contornar guardrails de segurança, filtros de conteúdo ou mecanismos de moderação implementados pelos modelos ou pelos Serviços (prompt injection, jailbreaking);

d) Produzir código malicioso, exploits, malware ou qualquer software com potencial destrutivo ou ofensivo;

e) Realizar discriminação ilegal com base em características protegidas por lei em processos automatizados de tomada de decisão;

f) Processar dados pessoais sensíveis por meio das ferramentas de IA dos Serviços em desacordo com a base legal aplicável (LGPD, art. 11; GDPR, art. 9.º);

g) Utilizar os resultados gerados pelas ferramentas de IA para representar de forma falsa a autoria ou a natureza do conteúdo produzido, quando tal representação puder causar dano a terceiros.

3.11 Limites de Uso de Recursos e APIs

O uso dos Serviços está sujeito a limites técnicos e contratuais definidos no plano do usuário. É vedado:

a) Exceder as cotas de armazenamento, largura de banda, requisições de API, envio de e-mails, mensagens e demais métricas estabelecidas no plano contratado;

b) Criar múltiplas contas para contornar limites de plano gratuito ou para acumular créditos de forma ilegítima;

c) Alugar, revender, sublicenciar ou de qualquer forma comercializar acesso aos Serviços a terceiros sem o plano de revenda (white-label) contratado com a Octa8 Tecnologia LTDA;

d) Utilizar os Serviços para fins que inviabilizem ou prejudiquem o acesso de outros usuários à plataforma, incluindo operações que consumam recursos desproporcionais de forma persistente;

e) Acessar endpoints internos ou de administração que não sejam destinados ao uso público, ainda que tecnicamente acessíveis.

A Octa8 Tecnologia LTDA reserva-se o direito de impor limitações técnicas temporárias (throttling, rate limiting) a contas que excedam padrões de uso normais, mesmo sem aviso prévio, quando necessário para a proteção da plataforma.

4. Denúncia de Abuso

4.1 Canal oficial

Relatos de violações desta Política, incluindo spam, abuso, conteúdo ilegal, phishing, vulnerabilidades e qualquer outra conduta proibida, devem ser encaminhados para:

E-mail: help@octa8.app

Ao reportar, inclua, sempre que possível: (i) descrição detalhada da conduta; (ii) URL, domínio, endereço IP ou identificação da conta envolvida; (iii) evidências (capturas de tela, cabeçalhos de e-mail, logs); (iv) data e hora aproximada do ocorrido; (v) seus dados de contato para eventual retorno.

4.2 Triagem e resposta

A Octa8 Tecnologia LTDA compromete-se a:

a) Acusar o recebimento do relato em até dois (2) dias úteis;

b) Concluir a triagem inicial em até cinco (5) dias úteis;

c) Adotar medidas provisórias de bloqueio, quando o conteúdo ou a conduta reportada representar risco imediato à segurança de pessoas ou à integridade da plataforma, independentemente da conclusão da investigação;

d) Comunicar ao denunciante o resultado da apuração, nos limites permitidos pela legislação de proteção de dados e pelos acordos de confidencialidade aplicáveis.

4.3 Boa-fé e anonimato

Relatos podem ser feitos de forma anônima. A Octa8 Tecnologia LTDA não retalia denunciantes que atuem de boa-fé. Relatos manifestamente infundados, falsos ou utilizados como instrumento de assédio podem dar origem a ações corretivas contra o denunciante.

5. Consequências das Violações

5.1 Medidas disponíveis

Verificada a violação desta Política, a Octa8 Tecnologia LTDA poderá, a seu exclusivo critério e de forma proporcional à gravidade da conduta, adotar uma ou mais das seguintes medidas:

Medida	Descrição
Advertência	Notificação formal ao titular da conta exigindo cessação imediata da conduta e, se aplicável, reparação dos danos causados.
Limitação temporária	Restrição de funcionalidades específicas (envio de e-mails, acesso à API, criação de conteúdo) enquanto a apuração prossegue.
Suspensão preventiva	Bloqueio temporário do acesso à conta ou a recursos específicos, sem prejuízo da investigação em curso.
Remoção de conteúdo	Exclusão ou ocultação de conteúdo que viole esta Política ou a legislação aplicável.
Encerramento da conta	Cancelamento definitivo do contrato e exclusão da conta, com ou sem aviso prévio, conforme a gravidade da violação.
Retenção de valores	Retenção de saldos, créditos ou valores devidos ao usuário, na extensão necessária para cobertura de danos causados a terceiros ou à Octa8 Tecnologia LTDA, nos termos da legislação civil.
Cooperação com autoridades	Fornecimento de informações, logs e dados às autoridades competentes, mediante requisição legal válida ou por iniciativa própria quando houver obrigação legal de notificação.

5.2 Critérios de graduação

A escolha e a intensidade da medida aplicada considerarão, entre outros fatores: (i) a gravidade e o impacto potencial da violação; (ii) o caráter reiterado ou ocasional da conduta; (iii) a boa-fé e a colaboração do usuário durante a apuração; (iv) o dano efetivamente causado a terceiros ou à Octa8 Tecnologia LTDA; (v) a existência de obrigação legal que imponha medida específica.

5.3 Contraditório e recurso

Salvo nos casos em que a urgência imponha medida imediata (risco à segurança, conteúdo de abuso infantil, ataques em curso), a Octa8 Tecnologia LTDA notificará o titular da conta antes de adotar medidas definitivas, concedendo prazo razoável para apresentação de defesa. O titular poderá contestar a decisão por meio de help@octa8.app, apresentando os elementos de fato e direito que entender pertinentes. A Octa8 Tecnologia LTDA analisará o recurso e comunicará sua decisão fundamentada.

5.4 Responsabilidade civil e criminal

O usuário que violar esta Política é responsável, nos termos da legislação vigente, pelos danos materiais e morais causados à Octa8 Tecnologia LTDA, a seus usuários e a terceiros. A Octa8 Tecnologia LTDA reserva-se o direito de ingressar com as medidas judiciais cabíveis e de reportar condutas criminosas às autoridades competentes do Foro da Comarca de Jaú/SP, Brasil e de outros países, conforme o alcance geográfico da conduta.

5.5 Responsabilidade de revendedores

Revendedores que deixarem de incorporar, fazer cumprir ou aplicar obrigações equivalentes a esta Política perante seus usuários finais respondem solidariamente pelas violações praticadas por estes, nos termos do Código Civil e do Marco Civil da Internet.

6. Disposições Gerais

6.1 Modificações

A Octa8 Tecnologia LTDA reserva-se o direito de revisar esta Política periodicamente. Alterações substanciais serão comunicadas por e-mail ao titular da conta e/ou mediante aviso em destaque no painel de administração com antecedência mínima de trinta (30) dias, exceto quando decorrentes de imposição legal imediata. O uso continuado dos Serviços após a entrada em vigor das alterações implica aceitação das novas condições.

6.2 Independência das cláusulas

A invalidade ou inexequibilidade de qualquer disposição desta Política não afeta as demais, que permanecem em pleno vigor.

