Força Aliada
Privacidade e Proteção de Dados

Política de Privacidade

A Força Aliada respeita a privacidade de todos os seus membros. Este documento explica de forma clara e direta quais dados são coletados quando você usa a plataforma, por que eles são necessários, como são protegidos e quais são seus direitos sobre eles.

Seção 01

Controlador dos Dados

O responsável pelo tratamento dos dados pessoais coletados pela plataforma é Gabriel Moreira, fundador e administrador da comunidade Força Aliada, com sede no Brasil.

Para qualquer comunicação relacionada a dados pessoais, use os canais indicados na Seção 12 deste documento.

Compromisso com a privacidade

A FA coleta apenas os dados estritamente necessários para operar os serviços. Não existe monetização de dados. Nenhuma informação pessoal é vendida ou compartilhada com anunciantes.

Seção 02

Dados que Coletamos

Os dados coletados variam conforme o tipo de interação que você tem com a plataforma. A tabela abaixo detalha cada categoria:

Dado Origem Por que coletamos
Nome de usuárioCadastro manualIdentificação na plataforma e no painel de staff
Endereço de e-mailCadastro manualVerificação de conta, recuperação de senha e comunicações
Nick de MinecraftCadastro ou via XboxVinculação ao perfil no servidor, skin e whitelist
Senha (hash bcrypt)Cadastro manualAutenticação segura. Nunca armazenada em texto claro
Endereço IPAcesso ao site/APISegurança, detecção de abusos e registros de auditoria
User-AgentAcesso ao site/APIIdentificação de dispositivo nas sessões web ativas
Localização aproximadaDerivado do IPExibição informativa no painel de sessões
Histórico de sessõesServidor MinecraftEstatísticas de atividade exibidas no painel pessoal
UUID e Xbox XUIDAPI Microsoft/Mojang (se vinculado)Vinculação de conta Xbox e funcionalidades de integração
Refresh token MicrosoftAPI Microsoft (se vinculado)Manter a integração Xbox ativa sem solicitar login repetido
Login via Xbox

Ao usar a autenticação Microsoft, o fluxo OAuth acontece diretamente nos servidores da Microsoft. A FA recebe apenas os dados listados acima, nunca a senha da sua conta Microsoft.

Seção 03

Como Usamos os Dados

Cada dado coletado tem uma finalidade específica e não é utilizado para outros fins sem base legal adequada. As finalidades são:

  • Autenticação e segurança: Verificar sua identidade ao fazer login, detectar acessos não autorizados e proteger a conta contra uso indevido.
  • Operação da conta: Exibir seu perfil no painel, mostrar histórico de atividade, calcular mérito e rank, e gerenciar preferências personalizadas.
  • Comunicação: Enviar e-mails transacionais como código de verificação, confirmação de cadastro e recuperação de senha. Não enviamos newsletters sem consentimento.
  • Integração com o servidor: Vincular sua conta ao nick de Minecraft para whitelist, exibição de skin e sincronização de dados de jogo.
  • Auditoria interna: Registrar ações relevantes (logins, alterações de perfil, ações de moderação) para rastreabilidade e segurança da plataforma.
  • Melhoria dos serviços: Analisar padrões de uso de forma agregada e não identificável para melhorar a experiência da plataforma.
Seção 04

Armazenamento e Localização

Os dados da plataforma são armazenados em infraestrutura cloud com as seguintes características:

  • Banco de dados: PostgreSQL hospedado no Neon.tech, em região AWS US-East-1. Os dados são criptografados em repouso e em trânsito via TLS.
  • Servidor de aplicação: API hospedada no Render.com, em região US-East. O acesso à API é feito exclusivamente via HTTPS.
  • Senhas: Armazenadas apenas como hash bcrypt (custo 10), nunca em texto claro. Tokens de sessão são armazenados como hash SHA-256.
  • Refresh tokens Microsoft: Armazenados de forma segura no banco. São usados exclusivamente para renovar integrações Xbox e podem ser revogados pelo painel a qualquer momento.
Seção 05

Dados da Microsoft

Se você optar por vincular sua conta Microsoft à FA, dados adicionais são coletados via OAuth 2.0, respeitando os escopos de permissão aprovados por você no momento da vinculação.

  • Dados coletados: Xbox XUID (identificador único do Xbox Live), UUID do Minecraft, nome de usuário no jogo e refresh token para renovação de sessão.
  • Amigos do Xbox: A funcionalidade consulta a API do Xbox Live em tempo real. Os dados dos seus amigos não são armazenados no banco da FA.
  • Troca de skin: A FA faz uma requisição à API da Mojang em seu nome. A URL da skin não fica armazenada após o envio.
  • Revogação: Você pode desvincular a conta Microsoft pelo painel a qualquer momento. Para revogar no lado Microsoft, acesse account.microsoft.com.

A Política de Privacidade da Microsoft se aplica às informações tratadas nos servidores deles. Consulte privacy.microsoft.com para mais detalhes.

