Política de Privacidade
Como o Orkestra Pulse trata dados na fase demo (F0), quais tecnologias utiliza e quais são seus direitos sob a LGPD.
Introdução
Esta Política de Privacidade descreve como o Orkestra Pulse trata informações na fase atual de beta fechado (F1) — com backend real de autenticação, workspaces e telemetria OTLP.
O Pulse faz parte da suite Orkestra (Plan · Pulse · API), operada pela SoftPulse. Ao criar conta ou enviar telemetria, você concorda com as práticas descritas aqui.
Última atualização: 1 de junho de 2026
Escopo e vigência
Esta política aplica-se ao console orkestra-pulse e à API orkestra-pulse (pulse-api.orkestraai.com.br), incluindo ambientes de staging e produção do beta.
- F1 (atual): cadastro com email real, verificação por sendmail, ingestão OTLP opcional (traces, logs, métricas) no workspace do cliente.
- Planos: tier gratuito Pulse Ativar (limites de apps e retenção) e planos pagos conforme /pricing.
Controlador dos dados
Controlador: SoftPulse / Orkestra (uso interno e demonstrações autorizadas).
Encarregado (DPO): a designar na entrada em produção comercial (F4).
Contas demo (*@orkestra.ai) não representam pessoas reais — são personas de teste com senha pública documentada.
Dados que tratamos
No beta F1, tratamos dados de conta, sessão, telemetria ingerida e preferências locais:
| Categoria | Exemplos | Origem |
|---|---|---|
| Identificação demo | Email, nome, role (ops/sre/dev/admin) | Login mock |
| Sessão | Flag de sessão ativa + perfil codificado | Cookie httpOnly |
| Preferências | Tema, ambiente, time range | localStorage |
| Configuração demo | Endpoints OTLP, API keys fictícias, mute de monitors | localStorage |
| Logs de servidor | IP, user-agent, rotas HTTP (Next.js dev) | Infra local / hosting |
Não solicitamos CPF, documentos, dados bancários ou telemetria real de sistemas de produção nesta fase.
O que não coletamos
- Telemetria real de aplicações (traces, logs, métricas de clientes)
- Dados pessoais sensíveis (saúde, biometria, origem racial, etc.)
- Geolocalização precisa do dispositivo
- Conteúdo de mensagens ou PII de usuários finais de produtos Orkestra
- Tracking publicitário ou pixels de marketing
- Venda ou licenciamento de dados a terceiros
Armazenamento local (localStorage)
Preferências e estado demo persistem apenas no seu navegador via Zustand persist. Nenhum destes dados é enviado ao servidor na F0.
| Chave | Conteúdo |
|---|---|
| orkestra-pulse-preferences | Tema claro/escuro e preferências de UI. |
| orkestra-pulse-environment | Ambiente selecionado (production, staging, development). |
| orkestra-pulse-time-range | Intervalo de tempo global do topbar. |
| orkestra-pulse-integrations | Configuração demo de integrações OTLP/Prometheus/Loki. |
| orkestra-pulse-incident-ops | Overrides de status de incidentes simulados. |
| orkestra-pulse-monitor-ops | Mute/ack de monitors mock. |
| orkestra-pulse-log-saved-views | Views salvas no explorador de logs. |
| orkestra-pulse-investigations | Notas e estado de notebooks de investigação. |
Limpeza: DevTools → Application → Local Storage, ou modo anônimo sem persistência entre sessões.
Finalidades e bases legais
Autenticação demo
Base: Execução de ambiente de teste solicitado pelo usuário / legítimo interesse interno
Personalização de UI (tema, ambiente, time range)
Base: Legítimo interesse / consentimento implícito ao usar preferências
Simulação de fluxos NOC/SRE (integrações, incidentes, monitors)
Base: Desenvolvimento de produto e demonstração
Análise com IA (opcional)
Base: Consentimento via habilitação explícita da funcionalidade no servidor
Referência normativa: Lei nº 13.709/2018 (LGPD) — aplicável quando houver tratamento de dados pessoais reais na F1+.
Análise com IA
O módulo Insights pode, opcionalmente, enviar um snapshot agregado de telemetria a um provedor de inteligência artificial para enriquecer recomendações — apenas quando a análise com IA está habilitada na configuração do servidor.
- As credenciais de IA nunca são expostas ao navegador — o processamento ocorre no servidor.
- O payload contém métricas e eventos do workspace (sem credenciais de usuário).
- Sem a funcionalidade habilitada, 100% do processamento permanece local (regras determinísticas).
- Timeout configurável no servidor; fallback automático para análise local em caso de falha ou indisponibilidade.
Quando a análise com IA estiver ativa, consulte a política de privacidade do provedor contratado na sua instalação para entender como os dados são tratados.
Compartilhamento e transferência internacional
Na fase F0, não compartilhamos dados pessoais com parceiros comerciais.
- Análise com IA (opcional): snapshot de telemetria para geração de insights — apenas se habilitada no servidor.
- Provedor de hosting (futuro): logs de infraestrutura conforme contrato de cloud na F1+.
- Não vendemos, alugamos ou comercializamos dados de usuários.
Transferências internacionais para provedores de IA serão documentadas com cláusulas contratuais padrão quando aplicável em produção.
Retenção
- Cookies de sessão: até 7 dias ou logout.
- localStorage: até limpeza manual ou reset do navegador.
- Logs de servidor (dev): efêmeros, não consolidados para analytics.
- Telemetria real (F1+): política de retenção por tenant será definida no contrato e documentação de produto.
Segurança
Medidas aplicadas no MVP demo:
- Cookies de sessão com flag
httpOnlye SameSite=Lax. - Chaves de API de IA apenas em variáveis de ambiente server-side.
- Proxy de rotas com RBAC por perfil demo.
- Sem persistência de senhas — validação contra lista fixa em memória.
O ambiente demo não deve ser exposto publicamente sem autenticação adicional. Não insira credenciais ou API keys reais nos campos de integração mock.
Seus direitos (LGPD)
Titulares de dados pessoais têm os seguintes direitos, quando aplicável:
Confirmação e acesso
Saber se tratamos dados e obter cópia do que estiver armazenado localmente.
Correção
Solicitar correção de dados inexatos (aplicável na fase com conta real).
Eliminação
Limpar cookies via logout e localStorage via configurações do navegador.
Portabilidade
Exportar views de logs (CSV/JSON) dentro do app mock.
Revogação de consentimento
Desabilitar a análise com IA na configuração do servidor; logout encerra a sessão.
Oposição
Interromper uso deletando dados locais ou deixando de utilizar o ambiente demo.
No MVP mock, a forma mais rápida de exercer eliminação é logout + limpar dados do site no navegador.
Alterações desta política
Podemos atualizar este documento conforme novas funcionalidades entrem em produção (ingestão real, multi-tenant, SSO). A data de vigência será revisada no topo da página.
Alterações materiais na F1+ serão comunicadas por email ou aviso in-app quando houver contas reais cadastradas.
Contato
Dúvidas sobre privacidade, solicitações LGPD ou reporte de incidente de segurança:
Email: privacy@orkestra.ai (canal reservado — ativação na F1)
Documentação técnica: /docs
Status do serviço: /status