6.3 Legislação aplicável e foro

Esta Política é regida e interpretada de acordo com as leis do Foro da Comarca de Jaú/SP, Brasil. Para dirimir quaisquer controvérsias dela decorrentes, as partes elegem o foro da comarca de domicílio da Octa8 Tecnologia LTDA, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

6.4 Idioma

A versão em português do Brasil desta Política é a versão de referência para fins de interpretação jurídica no Foro da Comarca de Jaú/SP, Brasil.

Vigência

Esta Política de Uso Aceitável entra em vigor em 04 de junho de 2026 e aplica-se a todos os contratos e relações de uso mantidos com a Octa8 Tecnologia LTDA a partir desta data, bem como às relações preexistentes cujos usuários continuem a utilizar os Serviços após essa data.

Dúvidas, notificações formais e relatos de abuso devem ser dirigidos a help@octa8.app.

Octa8 Tecnologia LTDA — Octa8

Inteligência artificial

Política de Uso de IA e IA Responsável

Princípios, transparência, limitações e responsabilidades no uso de IA na Octa8.

Versão 1.0 · Vigente em 04/06/2026

1. Escopo e Finalidade

Esta Política de Uso de IA e IA Responsável ("Política") descreve como a Octa8, operada por Octa8 Tecnologia LTDA ("nós", "nos", "nosso"), desenvolve, implanta e governa sistemas de inteligência artificial (IA) e machine learning (ML) dentro da plataforma. Aplica-se a todos os usuários, clientes, resellers e parceiros que utilizem quaisquer funcionalidades baseadas em IA disponibilizadas pela plataforma.

Esta Política deve ser lida em conjunto com a nossa Política de Privacidade, os Termos de Serviço e a Lista de Suboperadores e Provedores de IA, que identificam os fornecedores externos de modelos de linguagem e serviços de IA utilizados.

Ao acessar ou utilizar qualquer recurso de IA da plataforma, você concorda com as práticas descritas nesta Política.

2. Princípios de IA Responsável

Nossa governança de IA é fundamentada nos seguintes princípios, alinhados ao NIST AI Risk Management Framework (AI RMF), às diretrizes do EU AI Act e às melhores práticas globais de IA responsável:

2.1 Legalidade. Todos os sistemas de IA operam em conformidade com a legislação aplicável, incluindo a Lei Geral de Proteção de Dados (LGPD — Lei n.º 13.709/2018), o Regulamento Geral de Proteção de Dados da União Europeia (GDPR — Regulamento (UE) 2016/679) e demais normas pertinentes da jurisdição Foro da Comarca de Jaú/SP, Brasil.

2.2 Equidade e Não Discriminação. Buscamos identificar, monitorar e mitigar vieses algorítmicos que possam resultar em tratamento injusto ou discriminatório de pessoas ou grupos, em especial com base em atributos protegidos por lei (raça, gênero, origem, religião, deficiência, entre outros).

2.3 Transparência. Informamos aos usuários quando estão interagindo com sistemas de IA e tornamos disponíveis, de forma acessível, explicações sobre o funcionamento geral dos sistemas, suas finalidades e limitações.

2.4 Responsabilidade (Accountability). Designamos responsabilidades internas claras para o desenvolvimento, operação e auditoria dos sistemas de IA, incluindo a função de Encarregado de Proteção de Dados (DPO) e de equipe técnica responsável por IA.

2.5 Segurança e Robustez. Implementamos medidas técnicas e organizacionais para garantir que os sistemas de IA operem de forma segura, resistente a manipulações adversariais e com comportamento previsível dentro dos limites projetados.

2.6 Privacidade por Concepção. Os sistemas de IA são projetados com privacidade desde a concepção (privacy by design), minimizando a coleta e o uso de dados pessoais ao estritamente necessário para a finalidade declarada.

2.7 Supervisão Humana. Garantimos que decisões de alto impacto envolvam supervisão humana significativa, preservando o direito dos titulares de dados de questionar decisões automatizadas, conforme o art. 20 da LGPD e o art. 22 do GDPR.

2.8 Benefício Social. O desenvolvimento de IA na plataforma visa gerar valor genuíno para os usuários, clientes e a sociedade, evitando aplicações que causem danos previsíveis.

3. Como a IA é Utilizada na Plataforma

A Octa8 incorpora funcionalidades de IA em diversas áreas da plataforma. As principais utilizações incluem, sem limitação:

3.1 Geração de Conteúdo. Ferramentas de geração de texto, imagens, legendas, hashtags, e-mails, roteiros e outros conteúdos de marketing e comunicação, com base em prompts fornecidos pelo usuário.

3.2 Chatbots e Assistentes Virtuais. Agentes conversacionais configuráveis pelo cliente para atendimento ao visitante, suporte interno, qualificação de leads e automações de fluxo. Os usuários finais que interagem com chatbots podem ou não ser informados de que estão conversando com um sistema automatizado, conforme configuração do cliente — o cliente é responsável por tal transparência perante seus visitantes.

3.3 Roteamento Inteligente de Modelos (OmniRoute). Sistema proprietário que seleciona automaticamente o modelo de IA mais adequado para cada solicitação, com base em critérios de custo, latência, qualidade e disponibilidade, podendo distribuir requisições entre múltiplos provedores de modelos de linguagem de grande porte (LLMs).

3.4 Análise e Extração de Dados. Processamento de documentos (OCR), indexação semântica de bases de conhecimento (RAG — Retrieval-Augmented Generation), sumarização de conteúdo e extração de informações estruturadas.

3.5 SEO e Otimização. Sugestões automatizadas de palavras-chave, metadados, estruturação de conteúdo e recomendações de melhoria de desempenho nos mecanismos de busca.

3.6 Automação de Fluxos de Trabalho. Agentes de IA capazes de executar sequências de ações (envio de mensagens, criação de conteúdo, atualização de registros) dentro de fluxos de automação configurados pelo usuário.

3.7 Análise de Business Intelligence. Interpretação de métricas financeiras e operacionais com sugestões geradas por IA para apoio à tomada de decisão.

3.8 Personalização. Recomendações de conteúdo, produtos ou ações com base no comportamento do usuário e de seus clientes finais.

3.9 Monitoramento e Moderação. Detecção automatizada de conteúdo potencialmente problemático, spam ou atividade suspeita.

A lista de funcionalidades de IA pode ser atualizada periodicamente. Atualizações relevantes serão refletidas nesta Política e comunicadas conforme aplicável.

4. Transparência Algorítmica

4.1 Identificação de Conteúdo Gerado por IA. Nos contextos em que a plataforma gera conteúdo diretamente visível ao usuário por meio de IA, será disponibilizado, sempre que tecnicamente viável, algum indicativo dessa natureza — exceto quando o conteúdo seja produzido em nome do cliente para uso em superfícies externas, caso em que a responsabilidade pela divulgação é do cliente.

4.2 Explicabilidade. Não utilizamos caixas-pretas sem qualquer nível de explicação. Para funcionalidades de IA de alto impacto (como moderação de conteúdo ou pontuação de risco), disponibilizamos, no mínimo, os critérios gerais considerados no processamento.

4.3 Registro e Auditabilidade. Mantemos registros internos das requisições feitas aos modelos de IA, incluindo metadados como modelo utilizado, timestamp, usuário/tenant associado e resultado, pelo período necessário às finalidades declaradas e às obrigações legais aplicáveis.

