OnePull
Criar Conta

Política de Privacidade

Última atualização: 21 de fevereiro de 2026

1. Dados Coletados

O OnePull coleta os seguintes dados pessoais para a prestação de seus serviços:

1.1 Dados de Cadastro

  • Nome completo
  • Número de telefone celular (utilizado para autenticação via OTP)
  • Endereço de e-mail
  • Data de nascimento (para verificação de maioridade)

1.2 Dados de Endereço

  • Endereços de entrega cadastrados (logradouro, número, complemento, bairro, cidade, estado, CEP)

1.3 Dados de Transação

  • Histórico de compras (packs adquiridos, valores, datas)
  • Histórico de resultados de abertura de packs (carta obtida por abertura)
  • Saldo de crédito (vale-presente)
  • Solicitações de envio e endereços de entrega utilizados

1.4 Dados de Auditoria

  • Logs de RNG: cada abertura de pack é registrada com timestamp, identificador do usuário, tier do pack, carta resultante e referência à semente RNG. Esses logs são dados pessoais enquanto vinculados a um usuário identificável.
  • Logs de transação de crédito: registros de débito e crédito de vale-presente para fins de auditoria financeira.

2. Finalidades do Tratamento

Os dados coletados são tratados com base nas seguintes hipóteses legais previstas na LGPD:

2.1 Execução do Contrato (LGPD, Art. 7º, V)

  • Autenticação e gestão de conta de usuário
  • Processamento de compras e pagamentos
  • Execução do sistema de abertura de packs (RNG e auditoria)
  • Envio de cartas físicas ao endereço cadastrado
  • Gestão do saldo de crédito (vale-presente)

2.2 Cumprimento de Obrigação Legal (LGPD, Art. 7º, II)

  • Manutenção de registros fiscais e contábeis
  • Cumprimento de obrigações previstas no CDC
  • Retenção de logs de auditoria para fins de conformidade regulatória
  • Verificação de maioridade (18+) conforme legislação aplicável

2.3 Legítimo Interesse (LGPD, Art. 7º, IX)

  • Prevenção de fraudes e uso indevido da plataforma
  • Melhoria contínua dos serviços prestados
  • Comunicações de serviço (notificações sobre pedidos, envios e conta)

3. Seus Direitos (LGPD, Art. 18)

Como titular de dados pessoais, você possui os seguintes direitos garantidos pela LGPD:

  • Acesso (Art. 18, II): Direito de obter confirmação sobre a existência de tratamento e acesso aos seus dados pessoais. Disponível em Configurações de Conta.
  • Correção (Art. 18, III): Direito de solicitar a correção de dados incompletos, inexatos ou desatualizados. Disponível na área de perfil da sua conta.
  • Eliminação (Art. 18, VI): Direito de solicitar a exclusão dos seus dados pessoais. A exclusão da conta é processada imediatamente, com anonimização dos dados de auditoria (ver Seção 5). Disponível em Configurações de Conta → Excluir Conta.
  • Portabilidade (Art. 18, V): Direito de solicitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço. Entre em contato com nosso DPO para exercer este direito.
  • Informação sobre compartilhamento (Art. 18, VII): Direito de ser informado sobre as entidades públicas e privadas com as quais compartilhamos seus dados. Ver Seção 6 (Processadores Terceiros).
  • Revogação do Consentimento (Art. 18, IX): Para tratamentos baseados em consentimento, você pode revogar a qualquer tempo. Isso pode implicar na impossibilidade de uso de determinadas funcionalidades.

Para exercer seus direitos, acesse as configurações da sua conta ou entre em contato com nosso DPO conforme Seção 9.

