Política de Privacidade
A Força Aliada respeita a privacidade de todos os seus membros. Este documento explica de forma clara e direta quais dados são coletados quando você usa a plataforma, por que eles são necessários, como são protegidos e quais são seus direitos sobre eles.
Controlador dos Dados
O responsável pelo tratamento dos dados pessoais coletados pela plataforma é Gabriel Moreira, fundador e administrador da comunidade Força Aliada, com sede no Brasil.
Para qualquer comunicação relacionada a dados pessoais, use os canais indicados na Seção 12 deste documento.
A FA coleta apenas os dados estritamente necessários para operar os serviços. Não existe monetização de dados. Nenhuma informação pessoal é vendida ou compartilhada com anunciantes.
Dados que Coletamos
Os dados coletados variam conforme o tipo de interação que você tem com a plataforma. A tabela abaixo detalha cada categoria:
| Dado | Origem | Por que coletamos |
|---|---|---|
| Nome de usuário | Cadastro manual | Identificação na plataforma e no painel de staff |
| Endereço de e-mail | Cadastro manual | Verificação de conta, recuperação de senha e comunicações |
| Nick de Minecraft | Cadastro ou via Xbox | Vinculação ao perfil no servidor, skin e whitelist |
| Senha (hash bcrypt) | Cadastro manual | Autenticação segura. Nunca armazenada em texto claro |
| Endereço IP | Acesso ao site/API | Segurança, detecção de abusos e registros de auditoria |
| User-Agent | Acesso ao site/API | Identificação de dispositivo nas sessões web ativas |
| Localização aproximada | Derivado do IP | Exibição informativa no painel de sessões |
| Histórico de sessões | Servidor Minecraft | Estatísticas de atividade exibidas no painel pessoal |
| UUID e Xbox XUID | API Microsoft/Mojang (se vinculado) | Vinculação de conta Xbox e funcionalidades de integração |
| Refresh token Microsoft | API Microsoft (se vinculado) | Manter a integração Xbox ativa sem solicitar login repetido |
Ao usar a autenticação Microsoft, o fluxo OAuth acontece diretamente nos servidores da Microsoft. A FA recebe apenas os dados listados acima, nunca a senha da sua conta Microsoft.
Como Usamos os Dados
Cada dado coletado tem uma finalidade específica e não é utilizado para outros fins sem base legal adequada. As finalidades são:
- Autenticação e segurança: Verificar sua identidade ao fazer login, detectar acessos não autorizados e proteger a conta contra uso indevido.
- Operação da conta: Exibir seu perfil no painel, mostrar histórico de atividade, calcular mérito e rank, e gerenciar preferências personalizadas.
- Comunicação: Enviar e-mails transacionais como código de verificação, confirmação de cadastro e recuperação de senha. Não enviamos newsletters sem consentimento.
- Integração com o servidor: Vincular sua conta ao nick de Minecraft para whitelist, exibição de skin e sincronização de dados de jogo.
- Auditoria interna: Registrar ações relevantes (logins, alterações de perfil, ações de moderação) para rastreabilidade e segurança da plataforma.
- Melhoria dos serviços: Analisar padrões de uso de forma agregada e não identificável para melhorar a experiência da plataforma.
Armazenamento e Localização
Os dados da plataforma são armazenados em infraestrutura cloud com as seguintes características:
- Banco de dados: PostgreSQL hospedado no Neon.tech, em região AWS US-East-1. Os dados são criptografados em repouso e em trânsito via TLS.
- Servidor de aplicação: API hospedada no Render.com, em região US-East. O acesso à API é feito exclusivamente via HTTPS.
- Senhas: Armazenadas apenas como hash bcrypt (custo 10), nunca em texto claro. Tokens de sessão são armazenados como hash SHA-256.
- Refresh tokens Microsoft: Armazenados de forma segura no banco. São usados exclusivamente para renovar integrações Xbox e podem ser revogados pelo painel a qualquer momento.
Dados da Microsoft
Se você optar por vincular sua conta Microsoft à FA, dados adicionais são coletados via OAuth 2.0, respeitando os escopos de permissão aprovados por você no momento da vinculação.
- Dados coletados: Xbox XUID (identificador único do Xbox Live), UUID do Minecraft, nome de usuário no jogo e refresh token para renovação de sessão.
- Amigos do Xbox: A funcionalidade consulta a API do Xbox Live em tempo real. Os dados dos seus amigos não são armazenados no banco da FA.
- Troca de skin: A FA faz uma requisição à API da Mojang em seu nome. A URL da skin não fica armazenada após o envio.
- Revogação: Você pode desvincular a conta Microsoft pelo painel a qualquer momento. Para revogar no lado Microsoft, acesse account.microsoft.com.
A Política de Privacidade da Microsoft se aplica às informações tratadas nos servidores deles. Consulte privacy.microsoft.com para mais detalhes.
