Política de Privacidade

Gabriel Barreto ("Pacto"). DPO/Encarregado: dpo@pactoapp.com.br.

• Cadastro: nome, email, senha (armazenada com hash bcrypt — nunca em texto puro).
• Pagamento: processado e armazenado integralmente pela Asaas; recebemos apenas o status da assinatura.
• Tentativas bloqueadas: domínio/app que disparou bloqueio + timestamp. Não armazenamos URL completa, conteúdo de página, IP de destino nem histórico de navegação.
• Telemetria do dispositivo: ID anônimo do device, versão do app, status de bateria (heartbeat opcional para detectar uninstall).
• Logs de servidor: IP de origem, user-agent e timestamps de chamadas à API — retidos por 30 dias para segurança e debugging.

• Tráfego de internet decifrado — a VPN local nunca sai do dispositivo.
• Localização (GPS).
• Contatos, fotos, mensagens, microfone ou câmera.
• Dados de cartão de crédito/débito.

• Execução de contrato (II): cadastro, autenticação, processamento de pagamentos, entrega do bloqueio.
• Legítimo interesse (IX): logs de segurança, detecção de fraude.
• Consentimento (I): comunicações por email não-transacionais (newsletter).
• Cumprimento de obrigação legal (II): retenção fiscal de notas (5 anos).

• Asaas Gestão Financeira — processamento de pagamentos.
• Render — hospedagem da API e banco de dados (data-region: Oregon, EUA — transferência internacional sob cláusulas-padrão).
• Vercel — hospedagem do site (CDN global).
• Resend — envio de emails transacionais.

Não vendemos seus dados. Não usamos seus dados para treinar modelos de IA. Não compartilhamos com casas de apostas ou redes de publicidade.

• Dados de conta: enquanto a conta existir + 90 dias após exclusão (recuperação).
• Tentativas bloqueadas: 12 meses (depois agregadas anonimamente para estatística).
• Logs de servidor: 30 dias.
• Dados fiscais (notas fiscais): 5 anos (obrigação legal).

Você pode, a qualquer momento, solicitar:

• Confirmação de tratamento e acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários.
• Portabilidade (exportação em JSON).
• Eliminação dos dados tratados com seu consentimento.
• Informação sobre entidades públicas e privadas com as quais compartilhamos.
• Revogação do consentimento.

Solicite por email a dpo@pactoapp.com.br. Resposta em até 15 dias.

• HTTPS obrigatório em todas as conexões (TLS 1.2+).
• Senhas com hash bcrypt (rounds=10).
• Tokens JWT com expiração e segredos rotacionáveis.
• Banco de dados Postgres com acesso restrito por VPC.
• Backups criptografados.

Usamos apenas cookies essenciais (sessão de autenticação). Não usamos cookies de publicidade nem trackers de terceiros (sem Google Analytics, sem Meta Pixel — por enquanto; havendo mudança, atualizaremos esta política e solicitaremos consentimento).

Serviço destinado a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifique tratamento indevido, notifique-nos em dpo@pactoapp.com.br para exclusão imediata.

Você pode reclamar à Autoridade Nacional de Proteção de Dados: gov.br/anpd.