Quem Somos
O GhostPay Mesh é o operador da plataforma GhostPay Mesh — um protocolo de infraestrutura criptográfica de liquidação com capacidade offline. Nossa plataforma permite a criação, transferência e sincronização de Promessas de Liquidação Criptográfica (PLCs/CSPs) sem exigir conectividade contínua à internet.
Estamos sediados em: Alameda Rio Negro, N° 503 — Sala Comercial 2011 — Condomínio Escritórios Rio Negro, Alphaville Industrial, Barueri — SP — 06454-000 — Brasil. Contato para assuntos de privacidade: contact@ghostpaymesh.com
Esta Política de Privacidade descreve como coletamos, utilizamos, divulgamos e protegemos as informações obtidas por meio de nosso website, aplicativos móveis, APIs, SDKs e serviços relacionados.
Dados que Podemos Coletar
Dependendo de como você interage com o Serviço, podemos coletar as seguintes categorias de dados:
2.1 Dados Técnicos e de Uso
- Endereço IP e localização geográfica aproximada derivada do IP
- Tipo e versão do navegador e sistema operacional
- Tipo, modelo e fabricante do dispositivo (para aplicativos móveis)
- Páginas visitadas, funcionalidades acessadas e timestamps de interação
- Logs de erros e relatórios de falhas
- Logs de requisições de rede (excluindo o conteúdo dos payloads de PLCs/CSPs)
2.2 Dados de Comunicação
- Nome, e-mail e informações enviadas via formulários de contato ou suporte
- Nome da empresa e função (se fornecidos)
2.3 Dados de Cadastro e Conta
- E-mail utilizado para criação de conta e nome de usuário
- Preferências de conta e identificadores de chaves de API (não os valores secretos)
2.4 Dados de Integração e Liquidação
- Identificadores técnicos utilizados no processo de liquidação conforme exigido pelo parceiro ASAAS
- Status e registros de conclusão de liquidação
Privacidade por Design e Coleta Mínima
O GhostPay Mesh é construído sobre uma arquitetura de privacidade por design. As considerações de privacidade são incorporadas às nossas decisões técnicas e operacionais desde o início.
- Arquitetura offline-first — O protocolo central funciona sem se conectar aos nossos servidores. As PLCs/CSPs são criadas, assinadas e transferidas diretamente entre dispositivos.
- Geração de chaves no dispositivo — As chaves criptográficas são geradas e armazenadas no seu dispositivo. Jamais transmitimos, armazenamos nem temos acesso às suas chaves privadas.
- Mínimo de dados no servidor — Como o protocolo tem capacidade offline, coletamos significativamente menos dados sobre transações individuais em comparação com sistemas de pagamento centralizados.
- Cadastro não obrigatório — Em muitos cenários de uso, o Serviço pode ser acessado sem criação de conta ou fornecimento de informações de identificação pessoal.
- Minimização de dados — Coletamos apenas os dados necessários para a finalidade específica para a qual são coletados.
Bases Legais para o Tratamento
Tratamos dados pessoais somente quando temos uma base legal válida. Os fundamentos aplicáveis incluem:
LGPD (Brasil — Lei 13.709/2018)
- Consentimento (Art. 7°, I) — Para cookies analíticos e comunicações de marketing.
- Legítimo interesse (Art. 7°, IX) — Para segurança, prevenção a fraudes e melhoria do serviço.
- Execução de contrato (Art. 7°, V) — Para tratamento necessário à prestação do Serviço.
- Cumprimento de obrigação legal (Art. 7°, II) — Para conformidade com requisitos legais e regulatórios.
RGPD / UK GDPR (UE e Reino Unido)
- Consentimento (Art. 6(1)(a)) — Quando baseado em consentimento livre e específico.
- Execução de contrato (Art. 6(1)(b)) — Para prestação dos serviços solicitados.
- Interesses legítimos (Art. 6(1)(f)) — Para segurança e operação do serviço.
- Obrigação legal (Art. 6(1)(c)) — Para conformidade com a legislação da UE/Reino Unido.
