NordixSystems

Política de privacidade

Como a Nordix Systems trata dados pessoais no site e nos Serviços — controladores, IA, suboperadores, transferências, retenção, seus direitos e nosso encarregado.

Esta é uma tradução de cortesia. A versão em inglês é a versão juridicamente prevalecente e, em caso de divergência, prevalece sobre esta tradução.

1. Introdução

A Nordix Systems ("Nordix Systems", "nós" ou "nosso") faz parte do grupo NCS (NCS — Nordic Compute System, operada pela Easy Drift AS, Noruega) e está comprometida em proteger a privacidade e os dados pessoais de todos que interagem com nosso site, plataformas, aplicativos e Serviços. Esta Política de privacidade explica quais dados coletamos, como e por que os usamos, com quem os compartilhamos e os direitos que você tem sobre suas informações.

Ela cobre o site nordixsystems.com e os Serviços — incluindo o Nordix BIOS, o Nordix POS, o Nordix Booking, a Nordix Loyalty, o app de consumo Nex, os serviços gerenciados da ION Consulting (ION Virtual Workers, FinanceFlow) e nossas ferramentas de automação de marketing — junto com suas APIs associadas.

2. Escopo e nosso papel

A Nordix Systems atua em diferentes papéis dependendo dos dados e do Serviço:

  • Como controladora, decidimos como e por que os dados pessoais são tratados para nossas próprias finalidades — por exemplo, os dados coletados por meio deste site, dos formulários de contato e de agendamento de demonstração, das inscrições na newsletter, do cadastro de conta, do faturamento e da segurança.
  • Como operadora (ou suboperadora), tratamos dados pessoais por conta e seguindo as instruções dos nossos clientes empresariais e Parceiros — por exemplo, os dados operacionais que circulam pelo Nordix BIOS, Nordix POS, Booking, programas de fidelidade e os agentes de IA que atuam por conta de um cliente. Nesses casos, o cliente ou Parceiro é o controlador e é quem deve assegurar a base legal do tratamento e seu próprio aviso de privacidade aos usuários finais. Esse tratamento é regido pelo nosso Contrato de Tratamento de Dados (DPA).

Esta Política descreve nossas práticas como controladora e explica, quando aplicável, como apoiamos clientes e Parceiros quando atuamos como operadores.

3. Controlador dos dados e contato

O controlador dos dados para fins do Regulamento Geral de Proteção de Dados da UE (GDPR), do GDPR do Reino Unido, da Lei Geral de Proteção de Dados do Brasil (LGPD) e demais legislação de proteção de dados aplicável é:

Nordix Systems, parte da NCS — Nordic Compute System (operada pela Easy Drift AS, Noruega). Endereço postal: Nordix Systems, c/o NCS group, Oslo, Noruega (endereço completo sob solicitação).

Para qualquer questão de privacidade, contate privacy@nordixsystems.com. Nosso contato de Proteção de Dados é dpo@ncsengine.com.

4. Quais dados coletamos

Dependendo dos Serviços que você usar, podemos coletar as seguintes categorias de dados pessoais:

Informações que você fornece diretamente:

  • Dados de contato e identidade (nome, e-mail corporativo, empresa opcional, cargo, mensagem) enviados por meio de formulários, cadastros ou interações de venda e suporte, incluindo a data e hora que você escolhe ao agendar uma demonstração.
  • Informações de conta e perfil quando você se cadastra em uma plataforma ou app.
  • Dados de faturamento (empresa, contato de faturamento, identificadores fiscais); os dados de cartões e instrumentos financeiros são coletados e tratados pelos nossos processadores de pagamento, não sendo armazenados na íntegra por nós.
  • Comunicações e conteúdo que você envia, incluindo mensagens de suporte, solicitações de demonstração e feedback.

