Política de Privacidade e Proteção de Dados Pessoais

PREÂMBULO

A presente Política de Privacidade e Proteção de Dados Pessoais ("Política") foi elaborada pela OMNICASH TECNOLOGIA E PAGAMENTOS LTDA., pessoa jurídica de direito privado, inscrita no CNPJ sob o nº [a definir], com sede na cidade de São Paulo, Estado de São Paulo, doravante denominada "OMNICASH", "Controladora" ou "nós", em estrita conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), a Lei nº 12.965/2014 (Marco Civil da Internet), o Decreto nº 8.771/2016 (Decreto Regulamentador do Marco Civil da Internet), a Resolução CD/ANPD nº 2/2022 (Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte), a Resolução CD/ANPD nº 15/2024 (Regulamento de comunicação de incidentes de segurança), e demais normas regulamentares emanadas pela Autoridade Nacional de Proteção de Dados (ANPD) e aplicáveis ao tratamento de dados pessoais no ordenamento jurídico brasileiro.

Esta Política tem por finalidade informar aos Merchants (pessoas jurídicas e seus representantes legais), Pagadores e demais titulares de dados pessoais sobre as práticas de coleta, utilização, armazenamento, compartilhamento, transferência, retenção, eliminação e proteção de dados pessoais no âmbito da Plataforma de gateway de pagamentos Omnicash, assegurando transparência, segurança e respeito aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade, nos termos do art. 1º da LGPD e do art. 5º, X e XII, da Constituição Federal de 1988.

A leitura e compreensão integral desta Política é condição indispensável para a utilização da Plataforma. Ao acessar, cadastrar-se ou utilizar os serviços da Omnicash, o titular dos dados manifesta ciência e concordância com os termos aqui descritos.

1. CONTROLADOR E ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO)

1.1. Nos termos do art. 5º, VI, da LGPD, a Omnicash é a Controladora dos dados pessoais tratados no âmbito da Plataforma, sendo responsável pelas decisões referentes ao tratamento de dados pessoais dos Merchants e seus representantes legais.

1.2. O Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer — DPO), designado nos termos do art. 41 da LGPD e da Resolução CD/ANPD nº 18/2024, é o canal oficial de comunicação entre a Omnicash, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), podendo ser contatado por meio dos seguintes canais:

• E-mail do DPO: dpo@omnicash.com.br
• Canal de atendimento ao titular: privacidade@omnicash.com.br

1.3. As atribuições do Encarregado compreendem, nos termos do art. 41, §2º, da LGPD: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da ANPD e adotar providências; (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (iv) executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

2. DADOS PESSOAIS COLETADOS E FONTES DE COLETA

2.1. Dados cadastrais do Merchant e seus representantes legais (coletados diretamente do titular no momento do cadastro e durante a vigência contratual):

• Razão social, nome fantasia, CNPJ e inscrição estadual/municipal da pessoa jurídica;
• Nome completo, CPF, data de nascimento, nacionalidade, estado civil e documento de identificação oficial com fotografia (RG, CNH, Carteira de Identidade Profissional ou RNE/CRNM) do representante legal;
• Endereço completo da sede ou domicílio (CEP, logradouro, número, complemento, bairro, cidade, estado, país);
• Endereço de e-mail institucional e/ou pessoal;
• Número de telefone fixo e/ou celular;
• Tipo e porte da empresa (MEI, ME, EPP, LTDA, S/A, EIRELI, SLU);
• CNAE (Classificação Nacional de Atividades Econômicas) principal e secundários;
• Website da empresa, perfis em redes sociais e demais informações de contato, quando voluntariamente informados;
• Dados de beneficiários finais, nos termos da Instrução Normativa RFB nº 1.634/2016.

2.2. Documentos para verificação de identidade e devida diligência (KYC) (coletados diretamente do titular):

• Cópia digital (frente e verso) do documento de identificação oficial com fotografia;
• Selfie (autofotografia) do representante legal segurando o documento de identificação, para fins de verificação biométrica e prova de vida;
• Documento constitutivo atualizado e consolidado da empresa (Contrato Social, Estatuto Social, Certificado de Condição de Microempreendedor Individual — CCMEI, Requerimento de Empresário ou equivalente);
• Comprovante de endereço atualizado (emitido nos últimos 90 dias);
• Procuração, quando o cadastro for realizado por mandatário;
• Declaração de Pessoa Politicamente Exposta (PEP), quando aplicável.

