AppsCyborg

Política de privacidade

Última atualização: 3 de julho de 2026

Esta política explica quais dados o AppsCyborg coleta, por que, por quanto tempo permanecem e com quem são compartilhados. O AppsCyborg é um serviço pago de conversão de arquivos. Não há anúncios e não há rastreadores de terceiros no site.

Quem opera o AppsCyborg

O AppsCyborg é operado pela empresa responsável pelo domínio appscyborg.com. Contato: info@appscyborg.com. Especificamente para questões de proteção de dados, o mesmo endereço é monitorado.

Dados que coletamos

Dados de conta

  • Endereço de e-mail e hash da senha quando você se cadastra com e-mail.
  • Identificador de conta Google ou Microsoft quando você entra via OAuth (o provedor nos entrega um ID de sujeito estável mais seu e-mail; nunca recebemos sua senha do OAuth).
  • Timestamps da conta: created_at, last_login_at, valid_till (expiração da assinatura).

Dados de pagamento

  • Registros de pagamento: ID da transação, plano (passe diário / anual / vitalício), preço, timestamp, número da fatura.
  • País para fins de IVA/tributários (a partir do seu IP no momento do pagamento, via consulta ao MaxMind GeoLite2 — o IP em si não é armazenado).
  • NÃO armazenamos números de cartão, CVV ou dados bancários. Pagamentos são processados pelo Stripe e pelo PayPal. As políticas de privacidade deles se aplicam à etapa de pagamento.

Dados de uso

  • Eventos de uso de ferramentas: qual ferramenta você usou (ex.: /video-cyborg), timestamp, resultado (aceito / bloqueado por auth / bloqueado por paywall / erro). Vinculado ao ID da sua conta.
  • Rastreamento anônimo de visitantes: um hash com rotação diária (HMAC do IP + user-agent sob um salt que roda a cada 24 horas) conta visitantes diários únicos sem te vincular entre os dias. IPs brutos não são persistidos para isso.
  • Analytics de funil: nossa própria beacon de primeira parte grava eventos de conversão — você viu /pricing, você clicou no botão anual, seu pagamento foi aprovado. Cada evento carrega um prefixo de rota (só o caminho, sem query string; para um clique em paywall este é a página de onde você clicou, derivado do cabeçalho Referer do seu navegador e truncado para que tokens HMAC em URLs como /email-preferences/{token} sejam removidos; para outros eventos é a página onde o evento aconteceu), o tier do plano quando aplicável, o domínio de origem (só o host, não a URL completa), e os parâmetros de query utm_source e utm_campaign do link de chegada quando presentes. Cada linha também carrega um ID de correlação de sessão do cookie _fsid (veja abaixo), um hash anônimo de visitante com rotação diária, e — se você estiver logado — o ID da sua conta, para que possamos medir a conversão no nível de conta para usuários existentes. Nenhum terceiro vê nada disso — os dados ficam no nosso próprio PostgreSQL, no nosso próprio servidor, e nunca são compartilhados. Usado para medir a taxa de abandono no paywall para que possamos gastar tempo de engenharia na fricção que realmente custa conversões. Cada linha também armazena o timestamp do evento (UTC), e eventos de pagamento bem-sucedidos adicionalmente armazenam o ID de transação do Stripe/PayPal — usado para deduplicar retentativas de goroutine e cruzar referências de reembolsos com a tabela de faturas.

Dados de atribuição

  • Cookie de atribuição de primeiro toque chamado _ft: um cookie assinado com HMAC de 30 dias definido na sua primeira visita. Registra o caminho da página de chegada, parâmetros UTM e a parte de host do seu referenciador (não a URL completa). Usado para atribuir novos cadastros aos canais de aquisição. Limpo automaticamente após 30 dias.
  • No cadastro, os valores do cookie acima são copiados para sua conta como metadados fixos de aquisição (utm_source, utm_campaign, first_landing_page, first_referrer_host).

Dados de comunicação

  • Timestamps de envio/clique de e-mail por campanha (cart-abandon, upsell de passe diário, lembrete de expiração, onboarding, winback, engage, renovação anual). Flags de opt-out por campanha. Uma flag global de opt-out de marketing.
  • Cookie de sessão para te manter logado — um ID de sessão baseado em Redis, sem dados pessoais dentro.

Base legal para o processamento (GDPR UE/Reino Unido)

  • Contrato: dados de conta, pagamento e entrega de serviço são processados para cumprir o contrato de assinatura paga com você.
  • Interesse legítimo: contagens de uso, atribuição de primeiro toque e e-mails de ciclo de vida para assinantes ativos — escopo estreito para rodar o serviço, mensurável via opt-outs por campanha.
  • Consentimento: e-mails de marketing (todos opt-in por padrão no cadastro, opt-out a qualquer momento via cancelamento de inscrição de um clique em todo rodapé de e-mail, ou via a página de preferências linkada em todo e-mail).
  • Obrigação legal: retenção de fatura para conformidade com legislação tributária.

