Política de privacidade

A Naykora, empresa europeia, é o responsável pelo tratamento na aceção do RGPD. Contacto dedicado para questões de proteção de dados: contact@naykora.ai A Naykora não é atualmente obrigada a designar um Encarregado da Proteção de Dados (DPO) face à escala atual dos tratamentos, mas reavalia esta obrigação em cada nível de crescimento. Nota: a Naykora é um serviço de monitorização e alerta complementar às suas proteções de segurança (antivírus, firewall, cópias de segurança). A Naykora não é um antivírus e não atua como proteção ativa. A presente política descreve os dados técnicos recolhidos para fins de monitorização e alerta.

Recolhemos as seguintes categorias de dados: • Dados da conta (nome, apelido, email, data de nascimento, idioma) - Base legal: execução do contrato (art. 6.1.b RGPD). • Dados de autenticação: códigos de uso único enviados por email, ligações mágicas, tokens de sessão e identificadores associados ao fornecedor terceiro quando inicia sessão com Google (OAuth). Se ativar a autenticação de dois fatores (TOTP), um segredo encriptado é guardado nos nossos servidores. A autenticação de dois fatores é obrigatória para administradores - Base legal: execução do contrato e obrigação legal de segurança (art. 6.1.b e 6.1.c RGPD). • Dados de pagamento (token de cliente Stripe, histórico de faturação, estado da subscrição) - Base legal: execução do contrato e obrigação contabilística aplicável. • Dados de indicação (código único, relações indicador/indicado, IBAN/BIC para pagamentos, histórico de ganhos) - Base legal: execução do contrato e obrigações anti-branqueamento. • Dados técnicos de monitorização (recolhidos pela aplicação Naykora Dragon Shield): nome do anfitrião, sistema operativo, versão, modelo, fabricante, número de série, estado das correções, alertas de saúde do sistema, estado do antivírus, atualizações disponíveis, e inventário do software instalado. A lista do software instalado está oculta por defeito no seu painel; é o utilizador que escolhe quando a revelar. NÃO ACEDEMOS a ficheiros, emails, documentos, fotografias, histórico de navegação ou conteúdo pessoal - Base legal: execução do contrato. • Dados de comunicação (mensagens trocadas através da mensageria integrada, notificações) - Base legal: execução do contrato. • Dados de ligação e utilização (endereço IP, user-agent, páginas visitadas, ações no painel, preferência de moeda) - Base legal: interesse legítimo (segurança, prevenção da fraude, melhoria do Serviço). • Cookies essenciais (sessão, preferências) - Base legal: estritamente necessários ao funcionamento.

Os seus dados são utilizados para: 1. Fornecer o Serviço: monitorizar a saúde dos dispositivos, gerar alertas, gerir a sua subscrição. 2. Gerir a faturação: cobranças automáticas, emissão de faturas, cobrança. 3. Operar o programa de indicação: acompanhamento de indicações, cálculo mensal de ganhos, pagamento de comissões, prevenção de fraude. 4. Contactar consigo: alertas de segurança, emails transacionais, respostas de suporte, notificações de produto. 5. Garantir a segurança: deteção de tentativas de intrusão, prevenção de força bruta, auditoria de acessos. 6. Cumprir obrigações legais: conservação contabilística, luta contra a fraude, resposta a requisições judiciais. 7. Melhorar o Serviço: análises agregadas e anonimizadas para compreender o uso e identificar melhorias.

