Esta Política de Privacidade explica como a CoinKirin (o «Serviço», «nós», «nosso») coleta, usa, compartilha e protege dados pessoais de visitantes e usuários registrados («você»). Foi redigida para cumprir o Regulamento Geral sobre a Proteção de Dados da UE (GDPR), a California Consumer Privacy Act (CCPA/CPRA) e a Lei de Proteção de Informações Pessoais da República Popular da China (PIPL). Ao usar a CoinKirin, você reconhece que leu e compreendeu esta Política.
1. Controlador de dados
A entidade responsável pelo processamento dos seus dados pessoais (o «controlador de dados» sob o GDPR, ou o «responsável pelas informações pessoais» sob a PIPL) é:
- Entidade: CoinKirin .com
- Contato geral de privacidade: privacidade@coinkirin.com
- Encarregado de Proteção de Dados (DPO): dpo@coinkirin.com
- Representante na UE (Art. 27 GDPR): Estamos em processo de nomear um representante na UE. Até que um seja designado, entre em contato conosco em privacy@coinkirin.com.
- Representante PIPL na China: Ainda não designado. Usuários chineses podem entrar em contato com privacy@coinkirin.com com o assunto «PIPL Request».
2. Categorias de dados pessoais que coletamos
Coletamos os dados mínimos necessários para operar o Serviço. Especificamente, processamos as seguintes categorias de dados pessoais:
Dados da conta
Endereço de e-mail, senha (armazenada apenas como hash bcrypt com fator de custo 12 — nunca vemos ou armazenamos o texto em claro), segredo TOTP para autenticação de dois fatores (criptografado em repouso com AES-GCM), nome de exibição, timestamp de criação da conta.
Preferências do usuário
Idioma, tema, localidade, preferências de notificação, preferência de moeda.
Dados financeiros (inseridos pelo usuário)
Posições de carteira, entradas de watchlist, regras de alertas de preço. Esses dados são inseridos voluntariamente por você e nunca são transmitidos a corretoras ou exchanges externas — são usados apenas para habilitar os recursos que você solicita.
Dados de dispositivo e técnicos
Endereço IP (truncado para /24 antes do uso em análise), string User-Agent, impressão digital de dispositivo / ID de dispositivo do token de refresh, resolução de tela e idioma (opcional, apenas no lado do cliente).
Dados de uso
Páginas visualizadas, recursos utilizados, consultas de pesquisa, eventos de clique, Core Web Vitals (LCP, CLS, INP) e relatórios de erro anonimizados.
Cookies e tecnologias similares
Cookies estritamente necessários (sessão, CSRF, idioma), cookies de preferência (tema) e — somente com seu consentimento explícito — cookies de análise. Consulte nossa Política de Cookies para a lista completa.
Não coletamos intencionalmente dados de categorias especiais (raça, religião, saúde, orientação sexual, opiniões políticas, dados biométricos ou genéticos). Por favor não nos envie tais dados.
3. Como coletamos seus dados
Obtemos dados pessoais das seguintes formas:
Diretamente de você
Quando você registra uma conta, edita seu perfil, insere posições de carteira, envia uma solicitação de suporte ou interage de outra forma com o Serviço.
Automaticamente
Por meio de cookies, logs de servidor e análise de uso quando você visita o Serviço.
De terceiros
A Cloudflare nos fornece informações aproximadas de país derivadas do seu endereço IP para fins de segurança e localização. Não compramos dados pessoais de intermediários de dados.
