Política de Cookies

Esta Política descreve como a Indícia usa cookies e tecnologias similares no site indicia.com.br, em conformidade com a Lei 13.709/18 (LGPD) Art. 8º e a Res. CD/ANPD 4/2023 sobre tratamento com consentimento.

O que são cookies

Cookies são arquivos pequenos armazenados no seu navegador por sites que você visita. Eles permitem que o site lembre informações entre páginas ou visitas posteriores. Este site usa apenas cookies estritamente necessários e cookies funcionais mediante consentimento explícito.

Categorias usadas

Essenciais · sem consentimento

Cookies necessários pro funcionamento básico do site. Não requerem consentimento conforme Art. 8º § 4º LGPD (execução do contrato).

• __session · Firebase Auth · sessão do usuário logado
• csrf-token · proteção CSRF em formulários
• cookie-consent · registro da sua escolha de consentimento (ironicamente, um cookie pra lembrar que você não quer cookies)

Funcionais · consentimento opt-in

Cookies que melhoram a experiência sem ser essenciais. Ativados apenas com opt-in explícito no banner LGPD.

• theme · preferência de tema dark/light (fallback dark sempre)
• locale · idioma preferido (pt-BR/pt-PT/en)

Analytics · consentimento opt-in

Usamos analytics self-hosted Plausible (cookieless por default no plano Pro). Nenhum cookie de analytics é setado sem consentimento.

Cookies de terceiros · autenticação federada

Quando o visitante escolhe Continuar com Google em /signup ou /admin/login, o fluxo OAuth 2.0 abre o domínio accounts.google.com que seta seus próprios cookies pro gerenciamento da sessão Google. Eles são transientes (duram apenas o fluxo de autenticação) mas vale listar:

• NID (google.com) · preferências Google · transiente
• __Secure-1PAPISID, __Secure-3PAPISID (google.com) · sessão Google · transientes
• GAPS (google.com) · estado do fluxo de login · expira após redirect

Esses cookies pertencem ao Google LLC · são regidos pela Política de Privacidade do Google. A Indícia não controla nem lê esses cookies · eles existem apenas no domínio Google.

Cookies de terceiros · gateway de pagamento Stripe

Quando o visitante avança pra checkout em /signup e seleciona plano pago (Indício · Radar · Perímetro), o redirect leva ao domínio checkout.stripe.com que seta cookies próprios pra anti-fraude e gerenciamento de sessão de pagamento. O Customer Portal Stripe acessível via /app/billing opera no domínio billing.stripe.com com a mesma política. Cookies relevantes:

• __stripe_mid (stripe.com) · machine ID anti-fraude · 1 ano
• __stripe_sid (stripe.com) · session ID checkout · 30 minutos
• m (stripe.com) · device fingerprint anti-fraude · 2 anos

Esses cookies pertencem à Stripe Inc. (sub-operador internacional sob LGPD Art. 33 II · DPA + SCCs UE · adequação CCP ANPD Resolução 19/2024 em curso). A Indícia não controla nem lê esses cookies · regem-se pela Política de Cookies da Stripe e pela Política de Privacidade da Stripe. Base legal: Art. 7º V LGPD (execução de contrato · cookies essenciais ao processamento do pagamento).

Armazenamento local (não-cookie)

Além de cookies, o navegador armazena dados de autenticação em:

• IndexedDB · firebaseLocalStorageDb · Firebase Auth SDK · token JWT criptografado pra manter a sessão sem precisar re-login · persiste até logout ou expiração natural · não é cookie mas é armazenamento local coberto pelo mesmo regime LGPD
• localStorage · indicia-user-session · JSON com uid, email, role, exp (timestamp expiração) · usado pro gate de UI nas páginas admin · removido ao logout
• sessionStorage · temporário · usado apenas durante fluxo de redirect OAuth em dispositivos mobile · limpo automaticamente ao fechar aba

Limpar o armazenamento local (DevTools → Application → Storage → Clear site data) efetivamente desloga o usuário do Security Radar.

O que NÃO usamos

• Google Analytics · removido em 18/10/2025 na reestruturação
• Facebook Pixel · nunca usamos
• Hotjar / FullStory · nunca usamos
• Cookies de marketing behavioral · não usamos · não vendemos dados

Como controlar

1. Navegador · todas as configurações de privacidade disponíveis nas preferências do seu browser permitem limpar, bloquear ou revisar cookies de terceiros
2. Extensões · uBlock Origin, Privacy Badger e similares bloqueiam tracking cookies adicionalmente
3. Conta logada · usuários cadastrados no Security Radar podem revogar consentimentos funcionais no painel admin
4. Dúvida legal · contato direto encarregado@indicia.com.br (SLA 15 dias · Art. 19 LGPD)

Retenção

• Sessão · removidos ao fechar o navegador
• Persistentes · máximo 12 meses conforme Res. CD/ANPD
• Consentimento · registrado com timestamp e hash SHA-256 (auditoria)

Base legal

• Essenciais: Art. 7º V LGPD (execução de contrato)
• Funcionais + analytics: Art. 7º I LGPD (consentimento específico)

Encarregado (DPO)

Dúvidas sobre cookies: encarregado@indicia.com.br. SLA 15 dias pra direitos Art. 18 LGPD.

---

Versão atual em vigor desde 20 de abril de 2026 · Fase 14 (cookies OAuth Google + armazenamento local auth). Ver também Política de Privacidade + Termos de Uso.