Para fornecer o Serviço, a Naykora apoia-se nos seguintes subcontratantes. Cada um assinou um Acordo de Tratamento de Dados (DPA) ou compromisso contratual equivalente: • Supabase (EUA com instâncias UE): base de dados, autenticação, armazenamento. Dados: conta, indicação, monitorização, comunicações. Transferência regida pelas Cláusulas Contratuais Tipo (CCT) da UE. • Stripe (Irlanda / EUA): processamento de pagamentos, faturação e cálculo automático do IVA. Dados: nome, email, ID de cliente, transações, IBAN se aplicável, país de residência. Transferência regida por CCT. • SuperOps (EUA): infraestrutura RMM (Remote Monitoring and Management) subjacente à aplicação Naykora Dragon Shield, white-label. Dados: métricas técnicas dos dispositivos, alertas, inventário de software. Transferência regida por CCT. • Resend (EUA): envio de emails transacionais (confirmação, alertas, faturas). Dados: email, conteúdo transacional. • Vercel (EUA): alojamento do website e das APIs, e ainda medição anónima de audiência e desempenho técnico das páginas (Vercel Analytics e Speed Insights). Dados: registos do servidor, endereços IP técnicos, identificadores de página anonimizados, métricas de carregamento. Nenhum cookie de terceiros é colocado. Transferência regida por CCT. • Sentry (EUA): monitorização técnica de erros no servidor e no navegador, usada exclusivamente para qualidade e segurança. Dados: trace técnico do erro, contexto do pedido (URL, tipo de dispositivo), identificador de utilizador quando pertinente. Os filtros excluem erros provenientes de extensões de navegador de terceiros. Transferência regida por CCT. • Upstash (Irlanda / EUA): rate-limiting para segurança. Dados técnicos anonimizados. • ipapi.co e frankfurter.dev: geolocalização IP e taxas de câmbio para a apresentação de preços. Nenhum dado pessoal armazenado. Nunca vendemos os seus dados a terceiros para fins publicitários ou comerciais. Nenhum acesso de marketing é concedido aos nossos subcontratantes. A lista atualizada dos nossos subcontratantes pode ser solicitada a qualquer momento em contact@naykora.ai.

Alguns subcontratantes estão localizados fora do Espaço Económico Europeu, principalmente nos Estados Unidos. Estas transferências são regidas por: • Cláusulas Contratuais Tipo (CCT) da Comissão Europeia, versão 2021. • Data Privacy Framework (DPF) UE-EUA para os subcontratantes certificados (Stripe, Vercel são elegíveis). • Medidas técnicas adicionais: encriptação ponta a ponta, controlo de acessos, registo de acessos administrativos. A lista atualizada dos nossos subcontratantes e da sua localização pode ser solicitada a qualquer momento em contact@naykora.ai.

A Naykora implementa medidas técnicas e organizacionais adequadas ao risco, em linha com os padrões da indústria e as obrigações do RGPD. Para preservar a eficácia destas medidas, não divulgamos publicamente as configurações exatas, as versões ou os produtos específicos utilizados internamente. Os nossos compromissos gerais: • Encriptação dos dados em trânsito e em repouso. • Autenticação forte com gestão estrita das sessões. • Isolamento dos dados: cada utilizador apenas acede às suas próprias informações, inclusive ao nível da base de dados. • Proteção contra ataques de força bruta e abusos automatizados nas rotas sensíveis. • Verificação de integridade nas comunicações com os nossos prestadores (pagamento, autenticação, monitorização). • Cabeçalhos de segurança estritos do lado do navegador para limitar vetores de ataque (clickjacking, injeção, etc.). • Acesso administrativo limitado a um círculo restrito, auditado e registado. • Monitorização contínua das dependências e aplicação rápida de correções de segurança. • Revisões de código obrigatórias e testes de segurança regulares antes de cada implementação. É auditor, profissional de segurança, ou cliente que deseja uma descrição técnica mais detalhada? Contacte-nos em contact@naykora.ai e forneceremos um documento técnico mediante acordo de confidencialidade.

Conservamos os seus dados apenas o tempo necessário para as finalidades para as quais são recolhidos: • Dados da conta: durante a subscrição e 30 dias após a eliminação da conta. • Dados contabilísticos e fiscais (faturas, histórico Stripe): conforme as obrigações legais aplicáveis (tipicamente 10 anos na maioria dos países da UE). • Dados de monitorização (dispositivos, alertas): 90 dias após o evento, depois automaticamente purgados. • Mensagens da mensageria: conservação durante a subscrição, arquivo do utilizador disponível quando uma conversa é resolvida, eliminação admin a pedido. • Dados de indicação (ganhos, IBAN, pagamentos): duração legal aplicável (obrigação contabilística e anti-branqueamento, tipicamente 10 anos). • Registos de ligação: 12 meses para fins de segurança, anonimizados depois. Após estes prazos, os dados são eliminados ou anonimizados de forma irreversível.