Informações geradas pelo uso dos Serviços:

  • Logs de servidor e dados de uso (URL da requisição, endereço de IP (truncado), user agent, referenciador, código de resposta, tipo de navegador e dispositivo, páginas e recursos usados, marcas de tempo). Os logs de servidor são retidos por 30 dias para fins de segurança e planejamento de capacidade.
  • Dados de conta, transação e operacionais, como reservas, pedidos, transações de PDV e atividade de fidelidade (pontos, níveis, ofertas, resgates, histórico de visitas) — normalmente tratados por conta de um cliente empresarial.
  • Dados de conversa e prompts trocados com assistentes e agentes de IA em diversos canais (chat, widget web, e-mail e, quando habilitado, plataformas de mensagens como WhatsApp, Telegram e Instagram).
  • Dados de chamadas de voz, incluindo gravações e transcrições, quando você usar recursos de voz/telefonia.
  • Dados de contas conectadas e integrações, incluindo tokens de acesso e configuração dos serviços de terceiros que você autorizar (PDV, pagamentos, anúncios, mensagens, calendários, gestão de conteúdo, contabilidade e análise). As credenciais são armazenadas de forma segura e exibidas mascaradas.
  • Para o uso B2B2C dos Parceiros, identificadores de usuário final dos canais de mensagens (como um ID de usuário específico do canal ou um número de telefone) necessários para rotear e autorizar interações.
  • Dados de desenvolvedor e de API, incluindo chaves de API e metadados das requisições.
  • Análise Plausible — eventos de páginas vistas anônimos, sem cookies e compatíveis com GDPR e LGPD: URL, país (geo-IP), referenciador, tipo de dispositivo. Sem identificadores pessoais e sem fingerprinting.
  • Sinais antifraude e anti-bot (como o endereço de IP e tokens CAPTCHA/anti-bot).

Informações de terceiros:

  • Dados de contato profissional de diretórios profissionais públicos para captação B2B, e dados das integrações e provedores que você conectar.

5. Categorias especiais e dados sensíveis

Alguns Serviços podem ser usados por clientes profissionais para tratar informações que possam incluir categorias sensíveis (por exemplo, quando a operação de um cliente envolva dados de saúde ou de natureza jurídica). Nesses casos, a Nordix Systems normalmente atua como operadora por conta do cliente, que é responsável por estabelecer uma base legal (incluindo qualquer consentimento explícito ou base de sigilo profissional exigido) e pelos seus próprios avisos aos titulares dos dados. Aplicamos salvaguardas técnicas e organizacionais reforçadas a esses dados e os tratamos apenas para fornecer o Serviço. Não buscamos coletar dados de categorias especiais por meio da nossa própria atividade de marketing ou do site.

6. Como usamos seus dados

Quando atuamos como controladora, tratamos os dados pessoais para:

  • Entrega do serviço: fornecer, operar, proteger e manter nosso site, plataformas, modelos de IA, agentes e aplicativos.
  • Contas e faturamento: criar e gerenciar contas, processar assinaturas e pagamentos (via processadores) e prevenir fraudes em pagamentos.
  • Comunicação: responder à sua solicitação, manter um registro da solicitação em nosso pipeline comercial, enviar notificações de serviço e transacionais e prestar suporte. Podemos contatá-lo por e-mail até duas vezes para acompanhamento de uma solicitação.
  • Melhoria: analisar o uso para melhorar nossas plataformas, recursos, modelos e documentação, usando dados agregados ou desidentificados quando viável.
  • Segurança e prevenção de abusos: detectar, prevenir e responder a incidentes de segurança, fraude, abuso e problemas técnicos (rate-limiting, spam, abuso automatizado).
  • Cumprimento legal: cumprir a legislação, a regulamentação e as solicitações legítimas aplicáveis.
  • Marketing: com seu consentimento ou conforme permitido, enviar informações relevantes sobre produtos e serviços do grupo NCS. Você pode cancelar a qualquer momento.

Quando atuamos como operadora, tratamos os dados pessoais apenas para fornecer os Serviços em conformidade com as instruções documentadas do cliente ou Parceiro e com o DPA.

7. Bases legais do tratamento

Sob o GDPR, o GDPR do Reino Unido e normas equivalentes (incluindo a LGPD), baseamo-nos em:

  • Necessidade contratual: o tratamento necessário para fornecer os Serviços que você solicitou ou contratou.
  • Legítimo interesse: melhorar e proteger nossos Serviços e realizar marketing B2B, desde que esses interesses não prevaleçam sobre seus direitos fundamentais.
  • Consentimento: quando você tiver dado um consentimento claro para atividades específicas (por exemplo, certo marketing ou o tratamento de categorias especiais). Você pode retirar o consentimento a qualquer momento.
  • Obrigação legal: quando o tratamento for necessário para cumprir a lei aplicável.

8. IA e tratamento automatizado

Vários Serviços baseiam-se em inteligência artificial, incluindo provedores de modelos de IA terceiros contratados como suboperadores.

