Política de Privacidade | CDC Bank — Como protegemos seus dados

1 Introdução

A CDC Sociedade de Crédito Direto S.A. (“CDC”, “nós” ou “nossa”) tem o compromisso de proteger a privacidade e os dados pessoais de todas as pessoas que interagem conosco — sejam clientes, parceiros, visitantes do site ou candidatos a vagas.

Esta Política de Privacidade explica, de forma transparente e acessível, como coletamos, utilizamos, compartilhamos, armazenamos e protegemos os seus dados pessoais quando você:

Acessa nosso site (cdcbank.com.br) ou aplicativo;
Contrata produtos e serviços (conta digital, empréstimo consignado, cartão de crédito, antecipação FGTS, entre outros);
Interage com nossos canais de atendimento;
Utiliza serviços de parceiros que operam por meio da nossa plataforma (Endofinance/BaaS).

Esta Política foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e as regulamentações do Banco Central do Brasil aplicáveis às Sociedades de Crédito Direto.

Ao utilizar nossos serviços, você declara estar ciente desta Política. Caso discorde de qualquer ponto, entre em contato com o nosso Encarregado de Proteção de Dados (DPO) pelo e-mail lgpd@cdcbank.com.br.

2 Quem somos — O Controlador

Razão Social	CDC Sociedade de Crédito Direto S.A.
CNPJ	18.394.228/0001-79
Endereço	Av. Raja Gabaglia, 4.000, Loja 419 e Sala 419, Estoril, Belo Horizonte/MG, CEP 30494-310
Autorização BACEN	Banco Liquidante nº 470 — SCD
Encarregado (DPO)	Henrique Fernando Lucas
E-mail DPO	lgpd@cdcbank.com.br
Telefone	(31) 2537-3999

A CDC é a Controladora dos dados pessoais coletados em seus canais próprios (site, app, atendimento). Em determinadas operações realizadas via plataforma Endofinance (BaaS), a CDC pode atuar como Operadora de dados em nome de parceiros, conforme detalhado na seção 16.

3 Dados que coletamos

Coletamos apenas os dados necessários para prestar nossos serviços, garantir a segurança das operações e cumprir obrigações legais. Os dados pessoais que tratamos incluem:

Dados cadastrais

Nome completo, data de nascimento, sexo
CPF, RG e outros documentos
Endereço residencial e comercial
Telefone celular, e-mail
Nacionalidade, naturalidade
Pessoa Exposta Politicamente (PEP)
Profissão, ocupação e estado civil

Dados pessoais sensíveis

Dados biométricos (facial/digital) para autenticação e prevenção a fraudes
Nome social
Outros dados sensíveis conforme legislação

O tratamento de dados sensíveis é realizado com base no seu consentimento específico ou para cumprimento de obrigação legal/regulatória, sempre com medidas reforçadas de segurança.

Dados financeiros e transacionais

Informações sobre operações e transações
Transações bancárias, financeiras e de pagamento
Dados de crédito: renda, patrimônio, score, SCR
Negativação e cadastro positivo

Dados sobre terceiros

Filiação, representantes legais, procuradores
Sócios ou beneficiários
Garantidores

Dados de dispositivos e navegação

Modelo do dispositivo, SO, tamanho de tela
IP, data/hora, rede
Advertising ID
Geolocalização
Páginas acessadas, cliques, origem

Dados para funcionalidades específicas

Fotos e selfies para abertura de conta
Documentos digitais
Dados para criação/envio de cartão

4 Como coletamos seus dados

4.1 Diretamente de você

Cadastros, formulários e propostas preenchidos por você
Interação com nosso site, aplicativo ou canais de atendimento
Envio de documentos e selfies para verificação de identidade

4.2 Gerados pelo uso dos nossos serviços

Dados transacionais gerados a partir das operações realizadas
Dados de navegação coletados automaticamente (cookies e tecnologias similares)
Registros de acesso (logs) conforme o Marco Civil da Internet

4.3 De fontes externas

Bureaus de crédito (Serasa, SPC, Boa Vista)
Sistema de Informações de Crédito do Banco Central (SCR)
Órgãos públicos e bases de dados governamentais
Parceiros comerciais e correspondentes bancários
Outras instituições financeiras (portabilidade, transferências)