2.3. Dados transacionais e financeiros (gerados durante a utilização da Plataforma):

• Valores brutos e líquidos, datas, horários e status de Transações processadas;
• Método de pagamento utilizado (PIX, Boleto Bancário, TED);
• Identificadores de Transação (transaction ID, end-to-end ID do PIX);
• Dados bancários para liquidação (instituição financeira, código do banco, agência, número e tipo de conta corrente ou poupança, chave PIX);
• Histórico de saques, liquidações e antecipações de recebíveis;
• Registros de estornos, contestações e chargebacks;
• Volume e frequência de Transações para fins de monitoramento de risco.

2.4. Dados dos Pagadores (tratados pela Omnicash na qualidade de Operadora, em nome e por conta do Merchant):

• Nome completo ou razão social do Pagador;
• CPF ou CNPJ do Pagador;
• Endereço de e-mail do Pagador;
• País de origem;
• Dados estritamente necessários para a execução e conciliação da Transação de pagamento.

2.5. Dados de navegação, uso e dispositivo (coletados automaticamente durante o acesso à Plataforma):

• Endereço IP (Internet Protocol) e dados de geolocalização aproximada derivados do IP;
• Tipo, versão e idioma do navegador web (user agent);
• Sistema operacional, resolução de tela e tipo de dispositivo (desktop, mobile, tablet);
• Páginas acessadas, funcionalidades utilizadas, horários de acesso, duração das sessões e ações realizadas na Plataforma;
• URL de referência (referrer) e página de destino;
• Cookies e tecnologias similares de rastreamento (conforme detalhado na Seção 10);
• Fingerprint do dispositivo para fins de detecção de fraude e segurança.

2.6. Dados de segurança e auditoria (coletados automaticamente):

• Registros de autenticação (login, logout, tentativas de acesso, alterações de senha);
• Registros de ativação e utilização de autenticação de dois fatores (2FA/TOTP);
• Registros de operações administrativas (audit logs), incluindo criação, leitura, atualização e exclusão de registros;
• Registros de acesso à API (requests, responses, timestamps, endpoints acessados, chaves de API utilizadas);
• Registros de tentativas de acesso não autorizadas, atividades suspeitas e incidentes de segurança.

3. BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS

3.1. O tratamento de dados pessoais pela Omnicash fundamenta-se nas bases legais taxativamente previstas no art. 7º da Lei nº 13.709/2018 (LGPD), conforme a finalidade específica de cada operação de tratamento:

3.2. Quando o tratamento de dados pessoais for fundamentado no legítimo interesse do Controlador (art. 7º, IX, LGPD), a Omnicash conduzirá Avaliação de Legítimo Interesse (LIA — Legitimate Interest Assessment), nos termos do art. 10 da LGPD, documentando: (i) a finalidade legítima concreta do tratamento; (ii) a necessidade e proporcionalidade do tratamento; (iii) o balanceamento entre o interesse legítimo do Controlador e os direitos e liberdades fundamentais do titular; e (iv) as salvaguardas adotadas para minimizar riscos ao titular. O relatório de LIA poderá ser solicitado pelo titular ou pela ANPD, nos termos do art. 10, §3º, da LGPD.

3.3. O consentimento, quando utilizado como base legal, será obtido de forma livre, informada, inequívoca e destacada, conforme art. 8º da LGPD, podendo ser revogado a qualquer momento pelo titular mediante procedimento gratuito e facilitado, sem comprometimento da licitude do tratamento realizado anteriormente com base no consentimento (art. 8º, §5º, LGPD).

4. FINALIDADES DO TRATAMENTO

4.1. Os dados pessoais coletados são utilizados exclusivamente para as seguintes finalidades, observados os princípios de finalidade, adequação, necessidade, transparência e não discriminação previstos no art. 6º da LGPD:

• Cadastro, identificação, autenticação e gestão da conta do Merchant na Plataforma;
• Cumprimento das obrigações regulatórias de verificação cadastral e devida diligência (KYC — Know Your Customer), nos termos da Lei nº 9.613/1998, da Circular BCB nº 3.978/2020 e da Resolução COAF nº 40/2021;
• Prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT), incluindo monitoramento de operações, identificação de operações suspeitas e comunicação ao COAF;
• Monitoramento de Pessoas Politicamente Expostas (PEPs) e verificação em listas restritivas nacionais e internacionais;
• Processamento, autorização, registro, conciliação e liquidação de Transações financeiras;
• Liquidação de valores, processamento de saques e transferências bancárias;
• Prevenção, detecção, investigação e mitigação de fraudes, atividades suspeitas e incidentes de segurança;
• Cumprimento de obrigações fiscais, tributárias, contábeis e regulatórias perante a Receita Federal do Brasil, Secretarias de Fazenda estaduais e municipais, Banco Central do Brasil e demais autoridades competentes;
• Envio de comunicações operacionais relativas aos serviços, incluindo notificações de Transações, confirmações de pagamento, alertas de segurança, atualizações de status, avisos de manutenção e comunicações sobre alterações contratuais;
• Geração de relatórios analíticos, demonstrativos financeiros, conciliação bancária e estatísticas de operação para o Merchant;
• Melhoria contínua da Plataforma, seus produtos, serviços e experiência do usuário, por meio de análises estatísticas agregadas e anonimizadas;
• Atendimento de solicitações, reclamações e suporte técnico;
• Exercício regular de direitos da Omnicash em processos judiciais, administrativos ou arbitrais (art. 7º, VI, LGPD);
• Cumprimento de determinações judiciais, arbitrais, regulatórias ou administrativas emanadas de autoridades competentes;
• Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD/DPIA), nos termos do art. 38 da LGPD, quando aplicável.

5. PRINCÍPIOS DO TRATAMENTO

5.1. A Omnicash observa, em todas as suas operações de tratamento de dados pessoais, os seguintes princípios norteadores, expressamente previstos no art. 6º da LGPD:

• Finalidade (inciso I): os dados pessoais são tratados para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
• Adequação (inciso II): o tratamento é compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
• Necessidade (inciso III): o tratamento é limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos;
• Livre acesso (inciso IV): garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos dados pessoais;
• Qualidade dos dados (inciso V): garantia de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
• Transparência (inciso VI): garantia de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
• Segurança (inciso VII): utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais;
• Prevenção (inciso VIII): adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
• Não discriminação (inciso IX): impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
• Responsabilização e prestação de contas (inciso X): demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

5.2. A Omnicash adota os princípios de Privacidade desde a Concepção e Privacidade por Padrão, incorporando medidas de proteção de dados pessoais desde a fase de concepção, desenvolvimento e arquitetura de seus sistemas, produtos e serviços, assegurando que, por padrão, apenas os dados pessoais estritamente necessários sejam tratados para cada finalidade específica.

6. COMPARTILHAMENTO DE DADOS PESSOAIS

6.1. A Omnicash poderá compartilhar dados pessoais com as seguintes categorias de destinatários, exclusivamente para as finalidades descritas nesta Política e com observância dos princípios da LGPD:

• Parceiros de processamento de pagamentos: instituições financeiras autorizadas pelo Banco Central do Brasil, subcredenciadores, processadores de pagamento, arranjos de pagamento (bandeiras) e câmaras de compensação, para viabilizar a execução, autorização, conciliação e liquidação das Transações;
• Prestadores de serviço (Operadores): empresas contratadas para serviços de infraestrutura tecnológica, hospedagem em nuvem, armazenamento de dados, serviços de e-mail transacional, serviços de verificação de identidade (KYC), serviços de análise de risco e antifraude, e segurança da informação, sempre mediante celebração de contratos de processamento de dados que estabeleçam obrigações de confidencialidade, segurança e limitação de finalidade, nos termos do art. 39 da LGPD;
• Autoridades públicas e órgãos reguladores: Banco Central do Brasil (BCB), Receita Federal do Brasil (RFB), Conselho de Controle de Atividades Financeiras (COAF, vinculado ao Ministério da Fazenda), Autoridade Nacional de Proteção de Dados (ANPD), Ministério Público, Poder Judiciário, Secretarias de Fazenda estaduais e municipais, e demais órgãos reguladores, quando exigido por lei, regulamentação, decisão judicial ou determinação administrativa;
• Consultores e auditores: escritórios de advocacia, consultores tributários, contadores, auditores independentes e peritos, no estrito cumprimento de suas funções profissionais e sob obrigação legal e contratual de sigilo profissional;
• Empresas do mesmo grupo econômico: sociedades controladoras, controladas, coligadas ou sob controle comum da Omnicash, para fins administrativos internos, compartilhamento de infraestrutura e operações integradas, desde que observadas as finalidades e bases legais previstas nesta Política.

