Política de Privacidade

Como o Orkestra Pulse trata dados na fase demo (F0), quais tecnologias utiliza e quais são seus direitos sob a LGPD.

Introdução

Esta Política de Privacidade descreve como o Orkestra Pulse trata informações na fase atual de beta fechado (F1) — com backend real de autenticação, workspaces e telemetria OTLP.

O Pulse faz parte da suite Orkestra (Plan · Pulse · API), operada pela SoftPulse. Ao criar conta ou enviar telemetria, você concorda com as práticas descritas aqui.

Última atualização: 1 de junho de 2026

Escopo e vigência

Esta política aplica-se ao console orkestra-pulse e à API orkestra-pulse (pulse-api.orkestraai.com.br), incluindo ambientes de staging e produção do beta.

  • F1 (atual): cadastro com email real, verificação por sendmail, ingestão OTLP opcional (traces, logs, métricas) no workspace do cliente.
  • Planos: tier gratuito Pulse Ativar (limites de apps e retenção) e planos pagos conforme /pricing.

Controlador dos dados

Controlador: SoftPulse / Orkestra (uso interno e demonstrações autorizadas).

Encarregado (DPO): a designar na entrada em produção comercial (F4).

Contas demo (*@orkestra.ai) não representam pessoas reais — são personas de teste com senha pública documentada.

Dados que tratamos

No beta F1, tratamos dados de conta, sessão, telemetria ingerida e preferências locais:

CategoriaExemplosOrigem
Identificação demoEmail, nome, role (ops/sre/dev/admin)Login mock
SessãoFlag de sessão ativa + perfil codificadoCookie httpOnly
PreferênciasTema, ambiente, time rangelocalStorage
Configuração demoEndpoints OTLP, API keys fictícias, mute de monitorslocalStorage
Logs de servidorIP, user-agent, rotas HTTP (Next.js dev)Infra local / hosting

Não solicitamos CPF, documentos, dados bancários ou telemetria real de sistemas de produção nesta fase.

O que não coletamos

  • Telemetria real de aplicações (traces, logs, métricas de clientes)
  • Dados pessoais sensíveis (saúde, biometria, origem racial, etc.)
  • Geolocalização precisa do dispositivo
  • Conteúdo de mensagens ou PII de usuários finais de produtos Orkestra
  • Tracking publicitário ou pixels de marketing
  • Venda ou licenciamento de dados a terceiros

Cookies

Utilizamos cookies estritamente necessários para manter a sessão demo. Não usamos cookies de analytics ou publicidade nesta fase.

NomeTipoFinalidadeRetenção
orkestra_pulse_sessionCookie httpOnlyIndica sessão demo ativa após login mock.7 dias ou até logout
orkestra_pulse_userCookie httpOnlyPerfil demo (email, nome, role) codificado em base64.7 dias ou até logout

Para encerrar a sessão: botão de logout no app ou DELETE /api/auth/session. Cookies obsoletos sem perfil são limpos automaticamente pelo proxy de autenticação.

Armazenamento local (localStorage)

Preferências e estado demo persistem apenas no seu navegador via Zustand persist. Nenhum destes dados é enviado ao servidor na F0.

ChaveConteúdo
orkestra-pulse-preferencesTema claro/escuro e preferências de UI.
orkestra-pulse-environmentAmbiente selecionado (production, staging, development).
orkestra-pulse-time-rangeIntervalo de tempo global do topbar.
orkestra-pulse-integrationsConfiguração demo de integrações OTLP/Prometheus/Loki.
orkestra-pulse-incident-opsOverrides de status de incidentes simulados.
orkestra-pulse-monitor-opsMute/ack de monitors mock.
orkestra-pulse-log-saved-viewsViews salvas no explorador de logs.
orkestra-pulse-investigationsNotas e estado de notebooks de investigação.

Limpeza: DevTools → Application → Local Storage, ou modo anônimo sem persistência entre sessões.