5 Para que usamos seus dados

Finalidade	Exemplos
Prestação de serviços	Abertura de conta, emissão de cartão, processamento de transações, gestão de empréstimos consignados, antecipação FGTS
Cadastro e verificação de identidade	Validação de documentos, biometria facial, KYC (Know Your Customer), PLD/FT
Análise e concessão de crédito	Consulta ao SCR, scoring de crédito, análise de risco, definição de limites
Segurança e prevenção a fraudes	Monitoramento de transações atípicas, validação de dispositivos, bloqueio preventivo
Cumprimento de obrigações legais	Relatórios ao BACEN, COAF, Receita Federal; atendimento a ordens judiciais
Atendimento ao cliente	Suporte por chat, telefone, e-mail; resolução de reclamações e ouvidoria
Comunicações sobre produtos contratados	Avisos de vencimento, confirmações de transação, alertas de segurança
Melhoria dos serviços	Análise de uso do app/site, pesquisas de satisfação, testes A/B, desenvolvimento de novos produtos
Marketing e ofertas	Envio de ofertas personalizadas, campanhas promocionais, conteúdo relevante (com consentimento)
Exercício regular de direitos	Defesa em processos judiciais, administrativos ou arbitrais

6 Bases legais do tratamento

Todo tratamento de dados pessoais realizado pela CDC está fundamentado em uma ou mais bases legais previstas na LGPD (art. 7º):

Consentimento

Quando você autoriza expressamente o tratamento para finalidades específicas, como marketing, dados sensíveis e compartilhamento com terceiros não essenciais. Você pode revogar a qualquer momento.

Execução de contrato

Para prestar os serviços contratados — abertura de conta, empréstimos, cartões, transações e demais produtos financeiros.

Obrigação legal e regulatória

Para cumprir normas do BACEN, CMN, CVM, COAF, Receita Federal, LGPD, Marco Civil da Internet e demais regulamentações aplicáveis ao setor financeiro.

Legítimo interesse

Para prevenção a fraudes, segurança da informação, melhoria de serviços e comunicações relevantes, sempre respeitando seus direitos e expectativas.

Exercício regular de direitos

Para defesa em processos judiciais, administrativos ou arbitrais, conforme previsto na legislação brasileira.

Para dados pessoais sensíveis (como biometria), utilizamos as bases legais específicas do art. 11 da LGPD, incluindo consentimento específico e destacado ou cumprimento de obrigação legal/regulatória, com medidas técnicas e organizacionais reforçadas.

7 Compartilhamento de dados

Compartilhamos seus dados pessoais apenas quando necessário e sempre com base legal adequada. Os principais destinatários são:

Destinatário	Finalidade
Banco Central do Brasil	Relatórios regulatórios, SCR, fiscalização
Órgãos públicos	COAF (PLD/FT), Receita Federal, Poder Judiciário (ordens judiciais)
Bureaus de crédito	Consulta e registro de informações de crédito (Serasa, SPC, Boa Vista)
Parceiros BaaS / Endofinance	Prestação de serviços financeiros contratados via plataforma de parceiros
Correspondentes bancários	Intermediação na contratação de produtos, formalização de propostas
Processadoras e bandeiras de cartão	Emissão, processamento de transações e gestão de cartões
Prestadores de serviços de TI	Cloud computing, segurança cibernética, análise de dados, comunicação
Seguradoras e resseguradoras	Quando há contratação de seguros vinculados aos produtos CDC

A CDC não vende seus dados pessoais. Todo compartilhamento é realizado com base legal adequada, mediante contratos que garantem a proteção dos seus dados e em conformidade com a LGPD.

8 Armazenamento dos dados

Seus dados pessoais são armazenados em infraestrutura segura, com controles técnicos e organizacionais adequados, em conformidade com a Resolução CMN 4.893/2021 (política de segurança cibernética para instituições financeiras).

As principais medidas de armazenamento incluem:

Criptografia em repouso e em trânsito (AES-256, TLS 1.2+)
Ambientes certificados conforme padrões ISO 27001 e SOC 2
Controle de acesso baseado em função (RBAC) com princípio do menor privilégio
Backups criptografados com plano de recuperação de desastres
Monitoramento contínuo 24/7 com alertas automáticos de incidentes

9 Prazo de retenção

Mantemos seus dados pessoais pelo tempo necessário para cumprir as finalidades para as quais foram coletados e as obrigações legais aplicáveis:

Tipo de dado	Prazo de retenção
Dados cadastrais	5 anos após o encerramento da relação
Transações financeiras	5 anos (Código Civil / normas BACEN)
Registros de acesso (logs)	6 meses (Marco Civil da Internet)
Dados PLD/FT	10 anos (Lei 9.613/1998)
Dados biométricos	5 anos após o encerramento da relação
Dados de candidatos	2 anos após o último contato
Dados de marketing	Até a revogação do consentimento

Após o término do prazo de retenção, os dados serão eliminados ou anonimizados de forma irreversível, salvo quando houver obrigação legal de conservação.