6.2. A Omnicash NÃO comercializa, vende, aluga, cede onerosamente ou de qualquer forma disponibiliza dados pessoais a terceiros para finalidades alheias, incompatíveis ou não previstas nesta Política.

6.3. A lista atualizada dos suboperadores engajados pela Omnicash para o tratamento de dados pessoais poderá ser solicitada pelo Merchant ao Encarregado (DPO), sendo que a Omnicash comunicará ao Merchant, com antecedência razoável, a inclusão ou substituição de suboperadores que tratem dados pessoais dos Pagadores.

7. TRANSFERÊNCIA INTERNACIONAL DE DADOS

7.1. A Omnicash poderá realizar transferência internacional de dados pessoais para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD, nos termos do Capítulo V da Lei nº 13.709/2018 (arts. 33 a 36).

7.2. Quando a transferência internacional for necessária para a prestação dos serviços — incluindo, sem limitação, a utilização de provedores de infraestrutura em nuvem, serviços de processamento de dados e ferramentas de segurança cibernética com servidores localizados no exterior — a Omnicash adotará as seguintes salvaguardas, conforme exigido pelo art. 33 da LGPD:

• Verificação de adequação do nível de proteção de dados do país de destino, conforme avaliação da ANPD (art. 33, I);
• Celebração de cláusulas contratuais específicas (cláusulas-padrão contratuais) para transferência internacional de dados, nos termos do art. 33, II, alínea "b";
• Certificação do importador de dados por selos, certificados e códigos de conduta regularmente emitidos (art. 33, II, alínea "d"), quando disponíveis;
• Garantia de que o tratamento no país de destino atende aos mesmos padrões de segurança e privacidade previstos nesta Política e na legislação brasileira.

7.3. A Omnicash manterá registro das transferências internacionais de dados realizadas, incluindo o país de destino, a finalidade da transferência, os dados transferidos e as salvaguardas adotadas, conforme art. 33, §1º, da LGPD.

8. RETENÇÃO E ELIMINAÇÃO DE DADOS PESSOAIS

8.1. Os dados pessoais serão retidos pelo tempo estritamente necessário para o cumprimento das finalidades para as quais foram coletados, observados os seguintes prazos mínimos de retenção, conforme a legislação e regulamentação aplicáveis:

• Dados cadastrais e contratuais: 5 (cinco) anos após o encerramento da relação contratual, conforme prazo prescricional do art. 206, §5º, I, do Código Civil (Lei nº 10.406/2002), e art. 12 do CDC para responsabilidade pelo fato do produto ou serviço;
• Dados transacionais e financeiros: 5 (cinco) anos, conforme art. 173 do Código Tributário Nacional (Lei nº 5.172/1966) e normas do Banco Central do Brasil relativas à guarda de registros de operações financeiras;
• Dados de KYC e PLD/FT (documentos de verificação, análises de risco, registros de operações suspeitas): 10 (dez) anos a partir do encerramento da relação contratual, conforme art. 10, §1º, da Lei nº 9.613/1998, e art. 67 da Circular BCB nº 3.978/2020;
• Registros de acesso à aplicação de internet (logs): 6 (seis) meses, conforme art. 15 da Lei nº 12.965/2014 (Marco Civil da Internet), podendo ser estendido por ordem judicial nos termos do art. 15, §2º;
• Registros de conexão (logs de rede): 1 (um) ano, conforme art. 13 da Lei nº 12.965/2014 (Marco Civil da Internet);
• Dados para defesa em processos judiciais/administrativos: pelo prazo prescricional aplicável à pretensão, conforme a natureza da relação jurídica (art. 16, I, LGPD);
• Documentos fiscais eletrônicos: 5 (cinco) anos, conforme art. 173 do CTN e regulamentações das Secretarias de Fazenda estaduais.

8.2. Transcorridos os prazos legais de retenção e inexistindo outra base legal que justifique a manutenção do tratamento, os dados pessoais serão eliminados de forma segura e irreversível, ou anonimizados de modo que o titular não possa ser identificado, direta ou indiretamente, utilizando meios técnicos razoáveis e disponíveis no momento do tratamento, nos termos do art. 16 da LGPD.

8.3. A eliminação de dados pessoais poderá ser exceptuada nas hipóteses previstas no art. 16 da LGPD: (i) cumprimento de obrigação legal ou regulatória pelo Controlador; (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização; (iii) transferência a terceiro, respeitados os requisitos legais; (iv) uso exclusivo do Controlador, vedado o acesso por terceiros, desde que anonimizados.

