Politica de Privacidade

O Vuky, inscrito no CNPJ sob o numero 66.035.909/0001-93, com operacao no Rio de Janeiro, RJ, Brasil, atua como controlador de dados pessoais no contexto das atividades descritas nesta politica, sem prejuizo das situacoes em que terceiros independentes tratem dados sob sua propria autonomia e responsabilidade.

Esta politica aplica-se a visitantes do site, usuarios cadastrados, parceiros comerciais, titulares que entram em contato pelos canais oficiais e pessoas relacionadas a eventos ou reservas operadas na plataforma.

• Viabilizar cadastro, autenticacao, acesso a perfis e funcionamento dos recursos da plataforma.
• Exibir sugestoes, conexoes, estabelecimentos e experiencias de forma mais aderente ao contexto de uso.
• Processar reservas, pagamentos, confirmacoes, cancelamentos e comunicacoes operacionais.
• Prevenir fraude, abuso, uso indevido, acessos nao autorizados e violacoes de seguranca.
• Atender obrigacoes legais, reguladoras, fiscais, consumeristas e de cooperacao com autoridades competentes.
• Melhorar a experiencia do produto, realizar metricas agregadas e evoluir funcionalidade, desempenho e confiabilidade.

O tratamento de dados pessoais pode se fundamentar, conforme o caso, em uma ou mais hipoteses previstas no artigo 7 da LGPD e em outras disposicoes legais aplicaveis.

• Consentimento, quando a funcionalidade ou a coleta exigirem manifestacao livre, informada e inequivoca do titular.
• Execucao de contrato ou de procedimentos preliminares relacionados ao servico solicitado pelo usuario.
• Cumprimento de obrigacao legal ou regulatoria.
• Exercicio regular de direitos em processo judicial, administrativo ou arbitral.
• Interesse legitimo do controlador, observados a proporcionalidade, a necessidade e os direitos do titular.

O Vuky pode compartilhar dados pessoais com operadores e parceiros estritamente necessarios para a prestacao do servico, observadas as finalidades legitimas e o grau de acesso compativel com cada atividade.

• Provedores de infraestrutura, armazenamento, hospedagem e seguranca, inclusive Google Cloud Storage quando aplicavel.
• Provedores de pagamento e meios de transacao, como Mercado Pago, para viabilizacao financeira de reservas e compras.
• Parceiros comerciais diretamente envolvidos na experiencia contratada, dentro do minimo necessario para a prestacao.
• Autoridades administrativas, policiais ou judiciais, quando houver base legal, ordem competente ou necessidade de defesa de direitos.

O Vuky adota medidas tecnicas e organizacionais concretas para proteger dados pessoais contra acessos nao autorizados, destruicao, perda, alteracao ou divulgacao indevida, em conformidade com o Art. 46 da LGPD (Lei 13.709/2018). A seguir descrevemos todos os mecanismos tecnicos ativamente implementados na plataforma:

6.1 Autenticacao e Gestao de Sessao (JWT)

Toda sessao de usuario e controlada por JSON Web Token (JWT) assinado com chave secreta armazenada exclusivamente em variaveis de ambiente no servidor (nunca no codigo-fonte). O token contem:

• Identificador unico do usuario (pessoa_id)
• Tipo de conta (usuario, estabelecimento ou equipe interna)
• Data de expiracao (exp) — o token e invalidado automaticamente apos o prazo

O frontend injeta o token automaticamente em todas as requisicoes ao backend via interceptador HTTP (authInterceptor). Em caso de token expirado ou invalido, o usuario e desconectado imediatamente e redirecionado para o login. Endpoints publicos (login, cadastro) e o webhook do Mercado Pago nao recebem token.

6.2 Protecao de Senhas (Bcrypt)

Senhas de usuarios nunca sao armazenadas em texto puro. Toda senha e convertida em hash irreversivel usando o algoritmo bcrypt com fator de custo elevado antes de ser gravada no banco de dados. Isso significa que, mesmo em hipotetico vazamento do banco, as senhas originais nao podem ser recuperadas.

6.3 Controle de Acesso por Perfil

Todas as rotas protegidas verificam, alem da autenticidade do token, o perfil de acesso do usuario antes de processar a requisicao. Exemplos:

• Funcionalidades administrativas sao restritas exclusivamente a equipe interna do Vuky — usuarios comuns recebem erro de acesso negado
• Gestao de eventos e restrita a contas de estabelecimentos verificados — nenhum usuario comum pode criar ou editar eventos de terceiros
• Dados de perfil de outro usuario so sao acessiveis a quem esta autenticado e autorizado

6.4 Prevencao de Injecao SQL (Prepared Statements)

Toda interacao com o banco de dados utiliza consultas parametrizadas (Prepared Statements) via driver oficial MySQL2. Valores fornecidos pelo usuario nunca sao concatenados diretamente em queries SQL, eliminando o risco de injecao SQL (OWASP A03).

6.5 Protecao de Headers HTTP (Helmet.js)

O servidor aplica automaticamente cabecalhos HTTP de seguranca via Helmet.js:

• X-Frame-Options: Impede que a plataforma seja embutida em iframes (previne clickjacking)
• X-Content-Type-Options: nosniff: Impede que navegadores interpretem arquivos como tipos diferentes do declarado
• Strict-Transport-Security (HSTS): Forca conexao exclusivamente via HTTPS
• Referrer-Policy: Controla informacoes enviadas ao navegar para outros sites

6.6 Limitacao de Taxa (Rate Limiting)

Para proteger contra ataques de forca bruta e abuso automatizado, a plataforma limita o numero de requisicoes por IP:

• Rotas de autenticacao (login, registro, recuperacao de senha): 20 tentativas por 15 minutos por IP
• Rotas autenticadas gerais: 3.000 requisicoes por 15 minutos
• Catalogo publico: 2.000 requisicoes por 15 minutos

IPs que violam os limites recebem resposta 429 (Too Many Requests) automaticamente.

