Política de Privacidade
Última atualização: 2 de abril de 2026
Esta política está em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018). O statusbanco.com.br foi projetado com privacidade como padrão: coletamos apenas os dados estritamente necessários para operar o serviço, não rastreamos navegação e não vendemos dados.
1. Responsável pelo tratamento (Controlador)
statusbanco.com.br — projeto independente mantido por Renato Natali.
Contato do responsável: contato@statusbanco.com.br
2. Quais dados coletamos
O statusbanco.com.br coleta o mínimo necessário para operar. A tabela abaixo descreve exatamente o que é coletado:
Relatos de usuários (recurso "Estou com Problema")
| Dado | Formato armazenado | Finalidade |
|---|---|---|
| Endereço IP | Hash SHA-256 irreversível — o IP original nunca é armazenado | Limitação de taxa (máx. 3 relatos/hora por IP) |
| Canal do relato | Texto: app, internet_banking, pix ou other | Estatísticas agregadas por tipo de canal |
| Banco reportado | Identificador do banco (ex.: "nubank") | Associar o relato à instituição correspondente |
| Data e hora do relato | Timestamp UTC | Análise temporal de picos de reclamações |
Contas de usuário (área do desenvolvedor)
| Dado | Formato armazenado | Finalidade |
|---|---|---|
| Texto simples (único por conta) | Autenticação, identificação da conta e envio de e-mails transacionais | |
| Senha | Hash bcrypt irreversível — a senha original nunca é armazenada | Verificação de autenticidade no login |
| Status de verificação do e-mail | Booleano (verificado / não verificado) | Confirmar que o endereço de e-mail pertence ao usuário antes de ativar o acesso |
| Plano | Texto: "free" ou "pro" | Controle de limites de uso da API |
| Data de criação | Timestamp UTC | Registro operacional da conta |
Tokens de e-mail transacional (verificação e redefinição de senha)
| Dado | Formato armazenado | Finalidade |
|---|---|---|
| Token de verificação de e-mail | Hash SHA-256 irreversível — o token original é enviado apenas no link por e-mail e nunca armazenado | Confirmar que o endereço de e-mail pertence ao usuário. Expira em 24 horas. |
| Token de redefinição de senha | Hash SHA-256 irreversível — mesmo padrão do token de verificação | Permitir a redefinição segura de senha mediante solicitação do titular. Expira em 1 hora. |
Chaves de API
| Dado | Formato armazenado | Finalidade |
|---|---|---|
| Chave de API | Hash SHA-256 irreversível + prefixo de exibição (ex.: idb_live_xxxx…) | Autenticação nas requisições à API; o valor completo só é exibido uma vez no momento de criação |
| Nome da chave | Texto (definido pelo usuário) | Identificação no painel do desenvolvedor |
| Última utilização | Timestamp UTC | Auditoria e detecção de chaves inativas |
Logs de uso da API
| Dado | Formato armazenado | Finalidade |
|---|---|---|
| Endpoint e método HTTP | Texto | Análise de uso e depuração |
| Código de resposta e latência | Inteiro e milissegundos | Monitoramento de desempenho |
| IP do chamador | Hash SHA-256 irreversível — o IP original nunca é armazenado | Controle de taxa diário (1.000 req/dia no plano gratuito) |
| ID da chave de API | Referência interna | Vincular o log à conta correspondente |
Webhooks (notificações de incidentes)
| Dado | Formato armazenado | Finalidade |
|---|---|---|
| URL de destino | Texto (definida pelo usuário) | Envio das notificações de evento |
| Eventos assinados e banco associado | Array de texto + identificador | Filtrar quais eventos acionar o webhook |
| Segredo de assinatura | Gerado aleatoriamente; armazenado para calcular assinatura HMAC-SHA256 nos payloads | Verificação de autenticidade no endpoint do cliente |
| Logs de entrega | Status HTTP, payload enviado, timestamps | Auditoria e retry automático de entregas falhas |
Não coletamos nome completo, telefone, CPF, dados de localização precisa, informações de conta bancária nem qualquer outro dado pessoal além do listado acima.
3. O que não coletamos
- Não utilizamos cookies de rastreamento ou publicidade
- Não implementamos Google Analytics, Meta Pixel, Hotjar nem serviços similares
- Não monitoramos o comportamento de navegação entre páginas
- Não vendemos, alugamos nem compartilhamos dados com terceiros para fins comerciais
- Não realizamos decisões automatizadas que produzam efeitos jurídicos sobre usuários
4. Base legal para o tratamento (LGPD)
O tratamento dos dados descritos nesta política tem as seguintes bases legais conforme a LGPD:
- Execução de contrato (art. 7º, V) — para dados de conta, chaves de API, logs de uso e webhooks, necessários para a prestação do serviço contratado.
