Orira
Termos de Serviço
Versão 2.4 · Última atualização: 20 junho 2026
1. Sobre a Orira
A Orira (orira.app) é uma plataforma SaaS de gestão para academias de artes marciais, com identidade cross-tenant para atletas e profissionais. É operada por Daniel Romão Leal a partir de Lisboa, Portugal. Estes termos regem o acesso e uso da plataforma por academias inscritas como tenants, pelos seus utilizadores finais (administradores, professores, alunos, dependentes) e pelos atletas que detêm identidade Orira cross-tenant através do Orira Hub em orira.app/dashboard.
2. Conta de Academia (Tenant)
Ao registar uma academia em /comecar, o subscritor torna-se administrador inicial dessa conta e responsável pela gestão dos utilizadores. Cada academia tem um slug único que define o subdomínio (ex: aurora.orira.app) ou pode usar um domínio próprio, disponível como serviço à parte. O subscritor garante que tem autoridade para representar a academia e responsabiliza-se por manter as credenciais seguras. Cada academia pode definir Termos e Condições próprios em adição aos termos da plataforma Orira; o aluno aceita ambos no momento da inscrição e a aceitação é registada de forma imutável em TermsAcceptanceLog (timestamp, IP, user agent, versão de cada conjunto de termos).
3. Identidade Orira e Orira Hub
A Orira distingue entre identidade cross-tenant (perfil único do utilizador acessível em orira.app/dashboard - nome, email, foto, data de nascimento, NIF, telefone, peso, altura, contactos, certificados, dependentes) e dados per-tenant (inscrições, presenças, pagamentos, graduações específicos a cada academia). Um utilizador pode pertencer a múltiplas academias com o mesmo email. O Orira Hub agrega informação cross-tenant (histórico de graduações, dependentes, certificados) para visualização do próprio utilizador; cada academia continua a controlar os seus próprios registos. Para dependentes (menores), a identidade cross-tenant é representada pelo modelo UserDependente, ligado ao responsável.
4. Utilizadores Finais
Cada academia adiciona utilizadores (administradores, professores, alunos, dependentes) com diferentes níveis de acesso, incluindo o switcher de papel entre Admin e Professor quando o utilizador detém ambos os perfis. A academia é controlador dos dados dos seus utilizadores nos termos do RGPD e responsável por obter os consentimentos necessários (Termos da Academia). A Orira atua como subcontratante para os dados per-tenant. Para a identidade Orira cross-tenant, a Orira atua como controlador. O tratamento de dados está descrito no Data Processing Agreement disponível em orira.app/legal.
5. Métodos de Autenticação
O utilizador pode autenticar-se através de: email + password com verificação reCAPTCHA v3; Google OAuth (apenas para emails já existentes na plataforma - não cria contas novas); Apple Sign In (web via Apple JS SDK com Service ID e iOS native via AuthenticationServices com Bundle ID); WebAuthn / Passkeys (FaceID, TouchID, Windows Hello, security keys USB, com sessão de 30 dias); OTP por email durante fluxos de inscrição e validação. As sessões usam cookies httpOnly assinados (JWT). Rate limits estritos protegem endpoints sensíveis a brute-force, sem afetar endpoints idempotentes. Reset de password expira em 1 hora e exige reCAPTCHA.
6. Aplicação Móvel
A Orira disponibiliza aplicações móveis para iOS e Android baseadas em Capacitor, que embrulham a aplicação web (PWA). O Bundle ID é app.orira em ambas as plataformas. A app abre em orira.app/login e navega para o tenant via rota path-based (orira.app/t/<slug>/<role>) por forma a manter o bridge nativo entre páginas. Push notifications são suportadas via Firebase Cloud Messaging (Android) e Apple Push Notification Service (iOS). O acesso aos dados requer ligação à internet (modo offline limitado via service worker). Pagamentos na app seguem a regra 3.1.1 da Apple: serviços presenciais (mensalidades, aulas avulsas, eventos) e bens físicos (loja per-tenant) usam Stripe; conteúdo digital, se existir no futuro, seguirá políticas específicas das stores.
