documento legal

Política de Privacidade

Última atualização: 2026-05-09 · Versão: 1.1

Esta Política descreve como o ZARK PAY, operado por ZARK, coleta, usa, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — "LGPD"), o Marco Civil da Internet (Lei 12.965/2014) e as normas aplicáveis do Banco Central do Brasil.

1. Controlador e DPO

ZARK é controladora dos dados pessoais coletados via ZARK PAY. CNPJ e endereço informados em contrato. Encarregado de Proteção de Dados (DPO): dpo@zarkpay.com — canal exclusivo para exercício de direitos de titulares.

2. Dados coletados

Cadastro: nome completo / razão social, CPF/CNPJ, e-mail, telefone / WhatsApp, endereço completo.
KYC: documentos de identidade (frente/verso/selfie), cartão CNPJ (PJ), comprovante de residência (quando solicitado).
Transacionais: valor de cobranças, chave Pix, dados bancários do beneficiário, histórico de pagamentos, logs com IP, user-agent e timestamps.
Pagadores (terceiros): nome, CPF/CNPJ, e2eId Pix recebidos no payload BACEN, valor pago — coletados em nome do cliente nos termos do DPA.
Cookies: apenas sessão (httpOnly, Secure, SameSite=Lax). Não há cookies de tracking ou analytics de terceiros.

3. Bases legais (LGPD art. 7º e 11)

Execução contratual (art. 7º, V) — operação do gateway, geração de cobranças, repasses.
Cumprimento de obrigação legal/regulatória (art. 7º, II) — KYC e PLD (Lei 9.613/1998, Circular BCB 3.978/2020), retenção fiscal (5 anos), atendimento a requisições de autoridades competentes.
Legítimo interesse (art. 7º, IX) — segurança, prevenção a fraudes e abuso, mediante teste de proporcionalidade documentado pelo DPO.
Consentimento (art. 7º, I) — comunicações de marketing (opt-in, revogável a qualquer tempo).

4. Compartilhamento

Compartilhamos dados estritamente com:

WOOVI/OpenPix — instituição de pagamento que processa o Pix (operador, conforme DPA).
Supabase Inc. — operador de banco de dados Postgres + Storage (AWS sa-east-1, São Paulo).
Provedor de email transacional — envio de notificações operacionais (operador).
Autoridades competentes — BCB, COAF, Receita Federal e Poder Judiciário quando obrigatório por lei ou ordem judicial.

Não vendemos dados pessoais e não os compartilhamos para finalidades de marketing de terceiros.

5. Transferência internacional

Os dados primários permanecem em território nacional (São Paulo/AWS). Provedores de email podem operar com infraestrutura global; quando aplicável, adotamos cláusulas-padrão e verificações de adequação conforme art. 33 e seguintes da LGPD.

6. Retenção

Dados financeiros e KYC: 5 anos após o encerramento da conta (Lei 9.613/1998 art. 10 e normas BCB).
Dados de cadastro: enquanto a conta estiver ativa + 5 anos pós-encerramento.
Logs de acesso a aplicações: 6 meses (Marco Civil art. 15).
Cookies de sessão: expiram em 7 dias.

7. Direitos do titular (LGPD art. 18)

Confirmação da existência de tratamento
Acesso aos dados
Correção de dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
Portabilidade a outro fornecedor
Eliminação de dados tratados com consentimento (ressalvadas hipóteses do art. 16)
Informação sobre compartilhamentos
Revogação de consentimento
Revisão de decisões automatizadas (art. 20)

Para exercer, escreva para dpo@zarkpay.com com prova de identidade. Resposta em até 15 dias conforme art. 19 §1º.

8. Segurança

Aplicamos medidas técnicas e organizacionais proporcionais ao risco:

Criptografia em trânsito (TLS 1.3) e senhas com hash bcrypt/argon2
Postgres Row-Level Security para isolamento entre clientes
Audit log imutável (triggers Postgres bloqueiam UPDATE/DELETE em ledger e eventos)
Autenticação 2FA TOTP disponível para administradores
Rate limiting em endpoints públicos e proteção CSRF
Princípio do menor privilégio para credenciais e API keys com escopos
Backups diários com retenção mínima de 30 dias
Plano de resposta a incidentes alinhado à Resolução CMN 4.893/2021

9. Incidentes

Em caso de incidente de segurança envolvendo dados pessoais que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD.

