1. Objetivo
Esta Política de Uso Aceitável ("AUP") define as regras de conduta para Merchants que utilizam a Privacy Vault. O objetivo é proteger a reputação da plataforma, dos Merchants e dos Titulares de dados, garantindo que todas as comunicações sejam legítimas, consentidas e de qualidade.
Filosofia: A Privacy Vault acredita que marketing ético e rentável andam juntos. Um Merchant que respeita o Titular tem melhores taxas de abertura, menos bounces e mais conversões. Regras existem para proteger, não para limitar.
2. Usos Permitidos
A Privacy Vault pode ser utilizada para:
- Email marketing com opt-in comprovável
- Comunicações transacionais (confirmação de pedido, rastreamento, nota fiscal)
- Réguas de automação (boas-vindas, carrinho abandonado, pós-compra, reativação)
- Newsletters com cadastro voluntário
- Campanhas promocionais para lista própria
- WhatsApp marketing com opt-in via Template Messages aprovado pela Meta
- SMS marketing com opt-in conforme legislação local
- Push notifications com opt-in do navegador/dispositivo
3. Usos Proibidos
🚫 TOLERÂNCIA ZERO: As práticas abaixo resultam em suspensão imediata, sem aviso prévio.
3.1. Spam e Listas Não Consentidas
- Envio para listas compradas, alugadas ou trocadas
- Envio para endereços coletados por scraping, harvesting ou crawling
- Envio para endereços obtidos sem consentimento explícito do Titular
- Envio de emails em massa não solicitados (UBE — Unsolicited Bulk Email)
- Utilização de listas de "opt-in" de terceiros sem verificação própria
3.2. Conteúdo Proibido
- Phishing, malware, ransomware ou qualquer código malicioso
- Fraudes, golpes, esquemas de pirâmide ou marketing multinível ilegal
- Pornografia, exploração sexual ou conteúdo envolvendo menores
- Armas de fogo, drogas ilícitas ou substâncias controladas
- Discriminação por raça, gênero, religião, orientação sexual ou origem
- Falsificação de identidade do remetente (spoofing)
- Conteúdo difamatório, calunioso ou que viole direitos autorais
- Jogos de azar não regulamentados
3.3. Práticas Técnicas Proibidas
- Alterar headers de email para ocultar identidade do remetente
- Utilizar domínios de terceiros sem autorização
- Enviar de domínios sem autenticação (DKIM, SPF, DMARC)
- Tentar burlar limites de envio ou rate limiting
- Acessar bancos de dados de outros Merchants
- Tentar reverter hashes SHA-256 de Titulares
- Utilizar a API para fins diferentes dos documentados
4. Regras de Envio
4.1. Consentimento (Opt-in)
| Tipo | Requisito | Aceito? |
|---|
| Double opt-in | Confirmação por email após cadastro | ✅ Recomendado |
| Single opt-in | Cadastro em formulário com checkbox | ✅ Aceito |
| Soft opt-in | Cliente existente (comprou nos últimos 12 meses) | ⚠️ Com restrições |
| Sem opt-in | Lista comprada ou sem consentimento | ❌ Proibido |
4.2. Opt-out (Descadastramento)
- Todo email deve conter link de descadastramento visível e funcional
- O descadastramento deve ser processado em até 24 horas
- Não é permitido exigir login para descadastrar
- O link de descadastramento deve funcionar com 1 clique (one-click unsubscribe)
- A Privacy Vault processa List-Unsubscribe automaticamente
4.3. Identificação do Remetente
Toda comunicação deve conter:
- Nome real da empresa remetente
- Endereço físico da empresa (CAN-SPAM requirement)
- Email de contato funcional
- Link de descadastramento
4.4. Limites de Frequência (Governança Default)
| Canal | Frequência Máxima Default | Configurável? |
|---|
| Email Marketing | 1 por titular / 24h | Sim (mín. 12h) |
| Email Transacional | Sem limite | — |
| WhatsApp | 1 por titular / 48h | Sim (mín. 24h) |
| SMS | 1 por titular / 72h | Sim (mín. 48h) |
| Push Notification | 2 por titular / 24h | Sim (mín. 1/24h) |
| Web Push | 1 por titular / 24h | Sim (mín. 12h) |
4.5. Horários de Envio
- Horário permitido: 8h às 21h (fuso horário do Titular)
- Blackout: Domingos e feriados nacionais (configurável)
- Cool-down: 72h sem envio para titular que reclamou
5. Limites e Thresholds
5.1. Taxas Máximas Toleradas
| Métrica | Threshold | Ação |
|---|
| Taxa de bounce | > 5% | Alerta + limpeza de lista obrigatória |
| Taxa de reclamação (spam) | > 0.1% | Alerta + revisão de consentimento |
| Taxa de bounce hard | > 2% | Suspensão parcial + plano de correção |
| Taxa de reclamação | > 0.3% | Suspensão imediata |
Nota: Estes thresholds estão alinhados com os requisitos do AWS SES e do Google Postmaster Tools. Ultrapassá-los prejudica a reputação de todos os Merchants na plataforma.
6. Domínios e Autenticação
Para enviar emails pela Privacy Vault, o Merchant deve:
- Possuir domínio próprio verificado
- Configurar registros DNS: DKIM, SPF e DMARC
- Verificar identidade do remetente no AWS SES
- Manter DMARC com política mínima de
p=none (recomendado: p=quarantine)
A Privacy Vault auxilia na configuração via painel do Merchant.
7. Violações e Penalidades
| Severidade | Exemplo | Penalidade |
|---|
| 🟡 Leve | Bounce rate entre 3-5% | Alerta + recomendações |
| 🟠 Moderada | Bounce rate > 5%, reclamação > 0.1% | Limitação de volume (50%) |
| 🔴 Grave | Reclamação > 0.3%, lista comprada detectada | Suspensão temporária (7 dias) |
| ⚫ Crítica | Phishing, malware, conteúdo ilegal | Cancelamento imediato, sem reembolso |
7.1. Processo de Apuração
- Detecção automática (monitoramento contínuo de métricas)
- Notificação ao Merchant com evidências
- Prazo de 48h para resposta (exceto severidade Crítica)
- Plano de correção obrigatório (severidade Moderada e Grave)
- Reavaliação em 7 dias
8. Compliance Legal
8.1. Legislação Aplicável
- LGPD (Lei 13.709/2018) — Para merchants e titulares brasileiros
- CAN-SPAM Act (2003) — Para envios nos EUA
- CASL — Para envios no Canadá
- GDPR — Para envios na União Europeia
- Marco Civil da Internet (Lei 12.965/2014) — Brasil
8.2. ANPD e Órgãos Reguladores
A Privacy Vault coopera com a Autoridade Nacional de Proteção de Dados (ANPD), Procon, Spamhaus e demais órgãos reguladores quando solicitada, dentro dos limites da arquitetura zero-knowledge.
9. Denúncias
Para reportar violações desta Política:
Toda denúncia é investigada em até 48 horas úteis.