7. Uso Aceitável
A academia e os utilizadores comprometem-se a não usar a Orira para atividades ilegais ou que violem direitos de terceiros, distribuir spam ou conteúdo ofensivo, fazer engenharia reversa ou scraping massivo, tentar contornar limites técnicos do plano contratado, falsificar identidade ou documentos (designadamente no flow do Certificado Orira), nem partilhar credenciais entre múltiplas pessoas. A violação destas regras pode resultar em suspensão imediata da conta ou do tenant sem aviso prévio, com registo em audit log.
8. Dados e Privacidade
Os dados per-tenant (alunos, pagamentos, presenças, graduações, repasses, notas, agendamentos, conquistas, anúncios, documentos, calendário, loja, stock, gastos) permanecem propriedade da academia. Os dados de identidade Orira (perfil cross-tenant, certificados, dependentes cross-tenant, histórico agregado de graduações) são partilhados pelo utilizador entre todas as suas academias. Em ambos os casos, a Orira processa os dados em conformidade com o RGPD. Os utilizadores podem exercer direitos de acesso, retificação, oposição, portabilidade e eliminação contactando daniel@orira.app, ou de forma auto-serviço em /aluno/perfil (eliminação de conta) e /dashboard/perfil (edição da identidade cross-tenant). O TermsAcceptanceLog regista de forma imutável cada aceitação dos termos. Quando uma academia ativa a funcionalidade de seguro desportivo, é a academia, na qualidade de responsável pelo tratamento, que define a seguradora e o mediador e que partilha com estes os dados necessários à apólice (ex.: nome, NIF e data de nascimento dos atletas e dependentes). Essas seguradoras e mediadores são destinatários definidos pela academia e não subprocessadores da Orira; a Orira limita-se a disponibilizar a funcionalidade. Os documentos que a academia carrega na área de Parceiros são servidos por uma ligação pública (não indexada, mas acessível por quem tiver o link); cabe à academia não publicar aí dados pessoais.
9. Certificado Orira
O Certificado Orira é um atestado opcional de identidade e filiação federativa, emitido a pedido do atleta ou profissional, e válido cross-tenant. Para o obter, o utilizador submete: (a) documento oficial de identidade - Cartão de Cidadão português, Passaporte ou documento de identidade estrangeiro equivalente; (b) prova de filiação válida em federação reconhecida para cada modalidade. No MVP, o Certificado Orira suporta apenas Jiu-Jitsu (federações IBJJF, FPJJB e equivalentes); outras modalidades serão acrescentadas após a fase de validação. A submissão é revista manualmente por staff da Orira (PLATFORM_ADMIN), com SLA indicativo de 5 dias úteis. Após aprovação, os ficheiros de documento de identidade são apagados; apenas metadados (nome conforme documento, validade, número de filiado truncado) são retidos para fins de renovação. Cada acesso a documentos por staff é registado em audit log com razão. O certificado é visível ao próprio (no Hub), aos administradores e professores das academias onde o utilizador está inscrito (apenas o estado e a validade - nunca os ficheiros), e publicamente através de URL com token único (orira.app/cert/<token>), com possibilidade de adição a Apple Wallet / Google Wallet. A validade do certificado equivale à validade mínima entre o documento de identidade e cada filiação federativa listada. Durante o período de early access, o Certificado Orira é gratuito; eventual pricing futuro será comunicado com 30 dias de antecedência e processado via Stripe para a Orira. A Orira pode revogar o certificado em caso de suspeita fundamentada de falsificação ou caducidade não regularizada, com direito a contestação por parte do utilizador.