4.4 Versão dos Modelos. As funcionalidades de IA podem utilizar modelos de diferentes versões e provedores. A Octa8 não garante que o mesmo modelo ou versão será utilizado de forma permanente, podendo atualizar os modelos para melhorar a qualidade, segurança ou eficiência — sempre respeitando os requisitos desta Política.

5. Supervisão Humana

5.1 Revisão de Saídas. O usuário é responsável por revisar todo conteúdo gerado por IA antes de publicar, enviar ou tomar qualquer ação com base nele. A plataforma não substitui o julgamento humano qualificado.

5.2 Agentes de IA e Aprovação de Ações. Para ações de alto impacto executadas por agentes de IA (como envio de comunicações em massa, acesso a APIs externas ou execução de transações), a plataforma disponibiliza mecanismos de aprovação humana prévia, configuráveis pelo cliente no painel administrativo.

5.3 Monitoramento Contínuo. Nossas equipes técnicas monitoram continuamente o desempenho, a segurança e o comportamento dos sistemas de IA em produção, com revisões periódicas e capacidade de intervenção imediata quando necessário.

5.4 Direito de Revisão de Decisões Automatizadas (art. 20 LGPD / art. 22 GDPR). Quando a plataforma utilizar processos automatizados que produzam decisões com efeitos legais significativos ou que afetem de forma considerável o titular dos dados — como moderação de conta, bloqueio de acesso ou classificação de risco —, o titular tem o direito de:

Solicitar revisão humana da decisão;
Obter informações sobre os critérios e procedimentos utilizados;
Manifestar sua oposição à decisão.

Para exercer esse direito, o titular deve contatar o Encarregado de Proteção de Dados pelo e-mail dpo@acme.test.

6. Tratamento de Dados Pessoais por IA e Bases Legais

6.1 Dados Utilizados pela IA. Os sistemas de IA da plataforma podem processar dados pessoais inseridos diretamente pelo usuário (textos, arquivos, contatos, históricos de conversação) ou inferidos a partir do uso da plataforma, estritamente para as finalidades declaradas e nos limites do contrato firmado.

6.2 Bases Legais (LGPD). O tratamento de dados pessoais por sistemas de IA na plataforma é realizado com fundamento nas seguintes bases legais, conforme aplicável:

Execução de contrato (art. 7º, V, LGPD): quando necessário para fornecer as funcionalidades contratadas;
Legítimo interesse (art. 7º, IX, LGPD): para melhoria da qualidade do serviço, segurança e prevenção a fraudes, mediante avaliação de impacto;
Consentimento (art. 7º, I, LGPD): para funcionalidades opcionais de personalização que dependam de dados sensíveis ou de finalidade não essencial ao contrato;
Cumprimento de obrigação legal (art. 7º, II, LGPD): quando exigido por lei ou autoridade competente.

6.3 Não Treinamento com Dados do Cliente. Octa8 Tecnologia LTDA não utiliza dados pessoais dos clientes, de seus usuários finais ou de seus visitantes para treinar, ajustar (fine-tuning) ou otimizar modelos de IA de forma que esses dados se tornem parte permanente de qualquer modelo. Os dados são processados transacionalmente para gerar a saída solicitada e não são retidos pelos modelos além do contexto da requisição.

6.4 Transferências Internacionais. O uso de provedores de modelos de IA (subprocessadores) pode implicar transferência internacional de dados. Todas as transferências são realizadas com as salvaguardas adequadas exigidas pela LGPD (art. 33) e pelo GDPR (Capítulo V), incluindo cláusulas contratuais padrão, certificações ou decisões de adequação aplicáveis. A lista atualizada de subprocessadores e os mecanismos de transferência aplicáveis está disponível em Lista de Suboperadores.

6.5 Minimização e Retenção. Implementamos práticas de minimização de dados, assegurando que apenas as informações necessárias sejam processadas pela IA. Os dados pessoais associados às requisições de IA são retidos pelo período definido na Política de Privacidade, após o qual são eliminados ou anonimizados.

6.6 Dados Sensíveis. O processamento de dados pessoais sensíveis (art. 5º, II, LGPD) por sistemas de IA somente ocorre com base em consentimento específico e destacado do titular ou nas demais hipóteses legais autorizativas, sendo vedado o uso de tais dados para finalidades diversas das informadas.

7. Gestão de Riscos de IA

7.1 Identificação de Riscos. Realizamos avaliações periódicas de risco para os sistemas de IA implementados, considerando: viés algorítmico, alucinações (geração de informações falsas ou imprecisas), ataques adversariais (prompt injection, jailbreaking), violações de privacidade, dependências de provedores externos e riscos de segurança.

7.2 Viés Algorítmico. Reconhecemos que modelos de linguagem de grande porte podem reproduzir vieses presentes em seus dados de treinamento. Implementamos mitigações técnicas e de processo para reduzir esse risco, incluindo avaliações regulares de saídas, ajuste de prompts de sistema e seleção criteriosa de modelos e provedores.

7.3 Alucinações. Modelos de IA generativa podem produzir conteúdo factualmente incorreto, incompleto ou enganoso ("alucinações"). A plataforma não garante a veracidade, completude ou atualidade de nenhum conteúdo gerado por IA. O usuário deve verificar de forma independente qualquer informação relevante antes de utilizá-la.

7.4 Segurança contra Manipulação. Implementamos salvaguardas técnicas para detectar e mitigar tentativas de manipulação de sistemas de IA por meio de entradas maliciosas (prompt injection, jailbreaking, envenenamento de contexto). A exploração dessas vulnerabilidades de forma intencional constitui violação desta Política e dos Termos de Serviço.

7.5 Dependência de Terceiros. A disponibilidade e o desempenho de funcionalidades de IA dependem parcialmente de provedores externos. Mantemos arquitetura de failover e roteamento inteligente (OmniRoute) para mitigar interrupções, mas não garantimos disponibilidade ininterrupta de todos os recursos de IA.

7.6 Avaliações de Impacto. Para novas funcionalidades de IA que envolvam tratamento significativo de dados pessoais, realizamos Relatórios de Impacto à Proteção de Dados (RIPD/DPIA) antes da implantação em produção.

8. Limitações da IA

O usuário reconhece e concorda com as seguintes limitações inerentes aos sistemas de IA:

8.1 Sem Garantia de Exatidão. Nenhum conteúdo, análise, previsão ou recomendação gerada por IA constitui garantia de resultado ou aconselhamento profissional (jurídico, médico, financeiro, técnico ou de qualquer outra natureza). A Octa8 não se responsabiliza por decisões tomadas com base exclusiva em saídas de IA.

8.2 Variabilidade de Saídas. Saídas de IA podem variar mesmo para entradas idênticas. Resultados anteriores não garantem resultados futuros equivalentes.

8.3 Contexto e Idioma. Os modelos de IA podem apresentar desempenho variável conforme o idioma, o domínio temático ou o contexto cultural. A Octa8 não garante desempenho uniforme em todos os contextos.

8.4 Dados de Corte. Modelos de linguagem possuem uma data de corte de treinamento e podem não conhecer eventos, legislações ou informações posteriores a essa data.

