Política de Privacidade

Coletamos as seguintes categorias de dados quando você usa o SMSCode:

Dados da Conta

• Endereço de e-mail (usado para login e notificações).
• Senha (armazenada como hash argon2 — nunca armazenamos senhas em texto simples).

Dados do Google Sign-In

Se você fizer login com o Google, acessamos os seguintes dados da sua conta Google:

• Endereço de e-mail — Usado como identificador da sua conta e para comunicações do serviço.
• ID de usuário do Google — Usado para vincular sua conta Google à sua conta SMSCode.

Solicitamos apenas os escopos mínimos necessários para autenticação (email e openid). Não acessamos seus contatos, agenda, drive ou quaisquer outros serviços do Google.

Dados de Transação

• Histórico de pedidos (aluguéis de números, serviço, país, datas, status).
• Histórico de depósitos (valores, método de pagamento, status).
• Saldo da conta e registros de transações.

Dados do Aplicativo Móvel

• Tokens de dispositivo Firebase Cloud Messaging (FCM) — Usados para enviar notificações push sobre atualizações de pedidos e atividade da conta.
• Preferências de notificação push (ativadas/desativadas).
• Nome do dispositivo (opcional, para identificar dispositivos na sua conta).

Dados de Uso

• Endereço IP e geolocalização aproximada.
• Informações do dispositivo e navegador (user agent).
• Logs do servidor (datas de requisições, endpoints acessados).

Dados de Uso da API

• Logs de requisições da API (endpoints, datas, códigos de resposta).
• Contadores de rate limit.

• Prestação de serviço — Processamento de aluguéis de números, gerenciamento do seu saldo e atendimento de pedidos.
• Autenticação — Seu e-mail e ID de usuário do Google (caso use o Google Sign-In) são utilizados exclusivamente para autenticação e identificação da conta. Não usamos dados de usuário do Google para publicidade, criação de perfis ou qualquer finalidade não relacionada à prestação do serviço SMSCode.
• Notificações push — Os tokens de dispositivo FCM são usados exclusivamente para enviar atualizações de pedidos, confirmações de depósitos e alertas de segurança da conta ao seu dispositivo móvel.
• Prevenção de fraudes — Detecção e prevenção de abuso, acesso não autorizado e violações de políticas.
• Análises — Compreensão de padrões de uso para melhorar a confiabilidade e o desempenho da plataforma.
• Suporte — Resposta às suas dúvidas e resolução de problemas com sua conta ou pedidos.
• Comunicação — Envio de notificações relacionadas ao serviço (atualizações de pedidos, alertas de segurança). Não enviamos e-mails de marketing sem o seu consentimento.

• Códigos OTP são transitórios — O conteúdo de SMS recebido (códigos OTP) é exibido para você em tempo real e não é armazenado a longo prazo após a expiração ou conclusão do pedido.
• Números de telefone são temporários — Os números alugados são temporários e são reciclados após o término do período de aluguel. Não associamos números alugados à sua identidade além do pedido ativo.
• Sem dados de chamadas — O SMSCode lida apenas com verificação por SMS; não processamos chamadas de voz ou metadados de chamadas.

• Os pagamentos são processados por gateways de terceiros (Duitku, Heleket). Não armazenamos dados do seu cartão de crédito, conta bancária ou instrumento de pagamento.
• Armazenamos referências de transações (IDs de gateway de pagamento, valores, status) para fins de conciliação e suporte.
• Os provedores de gateway de pagamento possuem suas próprias políticas de privacidade que regem como lidam com suas informações de pagamento.

Partilhamos dados apenas quando necessário para prestar o Serviço. Segue-se a lista completa de categorias de subcontratantes terceiros que utilizamos; locais operacionais detalhados e salvaguardas de transferência são descritos na Secção 13 (Transferência Internacional de Dados).