4. Retenção de Dados

Os dados pessoais são retidos conforme as seguintes políticas:

  • Dados de cadastro e conta: Mantidos pelo período em que a conta estiver ativa. Excluídos imediatamente após a solicitação de exclusão da conta (sujeito à anonimização dos registros de auditoria).
  • Registros de transação: Mantidos por 5 (cinco) anos para fins de auditoria fiscal e conformidade legal (LGPD, Art. 16, I — cumprimento de obrigação legal ou regulatória).
  • Logs de auditoria de RNG: Mantidos por 5 (cinco) anos. Após exclusão da conta, o campo de identificação do usuário é anonimizado (substituído por UUID derivado), preservando a integridade dos logs para fins de auditoria sem permitir a identificação do titular.
  • Dados de endereço: Excluídos imediatamente com a exclusão da conta.

5. Logs de Auditoria como Dados Pessoais

Os registros de auditoria do sistema de RNG (abertura de packs) são considerados dados pessoais nos termos da LGPD enquanto vinculados a um usuário identificável por seu user_id.

Cada log de auditoria contém:

  • Timestamp do evento (UTC)
  • Identificador do usuário (UUID)
  • Tier do pack aberto
  • Carta resultante
  • Referência à semente do gerador de números aleatórios (não o valor da semente em si)

Ao excluir sua conta (Art. 18, VI da LGPD), o user_id nos logs é substituído por um UUID derivado por função de hash unidirecional (anonimização). Os logs permanecem para fins de auditoria, mas não permitem mais a identificação do titular (LGPD, Art. 16, I).

6. Processadores de Dados Terceiros

Para a prestação dos serviços, o OnePull utiliza os seguintes processadores de dados:

  • Supabase: Banco de dados, autenticação e armazenamento de dados. Servidor na região São Paulo (aws-sa-east-1). Os dados permanecem em território brasileiro.
  • Stripe / EBANX: Processamento de pagamentos (cartão de crédito, Pix). Dados de cartão são processados diretamente pela Stripe e não armazenados pelo OnePull.
  • Melhor Envio: Plataforma de gestão de fretes. Recebe nome e endereço do destinatário para geração de etiquetas de envio.
  • Vercel: Hospedagem da aplicação web. Processa requisições HTTP; logs de acesso podem conter endereços IP. Servidores podem ser globais (edge network).

Todos os processadores são contratados com cláusulas de proteção de dados e estão sujeitos às suas respectivas políticas de privacidade. Não vendemos dados pessoais a terceiros.

7. Residência dos Dados

Os dados pessoais armazenados pelo OnePull (banco de dados principal) estão localizados na região São Paulo, Brasil (aws-sa-east-1) na infraestrutura da Supabase, em conformidade com os requisitos de localização de dados aplicáveis à LGPD.

Dados processados pela rede de edge da Vercel (para entrega da aplicação web) podem transitar por servidores internacionais, porém não são armazenados permanentemente fora do Brasil.

8. Segurança dos Dados

O OnePull adota medidas técnicas e organizacionais adequadas para proteger seus dados pessoais, incluindo:

  • Criptografia em trânsito (TLS/HTTPS) para todas as comunicações
  • Criptografia em repouso nos servidores da Supabase
  • Controle de acesso baseado em políticas Row Level Security (RLS) no banco de dados
  • Autenticação via OTP (One-Time Password) para acesso à conta
  • RNG criptográfico (Web Crypto API) operado exclusivamente no servidor para abertura de packs

Em caso de incidente de segurança que afete dados pessoais, o OnePull notificará a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares afetados nos prazos previstos pela LGPD.

9. Contato / Encarregado de Dados (DPO)

Para exercer seus direitos, esclarecer dúvidas sobre esta Política de Privacidade, ou reportar uma violação de dados, entre em contato com o responsável pelo tratamento de dados:

  • Controlador de Dados: OnePull (MEI)
  • E-mail: privacidade@onepull.com.br
  • País: Brasil

Respondemos às solicitações de titulares de dados em até 15 dias úteis a partir do recebimento. Solicitações de exclusão de conta são processadas imediatamente através das configurações da conta.