Política de Privacidade / APP

1. Introdução

Este documento estabelece as diretrizes de privacidade e tratamento de dados para o aplicativo de autenticação OAuth em dois fatores desenvolvido pela Black101. Seu propósito é explicar de forma transparente as práticas de coleta, uso, armazenamento, compartilhamento e exclusão de dados, respeitando os dispositivos legais da Lei Geral de Proteção de Dados (LGPD). Caso exista qualquer dúvida ou necessidade de contato, utilize o endereço eletrônico privacidade@black101.com.br.

2. Descrição do Serviço

O sistema OAuth de dois fatores da Black101 adiciona uma camada extra de segurança ao processo de autenticação tradicional. Após o usuário informar suas credenciais primárias (nome de usuário e senha), o sistema exige um segundo fator, que pode ser biométrico (impressão digital ou reconhecimento facial), um PIN numérico ou um token temporário gerado no dispositivo do usuário. Toda a validação do segundo fator ocorre localmente, utilizando APIs do sistema operacional para garantir que não haja envio de dados sensíveis aos servidores da Black101. Caso o usuário opte por autenticação via token temporário, o código gerado é validado contra nossos servidores por meio de comunicação criptografada.

2. Dados Coletados e Permissões Solicitadas

A seguir estão descritos os tipos de dados que podem ser solicitados pelo aplicativo, o motivo de cada solicitação, o uso realizado e o local de armazenamento ou processamento.

2.1. Biometria (impressão digital)

Permissão: “com.google.android.gms.fido.fingerprint” (Android) ou equivalente (iOS).
Finalidade: usar leitor de impressão digital como segundo fator.
Uso: validação local, sem envio de imagem biométrica aos servidores—apenas um hash local gerenciado pelo dispositivo.
Armazenamento: nenhum dado biométrico é armazenado em nossos servidores; todo o processamento ocorre no sistema operacional.

2.2. Reconhecimento Facial

Permissão: acesso à câmera frontal e APIs de FaceID (iOS) ou Face Unlock (Android).
Finalidade: capturar rosto para validação de identidade no segundo fator.
Uso: processamento local (apenas verifica templates faciais); não armazenamos imagens brutas.
Armazenamento: a imagem não sai do dispositivo; apenas o template criptografado, gerado pelo sistema operacional, é mantido localmente.

2.3. Acesso à Câmera

Permissão: “CAMERA” (Android), “NSCameraUsageDescription” (iOS).
Finalidade: capturar vídeo/foto para reconhecimento facial e leitura de QR code para pareamento.
Uso: streaming temporário para verificação de biometria ou leitura de QR; descartamos frames imediatamente após a validação.

2.4. Microfone

Permissão: “RECORD_AUDIO” (Android), “NSMicrophoneUsageDescription” (iOS).
Finalidade: opcional, para autenticação por voz ou reconhecimento de frase de segurança.
Uso: gravação temporária local, análise de padrão de voz; não armazenamos gravações em nossos servidores.

2.5. Armazenamento Local

Permissão: “WRITE_EXTERNAL_STORAGE” (Android), “NSPhotoLibraryAddUsageDescription” (iOS) — apenas se houver necessidade de salvar configurações offline com segurança.
Finalidade: armazenar chaves criptográficas temporárias, cache de sessão 2FA e log local para auditoria.
Uso: arquivos criptografados no dispositivo (AES-256); sem acesso de outros apps.

2.6. Contatos e Agenda (Opcional)

Permissão: “READ_CONTACTS” (Android), “NSContactsUsageDescription” (iOS).
Finalidade: envio de convites ou recuperação de contatos confiáveis para métodos de recuperação de conta.
Uso: se habilitado pelo usuário; somente nomes e números são lidos; não transmitimos a lista de contatos a nossos servidores.

2.7. Localização (Opcional)

Permissão: “ACCESS_FINE_LOCATION” ou “ACCESS_COARSE_LOCATION” (Android), “NSLocationWhenInUseUsageDescription” (iOS).
Finalidade: detecção de login suspeito (2FA geográfico), bloqueio de acesso se a geolocalização estiver fora do perfil.
Uso: coordenadas (latitude/longitude) criptografadas para análise de comportamento; políticas de retenção de 30 dias.

2.8. Rede e Internet

Permissão: acesso genérico à internet.
Finalidade: comunicar-se com nossos servidores OAuth, endpoints de verificação do segundo fator e APIs de terceiros (Google/Facebook Auth, se aplicável).
Uso: todo tráfego é criptografado (TLS 1.2+); logs de requisições armazenam apenas timestamps e IPs, sem dados pessoais sensíveis.