• Cloudflare, Inc. — rede de entrega de conteúdo, proteção DDoS e rede de saída. Trata endereços IP, metadados de pedidos e tráfego terminado em TLS durante o trânsito.
• Resend, Inc. — entrega de e-mail transacional (verificação, redefinição de palavra-passe, notificações de pedidos). Trata o seu endereço de e-mail e o conteúdo da mensagem.
• Provedores de SMS a montante — aluguer de números virtuais e encaminhamento de SMS recebidos. Enviamos parâmetros mínimos do pedido (país, serviço) para concretizar os alugueres; não partilhamos a sua identidade nem dados da sua conta com os provedores.
• Gateways de pagamento — os dados da transação são partilhados com os processadores de pagamento para concluir depósitos. Não recebemos nem armazenamos os detalhes completos dos instrumentos de pagamento.
• Firebase Cloud Messaging (Google) — os tokens de dispositivo FCM são enviados para o serviço Firebase da Google para entregar notificações push. Não são partilhados outros dados pessoais com o Firebase.
• Autoridades policiais — Podemos divulgar dados se exigido por lei, ordem judicial ou para proteger os direitos, a propriedade ou a segurança da SMSCode, dos nossos utilizadores ou do público.

Não vendemos os seus dados pessoais a terceiros. Não partilhamos os seus dados pessoais com anunciantes. Não participamos em qualquer intermediário de dados ou rede de publicidade. Os dados de utilizador da Google obtidos através do Google Sign-In nunca são partilhados com terceiros e são utilizados exclusivamente para autenticação dentro de SMSCode.

• Histórico de pedidos — Retido para fins de conciliação, suporte e auditoria.
• Conteúdo OTP/SMS — Eliminado após a expiração ou conclusão do pedido.
• Dados da conta — Retidos enquanto sua conta estiver ativa.
• Logs do servidor — Retidos por até 90 dias para fins de segurança e depuração.
• Tokens de dispositivo FCM — Excluídos imediatamente quando você desregistrar um dispositivo ou excluir sua conta.

Exclusão de Conta e Eliminação de Dados

Você pode excluir sua conta a qualquer momento através das configurações de conta no painel web ou no aplicativo móvel. Ao excluir sua conta:

• Sua conta é imediatamente marcada como excluída (status definido como "Excluída").
• Seu saldo restante é confiscado e registrado como transação final.
• Todas as sessões ativas (web e móvel) são revogadas imediatamente.
• Tokens de dispositivo FCM e assinaturas de notificação push são excluídos.
• Tokens de API e configurações de webhook são removidos.
• Um período de espera de 30 dias para novo cadastro se aplica — você não pode criar uma nova conta com o mesmo e-mail durante esse período.
• Após 30 dias, uma tarefa agendada elimina permanentemente suas informações pessoais identificáveis (PII): seu e-mail é substituído por um identificador anônimo, seu hash de senha é limpo e seu ID de usuário do Google é removido.
• O histórico de transações e registros de pedidos são mantidos de forma anonimizada para fins contábeis e de conformidade legal.

• Usamos um único cookie de sessão httpOnly (__session) para manter sua sessão autenticada. Este cookie é criptografado e não pode ser lido por scripts do lado do cliente.
• Não usamos cookies de rastreamento, cookies de publicidade ou cookies de análise de terceiros.
• Nenhum banner de cookies é necessário porque usamos apenas cookies estritamente necessários para autenticação.

Armazenamento de Dados

• Infraestrutura — Todos os dados são armazenados em servidores dedicados operados por nós. Não utilizamos hospedagem em nuvem compartilhada para dados de usuários.
• Banco de dados — Os dados dos usuários são armazenados em PostgreSQL com acesso restrito apenas aos serviços da aplicação.
• Criptografia em trânsito — Todo o tráfego entre você e nossos servidores é criptografado via TLS (HTTPS).
• Criptografia de sessão — Os cookies de sessão são criptografados com AES-256-GCM.