9. DIREITOS DO TITULAR DE DADOS PESSOAIS

9.1. O titular dos dados pessoais — compreendendo o representante legal do Merchant, os membros da equipe e os Pagadores cujos dados são tratados pela Omnicash (na qualidade de Controladora em relação aos dados dos Merchants e seus representantes, ou na qualidade de Operadora em relação aos dados dos Pagadores, conforme detalhado na Seção 12) — tem assegurados os seguintes direitos, taxativamente previstos no art. 18 da LGPD, que poderão ser exercidos a qualquer momento, de forma gratuita, mediante solicitação dirigida ao Encarregado (DPO) pelos canais indicados na Seção 1:

• Confirmação da existência de tratamento (art. 18, I): obter confirmação sobre a existência de operações de tratamento incidentes sobre seus dados pessoais;
• Acesso aos dados (art. 18, II): acessar os dados pessoais tratados pela Omnicash, em formato claro, adequado e de fácil compreensão;
• Correção de dados incompletos, inexatos ou desatualizados (art. 18, III): solicitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos (art. 18, IV): solicitar a anonimização, bloqueio ou eliminação de dados pessoais tratados em desconformidade com a LGPD ou que sejam desnecessários ou excessivos em relação à finalidade do tratamento;
• Portabilidade dos dados (art. 18, V): solicitar a portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa, em formato estruturado, de uso comum e leitura automatizada, observados os segredos comercial e industrial, e conforme regulamentação específica da ANPD;
• Eliminação dos dados pessoais tratados com base no consentimento (art. 18, VI): solicitar a eliminação dos dados pessoais cujo tratamento tenha sido fundamentado no consentimento do titular, ressalvadas as hipóteses de retenção legal previstas no art. 16 da LGPD;
• Informação sobre compartilhamento (art. 18, VII): obter informações sobre as entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento (art. 18, VIII): ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento (art. 18, IX): revogar o consentimento a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado, sem comprometimento da licitude do tratamento realizado anteriormente com base no consentimento;
• Oposição ao tratamento (art. 18, §2º): opor-se ao tratamento de dados pessoais realizado com fundamento em base legal diversa do consentimento, em caso de descumprimento ao disposto na LGPD;
• Revisão de decisões automatizadas (art. 20): solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os interesses do titular, incluindo decisões destinadas a definir o perfil pessoal, profissional, de consumo e de crédito ou os aspectos de personalidade do titular.

9.2. As solicitações de exercício de direitos serão respondidas pela Omnicash no prazo de até 15 (quinze) dias, contados do recebimento da solicitação, conforme art. 18, §5º, da LGPD. Em casos de maior complexidade, que demandem levantamento extenso de dados ou que envolvam volume significativo de informações, a Omnicash comunicará ao titular a necessidade de prazo adicional, fundamentando a extensão.

9.3. A Omnicash poderá solicitar a comprovação da identidade do titular antes de atender à solicitação, por meio de procedimento seguro e proporcional, como medida de segurança para evitar acesso indevido a dados pessoais por terceiros não autorizados.

9.4. O exercício de determinados direitos poderá ser limitado quando: (i) o tratamento for necessário para o cumprimento de obrigação legal ou regulatória; (ii) os dados forem necessários para o exercício regular de direitos em processo judicial, administrativo ou arbitral; (iii) a eliminação prejudicar a integridade de registros exigidos por lei ou regulamentação.

9.5. O titular poderá, a qualquer momento, apresentar reclamação ou petição perante a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 18, §1º, da LGPD, caso considere que o tratamento de seus dados pessoais viola a legislação de proteção de dados.

10. COOKIES E TECNOLOGIAS DE RASTREAMENTO

10.1. A Plataforma utiliza cookies e tecnologias similares de armazenamento local (local storage, session storage) para as seguintes finalidades:

• Cookies estritamente necessários: essenciais e indispensáveis para o funcionamento da Plataforma, incluindo autenticação de sessão, gestão de tokens CSRF (Cross-Site Request Forgery), preferências de idioma e tema (claro/escuro), e controle de acesso. Estes cookies não podem ser desativados sem comprometer a funcionalidade básica da Plataforma;
• Cookies de desempenho e analytics: utilizados para coletar informações agregadas e anonimizadas sobre o uso da Plataforma, incluindo páginas mais acessadas, tempos de carregamento, taxas de erro e padrões de navegação, visando exclusivamente melhorias de performance e experiência do usuário;
• Cookies de segurança e antifraude: utilizados para prevenção de fraudes, detecção de atividades suspeitas, fingerprinting de dispositivo, proteção contra ataques de força bruta, proteção contra CSRF e proteção contra acessos não autorizados.