10 Segurança da informação

A CDC adota medidas técnicas e organizacionais robustas para proteger seus dados pessoais contra acesso não autorizado, perda, alteração ou destruição:

Criptografia

Dados criptografados em repouso (AES-256) e em trânsito (TLS 1.2+)

Autenticação forte

MFA (autenticação multifator) para acesso a sistemas críticos

Controle de acesso

RBAC com princípio do menor privilégio e revisão periódica

Firewall e IDS/IPS

Proteção de perímetro com detecção e prevenção de intrusões

Testes de segurança

Pentests e análises de vulnerabilidade periódicos por equipe especializada

Antimalware

Soluções de EDR e antivírus em todos os endpoints e servidores

Backup

Backups automáticos criptografados com teste de restauração regular

Treinamento

Capacitação contínua de colaboradores em segurança e privacidade

Nenhum sistema de segurança é 100% infalível. A CDC se compromete a adotar as melhores práticas do mercado e a comunicar prontamente qualquer incidente que possa afetar seus dados, conforme previsto na LGPD e na Resolução CMN 4.893/2021.

11 Incidentes de segurança

A CDC possui um Plano de Resposta a Incidentes de Segurança em conformidade com a LGPD e a Resolução CMN 4.893/2021. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares:

Identificação e contenção: O incidente é identificado, contido e classificado pela equipe de segurança da informação em até 24 horas.

Comunicação à ANPD: A Autoridade Nacional de Proteção de Dados é comunicada em prazo razoável, conforme art. 48 da LGPD, com todas as informações relevantes.

Comunicação aos titulares: Os titulares afetados são notificados de forma clara e objetiva sobre a natureza do incidente, os dados afetados e as medidas adotadas.

Remediação e melhoria: São implementadas medidas corretivas e preventivas para evitar a recorrência, com revisão dos controles de segurança.

12 Direitos do titular

A LGPD garante a você diversos direitos sobre seus dados pessoais. Você pode exercê-los a qualquer momento entrando em contato com o nosso DPO:

Confirmar se a CDC trata ou já tratou seus dados pessoais, bem como obter informações sobre a existência do tratamento.

Acessar todos os dados pessoais que a CDC mantém sobre você, incluindo um relatório completo com as categorias de dados, finalidades e destinatários.

Solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados mantidos pela CDC.

Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. Nota: alguns dados podem ser mantidos por obrigação legal ou regulatória.

Solicitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa e conforme regulamentação da ANPD.

Solicitar a eliminação dos dados pessoais tratados com base no seu consentimento, exceto quando a CDC tiver outra base legal que justifique a manutenção.

Obter informações sobre as entidades públicas e privadas com as quais a CDC compartilhou seus dados pessoais.

Ser informado sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa, como a impossibilidade de prestar determinados serviços.

Revogar o consentimento a qualquer momento, de forma gratuita e facilitada. A revogação não afeta a legalidade do tratamento realizado anteriormente.

Opor-se ao tratamento de dados pessoais quando realizado com base em hipóteses de dispensa de consentimento, caso haja descumprimento da LGPD.

Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões de crédito e perfil de consumo.

Apresentar petição perante a Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que seus direitos não foram adequadamente atendidos pela CDC.

Exercer seus direitos é simples

Entre em contato com nosso Encarregado de Proteção de Dados (DPO). Responderemos em até 15 dias úteis.

lgpd@cdcbank.com.br

13 Decisões automatizadas

A CDC utiliza sistemas automatizados para auxiliar em determinadas decisões, incluindo:

Análise e scoring de crédito: modelos estatísticos que avaliam o risco de crédito com base em dados cadastrais, financeiros e comportamentais para definição de limites e taxas.
Prevenção a fraudes: algoritmos que monitoram transações em tempo real para detectar padrões atípicos e prevenir operações fraudulentas.
Perfil de consumo (profiling): análise de comportamento de uso para personalização de ofertas e serviços.

Você tem o direito de solicitar a revisão de qualquer decisão tomada unicamente com base em tratamento automatizado que afete seus interesses. Para isso, entre em contato com o nosso DPO pelo e-mail lgpd@cdcbank.com.br.

14 Cookies e tecnologias de rastreamento

Nosso site e aplicativo utilizam cookies e tecnologias semelhantes para melhorar sua experiência, garantir a segurança e analisar o uso dos serviços.

Tipo	Finalidade	Obrigatório?
Essenciais	Funcionamento básico do site, navegação entre páginas, acesso a áreas seguras	Sim
Autenticação	Manter sua sessão ativa, reconhecer dispositivos autorizados	Sim
Desempenho / Analytics	Coletar dados anônimos sobre como você utiliza o site para melhorias	Não
Segurança	Prevenção a fraudes, detecção de atividades suspeitas	Sim
Marketing	Personalização de anúncios e medição de campanhas	Não

Você pode gerenciar suas preferências de cookies a qualquer momento através do banner de consentimento ou das configurações do seu navegador. A desativação de cookies não essenciais pode afetar algumas funcionalidades do site.