8.5 Conteúdo de Terceiros. A IA pode fazer referência ou reproduzir conteúdo de terceiros. O usuário é responsável por verificar a adequação legal e autoral de qualquer conteúdo antes de utilizá-lo publicamente.

9. Responsabilidade do Usuário sobre Resultados Gerados

9.1 Responsabilidade pelo Uso. O usuário é integralmente responsável pelo uso que faz das funcionalidades de IA da plataforma, incluindo a revisão, edição, aprovação e publicação de qualquer conteúdo gerado. A Octa8 não assume responsabilidade por conteúdo gerado por IA que seja publicado, compartilhado ou utilizado pelo usuário.

9.2 Revisão Obrigatória. Antes de utilizar qualquer saída de IA para fins comerciais, jurídicos, médicos, financeiros, jornalísticos ou que possam afetar direitos de terceiros, o usuário deve submeter o conteúdo à revisão de profissional habilitado.

9.3 Propriedade Intelectual. O usuário é responsável por assegurar que o uso de conteúdo gerado por IA não infrinja direitos de propriedade intelectual de terceiros. As leis de direito autoral aplicáveis a conteúdos gerados por IA variam por jurisdição e estão em evolução; o usuário deve consultar assessoria jurídica especializada quando necessário.

9.4 Responsabilidade pelo Contexto Fornecido. O usuário é responsável pelos dados, prompts e instruções que fornece aos sistemas de IA. A inserção de dados pessoais de terceiros sem base legal adequada ou em violação a direitos de terceiros é de responsabilidade exclusiva do usuário.

9.5 Indemnização. O usuário concorda em indenizar e isentar Octa8 Tecnologia LTDA, seus colaboradores e parceiros de quaisquer reclamações, danos, penalidades ou despesas decorrentes do uso indevido das funcionalidades de IA ou da publicação de conteúdo gerado por IA sem a devida revisão e adequação.

10. Usos Proibidos de IA

É expressamente vedado utilizar as funcionalidades de IA da plataforma para:

10.1 Gerar, distribuir ou ampliar conteúdo ilegal, incluindo material de abuso sexual infantil (CSAM), discurso de ódio, incitação à violência ou qualquer outra categoria proibida por lei.

10.2 Criar desinformação, notícias falsas, deepfakes ou qualquer conteúdo enganoso destinado a manipular a opinião pública, interferir em processos eleitorais ou causar danos a indivíduos ou organizações.

10.3 Realizar atividades de phishing, engenharia social, fraude ou qualquer forma de crime cibernético.

10.4 Desenvolver, treinar ou refinar modelos de IA concorrentes utilizando saídas geradas pela plataforma sem autorização expressa e por escrito da Octa8 Tecnologia LTDA.

10.5 Automatizar a coleta massiva de dados da plataforma ou de terceiros sem autorização (scraping) ou de qualquer forma que viole os Termos de Serviço.

10.6 Utilizar IA para fins de vigilância massiva não autorizada, monitoramento de indivíduos sem o seu conhecimento ou consentimento, ou para criar perfis discriminatórios.

10.7 Gerar conteúdo que viole direitos de privacidade de terceiros, incluindo a criação de conteúdo explícito não consensual envolvendo pessoas reais.

10.8 Tentar contornar, manipular ou comprometer os sistemas de segurança, filtros de conteúdo ou limitações de uso dos modelos de IA (prompt injection, jailbreaking ou técnicas similares).

10.9 Utilizar IA para substituir aconselhamento profissional regulado (médico, jurídico, financeiro, psicológico) em contextos em que tal substituição possa causar dano ao usuário ou a terceiros.

10.10 Qualquer finalidade que viole os direitos fundamentais, a dignidade humana ou os princípios de IA responsável enunciados nesta Política.

A violação destes termos poderá resultar na suspensão imediata do acesso às funcionalidades de IA ou ao encerramento da conta, sem prejuízo das medidas legais cabíveis.

11. Provedores e Subprocessadores de IA

11.1 Utilização de Terceiros. A Octa8 utiliza modelos de linguagem e serviços de IA fornecidos por terceiros ("subprocessadores de IA") para viabilizar as funcionalidades descritas nesta Política. Esses provedores incluem, mas não se limitam a, fornecedores de modelos de linguagem de grande porte (LLMs), serviços de embeddings, provedores de infraestrutura de inferência e APIs especializadas.

11.2 Seleção e Contratos. Todos os subprocessadores de IA são selecionados com base em critérios de segurança, privacidade, conformidade legal e qualidade. Formalizamos contratos de processamento de dados (DPAs) com todos os subprocessadores que processam dados pessoais, assegurando obrigações equivalentes às desta Política.

11.3 Lista de Subprocessadores. A lista atualizada dos subprocessadores de IA, incluindo a identificação do provedor, o país de sede, as finalidades do processamento e os mecanismos de transferência internacional aplicáveis, está disponível em nosso documento Lista de Suboperadores e Subprocessadores. Atualizamos essa lista sempre que houver mudança relevante de subprocessador, com notificação aos clientes com pelo menos 30 dias de antecedência para subprocessadores novos ou materialmente alterados.

11.4 Responsabilidade. A Octa8 Tecnologia LTDA permanece responsável perante os titulares de dados pelo tratamento realizado pelos subprocessadores em seu nome, nos termos da LGPD e do GDPR.

12. Decisões Automatizadas e Direito de Revisão

12.1 Escopo. Esta seção aplica-se a decisões tomadas de forma exclusivamente automatizada — sem intervenção humana significativa — que produzam efeitos jurídicos ou que afetem de forma considerável os interesses do titular dos dados (art. 20 da LGPD; art. 22 do GDPR).

12.2 Exemplos de Decisões Automatizadas. Na plataforma, exemplos de processos com componente automatizado significativo incluem: avaliação de risco para moderação de conta, classificação de conteúdo para fins de visibilidade, pontuação de leads e segmentação de audiências.

12.3 Direito de Revisão Humana. O titular tem o direito de solicitar revisão humana de qualquer decisão automatizada que o afete significativamente, bem como de:

Obter informações claras sobre os critérios, dados e lógica utilizados na decisão;
Contestar a decisão e apresentar considerações relevantes;
Obter a correção de dados incorretos que tenham influenciado a decisão.

12.4 Exercício do Direito. Para exercer o direito de revisão de decisão automatizada, o titular deve submeter solicitação ao Encarregado de Proteção de Dados pelo e-mail dpo@acme.test, identificando a decisão em questão e os fundamentos de sua contestação. Responderemos no prazo de até 15 (quinze) dias úteis, prorrogável por igual período em casos de maior complexidade, com comunicação justificada.

12.5 Limitações. O direito de revisão não se aplica a decisões necessárias para a execução do contrato celebrado entre as partes, para o cumprimento de obrigação legal ou regulatória, ou quando baseadas em consentimento explícito do próprio titular — desde que salvaguardas mínimas sejam asseguradas (direito de expressar ponto de vista e de contestar).

13. Atualizações desta Política

A Octa8 Tecnologia LTDA reserva-se o direito de atualizar esta Política periodicamente para refletir mudanças nas funcionalidades de IA, na legislação aplicável ou nas melhores práticas de governança de IA. Atualizações materiais serão comunicadas com, no mínimo, 15 (quinze) dias de antecedência por meio do painel da plataforma ou por e-mail. O uso continuado das funcionalidades de IA após a entrada em vigor das alterações constitui aceitação da nova versão da Política.

