Política de Privacidade

O controlador dos dados pessoais tratados pela plataforma Koinos é a Koinos Digital, empresa brasileira, com sede no Brasil, responsável por determinar as finalidades e os meios do tratamento dos dados, nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

Para contato sobre privacidade, consulte a Seção 11 (Encarregado de Dados).

2.1 Dados pessoais

• Nome completo;
• CPF (armazenado criptografado com AES-256-GCM);
• RG (armazenado criptografado com AES-256-GCM);
• Endereço de e-mail;
• Telefone;
• Data de nascimento;
• Endereço residencial (logradouro, bairro, cidade, estado, CEP);
• Foto de perfil (armazenada no serviço de storage Supabase).

2.2 Dados eclesiásticos

• Papel na Igreja (pastor, líder, membro, visitante etc.);
• Data de recebimento e batismo;
• Ministérios e grupos musicais a que pertence;
• Escalas de serviço atribuídas;
• Tags de atribuição pastoral.

2.3 Dados financeiros

• Transações financeiras registradas pela liderança (dízimos, ofertas, despesas);
• Número de conta bancária da Igreja (armazenado criptografado com AES-256-GCM).

2.4 Dados comportamentais

• Registros de check-in em eventos (data, hora, método, geolocalização opcional);
• Histórico de leitura bíblica diária e streaks de devoção;
• Pontuação e conquistas na gamificação;
• Posts, comentários e reações no mural comunitário;
• Votos em eleições de assembleia (armazenados de forma anonimizada via hash SHA-256).

2.5 Dados técnicos

• Endereço IP (registrado nos logs de auditoria de operações sensíveis);
• Informações de sessão (token JWT gerenciado pelo Supabase Auth);
• Dados de autenticação multifator (TOTP via Supabase Auth MFA).

Cadastro e gestão de membros

Identificar, autenticar e gerenciar os membros da Igreja, incluindo controle de acesso por papéis (RBAC) e comunicação interna.

Prestação do serviço contratado

Operar todos os módulos contratados pela Igreja: agenda, eventos, ministérios, escalas, liturgia, repertório, recursos, financeiro, mural, gamificação, check-in, assembleias e landing page.

Conformidade legal e auditoria

Manter logs de auditoria de operações sensíveis (quem fez o quê, quando e de qual IP) para fins de rastreabilidade e cumprimento de obrigações legais, incluindo registros financeiros exigidos pela legislação tributária.

Segurança e prevenção de fraudes

Detectar e prevenir acessos não autorizados, tentativas de fraude e uso indevido da plataforma.

Engajamento comunitário (com consentimento)

Envio de notificações por e-mail sobre escalas, eventos e atividades da Igreja, mediante consentimento específico do Usuário.

Gamificação e devoção (com consentimento)

Registrar pontuações, conquistas e streaks de leitura para promover o engajamento espiritual, mediante consentimento do Usuário.

Melhoria do serviço

Análise agregada e anonimizada de uso da plataforma para identificar oportunidades de melhoria, sem identificação individual.

O tratamento de dados pessoais pelo Koinos fundamenta-se nas seguintes bases legais previstas na LGPD (art. 7º e art. 11):

• Consentimento (art. 7º, I): para notificações por e-mail, gamificação, engajamento e compartilhamento opcional de dados. O consentimento é registrado com timestamp, IP e versão dos termos, podendo ser revogado a qualquer momento em Perfil → Privacidade.
• Execução de contrato (art. 7º, V): para dados necessários à prestação do serviço contratado pela Igreja, como identificação, autenticação, escalas e eventos.
• Cumprimento de obrigação legal (art. 7º, II): para manutenção de registros financeiros e logs de auditoria exigidos pela legislação brasileira.
• Legítimo interesse (art. 7º, IX): para segurança da plataforma, prevenção de fraudes e melhoria do serviço, desde que não prevaleçam sobre os direitos e liberdades do Usuário.

O Koinos não vende dados pessoais. O compartilhamento ocorre exclusivamente com os seguintes subprocessadores, todos vinculados por acordos de proteção de dados:

Supabase, Inc. (EUA)

Banco de dados PostgreSQL, autenticação e armazenamento de arquivos. Dados armazenados na região us-east-1 (podendo ser migrados para região brasileira quando disponível). Privacy Policy: supabase.com/privacy.

Stripe, Inc. (EUA)

Processamento de pagamentos de assinaturas. O Koinos não armazena dados de cartão de crédito. Privacy Policy: stripe.com/br/privacy.

Resend, Inc. (EUA)

Envio de e-mails transacionais (boas-vindas, convite, redefinição de senha, código de votação, falha de pagamento). Privacy Policy: resend.com/legal/privacy-policy.

Vercel, Inc. (EUA)

Hospedagem e entrega da aplicação web, incluindo edge network global. Privacy Policy: vercel.com/legal/privacy-policy.

Upstash, Inc. (EUA)

Serviço Redis para rate limiting e cache de tokens de check-in. Não armazena dados pessoais de forma persistente.

Cloudflare, Inc. (EUA)

Serviço Turnstile para validação anti-bot nos formulários de cadastro. Privacy Policy: cloudflare.com/privacypolicy.

OpenAI, L.L.C. / Google LLC (EUA)

Modelos de Inteligência Artificial utilizados para sugestões de liturgia (add-on). Apenas o contexto necessário (objetivo do culto, lista de músicas do repertório, versículos bíblicos) é enviado, sem dados pessoais identificáveis.

O compartilhamento com autoridades públicas ocorre apenas quando exigido por lei ou determinação judicial.

6.1 Criptografia em repouso

Os seguintes dados sensíveis são criptografados com AES-256-GCM antes de serem armazenados no banco:

• CPF dos membros;
• RG dos membros;
• Número de conta bancária da Igreja.