Dispõe dos seguintes direitos ao abrigo do RGPD: • Direito de acesso: obter uma cópia dos dados que lhe dizem respeito. • Direito de retificação: corrigir um dado incorreto ou incompleto. • Direito ao apagamento (direito ao esquecimento): solicitar a eliminação dos seus dados, sob reserva das obrigações legais de conservação. • Direito à portabilidade: receber os seus dados num formato estruturado e legível por máquina (JSON), ou transferi-los para outro prestador. • Direito de oposição: opor-se ao tratamento baseado no interesse legítimo. • Direito à limitação: congelar o tratamento enquanto uma contestação é verificada. • Direito de retirada do consentimento: retirar um consentimento específico a qualquer momento, sem efeito retroativo. • Direito de definir diretivas post-mortem sobre o destino dos seus dados. • Direito de não ser objeto de uma decisão automatizada: a Naykora não efetua profiling com efeitos jurídicos significativos. Para exercer estes direitos, escreva para contact@naykora.ai. Respondemos no prazo de um mês (prorrogável por três meses para pedidos complexos, com aviso prévio). Tem também o direito de apresentar reclamação junto da autoridade de controlo do seu país de residência na União Europeia: • Portugal: CNPD - cnpd.pt • França: CNIL - cnil.fr • Bélgica: APD - autoriteprotectiondonnees.be • Outros países da UE: autoridade nacional de proteção de dados.

A Naykora utiliza um número mínimo de cookies, todos estritamente necessários: • Cookie de autenticação: manutenção da sessão iniciada. Duração: conforme as regras Supabase Auth, tipicamente 7 dias com renovação automática. • Cookie de preferência de moeda (CHF/EUR): memorização da escolha do utilizador. Duração: 1 ano. • Cookie de locale (FR/EN/PT): memorização do idioma. Duração: 1 ano. Nenhum cookie de rastreamento publicitário, análise de terceiros ou rede social é utilizado. Não temos um banner de consentimento de cookies pois nenhum cookie não essencial é colocado. Algumas preferências são também armazenadas em localStorage do navegador (tema, estado da UI). Estes dados não são transmitidos aos nossos servidores.

A Naykora é um serviço orientado para a família. Apenas pessoas maiores (18 anos completos) podem criar uma conta. A monitorização pode cobrir dispositivos utilizados por menores no agregado familiar, sob a responsabilidade dos pais ou tutores legais titulares da conta. Não recolhemos quaisquer dados pessoais diretamente junto de crianças. Se acredita que um menor nos transmitiu dados sem o consentimento parental, escreva para contact@naykora.ai para eliminação imediata.

Em caso de violação de dados pessoais suscetível de gerar um risco elevado para os seus direitos e liberdades, comprometemo-nos a: • Notificar a autoridade de controlo competente no prazo de 72 horas após o conhecimento. • Informá-lo no mais curto prazo por email com uma descrição clara da natureza da violação, dos dados em causa, das consequências prováveis e das medidas tomadas ou recomendadas. É mantido um registo interno de incidentes regularmente auditado.

A Naykora não toma decisões totalmente automatizadas que produzam efeitos jurídicos ou significativos sobre si. Os alertas de monitorização são gerados por regras técnicas determinísticas (por exemplo, correções de segurança críticas pendentes) e não constituem profiling na aceção do artigo 22 do RGPD. A luta contra a fraude no programa de indicação baseia-se em regras de deteção automática. No entanto, qualquer suspensão de conta é objeto de revisão humana prévia, e dispõe de um direito de contestação a qualquer momento.

Podemos atualizar esta Política de Privacidade para refletir alterações legais, técnicas ou novos subcontratantes. Qualquer alteração substancial ser-lhe-á notificada por email com pelo menos 30 dias de antecedência em relação à sua entrada em vigor. A data da última atualização é indicada no topo desta página. A versão anterior pode ser obtida a pedido.

Para qualquer questão, pedido de exercício de direitos ou denúncia: Email dedicado: contact@naykora.ai Assunto recomendado: "Dados pessoais - o seu pedido" Endereço postal: disponível mediante pedido para contact@naykora.ai. Acusamos a receção de qualquer pedido em 7 dias e respondemos sobre o fundo no prazo de um mês.