A versão vigente estará sempre disponível em Octa8/docs/ai-policy. O histórico de versões estará disponível mediante solicitação ao Encarregado de Proteção de Dados.

14. Contato e Encarregado de Proteção de Dados (DPO)

Para dúvidas, solicitações de direitos, reclamações ou qualquer questão relacionada a esta Política ou ao uso de IA na plataforma:

Encarregado de Proteção de Dados (DPO): E-mail: dpo@acme.test

Canal Geral de Suporte: E-mail: help@octa8.app Acesso: Central de Ajuda

Octa8 Tecnologia LTDA Jurisdição: Foro da Comarca de Jaú/SP, Brasil

Solicitações relacionadas a direitos de titulares de dados serão respondidas nos prazos legais aplicáveis. Para comunicar incidentes de segurança envolvendo IA, utilize o canal de segurança disponível em nosso site.

15. Vigência

Esta Política entra em vigor em 04 de junho de 2026 e permanece vigente até que seja substituída por versão posterior, devidamente comunicada nos termos da Seção 13.

A data de vigência de cada versão é identificada no campo doc_version e no cabeçalho desta Política. Versões anteriores são arquivadas e disponibilizadas mediante solicitação.

Octa8 Tecnologia LTDA — Octa8

Privacidade e proteção de dados

Encarregado de Dados e Direitos do Titular

Como exercer seus direitos LGPD e contatar o Encarregado (DPO) da Octa8 Tecnologia LTDA.

Versão 1.0 · Vigente em 04/06/2026

1. Identificação do Encarregado de Proteção de Dados (DPO)

Em conformidade com o art. 41 da Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018 — LGPD) e, nos casos aplicáveis, com o art. 37 do Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD/GDPR), a Octa8 Tecnologia LTDA designou formalmente um Encarregado de Proteção de Dados (DPO):

Campo	Informação
Nome	Encarregado de Proteção de Dados (DPO) — Octa8
E-mail institucional	dpo@acme.test
Controlador	Octa8 Tecnologia LTDA
Plataforma	Octa8
Jurisdição principal	Foro da Comarca de Jaú/SP, Brasil

O Encarregado pode ser acionado diretamente pelos titulares de dados, pela Autoridade Nacional de Proteção de Dados (ANPD) e por qualquer outra autoridade supervisora competente.

2. Papel e Atribuições do Encarregado

O Encarregado atua como ponto de contato entre a Octa8 Tecnologia LTDA, os titulares de dados e os órgãos reguladores. Suas atribuições incluem, entre outras:

Aceitar reclamações e comunicações dos titulares, providenciar esclarecimentos e adotar providências (art. 41, § 2.º, I, LGPD).
Receber comunicações da ANPD e adotar as providências necessárias (art. 41, § 2.º, II, LGPD).
Orientar os colaboradores e contratados da empresa sobre práticas de proteção de dados pessoais (art. 41, § 2.º, III, LGPD).
Executar as demais atribuições definidas em normas complementares e políticas internas.
Aconselhar a organização sobre avaliações de impacto à proteção de dados (DPIA/RIPD) e verificar a conformidade contínua com a LGPD e regulamentos aplicáveis.
Manter registros de atividades de tratamento (Relatório de Impacto à Proteção de Dados Pessoais — RIPD) quando exigido.

O Encarregado exerce suas funções com independência e não recebe instruções quanto ao exercício de suas responsabilidades regulatórias.

3. Seus Direitos como Titular de Dados (art. 18 LGPD)

A LGPD garante ao titular de dados pessoais um conjunto robusto de direitos exercíveis a qualquer momento perante o controlador, sem necessidade de justificativa para a maioria deles:

3.1 Confirmação da Existência de Tratamento

Direito de obter confirmação de que a Octa8 Tecnologia LTDA trata ou já tratou dados pessoais seus.

3.2 Acesso aos Dados

Direito de acessar a cópia integral dos seus dados pessoais tratados, incluindo categorias de dados, finalidades, fontes, duração e compartilhamentos.

3.3 Correção de Dados Incompletos, Inexatos ou Desatualizados

Direito de solicitar a atualização ou correção de quaisquer dados incorretos, incompletos ou desatualizados.

3.4 Anonimização, Bloqueio ou Eliminação

Anonimização: transformação dos dados de modo que não permitam a identificação do titular.
Bloqueio: suspensão temporária do tratamento enquanto uma contestação é analisada.
Eliminação: exclusão definitiva de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Atenção: a eliminação pode ser limitada quando a Octa8 Tecnologia LTDA estiver obrigada por lei a conservar os dados (ex.: obrigações fiscais, prevenção à fraude, cumprimento de ordem judicial) ou quando o tratamento for necessário para exercício regular de direitos.

3.5 Portabilidade dos Dados

Direito de receber seus dados pessoais em formato estruturado, interoperável e de leitura mecânica (ex.: JSON, CSV), para transferência a outro fornecedor de serviço ou produto, nos termos da regulamentação da ANPD.

3.6 Informação sobre Compartilhamento

Direito de saber com quais entidades públicas e privadas (operadores, parceiros, subprocessadores) a Octa8 Tecnologia LTDA compartilha seus dados pessoais.

3.7 Informação sobre Possibilidade de Não Consentir

Direito de ser informado sobre as consequências práticas de recusar o fornecimento de consentimento ou de revogá-lo, quando o consentimento for a base legal aplicável.

3.8 Revogação do Consentimento

Quando o tratamento for fundamentado no seu consentimento (art. 7.º, I, ou art. 11, I, LGPD), você pode revogá-lo a qualquer momento, de forma gratuita e facilitada. A revogação não afeta a licitude do tratamento realizado antes da revogação.

3.9 Revisão de Decisões Automatizadas (art. 20 LGPD)

Direito de solicitar revisão por pessoa humana de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões que definam perfis pessoais, profissionais, de consumo ou de crédito.

4. Como Exercer Seus Direitos

4.1 Canal Preferencial — Painel da Conta (self-service imediato)

A maneira mais rápida de exercer vários direitos é diretamente na área "Privacidade e dados" da sua conta:

Octa8/portal/profile/data

Nessa área você pode, sem necessidade de solicitação manual:

Baixar exportação completa dos seus dados pessoais (confirmação de existência + acesso + portabilidade) em formato JSON/CSV.
Solicitar exclusão da conta e dos dados associados (eliminação).
Gerenciar consentimentos: visualizar, atualizar e revogar bases de consentimento específicas.
Verificar compartilhamentos ativos com terceiros.

4.2 Canal Formal — Contato com o Encarregado

Para direitos não disponíveis em self-service, decisões automatizadas, contestações ou reclamações formais:

Canal	Endereço
E-mail (DPO)	dpo@acme.test
E-mail geral	help@octa8.app
Formulário web	Octa8/portal/profile/data (seção "Enviar solicitação")

Inclua na solicitação:

Nome completo.
Endereço de e-mail associado à conta.
Descrição clara do direito que deseja exercer.
Documentos ou informações adicionais que auxiliem na identificação e atendimento.