2.9. Notificações Push

Permissão: “POST_NOTIFICATIONS” (Android 13+), “NSUserNotificationCenter” (iOS).
Finalidade: enviar alertas de login, códigos de 2FA e notificações de auditoria de segurança.
Uso: token de push criptografado, associado à instância do app; tokens inativos são descartados automaticamente.

2.10. Dados de Dispositivo e Modelo de Hardware

Coleta automática: sistema operacional, modelo do dispositivo e versão do aplicativo.
Finalidade: diagnóstico de compatibilidade, análise de falhas e estatísticas de uso.
Uso: dados agregados, sem vincular a identificadores pessoais; servem para suporte técnico e melhorias de estabilidade.

3. Base Legal e Consentimento

A Black101 fundamenta o processamento de dados pessoais em bases legais previstas na LGPD. Para dados biométricos, reconhecimento facial e voz, utilizamos o consentimento explícito, obtido via checkbox na primeira execução e confirmação nas telas de permissão do sistema operacional. Dados cadastrais básicos (e-mail, telefone) são tratados sob a base de execução de contrato, pois são essenciais para prover o serviço de autenticação de forma segura. A coleta de localização e contatos, quando habilitada pelo usuário, baseia-se em legítimo interesse para prevenir fraudes e recuperar contas. O usuário pode revogar qualquer permissão diretamente nas configurações do dispositivo ou desabilitar funcionalidades específicas no perfil do aplicativo.

4. Como Utilizamos os Dados

Os dados coletados são empregados primeiramente no processo de autenticação e autorização no sistema principal da Black101. Informações de uso (dispositivo, versão do app, localização) ajudam a prevenir fraudes ao identificar padrões de login anômalos. Estatísticas internas, como versões de sistema operacional e modelos de hardware, são agregadas e anonimadas para suporte técnico e melhorias. Em caso de tentativa de acesso não autorizado, enviamos alertas de segurança via notificações push e e-mail registrado. Não vendemos nem alugamos dados pessoais para anunciantes.

5. Compartilhamento de Dados com Terceiros

Os dados são compartilhados apenas com provedores de infraestrutura sob acordos contratuais de confidencialidade (AWS, Google Cloud, Microsoft Azure). Para envio de códigos via SMS ou e-mail, podemos integrar com provedores especializados (por exemplo, Twilio ou SendGrid), mantendo cláusulas de não divulgação e uso restrito ao propósito de entrega de mensagens de autenticação. Dados pessoais não são vendidos ou compartilhados com anunciantes.

6. Retenção e Exclusão de Dados

Logs de autenticação são mantidos por 30 dias para auditoria e detecção de incidentes. Após esse período, são removidos de nossos bancos de dados. Templates biométricos e faciais gerados pelo sistema operacional residem apenas no dispositivo do usuário e são descartados ao desinstalar o aplicativo. O usuário pode solicitar a exclusão completa de seus dados pessoais pelo e-mail privacidade@black101.com.br ou no painel de configurações do aplicativo. Pedidos de exclusão serão atendidos em até 15 dias, exceto quando existir obrigação legal de manutenção de registros.

7. Segurança e Criptografia

Utilizamos criptografia AES-256 para todas as informações sensíveis armazenadas localmente no dispositivo. As comunicações entre o aplicativo e nossos servidores são protegidas por TLS 1.2 ou superior. Implementamos rotação periódica de chaves criptográficas e tokens de sessão para minimizar riscos. Para evitar ataques de força bruta, há limite máximo de tentativas de autenticação falhas e bloqueio temporário de conta. Em caso de incidente de segurança confirmado, notificaremos usuários afetados em até 72 horas após a detecção, conforme LGPD.

8. Direitos do Usuário (LGPD/GDPR)

O usuário tem direito de confirmar existência do tratamento, acessar essas informações, corrigi-las, anonimizar, portar ou eliminar dados de tratamento desnecessários. O consentimento pode ser revogado a qualquer momento. Para exercer esses direitos, envie solicitação para privacidade@black101.com.br. Prazo padrão para resposta: 15 dias, exceto quando houver obrigação legal de manutenção.

9. Atualizações na Política de Privacidade

A Black101 pode modificar esta política conforme exigências legais ou operacionais. Cada versão terá data de publicação no cabeçalho. Alterações substanciais serão informadas no aplicativo e, quando possível, por e-mail. Versões anteriores ficarão disponíveis para consulta pública, garantindo histórico e transparência.

10. Contato e Dúvidas

Em caso de dúvidas ou para solicitar acesso, correção, portabilidade ou exclusão de dados, contate privacidade@black101.com.br. Nosso escritório físico está na Avenida Paulista, 1000, São Paulo, SP, CEP 01310-100. O prazo para atendimento de solicitações de privacidade é de até 5 dias úteis.