CCPA/CPRA (Califórnia, EUA)
Tratamos informações em conformidade com a CCPA e CPRA. Os residentes da Califórnia possuem direitos específicos detalhados na Seção 11.
Finalidades do Tratamento
Tratamos dados pessoais para as seguintes finalidades específicas:
- Operação do serviço — Fornecer, manter e melhorar a funcionalidade do Serviço, incluindo processamento de requisições de API e sincronização de liquidação.
- Segurança e prevenção a fraudes — Detectar, investigar e prevenir incidentes de segurança, acesso não autorizado e abusos.
- Compliance — Cumprir leis, regulamentações e processos legais aplicáveis, incluindo obrigações de prevenção à lavagem de dinheiro.
- Melhoria do serviço — Analisar padrões de uso e diagnosticar problemas técnicos para melhorar a confiabilidade e desempenho.
- Obrigações legais — Cumprir obrigações exigidas pela legislação brasileira, da UE ou outros regulamentos aplicáveis.
- Comunicação — Responder às suas consultas, solicitações de suporte e fornecer comunicações relacionadas ao serviço.
Compartilhamento com Terceiros
Não compartilhamos seus dados pessoais com terceiros, exceto nas seguintes circunstâncias:
- ASAAS como parceiro de liquidação — Dados técnicos necessários para o processamento da liquidação são compartilhados com a ASAAS Gestão Financeira Instituição de Pagamento S.A., regulada pelo Banco Central do Brasil, conforme sua política de privacidade e requisitos regulatórios.
- Prestadores de serviços de infraestrutura — Utilizamos prestadores terceiros de hospedagem, infraestrutura e serviços tecnológicos que atuam como operadores sob nossa instrução e são proibidos de usar seus dados para fins próprios.
- Exigências legais — Podemos divulgar dados quando exigido por lei, ordem judicial ou solicitação de autoridade regulatória.
- Transferências empresariais — Em caso de fusão ou aquisição, seus dados podem ser transferidos à entidade sucessora com as mesmas proteções descritas nesta Política.
- Com seu consentimento — Podemos compartilhar dados com terceiros adicionais quando você tiver fornecido consentimento explícito.
Não Vendemos seus Dados Pessoais
O GhostPay Mesh não vende, aluga, negocia nem transfere seus dados pessoais a terceiros para fins comerciais próprios deles. Isso abrange:
- Não vendemos dados pessoais a corretores de dados.
- Não negociamos dados pessoais para fins publicitários.
- Não licenciamos dados pessoais para listas de marketing.
- Não compartilhamos dados pessoais com redes de publicidade para segmentação comportamental.
Para residentes na Califórnia: não "vendemos" nem "compartilhamos" informações pessoais conforme definido pela CCPA e CPRA.
Retenção de Dados
Retemos dados pessoais apenas pelo tempo necessário para as finalidades para as quais foram coletados. Prazos específicos:
- Logs de uso e técnicos — Retidos por até 90 dias para fins de segurança e depuração, sendo então excluídos ou anonimizados.
- Dados de conta — Retidos pelo período de vigência da conta mais 5 anos após encerramento, para cumprir obrigações legais.
- Dados de contato e suporte — Retidos por até 3 anos a partir da data da última interação.
- Registros de liquidação — Retidos por no mínimo 5 anos, conforme exigido pelas regulamentações financeiras aplicáveis.
- Retenção legal — Em caso de litígio ativo ou investigação, os dados podem ser retidos além dos prazos padrão.
Segurança da Informação
Implementamos medidas técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, divulgação, alteração e destruição:
- Criptografia de dados em trânsito usando TLS 1.2 ou superior.
- Criptografia de dados sensíveis em repouso.
- Controles de acesso que limitam o acesso a pessoal autorizado com necessidade justificada.
- Avaliações de segurança regulares e testes de vulnerabilidade.
- Procedimentos de resposta a incidentes para detecção e resposta a violações de segurança.
Nenhuma medida de segurança é perfeita ou impenetrável. Em caso de violação de dados que represente risco aos seus direitos, notificaremos os indivíduos afetados e as autoridades competentes em conformidade com a lei aplicável.