Proteção de Dados

• Hash de senhas — As senhas são processadas com argon2, um algoritmo resistente a ataques de força bruta.
• Proteção CSRF — Os endpoints que alteram estado são protegidos contra cross-site request forgery.
• Rate limiting — Os endpoints de API e autenticação possuem limites de requisição para evitar abuso.
• Controle de acesso — Os serviços internos se comunicam por canais autenticados com chaves secretas. Os serviços de banco de dados e cache estão isolados em uma rede privada inacessível pela internet.

Embora implementemos medidas de segurança padrão da indústria, nenhum sistema é 100% seguro. Se você descobrir uma vulnerabilidade, por favor reporte para [email protected].

Você tem o direito de:

• Acesso — Solicitar uma cópia dos dados pessoais que mantemos sobre você.
• Correção — Solicitar a correção de dados pessoais incorretos.
• Exclusão — Excluir sua conta e os dados pessoais associados diretamente nas configurações da sua conta (web ou aplicativo móvel). Os dados pessoais são eliminados em até 30 dias após a exclusão. Você também pode solicitar a exclusão entrando em contato conosco.
• Exportação — Solicitar seus dados em um formato portável.

Para exercer os direitos de acesso, correção ou exportação, entre em contato conosco pelo e-mail [email protected]. Responderemos em até 30 dias.

Se for residente na Califórnia, a California Consumer Privacy Act (CCPA), com as alterações introduzidas pela California Privacy Rights Act (CPRA), concede-lhe direitos específicos relativos aos seus dados pessoais, em complemento aos direitos estabelecidos na Secção 9 (Os seus direitos).

Direito de saber. Pode solicitar que divulguemos as categorias e peças específicas de dados pessoais que recolhemos sobre si, as fontes dessa informação, os fins da recolha ou divulgação e as categorias de terceiros com quem partilhamos. As categorias que recolhemos estão detalhadas na Secção 1 (Dados que recolhemos).

Direito à eliminação. Pode solicitar que eliminemos os dados pessoais que recolhemos sobre si, sujeito a determinadas exceções legais (por exemplo, para concluir uma transação, detetar incidentes de segurança ou cumprir obrigação legal).

Direito à correção. Pode solicitar que corrijamos dados pessoais inexatos que mantemos sobre si.

Direito de recusar venda ou partilha. Não vendemos os seus dados pessoais a terceiros e não os partilhamos para publicidade comportamental entre contextos. Nada há a recusar, mas declaramo-lo explicitamente para que saiba.

Direito de limitar o uso de dados pessoais sensíveis. Não utilizamos dados pessoais sensíveis (conforme definido pela CPRA) para fins além dos necessários à prestação do Serviço.

Direito à não discriminação. Não o discriminaremos por exercer qualquer destes direitos. A sua experiência no Serviço não será alterada e nenhuma taxa, termo ou qualidade de serviço será afetada.

Como exercer. Para exercer qualquer direito da CCPA, contacte-nos em [email protected]. Verificaremos a sua identidade antes de responder e responderemos no prazo de 45 dias (prorrogáveis por mais 45 dias quando razoavelmente necessário).

A SMSCode não utiliza serviços de análise web de terceiros, ferramentas de rastreamento comportamental ou tecnologia de publicidade. Especificamente:

• Não utilizamos Google Analytics, Mixpanel, Amplitude, Hotjar, Segment ou qualquer serviço de análise semelhante;
• Não incorporamos píxeis de rastreamento, etiquetas de marketing ou scripts de retargeting em qualquer página;
• Não participamos em qualquer rede de publicidade ou ecossistema de publicidade entre sites;
• Não construímos perfis comportamentais de utilizadores individuais para fins de marketing ou recomendação.

