Segurança e Privacidade

A Rica é uma plataforma de planejamento financeiro que lida com dados sensíveis de planejadores e seus clientes. Esta página descreve as medidas de proteção aplicadas na plataforma, os princípios de privacidade seguidos e os direitos dos usuários sob a LGPD.

Esta documentação é relevante tanto para planejadores financeiros quanto para seus clientes.

Coleta mínima de dados

A Rica adota o princípio de coletar o mínimo necessário para operar:

Cadastro: apenas um endereço de email é necessário para criar uma conta. A Rica não pede CPF, nome completo, endereço, RG ou outros documentos de identidade.
Dados de planejamento: orçamentos, objetivos, metas, lançamentos e projeções patrimoniais criados pelo planejador ou pelo cliente dentro da plataforma.
Dados bancários (Open Finance): importados apenas quando o usuário escolhe conectar suas contas bancárias de forma explícita.

Essa abordagem reduz a superfície de risco: quanto menos dados pessoais armazenados, menor o impacto em caso de qualquer incidente.

Autenticação e acesso

A Rica utiliza o Azure AD B2C como provedor de identidade. O login é feito via provedores como Google ou Apple. A Rica não armazena senhas — toda a autenticação é delegada ao provedor escolhido pelo usuário.

Passkeys (FIDO2/WebAuthn)

A Rica oferece login sem senha por meio de autenticação biométrica:

No iOS: Face ID ou Touch ID via passkeys nativas do sistema.
Na web: WebAuthn com suporte a biometria do dispositivo.

Passkeys são a forma mais segura de autenticação disponível. São resistentes a ataques de phishing porque a credencial é vinculada ao domínio da Rica e nunca é transmitida — apenas uma assinatura criptográfica.

Recomendação

Ative passkeys na sua conta para o nível máximo de proteção. No app iOS, a Rica oferece o cadastro de passkey automaticamente após o primeiro login.

Sessões seguras

Tokens de acesso são armazenados em sessionStorage, que é limpa quando a aba do navegador é fechada.
A renovação de tokens é feita de forma automática e silenciosa, sem interromper o uso.
O logout limpa todos os dados de sessão, incluindo sessões de passkey.

Proteção de dados em trânsito

Todas as comunicações entre o navegador, o app e os servidores da Rica usam criptografia HTTPS/TLS.
Conexões com o banco de dados (MongoDB) também utilizam TLS.
Comunicações em tempo real (notificações, atualizações) são transmitidas por canais seguros (SignalR e Web PubSub sobre HTTPS).
Nenhum dado financeiro trafega em texto simples em nenhum ponto da cadeia.

Infraestrutura

A Rica opera inteiramente na nuvem Microsoft Azure:

Arquitetura serverless: as APIs rodam em Azure Functions, sem servidores persistentes para manter ou atualizar — a infraestrutura é gerenciada pela Microsoft.
Armazenamento de arquivos: Azure Storage com tokens de acesso temporários (SAS) que expiram em até 2 horas, limitando a exposição de qualquer URL temporária.
Comunicação em tempo real: Azure SignalR e Web PubSub, ambos sobre canais seguros.

Certificações da infraestrutura

A Microsoft Azure mantém certificações de segurança como ISO 27001, SOC 1, SOC 2 e SOC 3. A Rica se beneficia dessas certificações ao operar sua infraestrutura inteiramente na Azure.

Pagamentos

As assinaturas da Rica são processadas pelo Stripe, um processador de pagamentos com certificação PCI DSS Level 1 — o mais alto nível de certificação do setor.

A Rica nunca vê, armazena ou processa números de cartão de crédito. Os dados do cartão vão diretamente para o Stripe por meio de tokenização.
Na Rica, são armazenados apenas o identificador do cliente no Stripe e o status da assinatura.

Open Finance (dados bancários)

A integração com dados bancários é feita por meio da Pluggy, um intermediário regulado de Open Finance:

O usuário escolhe ativamente quais contas bancárias conectar — nunca é automático.
O acesso aos dados bancários pode ser revogado a qualquer momento pelo usuário.
Os dados importados via Open Finance são processados de forma assíncrona por meio de filas seguras.
A qualidade e precisão dos dados importados é de responsabilidade das instituições financeiras de origem.

Para mais detalhes sobre como o Open Finance funciona na Rica, veja a página Open Finance.

LGPD — Lei Geral de Proteção de Dados

A Rica opera em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

Dados pessoais coletados

Apenas o email do usuário e, quando explicitamente autorizado, dados financeiros via Open Finance.

Base legal para o tratamento

Consentimento: para conexão de contas via Open Finance.
Execução contratual: para operação da plataforma e entrega do serviço contratado.

Direitos do titular

Você pode exercer os seguintes direitos em relação aos seus dados pessoais:

Acesso: saber quais dados a Rica possui sobre você.
Correção: solicitar a correção de dados incompletos ou desatualizados.
Exclusão: solicitar a remoção dos seus dados pessoais.
Portabilidade: solicitar a transferência dos seus dados para outro serviço.

Para exercer esses direitos, entre em contato com seu planejador financeiro ou diretamente com a Rica.

Compartilhamento de dados

Os dados não são compartilhados, vendidos ou disponibilizados a terceiros para fins comerciais, publicitários ou quaisquer outros fins.

Papel do planejador

O planejador financeiro, como controlador dos dados dos seus clientes, é responsável pelos dados que insere e gerencia na plataforma. A Rica atua como operadora de dados nessa relação. Isso está previsto nas cláusulas 4.4 e 5.6 do contrato de assinatura da Rica.

Boas práticas para planejadores

Ative passkeys na sua conta para proteção máxima contra acessos não autorizados.
Oriente seus clientes sobre a ativação de passkeys nos dispositivos deles.
Revise periodicamente as contas Open Finance conectadas nos perfis dos seus clientes.
Use senhas fortes e únicas nos provedores de login social (Google, Apple) vinculados à Rica.
Lembre-se da sua responsabilidade como controlador de dados dos seus clientes — trate as informações com o mesmo cuidado que espera para os seus próprios dados.

Boas práticas para clientes

Use login biométrico ou passkey sempre que disponível — é mais seguro e mais prático do que senha.
Conecte apenas as contas bancárias que você deseja acompanhar ativamente.
Revogue o acesso Open Finance de contas que não precisa mais monitorar.
Seu planejador não acessa suas credenciais bancárias — ele vê apenas os dados financeiros que você autorizou compartilhar por meio do Open Finance.

Documentos legais

Política de Privacidade — documento completo sobre coleta, uso e proteção de dados pessoais.
Termos de Uso — condições de uso da plataforma.

Estes documentos estão disponíveis no site principal da Rica e são atualizados periodicamente.

Dúvidas ou incidentes

Para questões relacionadas à privacidade, segurança ou proteção de dados:

Entre em contato com seu planejador financeiro.
Ou envie um email para contato@socialrica.com.br.

Se você identificar qualquer comportamento suspeito na sua conta, altere imediatamente as credenciais do seu provedor de login (Google, Apple) e notifique seu planejador.

Coleta mínima de dados​

Autenticação e acesso​

Login social (OAuth2 OIDC)​

Passkeys (FIDO2/WebAuthn)​

Sessões seguras​

Proteção de dados em trânsito​

Infraestrutura​

Pagamentos​

Open Finance (dados bancários)​

LGPD — Lei Geral de Proteção de Dados​

Dados pessoais coletados​

Base legal para o tratamento​

Direitos do titular​

Compartilhamento de dados​

Boas práticas para planejadores​

Boas práticas para clientes​

Documentos legais​

Dúvidas ou incidentes​