Política de Privacidade

Última atualização: 22/05/2026 · Versão v1.0 · Conformidade LGPD (Lei 13.709/2018)

1. Quem somos

FinGate é uma plataforma de orquestração de pagamentos operada pela Finaya (CNPJ a ser informado). Atuamos como operadordos dados pessoais que nossos clientes (Merchants) processam via plataforma. O Merchant é o controlador dos dados de seus clientes finais.

2. Quais dados tratamos

2.1 Dos Merchants (controladores)

  • Razão social, CNPJ, e-mail corporativo, telefone
  • Dados do representante legal (nome, CPF) quando aplicável KYB
  • Configurações da conta, SmartFlow, conectores integrados
  • Logs de acesso (IP, user agent, timestamp) para audit trail

2.2 Dos clientes finais (titulares — via Merchant)

  • Nome, e-mail, telefone, documento (CPF/CNPJ)
  • Dados de pagamento tokenizados (PAN nunca armazenado em claro — PCI DSS)
  • Histórico transacional (valor, conector, status, timestamps)
  • Endereço (quando exigido pelo conector para autorização)

3. Bases legais (Art. 7º LGPD)

  • Art. 7º V — Execução de contrato: processamento das transações
  • Art. 7º II — Cumprimento de obrigação legal: SCR, retenção fiscal
  • Art. 7º IX — Legítimo interesse: prevenção a fraudes, segurança
  • Art. 7º I — Consentimento: marketing, dados sensíveis adicionais

4. Compartilhamento

Compartilhamos dados com os conectores de pagamento(Stripe, PayPal, Adyen, Stone, Pix, x402) que o Merchant configurou, sob base legal de execução de contrato (Art. 7º V).

A relação completa de conectores que receberam dados de um titular específico está disponível ao próprio titular em/compliance/disclosure(LGPD Art. 18 VII — R6).

5. Tempo de retenção

Tipo de dadoRetençãoBase legal
Registros transacionais5 anosLei 9.613/1998 (PLD/FT)
Audit trail7 anosCompliance + SOC 2
Logs de acesso6 mesesMarco Civil (Lei 12.965/2014)
Consentimento marketingAté revogação + 6 mesesLGPD Art. 8º

6. Seus direitos (Art. 18 LGPD)

O titular pode exercer, sem custo, os seguintes direitos:

  • Confirmação da existência de tratamento (Art. 18 I)
  • Acesso aos dados (Art. 18 II)
  • Correção de dados incompletos/inexatos (Art. 18 III)
  • Anonimização, bloqueio ou eliminação de dados desnecessários (Art. 18 IV)
  • Portabilidade em formato estruturado (Art. 18 V) — R5 em /compliance/portability
  • Eliminação de dados tratados com consentimento (Art. 18 VI)
  • Informação sobre compartilhamento (Art. 18 VII) — R6 em /compliance/disclosure
  • Revogação de consentimento (Art. 18 IX) — R7 em /compliance/consent

7. Segurança

  • Tokenização vault de dados sensíveis (nunca PAN em claro)
  • Audit trail imutável por evento com IP+timestamp
  • Rate limiting + WAF + DDoS mitigation
  • Headers de segurança: CSP, HSTS, X-Frame DENY, X-Content nosniff
  • HMAC-SHA256 em exports (tamper evidence)
  • MFA opcional para contas com dashboard session
  • Criptografia em trânsito (TLS 1.2+) e em repouso (DB encryption)

8. Cookies

Utilizamos cookies estritamente necessários para sessão e segurança (httpOnly, secure, sameSite). Não usamos cookies de tracking/advertising.

9. Encarregado (DPO)

Em conformidade com Art. 41 LGPD:
dpo@finaya.com

10. Autoridade Nacional

O titular pode peticionar à ANPD (Autoridade Nacional de Proteção de Dados) em caso de descumprimento desta Política:gov.br/anpd

11. Atualizações

Esta Política pode ser atualizada. Alterações materiais serão comunicadas via dashboard ou e-mail com 30 dias de antecedência. Histórico de versões mantido no audit trail interno.