Política de Privacidade — SuperDMZ

• Cadastro: nome, e-mail e senha (armazenada apenas como um hash unidirecional — nem nós conseguimos recuperá-la; algoritmo bcrypt).
• Faturamento: processado integralmente pela Stripe. Não armazenamos número de cartão de crédito em nossos servidores — recebemos apenas o status do pagamento, os 4 últimos dígitos e a bandeira.
• Uso do serviço: tunnels criados (hostname, IPs autorizados, porta), tráfego agregado por túnel e por mês, status online/offline.
• Logs técnicos: endereço IP, navegador, data e hora de acesso, ações realizadas no painel (criar/editar/excluir túnel, login). Tokens de acesso a túneis são automaticamente redacted nos logs.
• Comunicação: mensagens enviadas pelo formulário de contato ou suporte (nome, e-mail e conteúdo).

• Operar e manter o serviço (autenticação, criação de túneis, cobrança).
• Enviar notificações operacionais por e-mail (verificação 2FA, túnel offline, recibo de pagamento).
• Detectar e prevenir fraudes, abuso e ataques contra a infraestrutura.
• Cumprir obrigações legais e fiscais.
• Melhorar o produto (análise agregada e anônima de uso).

• Stripe (EUA) — processamento de pagamentos. Recebe nome, e-mail e dados do cartão (direto do seu navegador via Stripe Elements, nunca passando pelos nossos servidores).
• Brevo / Sendinblue (UE) — envio de e-mails transacionais (2FA, boas-vindas, alertas).
• GoDaddy (EUA) — criação e remoção de registros DNS (CNAME para túneis HTTP no domínio dmzgate.com).
• Cloudflare (EUA) — DNS autoritativo do domínio superdmz.com (não recebe seus dados pessoais — apenas requisições DNS).
• Anthropic (EUA) — provedora de IA usada em recursos específicos (tradução automática de avisos do painel administrativo e análise silent-flag de cadastros para detectar dados manifestamente fictícios). Quando um cadastro é analisado, enviamos nome, e-mail, país declarado e IP de origem para a API da Anthropic. Não usamos as respostas para bloquear cadastros automaticamente: o resultado serve apenas para mostrar um aviso amigável ao usuário e para auditoria do nosso administrador. Conforme a política comercial da Anthropic, os dados enviados pela API NÃO são usados para treinar modelos.

Nunca vendemos, alugamos ou cedemos seus dados para fins publicitários ou de marketing de terceiros.

• PHPSESSID — necessário para manter sua sessão logada (essencial).
• sdmz_lang — guarda o idioma escolhido (preferência, expira em 1 ano).
• _csrf — protege formulários contra ataques CSRF (essencial).
• sdmz_cookie_ok — registra que você viu este aviso (preferência).

Não usamos cookies de rastreamento publicitário, redes sociais nem analytics de terceiros.

• Conta ativa: enquanto sua conta existir.
• Conta excluída: seus dados são purgados após 48h da confirmação da exclusão (existe uma janela de recuperação por link de e-mail).
• Faturas e registros fiscais: 5 anos após o último pagamento, por exigência legal (fiscal e contábil).
• Logs de acesso (nginx): 14 dias, com tokens automaticamente mascarados.
• Logs de aplicação (auditoria): 90 dias.

• Solicitar acesso aos seus dados.
• Corrigir dados incorretos pelo próprio painel (página Conta).
• Alterar seu e-mail principal (com confirmação por código + aviso ao e-mail antigo).
• Solicitar a exclusão da conta diretamente pelo painel.
• Pedir a portabilidade dos dados (exportação em formato legível).
• Retirar o consentimento e revogar autorizações de tratamento.
• Apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

Solicitações por escrito: [email protected].

Em conformidade com o Art. 14 da LGPD, caso tomemos conhecimento de que uma conta foi criada por menor de 18 anos sem o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, a conta será suspensa e os dados associados serão excluídos. Responsáveis legais que identificarem essa situação podem solicitar a exclusão imediata por [email protected].