política de privacidade.
a accessa opera no centro de informações sensíveis dos clientes — credenciais, certificados ICP-Brasil e documentos assinados. tratar dados com responsabilidade é parte do produto.
última atualização: maio de 2026
01.por que isso importa para a accessa
diferente de outras plataformas SaaS, a accessa armazena credenciais de acesso, certificados digitais ICP-Brasil e documentos assinados. isso nos coloca em uma posição de responsabilidade maior do que a média — uma violação de dados na accessa não é só um incidente de privacidade, é um incidente de segurança operacional para o cliente.
essa consciência guia cada decisão do time, do vendedor que coleta dados na qualificação ao CS que acessa o ambiente do cliente.
02.o que é a extensão accessa
a accessa é uma extensão para o Google Chrome destinada a advogados, servidores públicos e operadores do direito que atuam em sistemas judiciais brasileiros. a extensão oferece as seguintes funcionalidades:
- cofre de credenciais criptografado: armazenamento seguro de senhas, tokens de acesso, chaves SSH e credenciais de portais judiciais (PJe, TRF, TRT e demais sistemas do Poder Judiciário e do Governo Federal).
- preenchimento automático: detecção e preenchimento de formulários de login em portais judiciais, eliminando a necessidade de digitar credenciais manualmente.
- gerenciamento de certificados digitais: suporte a certificados A1 e A3, incluindo integração com o PJeOffice para autenticação em processos eletrônicos.
- controle de acesso por equipes: workspaces compartilhados para escritórios de advocacia com perfis de permissão (proprietário, administrador, membro, somente leitura).
- alertas de vencimento: notificações proativas sobre certificados digitais e credenciais próximas do prazo de expiração.
- autenticação em dois fatores (TOTP): geração e armazenamento de tokens de autenticação, com leitura de QR Codes.
03.dados coletados
3.1 dados fornecidos diretamente pelo usuário
| dado | finalidade | obrigatório? |
|---|---|---|
| endereço de e-mail | criação de conta e autenticação | sim |
| senha de acesso à conta accessa | autenticação na plataforma | sim |
| senha mestra do cofre (master password) | criptografia local do cofre — nunca é transmitida aos servidores | sim |
| credenciais salvas (usuário/senha de portais) | funcionalidade principal do cofre | voluntário |
| certificados digitais enviados | autenticação em sistemas judiciais | voluntário |
| tokens TOTP / 2FA | autenticação em dois fatores em sistemas externos | voluntário |
| nome completo | perfil de usuário | sim |
3.2 dados coletados automaticamente durante o uso
| dado | finalidade | observações |
|---|---|---|
| cookies de sessão de portais judiciais | manutenção de sessão autenticada no PJe, TRF, TRT e demais sistemas | armazenados localmente no dispositivo via Chrome Cookies API — não transmitidos à accessa |
| tokens de sessão (access_token + refresh_token) | manter o usuário autenticado na extensão | armazenados no armazenamento local do Chrome; sincronizados com o servidor via TLS |
| contagem de notificações não lidas | exibição do badge no ícone da extensão | apenas contagem numérica — sem conteúdo das notificações |
3.3 dados que não coletamos
a accessa não coleta e não tem acesso a:
- histórico de navegação do usuário
- conteúdo de páginas visitadas (exceto formulários de login, limitado à detecção de campos de usuário e senha para ativação do autofill)
- dados de formulários além de credenciais explicitamente salvas pelo usuário
- informações de cartão de crédito ou dados financeiros
- dados de geolocalização
- dados de outros aplicativos instalados no dispositivo
04.como armazenamos os dados
4.1 armazenamento local no dispositivo
os dados mais sensíveis são armazenados exclusivamente no dispositivo do usuário, utilizando a API chrome.storage.local:
- cofre de credenciais: criptografado com AES-256-GCM antes de qualquer armazenamento. a chave de criptografia é derivada da senha mestra via PBKDF2 — a senha mestra nunca é transmitida a nenhum servidor.
- tokens de sessão: armazenados localmente e sincronizados com o servidor apenas para manter a sessão ativa.
- cookies de sessão judicial: armazenados localmente via Chrome Cookies API para uso exclusivo nos portais judiciais correspondentes.
4.2 armazenamento em nuvem
a accessa utiliza o Supabase como provedor de infraestrutura de banco de dados e autenticação. os seguintes dados são armazenados nos servidores:
- dados de perfil (e-mail, nome)
- cofre de credenciais criptografado — o servidor recebe apenas o texto cifrado, nunca os dados em texto claro
- metadados de workspaces e membros
- histórico de notificações (títulos e mensagens, sem credenciais)
05.infraestrutura e segurança
- localização: infraestrutura em nuvem com data centers em conformidade com a LGPD — dados de clientes brasileiros processados e armazenados no Brasil ou em países com nível de proteção equivalente conforme art. 33 da LGPD.
- criptografia: dados em trânsito protegidos por TLS 1.2 ou superior; dados em repouso criptografados com AES-256-GCM.
- credenciais no cofre: armazenadas com criptografia de ponta a ponta — nem o time da accessa tem acesso ao conteúdo das senhas dos clientes.
- backups: realizados automaticamente com retenção definida por contrato e política interna.
- disponibilidade: infraestrutura com redundância e monitoramento 24/7.
06.garantias de segurança do produto
- MFA nativo em todos os planos — acesso ao painel protegido por autenticação multifator.
