Privacidade e segurança dos seus dados

Como o Controle Cripto coleta, usa e protege suas informações pessoais e financeiras.

Última atualização: 27 de abril de 2026

1. Dados que coletamos

Dados de cadastro

• Nome, e-mail, senha (armazenada com hash bcrypt — não temos acesso à senha em texto puro)
• Dados de pagamento processados via parceiros (Hotmart) — não armazenamos números de cartão

Dados financeiros

• Movimentações de criptomoedas (compras, vendas, transferências, recompensas) que você importa manualmente, via CSV ou via conexão com exchange
• Saldos atuais por carteira, calculados a partir do histórico de movimentações
• Resultados fiscais calculados (lucro/prejuízo, custo médio, valor para DARF/DIRPF/IN 1.888/GCAP)

Dados técnicos

• Logs de acesso anonimizados (IP, agente do navegador, horário) para fins de segurança e diagnóstico
• Métricas agregadas de uso via Cloudflare Web Analytics (sem cookies, sem fingerprinting)

2. Como usamos seus dados

• Operação do serviço: calcular seus relatórios fiscais, exibir seu painel, gerar arquivos para a Receita Federal
• Suporte: responder seus chamados, investigar problemas que você reportar
• Comunicação operacional: avisos sobre o serviço, vencimento de plano, alertas fiscais que você ativou
• Melhoria do produto: análise agregada e anonimizada de uso para evoluir features

Não usamos seus dados financeiros para marketing, segmentação publicitária, perfilamento comercial ou qualquer finalidade fora do serviço contratado.

3. Segurança técnica

• Criptografia em trânsito: TLS 1.3 obrigatório em todas as conexões com nossos servidores e APIs
• Criptografia em repouso: banco de dados Postgres com criptografia AES-256 no provedor (Supabase)
• Chaves de API de exchanges: armazenadas criptografadas com chave única por usuário; descriptografadas apenas no momento da consulta
• Isolamento de dados: Row Level Security (RLS) no Postgres garante que cada usuário só consegue ler/modificar os próprios dados — testado em todas as tabelas
• Senhas: hash bcrypt + salt; mesmo um vazamento do banco não expõe senhas
• Backups: diários, criptografados, com retenção de 30 dias
• Infraestrutura: servidores no Brasil (Fly.io GRU) e banco em região brasileira (Supabase sa-east-1)
• Monitoramento: Sentry para captura de erros (sem dados sensíveis), logs estruturados para auditoria

4. Conexão com exchanges (somente-leitura)

Quando você conecta uma exchange (Binance, Mercado Bitcoin, Foxbit, OKX e outras), pedimos que crie uma chave de API com permissão somente-leitura. Mostramos exatamente quais checkboxes habilitar — geralmente "Read" / "Read-only" e nada mais.

Com chave somente-leitura, mesmo que alguém tivesse acesso indevido aos nossos sistemas, não conseguiria sacar, transferir ou operar seus fundos. A exchange recusa qualquer operação de movimentação. Esse é o nosso compromisso técnico de segurança: não temos como tocar nos seus ativos.

Você pode revogar a chave a qualquer momento direto no painel da exchange. A sincronização para de funcionar imediatamente, sem dano aos seus dados históricos no Controle Cripto.

5. Compartilhamento com terceiros

Compartilhamos dados estritamente operacionais com os seguintes processadores, todos com cláusulas de proteção de dados:

• Supabase (banco de dados e autenticação) — sa-east-1, conforme LGPD
• Fly.io (hospedagem da aplicação) — região GRU (São Paulo)
• Cloudflare (CDN, proxy, analytics anônimo, anti-DDoS)
• Hotmart (processamento de pagamentos) — recebe apenas dados necessários ao pagamento, não tem acesso aos seus dados financeiros cripto
• Brevo / Zoho (envio de e-mails transacionais) — apenas e-mail e nome
• Sentry (monitoramento de erros) — recebe stacktraces, sem dados pessoais ou financeiros

Não vendemos seus dados. Nunca. Não fazemos parcerias de marketing que envolvam compartilhamento de informações pessoais.

Em caso de requisição judicial formal (ofício de autoridade brasileira competente), podemos ser obrigados a fornecer dados específicos do usuário citado. Avisaremos você sempre que legalmente possível.

6. Retenção e exclusão de dados

Mantemos seus dados enquanto sua conta estiver ativa. Você pode solicitar exclusão a qualquer momento. Após exclusão:

• Dados pessoais e financeiros são apagados em até 30 dias dos sistemas de produção
• Backups com seus dados são purgados em até 60 dias (rotação natural do ciclo de retenção)
• Mantemos por até 5 anos apenas registros mínimos exigidos por lei (faturamento, identificação básica) conforme Código Civil e legislação fiscal brasileira

7. Cookies e analytics

Usamos Cloudflare Web Analytics, que não usa cookies, não rastreia indivíduos, e não envia dados para terceiros (sem Google Analytics, sem Facebook Pixel). Métricas são agregadas e anônimas.

O sistema autenticado usa cookies estritamente necessários para manter sua sessão logada (autenticação JWT). Sem esses cookies, você precisaria fazer login a cada clique.

8. Seus direitos pela LGPD

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) garante a você:

• Confirmação e acesso — saber se temos seus dados e qual o conteúdo
• Correção — pedir ajuste de dados incorretos ou desatualizados
• Anonimização ou exclusão — excluir sua conta e dados não obrigatórios por lei
• Portabilidade — receber seus dados em formato estruturado (CSV, JSON)
• Informação sobre compartilhamento — saber com quem compartilhamos (lista acima)
• Revogação de consentimento — para tratamentos baseados em consentimento

Para exercer qualquer direito, entre em contato pelos canais abaixo. Respondemos em até 15 dias.

9. Contato

Encarregado de tratamento de dados (DPO) e canal LGPD:

• E-mail: contato@controlecripto.com.br
• Suporte logado: pelo chat dentro do app, em plat.controlecripto.com.br

Esta política pode ser atualizada periodicamente para refletir mudanças no produto ou na legislação. Mudanças materiais serão comunicadas por e-mail aos usuários ativos.