10.2. A Omnicash NÃO utiliza cookies de publicidade, marketing direcionado, retargeting, remarketing ou rastreamento comportamental de terceiros.

10.3. O Merchant poderá gerenciar as configurações de cookies diretamente nas preferências de seu navegador web. A desativação de cookies estritamente necessários poderá comprometer a funcionalidade da Plataforma.

11. SEGURANÇA DOS DADOS PESSOAIS

11.1. A Omnicash adota medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, em conformidade com o art. 46 da LGPD e com as melhores práticas reconhecidas pela indústria de segurança da informação e de meios de pagamento, incluindo, sem limitação:

• Criptografia em trânsito (TLS 1.2 ou superior) para todas as comunicações entre o navegador do usuário e os servidores da Plataforma, e entre os servidores da Plataforma e sistemas de terceiros;
• Hashing criptográfico de senhas utilizando algoritmo Argon2id (conforme RFC 9106 — IETF), com parâmetros de memória, iterações e paralelismo calibrados para resistência a ataques de força bruta e ataques por canal lateral;
• Derivação criptográfica para armazenamento de chaves de API, impedindo a recuperação da chave original a partir do hash armazenado;
• Autenticação multifator (MFA/2FA) por meio de TOTP (Time-based One-Time Password, conforme RFC 6238), disponível e recomendada para todas as contas;
• Controle de acesso baseado em papéis (RBAC — Role-Based Access Control) com segregação de funções e princípio do menor privilégio (principle of least privilege);
• Registro de auditoria (audit logs) de todas as operações administrativas, financeiras e de segurança, com retenção pelo prazo legal aplicável;
• Monitoramento contínuo de acessos, atividades suspeitas, tentativas de intrusão e anomalias comportamentais;
• Proteção contra ataques comuns de aplicações web (OWASP Top 10), incluindo injeção de código (SQL Injection, XSS), falsificação de requisições (CSRF), autenticação quebrada e exposição de dados sensíveis;
• Rate limiting e progressive lockout para proteção contra ataques de força bruta em endpoints de autenticação;
• Verificação de integridade de webhooks por assinatura criptográfica HMAC-SHA256;
• Detecção e bloqueio de scanners de vulnerabilidade e ferramentas automatizadas de ataque (honeypot e heurísticas comportamentais);
• Backups regulares com criptografia em repouso;
• Política de segurança da informação com revisão periódica e programa de conscientização de colaboradores.

11.2. Comunicação de incidentes de segurança: Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, a Omnicash comunicará, nos termos do art. 48 da LGPD e da Resolução CD/ANPD nº 15/2024:

• À Autoridade Nacional de Proteção de Dados (ANPD), no prazo de 3 (três) dias úteis, contados do conhecimento do incidente, conforme Resolução CD/ANPD nº 15/2024;
• Aos titulares afetados, no mesmo prazo ou em prazo razoável, conforme a gravidade e a extensão do incidente;

informando: (i) a descrição da natureza dos dados pessoais afetados; (ii) as informações sobre os titulares envolvidos; (iii) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; (iv) os riscos relacionados ao incidente com identificação de possíveis impactos aos titulares; (v) os motivos da demora, caso a comunicação não seja imediata; (vi) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

11.3. A Omnicash manterá registro dos incidentes de segurança, incluindo aqueles que não tenham sido comunicados à ANPD ou aos titulares por não atingirem o limiar de risco relevante, conforme determinação da Resolução CD/ANPD nº 15/2024.

12. PAPEL DO MERCHANT COMO CONTROLADOR DE DADOS DOS PAGADORES

12.1. No que se refere aos dados pessoais dos Pagadores cujas Transações são processadas pela Plataforma, o Merchant atua como Controlador independente dos dados pessoais de seus Pagadores, nos termos do art. 5º, VI, da LGPD, sendo integral e exclusivamente responsável por:

• Obter base legal adequada e válida (consentimento, execução de contrato ou outra base prevista no art. 7º da LGPD) para a coleta, tratamento e compartilhamento dos dados pessoais dos Pagadores com a Omnicash para fins de processamento das Transações;
• Elaborar e disponibilizar sua própria Política de Privacidade aos Pagadores, informando-os sobre o compartilhamento de seus dados com a Omnicash na qualidade de Operadora;
• Atender, no prazo legal, às solicitações de exercício de direitos dos Pagadores, nos termos do art. 18 da LGPD, no que se refere ao tratamento que o Merchant realiza como Controlador;
• Comunicar à Omnicash, tempestivamente, solicitações de titulares (Pagadores) que envolvam dados processados pela Plataforma;
• Cumprir integralmente a LGPD em todas as suas operações de tratamento de dados pessoais, incluindo a realização de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), quando aplicável;
• Indenizar a Omnicash por quaisquer perdas, danos ou penalidades decorrentes do descumprimento de suas obrigações como Controlador dos dados dos Pagadores.