- Legítimo interesse do controlador (art. 7º, IX) — para o hash de IP em relatos e logs de API, limitado estritamente à prevenção de uso abusivo.
Como o IP original nunca é armazenado (apenas seu hash SHA-256 ou bcrypt), o dado tratado não permite reidentificação do titular por nós.
5. Armazenamento e retenção
Os dados são armazenados em banco de dados PostgreSQL hospedado na plataforma Neon (infraestrutura AWS, região sa-east-1 — São Paulo).
| Tipo de dado | Retenção |
|---|---|
| Relatos de usuários | 90 dias, então excluídos automaticamente |
| Tokens de e-mail transacional | 24 horas (verificação) ou 1 hora (redefinição de senha), então expirados e inutilizáveis |
| Conta de usuário | Enquanto a conta estiver ativa; excluídos mediante solicitação |
| Chaves de API | Até revogação pelo usuário ou exclusão da conta |
| Logs de uso da API | 30 dias corridos |
| Logs de entrega de webhooks | 30 dias corridos |
6. Compartilhamento de dados
Os dados coletados não são compartilhados com terceiros, com exceção dos provedores de infraestrutura necessários para operar o serviço:
- Vercel Inc. — hospedagem da aplicação e entrega de conteúdo (CDN). Processa metadados de acesso (logs de servidor) conforme sua política de privacidade.
- Neon Inc. — banco de dados PostgreSQL gerenciado. Armazena apenas os dados descritos na seção 2, conforme sua política de privacidade.
- Inngest Inc. — orquestração de tarefas assíncronas (entrega de webhooks). Processa payloads de eventos internamente conforme sua política de privacidade.
- Resend Inc. — envio de e-mails transacionais (confirmação de cadastro e redefinição de senha). Recebe apenas o endereço de e-mail do destinatário e o conteúdo do e-mail, conforme sua política de privacidade.
Nenhum desses provedores tem autorização para usar os dados para fins próprios além da prestação do serviço contratado.
7. Seus direitos (LGPD, art. 18)
Como titular de dados, você tem os seguintes direitos garantidos pela LGPD:
- Confirmação — saber se tratamos dados seus
- Acesso — obter cópia dos dados tratados
- Correção — solicitar correção de dados incompletos ou inexatos
- Anonimização ou eliminação — pedir o bloqueio ou exclusão de dados desnecessários
- Portabilidade — receber seus dados em formato estruturado
- Oposição — opor-se ao tratamento realizado com base em legítimo interesse
- Exclusão de conta — solicitar a remoção completa de sua conta e dados associados
Para exercer qualquer desses direitos, entre em contato via contato@statusbanco.com.br. Responderemos em até 15 dias úteis.
Nota prática: como IPs são armazenados apenas como hashes irreversíveis, não temos como associar registros de relatos ou logs de API a um titular específico sem que o próprio usuário nos forneça informações adicionais.
8. Segurança
Adotamos as seguintes medidas técnicas para proteger os dados:
- Comunicação exclusivamente via HTTPS (TLS 1.2+)
- Banco de dados acessível apenas por conexão autenticada e criptografada
- Senhas armazenadas com bcrypt (custo 12) — hash irreversível
- Chaves de API armazenadas como hash SHA-256 — o valor original não é recuperável
- IPs armazenados apenas como hash SHA-256 — dado não reversível
- Webhooks assinados com HMAC-SHA256 para garantir autenticidade dos payloads
- Tokens de e-mail armazenados apenas como hash SHA-256 — o valor original não é recuperável
- Sem credenciais expostas no código-fonte (repositório público no GitHub)
9. Cookies
Este site não utiliza cookies de rastreamento, publicidade ou análise comportamental.
Um cookie de sessão é criado pelo NextAuth após o login para manter a autenticação do painel de desenvolvedor. Esse cookie é estritamente técnico, não contém dados pessoais identificáveis e é removido ao encerrar a sessão.
Cookies de CDN (Vercel) podem ser criados para fins de roteamento, sem armazenamento de informações pessoais.
10. Menores de idade
Este site não é direcionado a menores de 18 anos e não coleta conscientemente dados de crianças ou adolescentes. Se você acredita que dados de um menor foram coletados inadvertidamente, entre em contato via contato@statusbanco.com.br para exclusão imediata.
11. Alterações nesta política
Esta política pode ser atualizada periodicamente. A data de "última atualização" no topo indica a versão vigente. Mudanças relevantes serão sinalizadas no repositório GitHub do projeto.
12. Contato e reclamações
Para exercer seus direitos, tirar dúvidas ou registrar reclamações relacionadas a esta política, entre em contato via contato@statusbanco.com.br