15 Menores de idade

Os produtos e serviços da CDC são destinados exclusivamente a pessoas maiores de 18 anos. Não coletamos intencionalmente dados pessoais de crianças ou adolescentes.

Caso identifiquemos que dados de menores de idade foram coletados inadvertidamente, tomaremos as medidas necessárias para eliminá-los imediatamente, salvo quando houver obrigação legal de manutenção.

Se você é pai, mãe ou responsável legal e acredita que dados de um menor sob sua responsabilidade foram coletados pela CDC, entre em contato com nosso DPO pelo e-mail lgpd@cdcbank.com.br.

16 BaaS / Endofinance

A CDC opera a plataforma Endofinance, uma solução de Banking as a Service (BaaS) que permite a parceiros oferecerem produtos financeiros regulados utilizando a infraestrutura da CDC.

Neste contexto, os papéis de tratamento de dados podem variar:

CDC como Controladora: Quando os dados são tratados para operações regulatórias próprias da CDC (KYC, PLD/FT, SCR, relatórios ao BACEN).
CDC como Operadora: Quando os dados são tratados em nome do parceiro, seguindo suas instruções e finalidades, conforme contrato específico.
Controladoria conjunta: Em situações específicas onde CDC e parceiro determinam conjuntamente as finalidades e meios do tratamento.

Em todos os casos, a CDC exige de seus parceiros BaaS o cumprimento integral da LGPD e mantém contratos com cláusulas específicas de proteção de dados, incluindo medidas de segurança, limitação de finalidade e obrigações de confidencialidade.

17 Correspondentes bancários

A CDC atua por meio de correspondentes bancários (Corbans), conforme autorizado pela Resolução CMN 3.954/2011. Os correspondentes podem coletar dados pessoais em nome da CDC para intermediação na contratação de produtos.

Os correspondentes bancários estão sujeitos a:

Contratos com cláusulas específicas de proteção de dados e confidencialidade
Obrigação de tratar dados exclusivamente para as finalidades autorizadas pela CDC
Treinamento sobre LGPD e boas práticas de privacidade
Auditorias periódicas de conformidade realizadas pela CDC
Proibição de compartilhar dados com terceiros sem autorização expressa da CDC

18 Transferência internacional de dados

Em determinadas situações, seus dados pessoais podem ser transferidos para outros países, por exemplo, quando utilizamos serviços de computação em nuvem ou processadoras de pagamento com infraestrutura internacional.

Toda transferência internacional de dados é realizada em conformidade com o art. 33 da LGPD e inclui as seguintes salvaguardas:

Transferência para países ou organismos internacionais que proporcionem grau de proteção adequado
Cláusulas contratuais padrão (SCCs) que garantem a proteção dos dados
Consentimento específico e informado do titular, quando aplicável
Cumprimento de obrigação legal ou regulatória
Medidas técnicas complementares de segurança (criptografia, pseudonimização)

19 Alterações nesta política

A CDC pode atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas de tratamento de dados, novos requisitos legais ou regulatórios, ou melhorias em nossos processos de privacidade.

Quando houver alterações relevantes, você será notificado por meio de:

Aviso destaque no site e/ou aplicativo
E-mail para os clientes ativos
Notificação push no aplicativo

Recomendamos que você revise esta página periodicamente. A data da última atualização é sempre indicada no topo do documento.

20 Fale com o DPO

Se você tiver dúvidas sobre esta Política, quiser exercer seus direitos como titular de dados ou precisar reportar qualquer questão relacionada à privacidade, entre em contato:

Encarregado de Proteção de Dados (DPO)

Henrique Fernando Lucas

lgpd@cdcbank.com.br

(31) 2537-3999

Enviar mensagem ao DPO

Para demais assuntos, você também pode entrar em contato pelo e-mail contato@cdcbank.com.br.

21 Legislação aplicável

Esta Política de Privacidade é regida pelas seguintes normas:

Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018)
Marco Civil da Internet (Lei nº 12.965/2014)
Código de Defesa do Consumidor (Lei nº 8.078/1990)
Lei de Lavagem de Dinheiro (Lei nº 9.613/1998)
Resolução CMN 4.893/2021 — Política de segurança cibernética
Resolução CMN 4.656/2018 — Sociedades de Crédito Direto
Resolução CMN 3.954/2011 — Correspondentes bancários
Regulamentações da ANPD — Autoridade Nacional de Proteção de Dados
Normas do Banco Central do Brasil aplicáveis às SCDs

Para questões não resolvidas amigavelmente, fica eleito o foro da Comarca de Belo Horizonte/MG, com exclusão de qualquer outro, por mais privilegiado que seja.