6.7 CORS — Controle de Origem

A API aceita requisicoes exclusivamente de origens cadastradas em lista branca (whitelist): dominio oficial do Vuky, ambiente de desenvolvimento e o runtime do aplicativo mobile (Capacitor). Qualquer origem nao autorizada e bloqueada automaticamente com erro de CORS, impedindo que sites maliciosos realizem requisicoes em nome do usuario.

6.8 Limite de Payload e Protecao de Upload

O corpo das requisicoes HTTP e limitado a 1 MB para prevenir ataques de negacao de servico (DoS) por sobrecarga. Arquivos de imagem enviados por usuarios passam por validacao de tipo MIME e tamanho (limite de 5 MB por arquivo) antes de serem armazenados no Google Cloud Storage. Os arquivos originais nunca sao salvos no servidor da API.

6.9 Tratamento de Erros Sem Vazamento de Informacao

Em ambiente de producao, o servidor retorna apenas mensagens genericas em caso de erro interno ("Erro interno do servidor"), sem expor detalhes de stacktrace, estrutura de banco de dados, variaveis internas ou mensagens tecnicas. Dados sensiveis como senhas, tokens ou informacoes de pagamento nunca aparecem em logs do servidor.

6.10 Pagamentos — Terceirizacao para Mercado Pago

O Vuky nao armazena dados de cartao de credito, dados bancarios ou informacoes financeiras sensiveis. Todo o processamento de pagamentos e realizado diretamente pelo Mercado Pago, empresa certificada com PCI DSS (Payment Card Industry Data Security Standard). O Vuky recebe apenas a confirmacao do status da transacao e o protocolo do pagamento.

6.11 Verificacao de E-mail no Cadastro

O cadastro de novos usuarios exige verificacao do endereco de e-mail por meio de token enviado por mensagem. Contas nao verificadas tem acesso restrito ate a confirmacao, o que impede a criacao massiva de contas falsas.

6.12 Validacao de Idade (18+)

O formulario de cadastro valida a data de nascimento no frontend e no backend, rejeitando automaticamente usuarios menores de 18 anos, em cumprimento ao Art. 14 da LGPD e a natureza do servico.

A plataforma pode utilizar cookies, tokens, armazenamento local e tecnologias semelhantes para autenticar sessao, memorizar preferencias, melhorar desempenho, proteger o ambiente e apoiar metricas de uso.

O titular pode gerenciar preferencias de cookies no navegador ou por outros mecanismos disponibilizados, ciente de que a desativacao de determinados recursos pode afetar a experiencia e o funcionamento do servico.

Nos termos do artigo 18 da LGPD e da regulacao aplicavel, o titular pode solicitar, observados os limites legais e tecnicos:

• Confirmacao da existencia de tratamento.
• Acesso aos dados pessoais tratados.
• Correcao de dados incompletos, inexatos ou desatualizados.
• Anonimizacao, bloqueio ou eliminacao de dados desnecessarios ou tratados em desconformidade.
• Portabilidade, quando aplicavel e regulamentada.
• Informacao sobre compartilhamentos realizados.
• Revogacao do consentimento e oposicao a tratamentos cabiveis.

Os dados pessoais sao mantidos pelo tempo necessario para cumprir as finalidades informadas nesta politica, atender exigencias legais, reguladoras, fiscais, consumeristas, contratuais e de seguranca, bem como para resguardar direitos em eventuais disputas.

Encerrada a finalidade e inexistindo fundamento legal para a conservacao, os dados poderao ser eliminados, anonimizados ou submetidos a procedimentos seguros de descarte, ressalvadas as hipoteses legais de retencao.

O Vuky não se destina a menores de 18 anos. Se houver identificação de cadastro ou tratamento indevido relacionado a menores fora das hipóteses legalmente permitidas, medidas razoáveis poderão ser adotadas para restrição, exclusão e saneamento do registro.

Conformidade com Play Store e LGPD

Como plataforma de encontros (categoria Social), o Vuky está em conformidade total com:

• Play Store Política de Segurança Infantil: Rejeitamos ativamente qualquer conteúdo, comportamento ou padrão que coloque menores em risco.
• Prevenção de CSAM/CSAE: Utilizamos sistemas de verificação de idade no registro. Material de abuso sexual infantil (CSAM) é terminantemente proibido e encaminhado às autoridades competentes.
• LGPD: Dados de menores não são coletados propositalmente. Se detectados, são removidos imediatamente.

Sistema de Denúncia Integrado

Qualquer usuário pode reportar comportamento suspeito, mensagens inapropriadas ou exploração infantil diretamente dentro do app através de nosso sistema de denúncias. Acesse Padrões de Segurança Infantil para mais informações.

Encaminhamento para Autoridades

Violações confirmadas relacionadas a menores resultam em:

• Banimento permanente da plataforma
• Encaminhamento aos órgãos competentes (Polícia Civil, Ministério Público, SaferNet Brasil)
• Documentação completa e auditável de todas as ações

Esta Politica de Privacidade pode ser revisada a qualquer tempo para refletir alteracoes legislativas, melhorias de governanca, mudancas de fluxo do produto ou evolucoes tecnicas. A data da versao vigente sera sempre atualizada nesta pagina.

Solicitacoes relacionadas a privacidade, exercicio de direitos, incidentes, duvidas ou reclamacoes podem ser encaminhadas aos canais oficiais abaixo. Para facilitar o atendimento, recomenda-se indicar o assunto Privacidade e Dados Pessoais no contato.