Transferências Internacionais de Dados
O GhostPay Mesh está sediado no Brasil e pode tratar dados utilizando infraestrutura no Brasil e em outros países. Se você acessa o Serviço de fora do Brasil, seus dados poderão ser transferidos para e tratados no Brasil.
Para transferências que envolvam dados de residentes na UE/Reino Unido, implementamos as salvaguardas adequadas exigidas pelo RGPD e UK GDPR, que podem incluir Cláusulas Contratuais Padrão (SCCs) e Avaliações de Impacto de Transferência quando necessário.
Seus Direitos como Titular de Dados
Direitos pela LGPD (Brasil)
- Acesso — Confirmar se tratamos seus dados e obter uma cópia.
- Correção — Solicitar a correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação — De dados desnecessários ou tratados em desconformidade com a LGPD.
- Portabilidade — Solicitar a portabilidade dos seus dados para outro prestador de serviço.
- Eliminação após revogação do consentimento e informação sobre compartilhamento.
- Revogação do consentimento e oposição ao tratamento.
Direitos pelo RGPD / UK GDPR (UE e Reino Unido)
- Direito de acesso (Art. 15), retificação (Art. 16), apagamento (Art. 17).
- Direito à limitação do tratamento (Art. 18), portabilidade (Art. 20), oposição (Art. 21).
- Direito de apresentar reclamação a uma autoridade de controle.
Direitos pela CCPA/CPRA (Califórnia)
- Direito de saber, excluir, recusar a venda ou compartilhamento, corrigir e limitar o uso de informações pessoais sensíveis.
- Direito à não discriminação pelo exercício de seus direitos de privacidade.
Privacidade de Crianças e Adolescentes
O Serviço é destinado a pessoas com pelo menos 18 anos de idade. Não coletamos, tratamos nem armazenamos, de forma consciente, dados pessoais de pessoas com menos de 18 anos sem o consentimento prévio verificável de seu responsável legal.
O Serviço é estritamente proibido para pessoas com menos de 13 anos de idade, em qualquer circunstância. Se tomarmos conhecimento de que inadvertidamente coletamos dados de menor de 13 anos, excluiremos prontamente esses dados. Entre em contato pelo e-mail contact@ghostpaymesh.com se acreditar que seu filho menor forneceu dados pessoais.
Como Solicitar Exclusão, Acesso ou Correção de Dados
Para exercer qualquer direito de titular de dados, entre em contato:
E-mail: contact@ghostpaymesh.com
Assunto: "Solicitação de Titular de Dados — [Seu Direito]"
Por favor, inclua seu nome completo, e-mail de identificação, o direito específico que deseja exercer e informações suficientes para identificar os dados em questão.
Confirmaremos o recebimento em até 5 dias úteis e responderemos nos prazos exigidos pela lei aplicável (15 dias úteis pela LGPD; 30 dias pelo RGPD). Pode ser necessário verificar sua identidade antes de processar a solicitação.
Alterações nesta Política
Reservamo-nos o direito de atualizar esta Política de Privacidade periodicamente. Quando realizarmos alterações, a Política atualizada será publicada na mesma URL com uma data de "Última atualização" revisada. Para alterações materiais, envidamos esforços razoáveis para fornecer aviso prévio via e-mail, notificação no aplicativo ou banner no website.
O uso continuado do Serviço após a data de vigência da Política atualizada constitui seu reconhecimento das alterações. Incentivamos você a revisar esta Política periodicamente.
Contato
Para dúvidas, solicitações ou preocupações sobre esta Política de Privacidade ou nossas práticas de dados:
GhostPay Mesh
contact@ghostpaymesh.com
Alameda Rio Negro, N° 503 — Sala Comercial 2011, Alphaville Industrial, Barueri — SP — 06454-000 — Brasil
Para titulares de dados brasileiros, você também pode contatar a ANPD (Autoridade Nacional de Proteção de Dados) — www.gov.br/anpd. Para titulares na UE/EEA, você tem o direito de apresentar reclamação à sua autoridade de proteção de dados local.