5. Verificação de Identidade

Para proteger seus dados e evitar acessos não autorizados, a Octa8 Tecnologia LTDA poderá solicitar a verificação da sua identidade antes de processar qualquer solicitação. A verificação é proporcional à sensibilidade do direito exercido e poderá incluir:

Confirmação de acesso à conta (sessão autenticada via painel).
Envio de e-mail de confirmação para o endereço cadastrado.
Em casos de alto risco (ex.: portabilidade de grande volume de dados, exclusão irreversível): documento de identificação oficial com foto ou outra verificação adicional.

A Octa8 Tecnologia LTDA jamais utilizará as informações fornecidas para verificação de identidade para outra finalidade que não seja o atendimento da solicitação em questão.

6. Prazos de Resposta

Situação	Prazo
Confirmação de recebimento da solicitação	Imediato (resposta automática) ou em até 2 dias úteis
Resposta substancial ao direito exercido	Até 15 dias corridos contados do recebimento da solicitação completa
Prorrogação (casos complexos ou de alto volume)	Até 15 dias corridos adicionais, com comunicação motivada ao titular
Solicitações via self-service no painel	Imediato (exportação) ou processamento em até 30 dias (exclusão, sujeita a retenções legais)

Os prazos acima são contados a partir do recebimento da solicitação com todas as informações necessárias para a verificação de identidade e processamento do pedido. Solicitações incompletas serão respondidas com pedido de complementação, e o prazo será reiniciado após o recebimento.

7. Procedimento de Atendimento

O atendimento de solicitações de titulares segue o fluxo interno:

Recebimento e registro da solicitação (protocolo único atribuído).
Verificação de identidade do titular (§ 5 acima).
Análise de admissibilidade: verificação se o direito é aplicável, se há base legal para limitação (ex.: obrigação legal, legítimo interesse, exercício regular de direitos) e se a solicitação está completa.
Processamento: execução técnica da solicitação (acesso, correção, exportação, anonimização, eliminação, bloqueio ou revogação).
Resposta ao titular: comunicação do resultado, incluindo motivação nos casos de limitação ou negativa.
Registro e evidência: manutenção de registro interno do atendimento para fins de auditoria e conformidade.

Em caso de negativa parcial ou total, a Octa8 Tecnologia LTDA informará o titular das razões, com indicação da base legal aplicável, e orientará sobre as vias de recurso disponíveis, inclusive a reclamação à ANPD.

8. Gestão de Consentimento e Bases Legais

A Octa8 Tecnologia LTDA trata dados pessoais com fundamento nas seguintes bases legais previstas no art. 7.º da LGPD (e no art. 11 para dados sensíveis):

Base Legal	Exemplo de Uso
Consentimento (art. 7.º, I)	Marketing por e-mail opt-in, cookies analíticos não essenciais
Cumprimento de obrigação legal (art. 7.º, II)	Retenção fiscal, registros contábeis, atendimento a ordens judiciais
Execução de contrato (art. 7.º, V)	Provisionamento do serviço contratado, faturamento, suporte
Legítimo interesse (art. 7.º, IX)	Segurança da plataforma, prevenção à fraude, melhoria do serviço (sujeito a teste de balanceamento)
Exercício regular de direitos (art. 7.º, VI)	Defesa em processos administrativos ou judiciais
Proteção da vida ou incolumidade (art. 7.º, VII)	Situações de emergência que envolvam o titular

Você pode consultar a base legal aplicável a cada finalidade de tratamento na nossa Política de Privacidade disponível em Octa8.

Quando a base legal for o consentimento, você pode gerenciá-lo e revogá-lo a qualquer momento em Octa8/portal/profile/data (seção "Consentimentos"). A revogação é gratuita, simples e imediata na plataforma.

9. Exclusão e Anonimização de Dados

9.1 Exclusão de Conta

Ao solicitar a exclusão da conta em Octa8/portal/profile/data ou por contato formal:

Dados de identificação e de uso vinculados exclusivamente ao seu perfil serão eliminados ou anonimizados dentro de até 30 dias após a confirmação da solicitação.
Dados que a Octa8 Tecnologia LTDA seja obrigada a conservar por lei (ex.: registros fiscais, logs de acesso exigidos por legislação aplicável) serão retidos pelo prazo legal mínimo e, após seu decurso, eliminados definitivamente.
Dados de terceiros gerados a partir de interações com outros usuários da plataforma (ex.: mensagens em conversas colaborativas, conteúdo publicado publicamente) podem ser tratados de forma diferenciada; você será informado sobre quaisquer limitações.

9.2 Anonimização

Dados anonimizados de forma irreversível (de modo que não permitam, por meios razoáveis, a reidentificação do titular) não são considerados dados pessoais para os fins da LGPD e podem ser mantidos para fins estatísticos, de melhoria do serviço e de segurança, sem prazo determinado.

9.3 Backups e Sistemas Legados

Dados eliminados do banco de dados ativo podem permanecer em backups criptografados por até 90 dias adicionais após a eliminação do ambiente ativo, sendo então expurgados automaticamente durante os ciclos regulares de rotação de backups. Durante esse período, os dados nos backups não são acessados para finalidades comerciais.

10. Reclamação à ANPD e Outras Autoridades

Se você entender que seus direitos não foram atendidos de forma satisfatória, pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD):

Portal de reclamações: https://www.gov.br/anpd
Ouvidoria: disponível no portal da ANPD.

Para titulares localizados na União Europeia ou Espaço Econômico Europeu cujos dados sejam tratados sob o RGPD/GDPR, o direito de apresentar reclamação à autoridade supervisora competente do seu país de residência também é garantido (art. 77 RGPD).

Recomendamos que você nos contate primeiro em dpo@acme.test para que possamos tentar solucionar a questão diretamente e de forma ágil, antes de acionar as autoridades reguladoras.

11. Transferências Internacionais de Dados

Quando dados pessoais forem transferidos para fora do Brasil, a Octa8 Tecnologia LTDA garantirá que tais transferências ocorram em conformidade com o art. 33 da LGPD, mediante:

Transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado à LGPD (decisão de adequação da ANPD);
Cláusulas contratuais padrão aprovadas pela ANPD;
Consentimento específico do titular; ou
Outras salvaguardas previstas em lei ou regulamentação da ANPD.

Informações sobre as transferências internacionais realizadas, incluindo os países destinatários e as salvaguardas adotadas, constam da nossa Política de Privacidade.

12. Dados de Menores de Idade

O tratamento de dados de crianças e adolescentes pela Octa8 Tecnologia LTDA é realizado somente quando necessário, no melhor interesse do menor, e com consentimento específico e em destaque de pelo menos um dos pais ou responsável legal (art. 14 LGPD). Os responsáveis podem exercer os direitos previstos neste documento em nome dos menores sob sua guarda, mediante verificação de identidade e vínculo.

13. Atualizações deste Documento

Este documento pode ser atualizado periodicamente para refletir mudanças na legislação, nas práticas de tratamento de dados da Octa8 Tecnologia LTDA ou em resposta a orientações das autoridades reguladoras. Alterações relevantes serão comunicadas aos titulares por e-mail ou por aviso em destaque na plataforma com antecedência razoável.