  • Sem treinamento com seus dados sem consentimento: não usamos os Dados do Cliente para treinar modelos de IA compartilhados ou de base, e nossos suboperadores de IA (como OpenAI e Anthropic) são contratados sob acordos que proíbem o uso do seu conteúdo para treinar seus modelos, salvo se você der uma instrução ou consentimento expressos.
  • Suboperadores de IA: o conteúdo de conversas e prompts pode ser transmitido a provedores de modelos de IA exclusivamente para gerar respostas e executar as tarefas que você solicitar.
  • Ações automatizadas dos agentes: quando os agentes de IA (como o Nordix BIOS ou os ION Virtual Workers) atuam por conta de um cliente, essas ações seguem a configuração do cliente, com uma trilha de auditoria disponível. Os clientes são responsáveis por manter a supervisão humana das ações de alto impacto.
  • Decisões automatizadas: não usamos os Serviços para tomar decisões que produzam efeitos jurídicos ou similarmente significativos sobre você baseadas exclusivamente em tratamento automatizado sem as devidas salvaguardas. Quando há definição de perfil (por exemplo, segmentação de fidelidade ou ofertas personalizadas), ela é operada pelo negócio relevante ou por sua conta e está sujeita aos seus direitos aplicáveis.

9. Pagamentos e dados financeiros

Quando você paga por um Serviço, ou quando os Serviços facilitam pagamentos no estabelecimento ou de marketplace, os dados de cartões e instrumentos financeiros são coletados e tratados por processadores de pagamento externos licenciados e em conformidade com a norma PCI-DSS (como Stripe, Adyen, MercadoPago e PayPal). Recebemos apenas dados de transação limitados (como uma referência tokenizada, os últimos dígitos de um cartão, o contato de faturamento e o status do pagamento) necessários para o faturamento, a contabilidade, a prevenção de fraude e o suporte. Não armazenamos números completos de cartão em nossos sistemas.

10. Cookies e rastreamento

Nosso site usa cookies e tecnologias semelhantes apenas para:

  • Funções essenciais: gerenciamento de sessão, segurança e tokens anti-bot (como CAPTCHA).
  • Análise: usamos a Plausible — análise respeitosa da privacidade e sem cookies — para entender como os visitantes interagem com o site.

Não usamos cookies de marketing ou de publicidade e não há rastreamento publicitário entre sites neste site. Não há banner de consentimento porque não há rastreadores sujeitos a consentimento. Você pode gerenciar suas preferências nas configurações do navegador.

11. Compartilhamento de dados, suboperadores e transferências

Não vendemos dados pessoais. Podemos compartilhar dados com:

  • Provedores de infraestrutura e hospedagem que operam sob acordos de tratamento de dados.
  • Prestadores de serviços e suboperadores que auxiliam em análise, entrega de e-mail e mensagens, telefonia/SMS, pagamentos, tratamento por modelos de IA e suporte ao cliente, cada um vinculado por obrigações contratuais de confidencialidade e proteção de dados.
  • Serviços de terceiros que você conectar (PDV, pagamentos, anúncios, mensagens, calendários, gestão de conteúdo e contabilidade), aos quais enviamos dados conforme necessário para fornecer os Serviços que você configurar.
  • Afiliadas do grupo NCS, para operar e dar suporte aos Serviços.
  • Autoridades legais, quando exigido por lei, ordem judicial ou para estabelecer, exercer ou defender direitos legais.
  • Transferências empresariais, no âmbito de uma fusão, aquisição ou venda de ativos, sujeitas a esta política.

Mantemos uma lista atualizada de suboperadores — veja a lista de subprocessadores. Quando os dados são transferidos para fora do Espaço Econômico Europeu (EEE) ou do Reino Unido, asseguramos salvaguardas adequadas, incluindo decisões de adequação da Comissão Europeia ou Cláusulas Contratuais Padrão (SCCs), junto com medidas suplementares quando necessário.

12. Retenção dos dados

Retemos os dados pessoais apenas pelo tempo necessário para cumprir as finalidades descritas nesta política, salvo se a lei exigir ou permitir um período de retenção mais longo.