Finalidades e bases legais

Autenticação demo

Base: Execução de ambiente de teste solicitado pelo usuário / legítimo interesse interno

Personalização de UI (tema, ambiente, time range)

Base: Legítimo interesse / consentimento implícito ao usar preferências

Simulação de fluxos NOC/SRE (integrações, incidentes, monitors)

Base: Desenvolvimento de produto e demonstração

Análise com IA (opcional)

Base: Consentimento via habilitação explícita da funcionalidade no servidor

Referência normativa: Lei nº 13.709/2018 (LGPD) — aplicável quando houver tratamento de dados pessoais reais na F1+.

Análise com IA

O módulo Insights pode, opcionalmente, enviar um snapshot agregado de telemetria a um provedor de inteligência artificial para enriquecer recomendações — apenas quando a análise com IA está habilitada na configuração do servidor.

  • As credenciais de IA nunca são expostas ao navegador — o processamento ocorre no servidor.
  • O payload contém métricas e eventos do workspace (sem credenciais de usuário).
  • Sem a funcionalidade habilitada, 100% do processamento permanece local (regras determinísticas).
  • Timeout configurável no servidor; fallback automático para análise local em caso de falha ou indisponibilidade.

Quando a análise com IA estiver ativa, consulte a política de privacidade do provedor contratado na sua instalação para entender como os dados são tratados.

Compartilhamento e transferência internacional

Na fase F0, não compartilhamos dados pessoais com parceiros comerciais.

  • Análise com IA (opcional): snapshot de telemetria para geração de insights — apenas se habilitada no servidor.
  • Provedor de hosting (futuro): logs de infraestrutura conforme contrato de cloud na F1+.
  • Não vendemos, alugamos ou comercializamos dados de usuários.

Transferências internacionais para provedores de IA serão documentadas com cláusulas contratuais padrão quando aplicável em produção.

Retenção

  • Cookies de sessão: até 7 dias ou logout.
  • localStorage: até limpeza manual ou reset do navegador.
  • Logs de servidor (dev): efêmeros, não consolidados para analytics.
  • Telemetria real (F1+): política de retenção por tenant será definida no contrato e documentação de produto.

Segurança

Medidas aplicadas no MVP demo:

  • Cookies de sessão com flag httpOnly e SameSite=Lax.
  • Chaves de API de IA apenas em variáveis de ambiente server-side.
  • Proxy de rotas com RBAC por perfil demo.
  • Sem persistência de senhas — validação contra lista fixa em memória.

O ambiente demo não deve ser exposto publicamente sem autenticação adicional. Não insira credenciais ou API keys reais nos campos de integração mock.

Seus direitos (LGPD)

Titulares de dados pessoais têm os seguintes direitos, quando aplicável:

Confirmação e acesso

Saber se tratamos dados e obter cópia do que estiver armazenado localmente.

Correção

Solicitar correção de dados inexatos (aplicável na fase com conta real).

Eliminação

Limpar cookies via logout e localStorage via configurações do navegador.

Portabilidade

Exportar views de logs (CSV/JSON) dentro do app mock.

Revogação de consentimento

Desabilitar a análise com IA na configuração do servidor; logout encerra a sessão.

Oposição

Interromper uso deletando dados locais ou deixando de utilizar o ambiente demo.

No MVP mock, a forma mais rápida de exercer eliminação é logout + limpar dados do site no navegador.

Alterações desta política

Podemos atualizar este documento conforme novas funcionalidades entrem em produção (ingestão real, multi-tenant, SSO). A data de vigência será revisada no topo da página.

Alterações materiais na F1+ serão comunicadas por email ou aviso in-app quando houver contas reais cadastradas.

Contato

Dúvidas sobre privacidade, solicitações LGPD ou reporte de incidente de segurança:

Email: privacy@orkestra.ai (canal reservado — ativação na F1)

Documentação técnica: /docs

Status do serviço: /status