Seção 06

Compartilhamento de Dados

A FA não vende, aluga, cede ou compartilha dados pessoais de usuários com terceiros para fins comerciais. O compartilhamento só ocorre nos seguintes casos:

  • Provedores de infraestrutura: Neon.tech (banco de dados) e Render.com (servidor de aplicação) têm acesso técnico aos dados para operar os serviços, com obrigação contratual de protegê-los.
  • Serviço de e-mail: A Resend.com processa os e-mails transacionais. Apenas o endereço destinatário é compartilhado para essa finalidade.
  • Obrigação legal: Em caso de ordem judicial ou determinação de autoridade competente, os dados podem ser compartilhados conforme exigido por lei brasileira.
  • Proteção de direitos: Em casos de ameaça à segurança da plataforma, fraude ou abuso, informações técnicas como IP podem ser usadas para investigação interna.
Seção 07

Retenção e Exclusão de Dados

Os dados são mantidos enquanto a conta estiver ativa. Após a exclusão da conta:

  • Dados pessoais identificáveis (e-mail, senha, nome de usuário): removidos em até 30 dias após a solicitação.
  • Histórico de sessões no servidor: Anonimizado ou removido no mesmo prazo.
  • Registros de auditoria: Podem ser mantidos por até 90 dias adicionais para fins de segurança e investigação de eventuais incidentes passados.
  • Dados de integração Microsoft (XUID, UUID, refresh token): removidos imediatamente ao desvincular a conta ou ao excluir o perfil.

Para solicitar a exclusão, envie mensagem pelo Discord oficial ou por e-mail com o assunto "Exclusão de Dados". A solicitação será processada em até 30 dias corridos.

Seção 08

Cookies e Armazenamento Local

O site da FA não utiliza cookies de rastreamento nem ferramentas de analytics de terceiros. O armazenamento no navegador é usado exclusivamente para:

  • fa_token: Token JWT de autenticação. Armazenado no localStorage. Expira em 7 dias. Necessário para manter sua sessão ativa sem fazer login repetidamente.
  • fa_session: Cache básico dos dados do perfil (nome de usuário, role, nick de Minecraft). Armazenado no localStorage. Atualizado a cada login.
  • fa_theme: Preferência de tema visual (claro, escuro ou automático). Armazenado no localStorage. Não contém dados pessoais.

Esses dados ficam apenas no seu dispositivo e não são acessíveis a terceiros. Você pode limpá-los nas configurações do navegador, o que equivale a encerrar a sessão local.

Seção 09

Seus Direitos

De acordo com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), você possui os seguintes direitos em relação aos seus dados pessoais:

Acesso
Solicitar uma cópia dos dados pessoais que temos sobre você.
Correção
Corrigir dados incorretos ou desatualizados pelo painel ou via solicitação.
Exclusão
Solicitar a exclusão dos seus dados quando não houver mais base legal para o tratamento.
Portabilidade
Receber seus dados em formato estruturado para transferência a outro serviço.
Oposição
Opor-se ao tratamento de dados em casos onde ele não seja estritamente necessário.
Informação
Saber com quais terceiros seus dados foram compartilhados e por qual motivo.

Para exercer qualquer um desses direitos, entre em contato pelos canais indicados na Seção 12. Responderemos em até 15 dias úteis.

Seção 10

Segurança dos Dados

A FA adota medidas técnicas para proteger os dados contra acesso não autorizado, alteração, divulgação ou destruição:

  • HTTPS obrigatório: Toda comunicação entre o navegador e a API é feita via TLS. Requisições HTTP não seguras são rejeitadas.
  • Rate limiting: Rotas sensíveis como login e recuperação de senha possuem limitação de tentativas por IP para prevenir ataques de força bruta.
  • Hashing de senhas: Senhas são transformadas em hash com bcrypt antes de serem armazenadas. O processo é irreversível.
  • Auditoria: Ações relevantes como logins e alterações de perfil são registradas em log com IP e timestamp.
  • Controle de sessão: Você pode visualizar e revogar todas as sessões web ativas pelo painel de conta em tempo real.
  • Proteção de cabeçalhos: O servidor utiliza Helmet.js para definir cabeçalhos HTTP de segurança e bloquear vetores comuns de ataque.

Em caso de incidente de segurança que afete dados pessoais, a FA notificará os usuários afetados pelo Discord e/ou e-mail no menor prazo possível.

Seção 11

Alterações nesta Política

Esta Política de Privacidade pode ser atualizada para refletir mudanças na plataforma, nas integrações com terceiros ou em obrigações legais. Quando isso ocorrer:

  • Mudanças relevantes: Serão comunicadas com pelo menos 7 dias de antecedência pelo painel de notificações e/ou pelo Discord oficial.
  • Versão atual: A data de vigência está indicada no topo do documento. A versão mais recente estará sempre disponível em forcaaliada.ogabriels.com/privacidade.
  • Consentimento: O uso contínuo da plataforma após a vigência de uma nova versão equivale ao aceite das mudanças.
Seção 12

Contato e Solicitações

Para exercer seus direitos, tirar dúvidas sobre esta Política ou reportar um incidente de segurança:

Discord Oficial

Canal principal para suporte e solicitações gerais. discord.gg/xZmRkB7PWd

E-mail

Para questões formais, solicitações de dados e relatórios de incidentes. contato@ogabriels.com

Autoridade Nacional de Proteção de Dados

Se acreditar que seus direitos não foram atendidos, você pode contatar a ANPD em gov.br/anpd.