A chave de criptografia é gerenciada por variável de ambiente no servidor e nunca exposta ao cliente.

6.2 Isolamento multi-tenant

Cada Igreja é isolada das demais por Row Level Security (RLS) no banco de dados PostgreSQL. Nenhum dado de uma Igreja é acessível por outra, nem mesmo para o time técnico do Koinos em operações de rotina.

6.3 Autenticação

Autenticação gerenciada pelo Supabase Auth com suporte a autenticação multifator (TOTP). Senhas são armazenadas com hash bcrypt pelo Supabase.

6.4 Transmissão

Todas as comunicações entre cliente e servidor utilizam TLS/HTTPS. Os security headers (CSP, HSTS, X-Frame-Options, X-Content-Type-Options) são configurados em todas as respostas.

6.5 Votos e anonimização

Os votos em eleições de assembleia são armazenados com um hash SHA-256 do identificador do votante (nunca o ID direto), garantindo anonimato enquanto previne dupla votação.

6.6 Incidentes de segurança

Em caso de violação de dados que possa afetar os direitos dos titulares, o Koinos notificará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados conforme os prazos previstos na LGPD.

Os dados pessoais são retidos pelos prazos abaixo, findo os quais são anonimizados ou excluídos:

• Dados pessoais de membros ativos: enquanto a conta estiver ativa.
• Dados pessoais após exclusão de conta: anonimizados irreversivelmente (nome, CPF, RG, e-mail, telefone, endereço e foto) conforme solicitação do titular.
• Registros financeiros: 5 (cinco) anos, conforme exigência do Código Tributário Nacional e legislação contábil brasileira.
• Logs de auditoria: 5 (cinco) anos para garantir rastreabilidade de operações sensíveis.
• Registros de consentimento LGPD: durante toda a vigência da relação e por 5 (cinco) anos após o encerramento, para fins de comprovação.
• Dados de sessão e tokens: conforme tempo de expiração configurado no Supabase Auth (máximo 7 dias por padrão).

Nos termos da LGPD (art. 18), o titular de dados pessoais tem os seguintes direitos, todos exercíveis pelo painel Perfil → Privacidade:

• Acesso: visualizar os dados pessoais armazenados sobre si.
• Correção: atualizar dados incompletos, inexatos ou desatualizados pelo painel de perfil.
• Revogação de consentimento: revogar consentimentos granulares a qualquer momento, sem prejuízo da licitude do tratamento anterior.
• Portabilidade: exportar seus dados em formato JSON ou CSV pelo painel de privacidade.
• Exclusão: solicitar a anonimização irreversível dos dados pessoais identificáveis (exceto registros financeiros e logs de auditoria, mantidos por obrigação legal).
• Oposição: opor-se ao tratamento realizado com base em legítimo interesse.
• Informação sobre compartilhamento: obter informações sobre as entidades com as quais seus dados foram compartilhados.

Solicitações que não possam ser atendidas automaticamente pelo painel podem ser direcionadas ao DPO (ver Seção 11). O prazo de resposta é de até 15 (quinze) dias úteis.

9.1 Cookies essenciais

O Koinos utiliza cookies estritamente necessários para o funcionamento da plataforma:

• Cookie de sessão Supabase: mantém o Usuário autenticado entre as requisições. Necessário para uso do sistema.
• Cookie de tema: armazena a preferência de tema claro/escuro para renderização correta do lado do servidor. Pode ser excluído sem impacto funcional.

9.2 Armazenamento local (localStorage)

O Koinos utiliza o localStorage do navegador para:

• Preferência de tema: modo claro ou escuro e agendamento de tema automático por horário.
• Estado do tour de onboarding: chave koinos_tour_v1 para evitar exibir o tour novamente após a conclusão.

Esses dados ficam exclusivamente no dispositivo do Usuário e não são transmitidos para nossos servidores.

9.3 Sem cookies de rastreamento

O Koinos não utiliza cookies de rastreamento, analytics de terceiros ou pixels de publicidade.

Em razão dos subprocessadores listados na Seção 5, dados pessoais podem ser transferidos para servidores localizados nos Estados Unidos e em outros países. Essas transferências são realizadas com base nas salvaguardas previstas no art. 33 da LGPD:

• Supabase: dados armazenados na região us-east-1 (AWS). O Supabase é certificado ISO 27001 e oferece Data Processing Agreement (DPA) compatível com a LGPD.
• Vercel: a aplicação é servida via edge network global. O Vercel oferece DPA compatível com GDPR/LGPD.
• Stripe, Resend, Upstash, Cloudflare: subprocessadores com políticas de privacidade e DPAs disponíveis em seus respectivos sites, garantindo nível de proteção equivalente ao exigido pela LGPD.

O Koinos monitora continuamente a adequação de seus subprocessadores e revisará esta lista em caso de mudanças.

Nos termos do art. 41 da LGPD, o Koinos designou um Encarregado pelo Tratamento de Dados Pessoais (DPO). Para exercer seus direitos, tirar dúvidas sobre esta Política ou reportar incidentes de privacidade, entre em contato:

• E-mail: privacidade@koinos.digital
• Assunto sugerido:"[LGPD] Solicitação do titular" ou "[LGPD] Incidente de privacidade"

Também é possível registrar reclamações perante a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças nas práticas de tratamento de dados, na legislação aplicável ou nas funcionalidades da plataforma.

Alterações significativas serão comunicadas por e-mail com antecedência mínima de 15 (quinze) dias antes da nova data de vigência. A data de vigência exibida no topo deste documento indica a versão atual. O uso continuado da plataforma após a vigência implica aceitação das alterações.

O histórico de versões desta Política pode ser solicitado ao DPO pelo e-mail indicado na Seção 11.