Política de Privacidade
Última atualização: 22/05/2026 · Versão v1.0 · Conformidade LGPD (Lei 13.709/2018)
1. Quem somos
FinGate é uma plataforma de orquestração de pagamentos operada pela Finaya (CNPJ a ser informado). Atuamos como operadordos dados pessoais que nossos clientes (Merchants) processam via plataforma. O Merchant é o controlador dos dados de seus clientes finais.
2. Quais dados tratamos
2.1 Dos Merchants (controladores)
- Razão social, CNPJ, e-mail corporativo, telefone
- Dados do representante legal (nome, CPF) quando aplicável KYB
- Configurações da conta, SmartFlow, conectores integrados
- Logs de acesso (IP, user agent, timestamp) para audit trail
2.2 Dos clientes finais (titulares — via Merchant)
- Nome, e-mail, telefone, documento (CPF/CNPJ)
- Dados de pagamento tokenizados (PAN nunca armazenado em claro — PCI DSS)
- Histórico transacional (valor, conector, status, timestamps)
- Endereço (quando exigido pelo conector para autorização)
3. Bases legais (Art. 7º LGPD)
- Art. 7º V — Execução de contrato: processamento das transações
- Art. 7º II — Cumprimento de obrigação legal: SCR, retenção fiscal
- Art. 7º IX — Legítimo interesse: prevenção a fraudes, segurança
- Art. 7º I — Consentimento: marketing, dados sensíveis adicionais
4. Compartilhamento
Compartilhamos dados com os conectores de pagamento(Stripe, PayPal, Adyen, Stone, Pix, x402) que o Merchant configurou, sob base legal de execução de contrato (Art. 7º V).
A relação completa de conectores que receberam dados de um titular específico está disponível ao próprio titular em/compliance/disclosure(LGPD Art. 18 VII — R6).
5. Tempo de retenção
| Tipo de dado | Retenção | Base legal |
|---|---|---|
| Registros transacionais | 5 anos | Lei 9.613/1998 (PLD/FT) |
| Audit trail | 7 anos | Compliance + SOC 2 |
| Logs de acesso | 6 meses | Marco Civil (Lei 12.965/2014) |
| Consentimento marketing | Até revogação + 6 meses | LGPD Art. 8º |
6. Seus direitos (Art. 18 LGPD)
O titular pode exercer, sem custo, os seguintes direitos:
- Confirmação da existência de tratamento (Art. 18 I)
- Acesso aos dados (Art. 18 II)
- Correção de dados incompletos/inexatos (Art. 18 III)
- Anonimização, bloqueio ou eliminação de dados desnecessários (Art. 18 IV)
- Portabilidade em formato estruturado (Art. 18 V) — R5 em
/compliance/portability - Eliminação de dados tratados com consentimento (Art. 18 VI)
- Informação sobre compartilhamento (Art. 18 VII) — R6 em
/compliance/disclosure - Revogação de consentimento (Art. 18 IX) — R7 em
/compliance/consent
7. Segurança
- Tokenização vault de dados sensíveis (nunca PAN em claro)
- Audit trail imutável por evento com IP+timestamp
- Rate limiting + WAF + DDoS mitigation
- Headers de segurança: CSP, HSTS, X-Frame DENY, X-Content nosniff
- HMAC-SHA256 em exports (tamper evidence)
- MFA opcional para contas com dashboard session
- Criptografia em trânsito (TLS 1.2+) e em repouso (DB encryption)
8. Cookies
Utilizamos cookies estritamente necessários para sessão e segurança (httpOnly, secure, sameSite). Não usamos cookies de tracking/advertising.
9. Encarregado (DPO)
Em conformidade com Art. 41 LGPD:
dpo@finaya.com
10. Autoridade Nacional
O titular pode peticionar à ANPD (Autoridade Nacional de Proteção de Dados) em caso de descumprimento desta Política:gov.br/anpd
11. Atualizações
Esta Política pode ser atualizada. Alterações materiais serão comunicadas via dashboard ou e-mail com 30 dias de antecedência. Histórico de versões mantido no audit trail interno.