Compartilhamento de Dados
A FA não vende, aluga, cede ou compartilha dados pessoais de usuários com terceiros para fins comerciais. O compartilhamento só ocorre nos seguintes casos:
- Provedores de infraestrutura: Neon.tech (banco de dados) e Render.com (servidor de aplicação) têm acesso técnico aos dados para operar os serviços, com obrigação contratual de protegê-los.
- Serviço de e-mail: A Resend.com processa os e-mails transacionais. Apenas o endereço destinatário é compartilhado para essa finalidade.
- Obrigação legal: Em caso de ordem judicial ou determinação de autoridade competente, os dados podem ser compartilhados conforme exigido por lei brasileira.
- Proteção de direitos: Em casos de ameaça à segurança da plataforma, fraude ou abuso, informações técnicas como IP podem ser usadas para investigação interna.
Retenção e Exclusão de Dados
Os dados são mantidos enquanto a conta estiver ativa. Após a exclusão da conta:
- Dados pessoais identificáveis (e-mail, senha, nome de usuário): removidos em até 30 dias após a solicitação.
- Histórico de sessões no servidor: Anonimizado ou removido no mesmo prazo.
- Registros de auditoria: Podem ser mantidos por até 90 dias adicionais para fins de segurança e investigação de eventuais incidentes passados.
- Dados de integração Microsoft (XUID, UUID, refresh token): removidos imediatamente ao desvincular a conta ou ao excluir o perfil.
Para solicitar a exclusão, envie mensagem pelo Discord oficial ou por e-mail com o assunto "Exclusão de Dados". A solicitação será processada em até 30 dias corridos.
Cookies e Armazenamento Local
O site da FA não utiliza cookies de rastreamento nem ferramentas de analytics de terceiros. O armazenamento no navegador é usado exclusivamente para:
fa_token: Token JWT de autenticação. Armazenado nolocalStorage. Expira em 7 dias. Necessário para manter sua sessão ativa sem fazer login repetidamente.fa_session: Cache básico dos dados do perfil (nome de usuário, role, nick de Minecraft). Armazenado nolocalStorage. Atualizado a cada login.fa_theme: Preferência de tema visual (claro, escuro ou automático). Armazenado nolocalStorage. Não contém dados pessoais.
Esses dados ficam apenas no seu dispositivo e não são acessíveis a terceiros. Você pode limpá-los nas configurações do navegador, o que equivale a encerrar a sessão local.
Seus Direitos
De acordo com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), você possui os seguintes direitos em relação aos seus dados pessoais:
Para exercer qualquer um desses direitos, entre em contato pelos canais indicados na Seção 12. Responderemos em até 15 dias úteis.
Segurança dos Dados
A FA adota medidas técnicas para proteger os dados contra acesso não autorizado, alteração, divulgação ou destruição:
- HTTPS obrigatório: Toda comunicação entre o navegador e a API é feita via TLS. Requisições HTTP não seguras são rejeitadas.
- Rate limiting: Rotas sensíveis como login e recuperação de senha possuem limitação de tentativas por IP para prevenir ataques de força bruta.
- Hashing de senhas: Senhas são transformadas em hash com bcrypt antes de serem armazenadas. O processo é irreversível.
- Auditoria: Ações relevantes como logins e alterações de perfil são registradas em log com IP e timestamp.
- Controle de sessão: Você pode visualizar e revogar todas as sessões web ativas pelo painel de conta em tempo real.
- Proteção de cabeçalhos: O servidor utiliza Helmet.js para definir cabeçalhos HTTP de segurança e bloquear vetores comuns de ataque.
Em caso de incidente de segurança que afete dados pessoais, a FA notificará os usuários afetados pelo Discord e/ou e-mail no menor prazo possível.
Alterações nesta Política
Esta Política de Privacidade pode ser atualizada para refletir mudanças na plataforma, nas integrações com terceiros ou em obrigações legais. Quando isso ocorrer:
- Mudanças relevantes: Serão comunicadas com pelo menos 7 dias de antecedência pelo painel de notificações e/ou pelo Discord oficial.
- Versão atual: A data de vigência está indicada no topo do documento. A versão mais recente estará sempre disponível em forcaaliada.ogabriels.com/privacidade.
- Consentimento: O uso contínuo da plataforma após a vigência de uma nova versão equivale ao aceite das mudanças.
Contato e Solicitações
Para exercer seus direitos, tirar dúvidas sobre esta Política ou reportar um incidente de segurança:
Discord Oficial
Canal principal para suporte e solicitações gerais. discord.gg/xZmRkB7PWd
Para questões formais, solicitações de dados e relatórios de incidentes. contato@ogabriels.com
Autoridade Nacional de Proteção de Dados
Se acreditar que seus direitos não foram atendidos, você pode contatar a ANPD em gov.br/anpd.