Recomendamos a consulta periódica desta página. O histórico de versões está disponível mediante solicitação ao Encarregado pelo endereço dpo@acme.test.

Vigência

Este documento entra em vigor em 04 de junho de 2026 e permanece válido até que seja expressamente substituído por versão posterior, devidamente datada e publicada em Octa8.

Para dúvidas, solicitações ou reclamações, contate o Encarregado de Proteção de Dados da Octa8 Tecnologia LTDA pelo e-mail dpo@acme.test.

Privacidade e proteção de dados

Lista de Suboperadores

Terceiros que tratam dados pessoais em nome da Octa8 Tecnologia LTDA.

Versão 1.0 · Vigente em 04/06/2026

1. Introdução

A Octa8 Tecnologia LTDA ("Operadora") atua como operadora de dados pessoais quando processa informações em nome de seus clientes (os "Controladores"), nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e, quando aplicável, do Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR — Regulamento (UE) 2016/679).

Um suboperador é qualquer pessoa natural ou jurídica que, mediante instrução da Octa8 Tecnologia LTDA, trata dados pessoais cujo controle pertence originalmente ao Controlador contratante. A relação de suboperação é formalizada por meio de cláusulas de proteção de dados incorporadas aos contratos comerciais celebrados com cada suboperador (DPA — Data Processing Agreement ou instrumento equivalente), garantindo que esses terceiros ofereçam nível de proteção compatível com o exigido pela LGPD e pelo GDPR.

O presente registro cumpre o dever de transparência previsto no art. 37 da LGPD e no art. 30 do GDPR, e complementa o Acordo de Processamento de Dados celebrado entre a Octa8 Tecnologia LTDA e seus Controladores.

2. Notificação de Alterações e Direito de Objeção

A Octa8 Tecnologia LTDA poderá adicionar, substituir ou remover suboperadores desta lista. Nos casos em que isso puder afetar materialmente a proteção dos dados do Controlador, adotaremos o seguinte procedimento:

Aviso prévio: a Octa8 Tecnologia LTDA publicará a alteração nesta página e enviará notificação por e-mail para o endereço cadastrado do Controlador com, no mínimo, 30 (trinta) dias de antecedência à data de entrada em vigor da mudança.
Direito de objeção: o Controlador que, por razões legítimas relacionadas à proteção de dados, não concordar com a inclusão ou substituição de um suboperador poderá comunicar sua objeção à Octa8 Tecnologia LTDA por escrito, pelo endereço dpo@acme.test, dentro do prazo de aviso. As partes buscarão, de boa-fé, uma solução alternativa. Caso não seja possível chegar a acordo, o Controlador poderá rescindir o contrato sem penalidade, conforme previsto nos termos do serviço.
Alterações emergenciais: em situações excepcionais — como descontinuidade repentina de um suboperador ou risco iminente à segurança — a Octa8 Tecnologia LTDA poderá substituir um suboperador imediatamente, comunicando o Controlador assim que razoavelmente possível.
Versões históricas: versões anteriores desta lista ficam disponíveis mediante solicitação enviada para dpo@acme.test.

3. Lista de Suboperadores

A tabela a seguir identifica os suboperadores engajados pela Octa8 Tecnologia LTDA no tratamento de dados pessoais, organizados por categoria funcional.

Nota sobre dados tratados: a coluna "Dados tratados" descreve as categorias de dados que podem ser transmitidas a cada suboperador conforme a configuração do serviço. Nem todos os dados são transmitidos em todos os contextos de uso.