- cofre sem exposição de senha — nem a accessa visualiza credenciais armazenadas pelos clientes.
- log de auditoria imutável — registros não podem ser alterados retroativamente.
- criptografia ponta a ponta em trânsito e em repouso.
- política de senhas fortes — configuração mínima exigida.
- revogação instantânea — o cliente controla acessos em tempo real, sem dependência da accessa.
07.acesso interno aos dados
o princípio que governa o acesso interno é o mínimo necessário — cada colaborador acessa apenas o que precisa para exercer sua função. todo acesso a ambientes de clientes é logado automaticamente: quem acessou, quando e o que foi feito.
| função | nível de acesso |
|---|---|
| vendas | dados de pipeline e oportunidades — sem acesso ao ambiente do cliente |
| customer success | painel do cliente para suporte e onboarding — com log registrado |
| suporte técnico | acesso restrito ao ambiente do cliente mediante chamado e autorização |
| produto e engenharia | desenvolvimento e staging — produção apenas com aprovação |
| diretoria | dados agregados e relatórios — não dados individuais sem necessidade |
08.retenção de dados
| tipo de dado | prazo | base legal |
|---|---|---|
| contrato e faturamento | 5 anos após encerramento | obrigação legal — fiscal e contábil |
| logs de acesso à plataforma | 12 meses | legítimo interesse e segurança |
| certificados digitais | vigência do contrato + 90 dias | execução do contrato |
| documentos assinados | vigência do contrato + prazo do cliente | execução do contrato |
| suporte e atendimento | 2 anos após encerramento | legítimo interesse |
| prospecção (CRM) | 2 anos sem conversão, renováveis com consentimento | legítimo interesse |
após o encerramento do contrato, o cliente tem até 90 dias para exportar seus dados. após esse prazo, os dados são excluídos definitivamente, com exceção do que a lei obriga a manter.
09.base legal para tratamento (lgpd — art. 7º)
| dado / tratamento | base legal |
|---|---|
| e-mail e senha para autenticação | execução de contrato (art. 7º, V) |
| credenciais do cofre | execução de contrato (art. 7º, V) |
| cookies de sessão judicial | execução de contrato (art. 7º, V) |
| e-mails transacionais (confirmação, recuperação de senha) | execução de contrato (art. 7º, V) |
| logs de acesso | cumprimento de obrigação legal — Marco Civil da Internet (art. 7º, II) |
| comunicações de marketing e newsletters | consentimento (art. 7º, I) — com opt-out disponível |
| dados de segurança e prevenção a fraudes | legítimo interesse (art. 7º, IX) |
10.direitos dos titulares (art. 18 da lgpd)
| direito | como exercer | prazo |
|---|---|---|
| acesso | e-mail para privacidade@accessapp.com.br | 15 dias úteis |
| correção | painel do cliente ou solicitação ao CS | 5 dias úteis |
| eliminação | solicitação formal — dados com obrigação legal são mantidos | 15 dias úteis |
| portabilidade | exportação no painel ou via CS | 15 dias úteis |
| revogação de consentimento | e-mail ou painel | imediato para novos tratamentos |
| oposição | solicitação formal com análise caso a caso | 15 dias úteis |
| informação | política de privacidade e sob solicitação | imediato |
11.compartilhamento com terceiros
a accessa não vende, aluga ou comercializa dados. o compartilhamento ocorre apenas nos casos abaixo, todos com cláusulas contratuais de proteção (DPA) equivalente à LGPD.
| destinatário | dados | finalidade |
|---|---|---|
| Supabase Inc. | dados de perfil, cofre criptografado, metadados de workspace | infraestrutura de banco de dados e autenticação |
| provedores de infraestrutura (AWS) | dados hospedados na plataforma | armazenamento e processamento |
| gateway de pagamento | dados de faturamento | processamento de cobrança |
| plataforma de suporte | dados do chamado aberto | atendimento ao cliente |
| autoridades certificadoras (ICP-Brasil) | dados do certificado | emissão e renovação |
| autoridades legais | dados exigidos por lei ou ordem judicial | cumprimento de obrigação legal |
12.cookies e tecnologias de rastreamento
a extensão accessa não utiliza cookies de rastreamento nem tecnologias de monitoramento comportamental. os únicos cookies manipulados pela extensão são cookies de sessão de portais judiciais (PJe, TRF, TRT), gerenciados localmente no dispositivo do usuário — esses cookies pertencem aos sistemas judiciais, não à accessa.
o site accessapp.com.br utiliza cookies essenciais para o funcionamento e cookies analíticos para melhoria da experiência. você pode gerenciar preferências nas configurações do navegador.
13.resposta a incidentes
a LGPD exige que incidentes de segurança sejam comunicados à ANPD e aos titulares afetados em até 72 horas após a identificação. a accessa mantém um plano de resposta a incidentes coordenado pelo DPO, com canais internos de reporte imediato e preservação de evidências.
14.encarregado de proteção de dados (dpo)
qualquer dúvida, solicitação de direitos ou reporte de incidente deve ser encaminhado para o DPO da accessa:
e-mail: privacidade@accessapp.com.br
até 15 dias úteis para solicitações de direitos · imediato para reportes de incidente.
15.alterações desta política
esta política pode ser atualizada periodicamente. alterações significativas serão notificadas por e-mail com antecedência mínima de 15 dias antes da entrada em vigor. a versão sempre vigente estará disponível nesta URL pública, sem necessidade de login.