12.2. A Omnicash atua como Operadora (art. 5º, VII, da LGPD) em relação aos dados pessoais dos Pagadores, processando-os exclusivamente conforme as instruções documentadas do Merchant e para a finalidade específica de execução dos serviços de intermediação de pagamentos contratados. A Omnicash não utilizará os dados dos Pagadores para finalidades próprias, exceto quando expressamente autorizado pelo Merchant ou quando exigido por lei, regulamentação ou determinação de autoridade competente.

12.3. Na hipótese de a Omnicash ser demandada judicialmente, administrativamente ou pela ANPD em razão de tratamento de dados pessoais de Pagadores sob a responsabilidade do Merchant como Controlador, o Merchant obriga-se a intervir no processo como litisconsorte necessário e a indenizar a Omnicash por quaisquer condenações, multas, penalidades, custas e honorários advocatícios resultantes.

13. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS (RIPD/DPIA)

13.1. A Omnicash elaborará e manterá atualizado o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), nos termos do art. 38 da LGPD e do art. 5º, XVII, quando o tratamento de dados pessoais puder gerar riscos às liberdades civis e aos direitos fundamentais dos titulares.

13.2. O RIPD conterá, no mínimo, nos termos do art. 38, parágrafo único, da LGPD: (i) a descrição dos tipos de dados coletados; (ii) a metodologia utilizada para a coleta e para a garantia da segurança das informações; (iii) a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados; e (iv) a avaliação da necessidade e proporcionalidade do tratamento em relação às finalidades pretendidas.

13.3. O RIPD poderá ser solicitado pela Autoridade Nacional de Proteção de Dados (ANPD) a qualquer tempo, nos termos do art. 38 da LGPD, e será disponibilizado tempestivamente.

14. REGISTRO DAS OPERAÇÕES DE TRATAMENTO (ROPA)

14.1. A Omnicash manterá registro das operações de tratamento de dados pessoais que realizar, em conformidade com o art. 37 da LGPD, documentando, para cada operação de tratamento: (i) a categoria de dados pessoais tratados; (ii) a finalidade do tratamento; (iii) a base legal utilizada; (iv) os destinatários dos dados; (v) o período de retenção; (vi) as medidas de segurança adotadas; e (vii) as transferências internacionais, quando aplicáveis.

14.2. O registro das operações de tratamento será mantido atualizado e disponibilizado à ANPD quando solicitado, nos termos do art. 37, caput, da LGPD.

15. DECISÕES AUTOMATIZADAS E PERFILAMENTO (PROFILING)

15.1. A Omnicash poderá utilizar sistemas automatizados para: (i) análise de risco de Transações em tempo real; (ii) detecção e prevenção de fraudes; (iii) classificação de risco do Merchant para fins de PLD/FT; (iv) monitoramento de padrões transacionais atípicos; e (v) verificação automatizada de documentos (KYC). Tais sistemas podem envolver perfilamento (profiling), entendido como qualquer forma automatizada de tratamento de dados pessoais que consista em utilizar esses dados para avaliar determinados aspectos pessoais.

15.2. Nos termos do art. 20 da LGPD, o titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito, ou aspectos de personalidade do titular.

15.3. A solicitação de revisão deverá ser dirigida ao Encarregado (DPO), que providenciará a revisão por pessoa natural qualificada, informando ao titular os critérios e procedimentos utilizados na decisão automatizada, observados os segredos comercial e industrial (art. 20, §1º, LGPD).

15.4. Caso a Omnicash não forneça informações claras sobre os critérios e procedimentos utilizados na decisão automatizada, sob alegação de segredo comercial ou industrial, a ANPD poderá realizar auditoria para verificação de aspectos discriminatórios no tratamento automatizado (art. 20, §2º, LGPD).