4. Finalidades do tratamento e bases legais
Sob o Artigo 6 do GDPR, processamos seus dados pessoais somente quando se aplica pelo menos uma base legal. A tabela abaixo lista nossas finalidades e a base legal correspondente:
| Finalidade | Base legal |
|---|---|
| Fornecimento do Serviço (criação de conta, autenticação, exibição de dados de mercado, recursos de carteira e watchlist) | Execução de um contrato (Art. 6(1)(b) GDPR) |
| Segurança, prevenção de abuso e detecção de fraude (limitação de taxa, CAPTCHA, detecção de anomalias, log de auditoria) | Interesses legítimos (Art. 6(1)(f) GDPR) |
| E-mails transacionais (verificação de e-mail, redefinição de senha, alertas de segurança, mensagens de boas-vindas) | Execução de um contrato / interesses legítimos |
| Análise de produto e melhoria do Serviço | Interesses legítimos, com opt-out via configurações de cookies |
| E-mails de marketing e conteúdo promocional (recurso futuro) | Consentimento (Art. 6(1)(a) GDPR); você pode retirar o consentimento a qualquer momento |
| Cumprimento de obrigações legais (registros fiscais, resposta a solicitações legais) | Obrigação legal (Art. 6(1)(c) GDPR) |
5. Retenção de dados
Retemos dados pessoais apenas pelo tempo necessário para cumprir as finalidades descritas acima, ou conforme exigido por lei. Especificamente:
- Dados da conta: pelo tempo de vida da sua conta ativa. Após você solicitar a exclusão, sua conta entra em um período de carência de exclusão lógica de 30 dias, durante o qual você pode restaurá-la; após isso, é permanentemente excluída.
- Logs de auditoria (gerais): 1 ano.
- Logs de auditoria cobrindo eventos críticos (ações de administrador, exclusões de conta, incidentes de segurança): até 7 anos, quando exigido para conformidade regulatória.
- Relatórios de erro de cliente: 90 dias (TTL automático).
- Dados de análise: 90 dias (TTL automático), após o que são excluídos ou totalmente agregados/anonimizados.
- Refresh tokens: máximo de 30 dias; tokens expirados são purgados automaticamente.
- Backups: até 35 dias, criptografados em repouso, depois rotacionados para fora.
6. Como compartilhamos seus dados
Não vendemos seus dados pessoais. Não compartilhamos seus dados pessoais para publicidade comportamental entre contextos conforme definido pela CCPA/CPRA.
Confiamos em um número limitado de operadores subcontratados confiáveis que atuam sob nossas instruções em acordos escritos de processamento de dados (DPAs) com Cláusulas Contratuais Padrão (SCCs) onde aplicável:
Suboperadores ativos
| Provedor | Serviço | Dados tratados | Local | DPA/SCC |
|---|---|---|---|---|
| Cloudflare, Inc. | DNS, CDN, proteção DDoS, WAF, Turnstile (antibot), Access (túnel zero-trust) | Endereços IP, user-agent, metadados TLS, caminhos de requisição, tokens de desafio Turnstile | EUA (edge global; PoPs da UE disponíveis) | DPA + SCC (Módulo 2) |
Anunciamos novos suboperadores com pelo menos 30 dias de antecedência por meio de um post no blog e desta página. Você tem o direito de se opor a um novo suboperador nos termos do art. 28(2) do GDPR.
Suboperadores planejados / condicionais
Os seguintes não estão contratados atualmente, mas fazem parte do nosso roadmap. Anunciaremos a ativação com 30 dias de antecedência.
- Grafana Labs, Inc. — Caso migremos a observabilidade do auto-hospedado
- Anthropic, PBC — Quando funcionalidades de IA / MCP forem lançadas
Não são suboperadores
Os seguintes provedores não tratam dados pessoais dos usuários e, portanto, não são listados como suboperadores: GitHub (apenas hospedagem de código), npm / Go module proxy (dependências), Let's Encrypt (certificados TLS), Docker Hub (distribuição de imagens).
Seu direito de oposição
Você pode se opor a um novo suboperador a qualquer momento escrevendo para dpo@coinkirin.com. Se não pudermos atender razoavelmente à sua oposição, você mantém o direito de excluir sua conta após exportar seus dados.
Divulgações legais
Podemos divulgar dados pessoais quando exigido por lei aplicável, ordem judicial ou processo legal válido — por exemplo, em resposta a intimação ou solicitação regulatória. Quando legalmente permitido, notificaremos os usuários afetados antes da divulgação.