10. Subprocessadores
Para prestar o serviço, a Orira utiliza os seguintes subprocessadores: Railway (alojamento de backend e base de dados PostgreSQL, US-West); Vercel (alojamento de frontend e CDN); Resend (envio transacional de emails); Stripe (processamento de pagamentos - subscrições dos tenants, loja per-tenant e Certificado Orira); Sentry (monitorização de erros e performance); Firebase Cloud Messaging (push notifications Android); Apple Push Notification Service (push notifications iOS); Google (Google OAuth para login web e Google Sign-In nativo Android); Apple (Apple Sign In via JS SDK no web e via AuthenticationServices em iOS). Alterações materiais a esta lista serão comunicadas com 30 dias de antecedência. As seguradoras e mediadores de seguros, quando uma academia usa a funcionalidade de seguro, não são subprocessadores da Orira mas destinatários definidos por essa academia.
11. Segurança
Os dados são alojados em data centers da Railway nos Estados Unidos (US-West) e protegidos por encriptação em trânsito (TLS) e em repouso. Uma vez que o alojamento ocorre nos Estados Unidos, as transferências internacionais de dados pessoais são efetuadas ao abrigo das Cláusulas Contratuais-Tipo (SCC) aprovadas pela Comissão Europeia. As palavras-passe são guardadas com hashing bcrypt - nunca em texto simples. WebAuthn / Passkeys usam pares de chaves assimétricas sem partilha de password com o servidor. O suporte a Two-Factor Authentication (TOTP) está disponível para staff Orira e administradores de tenant. O acesso de staff Orira a contas de utilizadores (impersonation) só é possível mediante razão registada em audit log e gera banner persistente durante toda a sessão. Backups automáticos diários são mantidos durante 7 dias. Em caso de incidente de segurança que afete dados pessoais, a academia e/ou utilizador serão notificados no prazo de 72 horas, conforme exigido pelo RGPD.
12. Disponibilidade do Serviço
A Orira é prestada em regime best effort sem SLA formal. O plano Max inclui suporte prioritário com tempos de resposta mais rápidos. Procuramos manter uptime acima de 99% mas não garantimos serviço ininterrupto. Manutenções programadas serão anunciadas com antecedência sempre que possível. Em situações excepcionais a Orira pode ativar modo de manutenção, bloqueando temporariamente o acesso à plataforma para utilizadores finais; autenticação e endpoints de monitorização permanecem acessíveis.
13. Preços e Faturação
Os planos Essencial (€19/mês), Pro (€49/mês) e Max (€99/mês) podem ser ativados pela própria academia: novos tenants têm 30 dias de trial gratuito sem necessidade de cartão. Sem método de pagamento configurado até ao fim do trial, a subscrição é cancelada automaticamente. O site público da academia está incluído no plano Max; o domínio próprio e a marca totalmente personalizada (sem o nome Orira) são um serviço à parte, mediante orçamento. Faturas são emitidas mensalmente via Stripe. A academia pode fazer upgrade, downgrade ou cancelar a qualquer momento. O Certificado Orira é gratuito durante o período de early access para utilizadores individuais; quando passar a pago, o pagamento é processado via Stripe diretamente para a Orira (não para a academia).
14. Cancelamento e Eliminação de Dados
A academia pode cancelar a sua conta a qualquer momento através de /admin/billing ou contactando daniel@orira.app. Após cancelamento, os dados per-tenant são mantidos por 30 dias para permitir exportação ou reactivação, após o que são eliminados (excepto onde a lei exija retenção). Utilizadores finais podem eliminar a sua conta Orira em /aluno/perfil (auto-serviço), o que remove a identidade Orira cross-tenant após 30 dias; inscrições históricas em academias específicas podem ser mantidas pelas academias por obrigação legal (faturação, registos fiscais, retenção de prova).
15. Propriedade Intelectual e Conteúdo do Utilizador
O software, design, marca Orira, código fonte e infraestrutura (incluindo o sistema do Certificado Orira) são propriedade de Daniel Romão Leal. A academia detém todos os direitos sobre os dados que insere na plataforma. O utilizador detém todos os direitos sobre as fotos, documentos pessoais e demais conteúdos que submete, designadamente no flow do Certificado Orira. Ao submeter conteúdo na plataforma, o utilizador concede à Orira uma licença não exclusiva, limitada à finalidade de prestar o serviço (apresentar a foto no Hub e nos kiosks, atestar a identidade no Certificado, etc.). Nenhuma cláusula destes termos transfere propriedade entre as partes.