Suboperador	Categoria	Finalidade	Dados tratados	Localização (sede / DCs principais)	Transferência internacional
Cloudflare, Inc.	CDN, Segurança de Rede e DNS	Entrega de conteúdo, proteção contra DDoS, firewall de aplicação web (WAF), resolução de DNS, otimização de TLS e roteamento de rede	Endereços IP, cabeçalhos HTTP, metadados de requisições, cookies de sessão (conforme configuração), logs de acesso	EUA (sede); DCs distribuídos globalmente	Sim — cláusulas contratuais padrão (CCPs/SCCs) da UE; DPF EUA–UE
Amazon Web Services, Inc. (AWS)	Infraestrutura em Nuvem e Hospedagem	Computação em nuvem, armazenamento de objetos (S3), bancos de dados gerenciados (RDS), filas de mensagens (SQS), cache (ElastiCache), entrega de conteúdo (CloudFront), e serviços de rede	Todos os dados tratados pela plataforma conforme configuração do Controlador: dados de conta, conteúdo enviado por usuários, logs, metadados de arquivos, dados de monitoramento, endereços IP	EUA (sede — Seattle, WA); regiões configuráveis (padrão: us-east-1); DCs no Brasil disponíveis (sa-east-1)	Sim — CCPs/SCCs; DPF EUA–UE; AWS GDPR DPA; adequação regional conforme seleção de região
Google LLC / Google Cloud Platform (GCP)	Infraestrutura em Nuvem e Serviços de IA	Computação em nuvem, armazenamento, bancos de dados, serviços de machine learning, mapas, tradução, análise de dados e outros serviços de plataforma	Dados de conta, conteúdo de usuários, logs de acesso, metadados, endereços IP, dados analíticos (conforme serviços ativados)	EUA (sede — Mountain View, CA); DCs globais	Sim — CCPs/SCCs; DPF EUA–UE; Google Cloud DPA
OpenAI, LLC	Processamento de Inteligência Artificial	Geração de texto, análise semântica, sumarização, classificação, embeddings vetoriais e outras capacidades de modelos de linguagem de grande porte (LLMs) expostas via API	Prompts e conteúdos submetidos pelo usuário à IA, metadados de requisição, identificadores de sessão; não inclui dados de treinamento de modelos (conforme DPA vigente)	EUA (sede — São Francisco, CA)	Sim — CCPs/SCCs; OpenAI DPA
Anthropic, PBC	Processamento de Inteligência Artificial	Geração de texto, análise de conteúdo, raciocínio, sumarização e capacidades de modelos Claude via API	Prompts e conteúdos submetidos à API, metadados de requisição; não inclui dados de treinamento de modelos (conforme DPA vigente)	EUA (sede — São Francisco, CA)	Sim — CCPs/SCCs; Anthropic DPA
Cerebras Systems, Inc.	Inferência de Inteligência Artificial	Inferência de modelos de linguagem de alta velocidade via API (hardware especializado)	Prompts e conteúdos submetidos à API, metadados de requisição	EUA (sede — Sunnyvale, CA)	Sim — CCPs/SCCs
NVIDIA Corporation	Infraestrutura de Inferência de IA	Serviços de inferência acelerada via API (NVIDIA NIM / DGX Cloud), embeddings e modelos de IA em hardware GPU	Prompts, embeddings e conteúdos submetidos à API; metadados de requisição	EUA (sede — Santa Clara, CA); DCs globais	Sim — CCPs/SCCs; NVIDIA DPA
Resend, Inc.	E-mail Transacional	Envio de e-mails transacionais e de notificação: confirmação de cadastro, recuperação de senha, alertas do sistema, notificações de cobrança, comunicações geradas pela plataforma	Endereço de e-mail do destinatário, nome, conteúdo da mensagem, metadados de entrega (status, timestamps), endereços IP do remetente	EUA (sede — San Francisco, CA)	Sim — CCPs/SCCs
Stripe, Inc.	Pagamentos e Gestão Financeira	Processamento de pagamentos com cartão de crédito/débito, gestão de assinaturas recorrentes, emissão de faturas, prevenção a fraudes e conformidade PCI-DSS	Nome do titular do cartão, dados do cartão (tokenizados — nunca armazenados pela Octa8 Tecnologia LTDA em texto claro), endereço de cobrança, endereço de e-mail, metadados de transação, endereço IP	EUA (sede — South San Francisco, CA); DCs na Europa (Irlanda)	Sim — CCPs/SCCs; DPF EUA–UE; Stripe DPA; conformidade PCI-DSS Nível 1
Twilio, Inc.	Comunicações (SMS / Voz)	Envio de SMS transacionais: verificação de número, alertas de segurança, notificações de conta	Número de telefone, conteúdo da mensagem SMS, metadados de entrega	EUA (sede — San Francisco, CA); DCs globais	Sim — CCPs/SCCs
Vonage / Ericsson	Comunicações (SMS / Voz)	Envio de SMS e notificações de voz como alternativa regional	Número de telefone, conteúdo da mensagem, metadados de entrega	EUA / Países Baixos (sede); DCs globais	Sim — CCPs/SCCs
Datadog, Inc.	Monitoramento e Observabilidade	Monitoramento de infraestrutura, rastreamento de aplicações (APM), análise de logs, alertas de incidentes e métricas de desempenho	Logs de aplicação (que podem conter metadados de requisição e endereços IP), métricas de sistema, traces distribuídos	EUA (sede — Nova York, NY); DCs na UE disponíveis	Sim — CCPs/SCCs; Datadog DPA
Sentry (Functional Software, Inc.)	Monitoramento de Erros	Rastreamento e análise de exceções e erros de aplicação para fins de depuração e melhoria de qualidade	Stack traces, mensagens de erro, versão da aplicação, endereço IP (opcionalmente anonimizado), identificador de sessão de usuário (não-PII por padrão)	EUA (sede — São Francisco, CA); hospedagem na UE disponível	Sim — CCPs/SCCs
GitHub, Inc. (Microsoft)	Controle de Versão e CI/CD	Hospedagem de código-fonte, pipelines de integração e entrega contínua (CI/CD), controle de versão	Código-fonte, logs de CI/CD, metadados de commits, endereços IP de desenvolvedores	EUA (sede); DCs globais	Sim — CCPs/SCCs; GitHub DPA; DPF EUA–UE
Pusher / Ably (Ably Real-time Ltd.)	Mensageria em Tempo Real	Entrega de eventos em tempo real via WebSocket para notificações instantâneas, atualização de UI reativa e broadcasting de eventos da plataforma	Identificadores de canal, payloads de eventos (conforme configuração — podem incluir IDs de usuário e metadados de sessão), endereços IP	Reino Unido (sede — Londres); DCs globais	Sim — CCPs/SCCs; Cláusulas do UK GDPR
Cloudinary, Inc.	Gestão e Processamento de Mídia	Otimização, transformação, armazenamento e entrega de imagens e vídeos enviados pela plataforma	Arquivos de mídia enviados por usuários, metadados de arquivo (nome, dimensões, tipo MIME), URLs	EUA (sede — Santa Clara, CA); DCs globais	Sim — CCPs/SCCs
hCaptcha (Intuition Machines, Inc.)	Segurança e Prevenção a Fraudes	Verificação CAPTCHA para prevenção de bots e abuso automatizado em formulários públicos	Endereço IP, dados de interação do navegador (fingerprint agregado), tokens de desafio	EUA (sede)	Sim — CCPs/SCCs
Groq, Inc.	Inferência de Inteligência Artificial	Inferência de modelos de linguagem de alta velocidade via API (hardware LPU especializado)	Prompts e conteúdos submetidos à API, metadados de requisição	EUA (sede — Mountain View, CA)	Sim — CCPs/SCCs

4. Salvaguardas para Transferências Internacionais de Dados

A grande maioria dos suboperadores listados possui sede ou centros de dados nos Estados Unidos da América ou em outros países fora do Brasil que podem não oferecer nível de proteção legalmente equivalente ao da LGPD. Para assegurar a legitimidade dessas transferências, a Octa8 Tecnologia LTDA adota as seguintes salvaguardas, conforme arts. 33 a 36 da LGPD e, quando aplicável, arts. 46 a 49 do GDPR:

4.1 Cláusulas Contratuais Padrão (CCPs / SCCs)

Para transferências de dados de titulares localizados na União Europeia ou Reino Unido, a Octa8 Tecnologia LTDA utiliza as Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914) ou as cláusulas equivalentes do UK GDPR, incorporadas nos contratos com cada suboperador.

4.2 Decisões de Adequação

Quando um suboperador estiver estabelecido em país reconhecido como adequado pela Comissão Europeia ou pela Autoridade Nacional de Proteção de Dados (ANPD), a transferência baseia-se nessa decisão de adequação, dispensando a necessidade de salvaguardas adicionais.

4.3 Data Privacy Framework (DPF) EUA–UE

Suboperadores sediados nos EUA que aderiram ao Data Privacy Framework (DPF, sucessor do Privacy Shield, em vigor desde julho de 2023) beneficiam-se de uma base adicional de legitimidade para transferências de dados de titulares europeus.

4.4 Instrumentos Contratuais Específicos (DPAs)

Cada suboperador celebra com a Octa8 Tecnologia LTDA um Acordo de Processamento de Dados (DPA) que estabelece: (i) as finalidades e os meios do tratamento; (ii) as obrigações de confidencialidade; (iii) as medidas técnicas e organizacionais de segurança; (iv) as regras para subcontratação; (v) os direitos dos titulares e mecanismos de cooperação; e (vi) os procedimentos de notificação de incidentes.

4.5 Avaliação de Impacto (DPIA / RIPD)

Para tratamentos de alto risco — em particular aqueles que envolvem modelos de IA processando conteúdo pessoal — a Octa8 Tecnologia LTDA realiza ou exige do suboperador a realização de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), conforme art. 38 da LGPD e art. 35 do GDPR.

5. Contato

Dúvidas sobre este registro, sobre o tratamento realizado por suboperadores específicos ou sobre o exercício de direitos dos titulares de dados devem ser direcionadas ao Encarregado de Proteção de Dados (DPO) da Octa8 Tecnologia LTDA:

E-mail do DPO: dpo@acme.test
E-mail geral de contato: help@octa8.app
Jurisdição aplicável: Foro da Comarca de Jaú/SP, Brasil

Titulares de dados também podem apresentar reclamações à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd — ou, quando aplicável, à autoridade supervisora competente do seu país de residência.

Vigência

Esta Lista de Suboperadores entra em vigor em 04 de junho de 2026 e substitui integralmente qualquer versão anterior. A Octa8 Tecnologia LTDA revisará este documento ao menos anualmente ou sempre que ocorrer alteração relevante nos suboperadores engajados.

Dúvidas sobre nossas políticas?

Teremos prazer em ajudar — fale conosco quando quiser.

Solicitações de dados, contratos, conformidade — encaminhamos sua solicitação à pessoa certa.

Fale conosco