Política de privacidade.

Coletamos o mínimo necessário pra operar a Plataforma.

Não vendemos dados. Não compartilhamos dados pra fins de marketing de terceiros.

Você tem direito de acessar, corrigir e deletar seus dados a qualquer momento.

Cadastro: email, senha (em hash scrypt — nunca em texto), data de criação.

Operação: endereços de wallet conectados, parâmetros de estratégia, histórico de decisões, tx hashes.

Técnicos: IP no momento do login, user-agent, último acesso. Usados pra sessões revogáveis e detecção de comportamento anômalo.

Pagamento (Pro+): faturação por terceiro processador. Não armazenamos dados de cartão.

Comunicação: emails de suporte ficam em ticket system. Histórico mantido por 24 meses.

Chaves privadas. Nunca. Não-custodial significa que nem em criptografado em servidor.

Documentos pessoais (CPF, RG, passaporte) — só pra planos Enterprise sob KYC contratual, e mesmo assim apenas com dados redacted no nosso lado.

Localização precisa via GPS ou WiFi.

Histórico de browsing externo, cookies de tracking de terceiros (Google Analytics, Facebook Pixel, etc).

Operar a Plataforma: executar estratégias, gerar dashboard, calcular performance.

Segurança: detectar tentativa de login suspeita, prevenir abuso, manter sessões.

Compliance: atender obrigações legais (LGPD, GDPR onde aplicável).

Suporte: responder solicitações via email e chat.

Comunicação operacional: avisos de manutenção, releases importantes, incidentes. Email transacional, não marketing.

Provedores de infraestrutura (RPC nodes, indexer, banco de dados) processam dados estritamente operacionais sob contrato com cláusula de privacidade.

Processador de pagamento (Pro+): vê email + valor cobrado. Não vê histórico operacional.

Autoridades: divulgamos dados apenas mediante ordem judicial ou requisição legal formal.

Em transações de M&A, dados podem ser transferidos com aviso prévio de 30 dias.

Usamos cookies estritamente necessários: session cookie (httpOnly + SameSite=lax/strict), CSRF token.

Analytics: avaliamos Plausible ou Umami (privacy-first, sem cookies persistentes). Quando ativado, apenas page views agregadas — sem identificação individual.

NÃO usamos Google Analytics, Facebook Pixel, Hotjar, FullStory ou ferramentas equivalentes.

Acesso: solicite cópia de todos os dados que mantemos sobre você.

Correção: corrija dados desatualizados ou incorretos.

Exclusão: solicite remoção. Aviso: dados retidos por exigência legal (5 anos pra registros fiscais) permanecem mesmo após exclusão.

Portabilidade: solicite seus dados em formato estruturado (JSON).

Oposição: oponha-se a determinado tratamento. Pode resultar em impossibilidade de continuar usando a Plataforma.

Para exercer: envie email pra privacidade@zynk.io com email da conta. Resposta em até 15 dias.

Conta ativa: dados mantidos enquanto a conta existir.

Conta cancelada: dados pessoais (email, IP, sessões) deletados em 90 dias.

Registros fiscais e operacionais (decisões, tx hashes, faturação): 5 anos por exigência legal brasileira.

Audit log on-chain: imutável por natureza (não é deletável).

Senhas com hash scrypt (OWASP recommendation).

Dados em repouso criptografados (Postgres TDE).

Dados em trânsito sob TLS 1.3.

Acesso interno auditado: engenheiros têm acesso log-only ao banco; mudança de schema passa por code review.

Vide /security pra detalhes completos.

Encarregado: Paulo Ricardo (founder).

Email: privacidade@zynk.io

Para pedidos LGPD/GDPR, use o email acima com assunto explícito (ex: “Solicitação de portabilidade — LGPD”).