Por quanto tempo guardamos

  • Dados de conta: mantidos enquanto sua conta estiver ativa, mais 30 dias após a exclusão da conta (período de carência para reversão).
  • Registros de fatura: mantidos por 10 anos para conformidade com legislação tributária na UE.
  • Eventos de uso de ferramentas: mantidos por 90 dias para analytics operacional, depois agregados (só totais diários) e os registros ao nível de linha são deletados.
  • Hashes de rastreamento de visitantes: mantidos por 90 dias para o dashboard de conversão visitante→cadastro, depois deletados.
  • Timestamps de envio/clique de e-mail: mantidos enquanto a conta existir, usados para os gates de enviar-uma-vez-por-usuário.
  • Cookie de atribuição _ft: 30 dias rolantes.
  • Cookies de sessão: expiram quando sua sessão expira ou quando você faz logout.

Com quem compartilhamos dados

Não vendemos seus dados. Os seguintes processadores recebem os dados mínimos necessários para rodar o serviço:

  • Stripe e PayPal — processamento de pagamento (dados de cartão e bancários vão direto para eles, nunca para nós).
  • Nosso provedor de SMTP — entrega de e-mails de saída (e-mail do destinatário, assunto, corpo da mensagem).
  • Google e Microsoft — apenas se você escolher entrar via OAuth. O provedor aprende que você está usando o AppsCyborg; nós aprendemos seu e-mail e ID de sujeito estável.
  • Nosso provedor de hospedagem e banco de dados — os servidores que rodam a aplicação armazenam os dados listados acima.
  • MaxMind — o banco de dados de país GeoLite2 é consultado em memória para determinar seu país no momento do pagamento. A consulta é uma leitura de banco de dados local; a MaxMind não recebe seu IP.

Divulgação a não-processadores ocorre apenas quando exigido por lei (ordem judicial, investigação regulatória ou para proteger os direitos e a segurança do AppsCyborg ou de outros).

Cookies

  • _ft — atribuição de primeiro toque, assinado com HMAC, expiração de 30 dias, path=/, HttpOnly. Interesse legítimo.
  • Cookie de sessão — te mantém logado, HttpOnly, expira no logout.
  • Cookie de token CSRF — proteção anti-forjamento em envios de formulário, HttpOnly.
  • _fsid — ID de sessão de funil de primeira parte, 128 bits de dados aleatórios, expiração de 180 dias, path=/, HttpOnly + Secure. Costura nossos próprios eventos de clique em paywall e sucesso de pagamento em uma única sessão para que possamos medir a conversão. Nunca sai do nosso servidor. Interesse legítimo.
  • Sem cookies de terceiros. Sem cookies de publicidade. Sem analytics de terceiros — a única beacon neste site é nosso próprio contador de funil de primeira parte, descrito abaixo.

Seus direitos (UE/Reino Unido)

Você pode, a qualquer momento:

  • Acessar seus dados — envie e-mail para info@appscyborg.com e enviaremos uma exportação legível por máquina em até 30 dias.
  • Corrigir ou atualizar seus dados — a maioria dos campos é self-service dentro das configurações da sua conta.
  • Deletar seus dados — envie e-mail ou use a opção de exclusão de conta nas configurações da sua conta. Registros de fatura são retidos por 10 anos para conformidade tributária; todo o resto é apagado.
  • Objetar a e-mails de marketing — cancelamento de inscrição de um clique em todo rodapé de e-mail, ou gerencie opt-outs granulares via a página de preferências linkada em todo e-mail.
  • Portabilidade — solicite uma exportação em JSON da sua conta, faturas e registros de uso de ferramentas.
  • Reclamar junto a uma autoridade de proteção de dados (na França, a CNIL; no Reino Unido, o ICO; no Brasil, a ANPD; em outros lugares o equivalente).

Localização dos dados

Os servidores estão localizados na União Europeia. Sub-processadores (Stripe, PayPal, provedores OAuth, MaxMind, nosso provedor de SMTP) podem transferir dados para fora da UE sob cláusulas contratuais padrão.

Segurança

Todas as conexões com appscyborg.com usam HTTPS. As senhas são armazenadas como hashes bcrypt; nunca vemos nem armazenamos sua senha em texto claro. Contas apenas OAuth não têm nenhuma senha armazenada. O cookie de atribuição _ft e os tokens de e-mail são assinados com HMAC usando um segredo do lado do servidor, então não podem ser forjados. O acesso ao banco de dados de produção é restrito a administradores autorizados. Dados de cartão de pagamento nunca tocam nossa infraestrutura.

Crianças

O AppsCyborg não é direcionado a crianças menores de 16 anos. Não coletamos conscientemente dados de qualquer pessoa menor de 16 anos. Se você é pai/mãe ou responsável e acredita que sua criança criou uma conta, entre em contato com info@appscyborg.com e deletaremos a conta.

Mudanças nesta política

Mudanças materiais serão anunciadas por e-mail a assinantes ativos com pelo menos 30 dias de antecedência antes de entrarem em vigor. Mudanças não materiais (formatação, esclarecimentos) serão publicadas aqui com um timestamp atualizado no topo desta página.

Contato

Dúvidas sobre proteção de dados, pedidos de acesso, reclamações e qualquer outro tópico de privacidade: info@appscyborg.com.