Transferências comerciais
Se a CoinKirin estiver envolvida em fusão, aquisição ou venda de ativos, seus dados pessoais podem ser transferidos como parte dessa transação. Notificaremos os usuários e forneceremos uma escolha significativa quando exigido por lei.
7. Transferências internacionais de dados
Backups e infraestrutura de operadores subcontratados também podem estar localizados nos Estados Unidos.
Para usuários no Espaço Econômico Europeu, Reino Unido e Suíça, as transferências de dados pessoais para os Estados Unidos baseiam-se nas Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia como salvaguarda apropriada sob o Artigo 46 do GDPR. Uma cópia das SCCs pode ser solicitada em privacy@coinkirin.com.
Para usuários do Reino Unido, baseamo-nos no UK International Data Transfer Addendum das SCCs.
Para usuários na República Popular da China, suas informações pessoais serão transferidas, armazenadas e processadas fora da China continental, principalmente nos Estados Unidos. Ao criar uma conta e usar a CoinKirin, você consente expressamente com esta transferência transfronteiriça de suas informações pessoais, conforme exigido pelos Artigos 38–39 da PIPL. Pode retirar esse consentimento a qualquer momento excluindo sua conta; note que não podemos fornecer o Serviço sem essa transferência.
8. Seus direitos
Dependendo de onde você reside, tem os seguintes direitos relativos aos seus dados pessoais. Honramos esses direitos para todos os usuários no maior grau prático, independentemente da jurisdição.
Direito de acesso / direito a saber
Você pode solicitar uma cópia dos dados pessoais que mantemos sobre você. Usuários registrados podem exportar seus dados a qualquer momento via /api/v1/auth/me/export («Exportar meus dados» nas configurações de perfil). (Art. 15 GDPR / direito a saber da CCPA / Art. 45 PIPL.)
Direito à retificação
Você pode corrigir dados pessoais imprecisos ou incompletos na sua página de perfil. Para dados que você não pode editar diretamente, entre em contato com privacy@coinkirin.com. (Art. 16 GDPR.)
Direito ao apagamento / direito à exclusão
Você pode excluir sua conta na página de perfil. A exclusão aciona um período de exclusão lógica de 30 dias, após o qual sua conta e os dados pessoais associados são permanentemente apagados dos sistemas de produção. Backups contendo seus dados são rotacionados para fora dentro de 35 dias. (Art. 17 GDPR / direito à exclusão da CCPA / Art. 47 PIPL.)
Direito à limitação do processamento
Você pode nos pedir para restringir o processamento dos seus dados pessoais em determinadas situações (ex.: enquanto contesta sua exatidão). Entre em contato com privacy@coinkirin.com. (Art. 18 GDPR.)
Direito à portabilidade de dados
O endpoint de exportação de dados retorna seus dados em formato JSON estruturado, comumente usado e legível por máquina. (Art. 20 GDPR / Art. 45 PIPL.)
Direito de oposição
Você pode se opor ao processamento baseado em interesses legítimos, incluindo marketing direto. Cada e-mail de marketing contém um link de cancelamento de assinatura com um clique. (Art. 21 GDPR.)
Direito de retirar o consentimento
Quando o processamento é baseado em consentimento (ex.: cookies de análise, e-mails de marketing), você pode retirar o consentimento a qualquer momento por meio do nosso banner de cookies («Rejeitar tudo») ou cancelando a assinatura.
Direito sobre tomada de decisão automatizada
Não submetemos usuários a decisões unicamente automatizadas que produzam efeitos jurídicos ou similarmente significativos.
Direitos específicos da Califórnia (CCPA/CPRA)
Residentes da Califórnia podem adicionalmente solicitar a divulgação das categorias de informações pessoais coletadas, as fontes dessas informações, o propósito comercial da coleta e as categorias de terceiros com quem são compartilhadas. Não vendemos suas informações pessoais e não o fizemos nos últimos 12 meses.
Direitos específicos da PIPL
Usuários na China têm direitos equivalentes aos acima, além do direito de ter uma cópia de suas informações pessoais transferida para outro manipulador, e o direito de apresentar reclamação à Administração do Ciberespaço da China (CAC).