Os únicos dados que recolhemos sobre o seu uso do Serviço são os dados operacionais necessários para o prestar e proteger: registos de pedidos do servidor, contadores de limite de taxa, histórico de pedidos e cookies de sessão. Estes estão descritos em detalhe na Secção 1 (Dados que recolhemos), na Secção 7 (Cookies e sessões) e na Secção 8 (Medidas de segurança). Os registos do servidor são retidos por um máximo de 90 dias para fins de segurança e depuração, sendo depois eliminados.

Caso introduzamos analítica no futuro, a presente Política de Privacidade será atualizada antes de a alteração entrar em vigor, e será notificado nos termos da Secção 14 (Alterações a esta política).

O SMSCode não se destina ao uso por menores de 18 anos. Não coletamos intencionalmente dados pessoais de crianças. Se você acredita que um menor de 18 anos nos forneceu dados pessoais, entre em contato conosco e os excluiremos prontamente.

A Void Zero Ltd está sediada no Reino Unido, e os dados pessoais que fornece são tratados principalmente no Reino Unido e no Espaço Económico Europeu (EEE). Para prestar o Serviço, utilizamos subcontratantes e infraestruturas de terceiros que poderão tratar os seus dados noutras jurisdições, incluindo os Estados Unidos e outros países fora do Reino Unido/EEE.

Mecanismo de transferência

Sempre que transferimos dados pessoais do Reino Unido ou do EEE para um país que não tenha recebido uma decisão de adequação do UK Information Commissioner's Office (ICO) ou da Comissão Europeia, baseamo-nos numa ou mais das seguintes salvaguardas:

• o UK International Data Transfer Addendum (UK IDTA) incorporado nos nossos contratos com subcontratantes;
• as Cláusulas Contratuais-Tipo (SCCs) aprovadas pela Comissão Europeia (Decisão 2021/914) para dados da UE;
• decisões de adequação relativamente a jurisdições reconhecidas como proporcionando um nível de protecção essencialmente equivalente (incluindo o UK Data Bridge para destinatários norte-americanos elegíveis ao abrigo do Data Privacy Framework);
• outras salvaguardas reconhecidas ao abrigo do artigo 46.º do UK GDPR ou do artigo 46.º do EU GDPR.

Controlos de transferências ulteriores

Todos os subcontratantes que recebem os seus dados pessoais estão vinculados por contratos escritos que lhes exigem: (a) tratar os dados apenas de acordo com instruções documentadas da Void Zero Ltd; (b) implementar medidas técnicas e organizacionais de segurança adequadas; (c) assegurar a confidencialidade do pessoal com acesso aos dados; (d) auxiliar-nos no cumprimento dos pedidos de direitos dos titulares; e (e) eliminar ou devolver os dados na cessação do contrato. Estas obrigações seguem os requisitos do artigo 28.º do UK GDPR e do artigo 28.º do EU GDPR.

Categorias actuais de subcontratantes

Os subcontratantes que poderão tratar os seus dados fora do Reino Unido/EEE incluem, sem limitação:

• Cloudflare, Inc. (Estados Unidos) — entrega de conteúdo, protecção DDoS e rede de saída;
• Resend, Inc. (Estados Unidos) — envio de e-mail transaccional;
• Parceiros provedores de SMS com operação internacional — aluguer de números virtuais e encaminhamento de SMS recebidos (ver Secção 3);
• Gateways de pagamento — processamento de pagamentos transaccionais para depósitos (ver Secção 4).

Os seus direitos

Pode solicitar uma cópia das salvaguardas de transferência aplicáveis aos seus dados contactando-nos através de [email protected]. Responderemos no prazo de 30 dias conforme descrito na Secção 9 (Os seus direitos) e no artigo 12.º do GDPR.

Podemos atualizar esta Política de Privacidade periodicamente. Alterações materiais serão comunicadas por e-mail ou por um aviso na plataforma. A data de "Última atualização" no topo reflete a revisão mais recente.

Para questões ou solicitações relacionadas à privacidade, entre em contato conosco pelo e-mail [email protected].

Para suporte geral, fale conosco pelo e-mail [email protected].