10. Crianças e adolescentes

ZARK PAY é destinado exclusivamente a maiores de 18 anos. Não tratamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos coleta indevida, eliminaremos os dados em até 5 dias úteis.

11. Alterações

Esta Política pode ser atualizada para refletir mudanças regulatórias ou operacionais. Mudanças materiais serão comunicadas por email com 30 dias de antecedência.

DPO: dpo@zarkpay.com · Suporte: suporte@zarkpay.com

Política de Privacidade

Última atualização: 2026-05-09 · Versão: 1.1

2. Dados coletados

Cadastro: nome completo / razão social, CPF/CNPJ, e-mail, telefone / WhatsApp, endereço completo.

KYC: documentos de identidade (frente/verso/selfie), cartão CNPJ (PJ), comprovante de residência (quando solicitado).

Transacionais: valor de cobranças, chave Pix, dados bancários do beneficiário, histórico de pagamentos, logs com IP, user-agent e timestamps.

Pagadores (terceiros): nome, CPF/CNPJ, e2eId Pix recebidos no payload BACEN, valor pago — coletados em nome do cliente nos termos do DPA.

Cookies: apenas sessão (httpOnly, Secure, SameSite=Lax). Não há cookies de tracking ou analytics de terceiros.

3. Bases legais (LGPD art. 7º e 11)

Execução contratual (art. 7º, V) — operação do gateway, geração de cobranças, repasses.

Cumprimento de obrigação legal/regulatória (art. 7º, II) — KYC e PLD (Lei 9.613/1998, Circular BCB 3.978/2020), retenção fiscal (5 anos), atendimento a requisições de autoridades competentes.

Legítimo interesse (art. 7º, IX) — segurança, prevenção a fraudes e abuso, mediante teste de proporcionalidade documentado pelo DPO.

Consentimento (art. 7º, I) — comunicações de marketing (opt-in, revogável a qualquer tempo).

4. Compartilhamento

Compartilhamos dados estritamente com:

WOOVI/OpenPix — instituição de pagamento que processa o Pix (operador, conforme DPA).

Supabase Inc. — operador de banco de dados Postgres + Storage (AWS sa-east-1, São Paulo).

Provedor de email transacional — envio de notificações operacionais (operador).

Autoridades competentes — BCB, COAF, Receita Federal e Poder Judiciário quando obrigatório por lei ou ordem judicial.

Não vendemos dados pessoais e não os compartilhamos para finalidades de marketing de terceiros.

7. Direitos do titular (LGPD art. 18)

Confirmação da existência de tratamento

Acesso aos dados

Correção de dados incompletos, inexatos ou desatualizados

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade

Portabilidade a outro fornecedor

Eliminação de dados tratados com consentimento (ressalvadas hipóteses do art. 16)

Informação sobre compartilhamentos

Revogação de consentimento

Revisão de decisões automatizadas (art. 20)

Para exercer, escreva para dpo@zarkpay.com com prova de identidade. Resposta em até 15 dias conforme art. 19 §1º.

8. Segurança

Aplicamos medidas técnicas e organizacionais proporcionais ao risco:

Criptografia em trânsito (TLS 1.3) e senhas com hash bcrypt/argon2

Postgres Row-Level Security para isolamento entre clientes

Audit log imutável (triggers Postgres bloqueiam UPDATE/DELETE em ledger e eventos)

Autenticação 2FA TOTP disponível para administradores

Rate limiting em endpoints públicos e proteção CSRF

Princípio do menor privilégio para credenciais e API keys com escopos

Backups diários com retenção mínima de 30 dias

Plano de resposta a incidentes alinhado à Resolução CMN 4.893/2021