16. Limitação de Responsabilidade
A Orira é fornecida tal como está. A Orira não é responsável por perdas indiretas, lucros cessantes ou danos consequenciais resultantes do uso ou impossibilidade de uso do serviço. A responsabilidade total fica limitada ao montante efectivamente pago pela academia ou pelo utilizador nos 12 meses anteriores ao incidente. O Certificado Orira é um sinal de verificação por parte da Orira mas não substitui verificações próprias das academias, federações ou organizações terceiras. A Orira não garante a aceitação do Certificado por terceiros e não responde por decisões tomadas por academias com base no estado do Certificado.
17. Alterações aos Termos
Estes termos podem ser atualizados. Alterações materiais serão comunicadas com 30 dias de antecedência por email aos administradores das academias e por notificação in-app aos utilizadores finais. Sempre que a versão dos termos da plataforma muda, é apresentado um modal mandatório de re-aceitação no primeiro login subsequente, registado no TermsAcceptanceLog. O uso continuado após o período de aviso constitui aceitação dos novos termos.
18. Idade Mínima e Menores
A criação de uma conta e identidade Orira cross-tenant está reservada a maiores de 18 anos. Todos os atletas menores de idade são representados na plataforma através do modelo de dependente (UserDependente), associado ao respetivo responsável (encarregado de educação), que cria e gere os seus dados, presta o consentimento necessário ao tratamento de dados pessoais e assume a responsabilidade pelos serviços contratados e respetivos pagamentos. O responsável garante que tem legitimidade para representar o menor e responsabiliza-se pela informação inserida. As academias, enquanto controladores dos dados per-tenant, são responsáveis por obter e conservar os consentimentos parentais aplicáveis no momento da inscrição.
19. Seguros de Terceiros (funcionalidade opcional)
A Orira disponibiliza uma funcionalidade opcional, activável por cada academia, para gerir o seguro anual de acidentes dos atletas: marcar quem está coberto, gerar a cobrança anual no aniversário da adesão como linha separada, exportar a listagem para o mediador e comunicar com este por email. Trata-se de uma ferramenta de gestão e de cobrança. A Orira não é seguradora nem mediadora de seguros, não subscreve apólices, não define coberturas e não assume qualquer risco ou responsabilidade pelo pagamento de indemnizações. A relação de seguro existe exclusivamente entre a academia (e/ou o atleta) e a seguradora ou mediador contratado pela academia, sendo a academia a única responsável por contratar o seguro, divulgar as condições aplicáveis aos seus atletas (designadamente na sua área de Parceiros) e cumprir as obrigações legais de mediação de seguros. Os montantes cobrados a este título são definidos e detidos pela academia; a Orira não retém qualquer comissão sobre prémios de seguro.
20. Lei Aplicável
Estes termos regem-se pela lei portuguesa. Qualquer litígio será submetido ao foro de Lisboa, com renúncia expressa a qualquer outro.
21. Encomendas de Tags NFC e Hardware
As tags NFC e demais equipamento (hardware) podem ser encomendados pela academia através do Orira Hub (orira.app/dashboard). Estas encomendas são uma venda de bens separada da subscrição da plataforma: são faturadas à parte, à entidade-academia, com emissão de fatura e IVA à taxa aplicável, e o respetivo valor não substitui nem inclui a mensalidade do plano. Os preços, packs e eventuais unidades bónus são os apresentados no momento da encomenda. As tags são produzidas por encomenda e personalizadas com a identidade da academia (texto e cores indicados pela academia); por serem bens feitos à medida, não há direito a devolução ou reembolso após o início da produção, salvo defeito de fabrico. Os prazos de produção e expedição são estimativas e a entrega é feita na morada indicada pela academia. A Orira pode recorrer a terceiros para produção e expedição. A academia é responsável por confirmar os dados de personalização, a morada e o email de fatura antes de submeter a encomenda.