Política de Privacidade
Como tratamos seus dados pessoais — em conformidade com a LGPD.
1. Quem é o controlador dos seus dados
A Gumax Skins, operada por Gustavo Maximiliano, é a controladora dos dados pessoais que você fornece ao usar gumaxskins.com. Endereço de contato no fim deste documento.
2. Quais dados coletamos
| Dado | Quando | Pra quê |
|---|---|---|
| SteamID, nickname Steam, avatar, Trade Link | Login Steam | Identificar conta, processar trades |
| Nome completo | Cadastro de perfil | Nota fiscal, suporte, prevenção fraude |
| Cadastro de perfil | Confirmação de pedido, suporte | |
| Cadastro de perfil | Notificação de pagamento e entrega | |
| Endereço IP, user agent, fingerprint do navegador | Acesso ao site | Segurança, prevenção de fraude, analytics agregado |
| Dados do cartão / chave PIX | Checkout | Processado direto pelo Mercado Pago — a Gumax não vê nem armazena dados de cartão |
| Wallet de cripto | Checkout cripto | Processado pela NOWPayments — só vemos o transaction ID |
| Histórico de pedidos, skins compradas, valores | Compra | Suporte, contabilidade, programa de fidelidade |
| Stats da GMAX League (KDR, win rate, mapas) | Jogar partidas | Ranking, matchmaking |
| Hardware fingerprint (CPU + MB + Disk hash) | Rodar GMAX Guard | Anti-cheat — detecta multi-conta abusivo |
3. Pra que usamos esses dados
- Operar o serviço — login, compra, entrega de skins, suporte.
- Comunicar status de pedidos por WhatsApp, e-mail e push do site.
- Personalizar experiência — recomendações baseadas em histórico, alertas de skin watchlist.
- Cumprir obrigações legais — emitir nota fiscal, responder a ordens judiciais, prevenir lavagem de dinheiro.
- Melhorar o produto — analytics agregado e anônimo (sem identificar pessoa específica).
- Garantir segurança — detectar fraude, bot, abuso.
4. Bases legais (LGPD Art. 7º)
- Execução de contrato: processar pedidos, entregar skin, dar suporte.
- Cumprimento de obrigação legal: nota fiscal, registros contábeis, atendimento à Receita Federal e órgãos de defesa do consumidor.
- Legítimo interesse: prevenção de fraude, segurança da plataforma, analytics agregado.
- Consentimento: envio de comunicações de marketing (você pode descadastrar a qualquer momento).
5. Com quem compartilhamos
A gente compartilha o mínimo necessário com terceiros que prestam serviço pra Gumax:
- Mercado Pago (pagamento PIX e cartão) — recebe nome, e-mail e valor da transação.
- NOWPayments (pagamento cripto) — recebe valor e wallet do cliente.
- Steam / Valve (autenticação OpenID e trades) — recebe seu SteamID público.
- WhatsApp Business / Z-API (notificações) — recebe seu número WhatsApp e a mensagem.
- Firebase / Google Cloud (banco de dados e auth) — armazena os dados criptografados em data centers no Brasil/EUA.
- Vercel + Railway (hospedagem do site/backend) — vê headers HTTP padrão.
- CSPriceAPI, ByMykel API, Steam Market (cotação e imagens de skins) — não recebem dados pessoais, só nome de skin pra cotar.
Não vendemos seus dados pra nenhum anunciante, broker de dados ou rede de marketing. Não usamos cookies de rastreamento de terceiros além dos estritamente necessários (Firebase Auth).
6. Por quanto tempo guardamos
- Dados de cadastro (nome, e-mail, WhatsApp, SteamID): enquanto sua conta estiver ativa + 5 anos após encerramento (obrigação fiscal).
- Dados de pedido (skins compradas, valores): 5 anos (Código Civil + obrigação contábil).
- Logs de acesso (IP, user agent): 6 meses (Marco Civil da Internet).
- Stats de jogo (GMAX League): enquanto a conta estiver ativa.
- Dados de cartão: nunca — não armazenamos.
7. Seus direitos (LGPD Art. 18)
Você pode, a qualquer momento, solicitar:
- Confirmação de que tratamos seus dados.
- Acesso aos dados que temos sobre você (cópia em arquivo).
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade dos dados pra outro fornecedor (formato JSON ou CSV).
- Eliminação dos dados tratados com base em consentimento (exceto quando obrigatórios por lei).
- Informação sobre com quem compartilhamos seus dados (lista no item 5).
- Revogação do consentimento a qualquer momento (descadastro de marketing, etc).
Pra exercer qualquer direito, abre chamado no SAC ou manda e-mail pra privacidade@gumaxskins.com. Respondemos em até 15 dias. Pode ser pedido documento de identificação pra confirmar que é você mesmo.
8. Cookies e tecnologias similares
Usamos só os cookies estritamente necessários:
- Firebase Auth (sessão de login) — pra você não precisar logar a cada visita.
- localStorage do navegador — preferências de filtros, carrinho, último estado.
Não usamos Google Analytics, Facebook Pixel ou qualquer cookie de marketing/rastreamento.
9. Segurança
Medidas técnicas e organizacionais:
- HTTPS obrigatório em todo o site (TLS 1.2+).
- Autenticação Steam via OpenID — a gente nunca vê sua senha Steam.
- Tokens Firebase com rotação automática (1h de validade).
- Banco Firestore com regras de segurança que bloqueiam acesso direto a docs de outros usuários.
- Backup automático diário do banco de dados.
- Logs de admin auditados (quem fez o quê, quando).
Em caso de incidente de segurança que afete seus dados, a gente comunica você e a ANPD (Autoridade Nacional de Proteção de Dados) em até 72h, conforme obrigação legal.
10. Crianças e adolescentes
A Gumax Skins não é destinada a menores de 13 anos. Adolescentes entre 13 e 18 anos só podem usar com consentimento dos responsáveis legais. Se identificarmos cadastro de menor sem autorização, encerramos a conta e eliminamos os dados.
11. Mudanças nesta Política
A gente pode atualizar esta política. Mudanças relevantes são comunicadas no site e por e-mail/WhatsApp. A data no topo indica a versão vigente. Continuar usando o serviço após a mudança = aceite da nova versão.
12. Encarregado de Proteção de Dados (DPO)
O encarregado pelo tratamento de dados pessoais (DPO) na Gumax é Gustavo Maximiliano. Contato: privacidade@gumaxskins.com.
Você pode reclamar diretamente à ANPD (Autoridade Nacional de Proteção de Dados): gov.br/anpd