Direito de apresentar reclamação
Você pode apresentar uma reclamação à sua Autoridade de Proteção de Dados local. Usuários da UE podem localizar sua autoridade em https://edpb.europa.eu/about-edpb/about-edpb/members_en. Apreciaríamos a oportunidade de abordar suas preocupações diretamente primeiro — por favor escreva para privacy@coinkirin.com.
Como exercer esses direitos
Quando possível, incorporamos ferramentas de autoatendimento no Serviço (exportar, excluir, cancelar assinatura). Para todas as outras solicitações, envie um e-mail para privacy@coinkirin.com. Responderemos em até 30 dias (GDPR / PIPL) ou 45 dias (CCPA). Podemos pedir que você verifique sua identidade antes de agir em uma solicitação.
9. Dados de crianças
A CoinKirin não se destina a, e não direcionamos o Serviço conscientemente para, pessoas com menos de 18 anos. Em particular, não coletamos conscientemente informações pessoais de crianças com menos de 13 anos (COPPA nos Estados Unidos) ou menos de 16 anos (Art. 8 do GDPR na UE). Se descobrirmos que coletamos dados pessoais de uma criança sem consentimento parental, os excluiremos prontamente e, quando apropriado, notificaremos o pai ou responsável. Se acredita que coletamos dados de uma criança, contate privacy@coinkirin.com.
10. Medidas de segurança
Implementamos medidas técnicas e organizacionais apropriadas para proteger seus dados pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizados, incluindo:
- Criptografia TLS 1.2+ para todos os dados em trânsito.
- Criptografia AES-GCM em repouso para segredos TOTP e outros campos de alta sensibilidade.
- Senhas com hash bcrypt em fator de custo 12 — nunca armazenadas ou transmitidas em texto claro.
- Apenas HTTPS, HSTS pré-carregado, Content Security Policy (CSP) estrita e cabeçalhos de segurança modernos.
- Limitação de taxa, CAPTCHA Cloudflare Turnstile em endpoints sensíveis e autenticação de dois fatores TOTP opcional para contas de usuário.
- Log de auditoria abrangente para todas as ações administrativas.
- Princípio do menor privilégio para acesso de funcionários, com revisões de acesso e permissões baseadas em função.
- Escaneamento regular de dependências e aplicação de patches de segurança.
Embora levemos a segurança a sério, nenhum sistema é 100% seguro. Você é responsável por manter confidenciais as credenciais da sua conta.
11. Notificação de violação de dados
No caso improvável de uma violação de dados pessoais, notificaremos a autoridade de supervisão competente sem atraso indevido e, quando possível, dentro de 72 horas após tomarmos conhecimento da violação, de acordo com o Artigo 33 do GDPR. Se a violação for suscetível de resultar em alto risco para seus direitos e liberdades, também notificaremos você diretamente por e-mail e notificação no aplicativo sem atraso indevido.
12. Alterações a esta Política
Podemos atualizar esta Política de Privacidade de tempos em tempos para refletir mudanças em nossas práticas, tecnologia, requisitos legais ou outros fatores. Alterações relevantes serão notificadas a usuários registrados por e-mail (quando tivermos um endereço registrado) e por meio de um aviso destacado no Serviço pelo menos 14 dias antes de entrarem em vigor. A data de «última atualização» no topo desta página sempre reflete a versão atual.
Versões anteriores desta Política são arquivadas. Para solicitar uma cópia de uma versão histórica, envie um e-mail para privacy@coinkirin.com.
13. Como nos contatar
Para qualquer dúvida relacionada à privacidade ou para exercer seus direitos, use o canal adequado abaixo:
- Consultas gerais de privacidade: privacidade@coinkirin.com
- Encarregado de Proteção de Dados: dpo@coinkirin.com
- Solicitações CCPA da Califórnia: privacy@coinkirin.com — assunto: «CCPA Request»
- Solicitações PIPL da China: privacy@coinkirin.com — assunto: «PIPL Request»
- Correio postal: Entre em contato primeiro por e-mail; um endereço postal será fornecido mediante solicitação.