DadoRetenção
Formulário armazenado como e-mail24 meses a partir do envio
Registros de comunicaçõesAté 3 anos
Análise anônima36 meses de forma agregada
Logs de servidor30 dias
Dados de contaDuração da relação comercial mais até 5 anos para fins legais e de auditoria
Dados operacionais e de conversa do tenantConforme definido no seu DPA — normalmente o prazo da assinatura ativa mais 90 dias de retenção de backup

Você pode solicitar a exclusão a qualquer momento, sujeito às obrigações legais de retenção e, quando atuamos como operadores, às instruções do cliente controlador.

13. Seus direitos

Sob o GDPR, o GDPR do Reino Unido, a LGPD e demais legislação de proteção de dados aplicável, você pode ter o direito de:

  • Acessar os dados pessoais que mantemos sobre você e obter uma cópia.
  • Retificar dados imprecisos ou incompletos.
  • Apagar seus dados ("direito ao esquecimento") quando aplicável, sujeito a obrigações legais de retenção.
  • Restringir ou opor-se ao tratamento em determinadas circunstâncias, incluindo o marketing direto.
  • Portabilidade de dados — receber seus dados em um formato estruturado e legível por máquina.
  • Retirar o consentimento a qualquer momento quando o tratamento se basear nele.
  • Apresentar reclamação à sua autoridade local de proteção de dados (Brasil: ANPD; Espanha: AEPD; Portugal: CNPD; Noruega: Datatilsynet; Reino Unido: ICO).

Para exercer esses direitos, contate privacy@nordixsystems.com. Responderemos no prazo exigido pela lei aplicável (geralmente em 30 dias). Quando tratamos seus dados por conta de um cliente ou Parceiro (como operadores), encaminharemos sua solicitação a esse controlador e o ajudaremos a responder.

14. Medidas de segurança

Implementamos medidas técnicas e organizacionais padrão do setor para proteger seus dados, incluindo:

  • Criptografia em trânsito (TLS) e em repouso (AES-256).
  • Controles de acesso baseados em funções e princípio do menor privilégio.
  • Isolamento multi-tenant, registro de auditoria e segredos armazenados em um vault/KMS gerenciado.
  • Avaliações de segurança periódicas.
  • Procedimentos de resposta a incidentes e de notificação de violações compatíveis com os artigos 33/34 do GDPR e normas equivalentes.

Comunique qualquer suspeita de incidente de segurança a security@nordixsystems.com.

15. Onde armazenamos os dados

Por padrão, todos os dados são armazenados dentro da União Europeia (região da Irlanda ou de Estocolmo, dependendo do serviço). Para clientes fora da UE, podemos negociar uma residência diferente. Podemos atender usuários no EEE, no Reino Unido, na Noruega, no Brasil e em outros lugares; para usuários no Brasil tratamos os dados pessoais em conformidade com a LGPD, para usuários no Reino Unido em conformidade com o GDPR do Reino Unido, e para usuários no EEE e na Noruega em conformidade com o GDPR e a legislação norueguesa de aplicação.

16. Privacidade de crianças

Nossos Serviços são destinados a uso empresarial e profissional e não são direcionados a menores de 16 anos (ou a idade aplicável na sua jurisdição). Não coletamos conscientemente dados pessoais de crianças. Se você acreditar que coletamos inadvertidamente tais dados, entre em contato para que possamos tomar as medidas adequadas.

Nosso site e nossos Serviços podem vincular ou se integrar a sites e serviços de terceiros que não controlamos. Esta Política de privacidade não se aplica a esses terceiros e não somos responsáveis por suas práticas de privacidade. Recomendamos que você revise os avisos de privacidade de qualquer serviço de terceiros que use ou conecte.

18. Alterações a esta política

Podemos atualizar esta Política de privacidade periodicamente para refletir alterações em nossas práticas, Serviços ou requisitos legais. Publicaremos a política atualizada com uma data de entrada em vigor revisada e, quando as alterações forem substanciais, daremos aviso adicional por meio dos Serviços ou por e-mail; as alterações substanciais também são anunciadas no topo desta página e datadas.

19. Contato

Se você tiver dúvidas sobre esta Política de privacidade ou nossas práticas de dados, entre em contato:

Você também tem o direito de apresentar reclamação à sua autoridade local de proteção de dados (por exemplo, a ANPD brasileira, a AEPD espanhola, a CNPD portuguesa, a Datatilsynet norueguesa ou a ICO do Reino Unido) se acreditar que seus dados foram tratados em violação à lei aplicável.

Esta política foi atualizada pela última vez em 2026-06-21. As alterações substanciais são anunciadas no topo desta página e datadas.