16. DADOS DE MENORES DE IDADE

16.1. A Plataforma destina-se exclusivamente a pessoas maiores de 18 (dezoito) anos de idade, com plena capacidade civil, nos termos dos arts. 3º e 4º do Código Civil (Lei nº 10.406/2002). A Omnicash NÃO coleta, de forma intencional ou deliberada, dados pessoais de crianças (menores de 12 anos) ou adolescentes (entre 12 e 18 anos).

16.2. Caso a Omnicash identifique que dados pessoais de crianças ou adolescentes foram coletados inadvertidamente, estes serão prontamente eliminados, em conformidade com o art. 14 da LGPD, que determina que o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

16.3. Caso o titular tome conhecimento de que um menor de idade sob sua responsabilidade forneceu dados pessoais à Plataforma, deverá entrar em contato imediatamente com o Encarregado (DPO) para a adoção das medidas cabíveis.

17. DADOS PESSOAIS SENSÍVEIS

17.1. A Omnicash poderá tratar dados pessoais sensíveis, nos termos do art. 5º, II, e art. 11 da LGPD, limitados a: (i) dados biométricos (selfie para verificação de identidade no processo de KYC), mediante consentimento específico e destacado do titular; e (ii) dados que venham a ser qualificados como sensíveis em razão do contexto ou da finalidade do tratamento.

17.2. O tratamento de dados pessoais sensíveis será limitado ao estritamente necessário para as finalidades de verificação de identidade e prevenção à fraude, com adoção de medidas de segurança reforçadas, controle de acesso restrito e criptografia adequada.

18. ALTERAÇÕES DESTA POLÍTICA

18.1. A Omnicash reserva-se o direito de alterar, atualizar ou revisar esta Política de Privacidade a qualquer tempo, em decorrência de: (i) alterações legislativas ou regulamentares; (ii) determinações da ANPD; (iii) modificações nas práticas de tratamento de dados; (iv) aprimoramentos nos serviços da Plataforma; ou (v) outras razões que a Omnicash julgar necessárias.

18.2. Alterações substanciais — entendidas como aquelas que ampliem as finalidades do tratamento, alterem as bases legais utilizadas, introduzam novas categorias de dados pessoais ou modifiquem as condições de compartilhamento — serão comunicadas ao Merchant por e-mail com antecedência mínima de 15 (quinze) dias antes de sua entrada em vigor.

18.3. A data da última atualização será sempre indicada no topo desta Política. A Omnicash recomenda a revisão periódica deste documento. A continuidade do uso da Plataforma após a entrada em vigor de alterações implica ciência e concordância com a versão atualizada da Política.

19. LEI APLICÁVEL, JURISDIÇÃO E FORO

19.1. Esta Política de Privacidade é regida exclusivamente pela legislação da República Federativa do Brasil, em especial pela Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), pela Lei nº 12.965/2014 (Marco Civil da Internet), pelo Decreto nº 8.771/2016, pela Constituição Federal de 1988 (art. 5º, X e XII — inviolabilidade da intimidade, da vida privada, da honra e da imagem; e sigilo de dados), e demais normas regulamentares emanadas pela Autoridade Nacional de Proteção de Dados (ANPD) e aplicáveis ao tratamento de dados pessoais.

19.2. Fica eleito o foro da Comarca de São Paulo, Estado de São Paulo, como competente para dirimir quaisquer controvérsias relativas a esta Política de Privacidade e ao tratamento de dados pessoais pela Omnicash, com renúncia expressa a qualquer outro, por mais privilegiado que seja, ressalvado o foro de domicílio do titular quando aplicável.

20. CANAIS DE CONTATO E ATENDIMENTO AO TITULAR

Para exercer seus direitos como titular de dados pessoais, esclarecer dúvidas, fazer solicitações, apresentar reclamações ou obter informações adicionais relacionadas a esta Política de Privacidade e ao tratamento de seus dados pessoais pela Omnicash, utilize os seguintes canais:

• Encarregado pelo Tratamento de Dados Pessoais (DPO): dpo@omnicash.com.br
• Canal de Privacidade e Proteção de Dados: privacidade@omnicash.com.br
• Suporte Geral: suporte@omnicash.com.br
• Jurídico: juridico@omnicash.com.br

O prazo para resposta às solicitações de titulares é de até 15 (quinze) dias, contados do recebimento da solicitação (art. 18, §5º, LGPD). A Omnicash manterá registro de todas as solicitações recebidas e das respectivas providências adotadas.