Política de Privacidade

Última atualização: 30 de abril de 2026

1. Introdução

Esta Política de Privacidade descreve como o Kodac Checkout ("Kodac", "nós") coleta, usa, armazena e protege as informações dos lojistas ("merchants", "você") que utilizam nossa plataforma SaaS para operar checkouts customizados, calcular lucro líquido e integrar com plataformas de pagamento e anúncios.

O Kodac é uma plataforma B2B — não é destinada a consumidores finais. Os dados de consumidores finais (clientes das lojas dos merchants) são processados em nome do merchant, que é o controlador de dados (data controller).

2. Dados que coletamos

2.1 Dados do merchant (titular da conta Kodac)

  • Nome, email e foto de perfil (via Google Sign-In ou cadastro manual)
  • Senha (armazenada com hash bcrypt)
  • Logs de login e atividade no painel

2.2 Dados de integração (autorizados pelo merchant)

  • Shopify: tokens OAuth, produtos, pedidos, custos de produto.
  • Meta (Facebook): long-lived access token, ad account ID, business ID, dados de gasto por campanha (impressões, cliques, custo).
  • Google Ads: refresh token, customer ID, dados de campanha.
  • Gateways de pagamento (Whop, Ocean, PayPal, Shopify Payment): credenciais necessárias para processar pagamentos.

2.3 Dados de consumidores finais (processados em nome do merchant)

  • Nome, email, telefone, endereço de entrega
  • Informações de pedido (produtos, quantidade, valor)
  • IDs de atribuição (gclid, fbclid, fbc, fbp) usados para tracking server-side de conversões (CAPI Meta, Google Ads Conversions API)

Não armazenamos dados de cartão de crédito. Pagamentos são processados diretamente pelos gateways autorizados (Whop, Ocean Payment, PayPal, Shopify Payments).

3. Como usamos seus dados

  • Operar a plataforma Kodac (autenticação, painel, persistência)
  • Calcular métricas financeiras (lucro líquido, ROAS, POAS, MER) e exibí-las ao merchant
  • Sincronizar dados com Shopify, Meta Ads, Google Ads conforme autorizado
  • Enviar notificações sobre status de sincronização e tokens expirando
  • Cumprir obrigações legais e fiscais

Não vendemos dados a terceiros. Não compartilhamos dados com anunciantes, brokers de dados ou redes de publicidade fora do escopo direto das integrações autorizadas pelo merchant.

4. Permissões Meta (ads_read, business_management)

Quando você conecta sua conta Meta Ads ao Kodac, solicitamos as permissões:

  • ads_read: usado exclusivamente para chamar o endpoint/insights da Marketing API e obter custo, impressões e cliques agregados por campanha por dia. Esses dados ficam visíveis apenas no seu próprio painel Kodac.
  • business_management: usado uma vez no momento da conexão inicial para listar suas ad accounts e businesses, permitindo que você escolha qual conectar. Após a seleção, não fazemos mais chamadas com este escopo.

5. Onde armazenamos os dados

Banco de dados Supabase (PostgreSQL gerenciado), com criptografia em trânsito (HTTPS/TLS 1.2+) e em repouso. Servidores localizados nos Estados Unidos (região AWS US-East). Backups diários criptografados.

Acesso aos dados é restrito aos engenheiros do Kodac com autenticação 2FA e log de auditoria.

6. Compartilhamento com terceiros

Compartilhamos dados apenas com provedores de infraestrutura essenciais:

  • Supabase — armazenamento e autenticação
  • Vercel — hospedagem e CDN
  • Meta Platforms, Inc. — recebe IDs de atribuição (fbclid, fbc, fbp) e dados de conversão para deduplicação browser+server (Conversions API)
  • Google LLC — recebe gclid e dados de conversão para Enhanced Conversions

Cada um desses provedores opera sob seus próprios contratos de processamento de dados (DPA) e cumpre LGPD/GDPR.

7. Seus direitos (LGPD/GDPR)

Você pode a qualquer momento:

  • Solicitar acesso aos dados que armazenamos sobre você
  • Solicitar correção de dados incorretos
  • Solicitar exclusão da sua conta e dados associados (ver /data-deletion)
  • Revogar autorização de qualquer integração (Meta, Google, Shopify) a qualquer momento — basta desvincular no painel ou revogar diretamente na plataforma de origem
  • Exportar seus dados em formato JSON

Para exercer qualquer um desses direitos, envie email para contact@kodac.io.

8. Cookies

Usamos cookies estritamente funcionais (sessão, autenticação JWT) e de preferência (tema, idioma). Não usamos cookies publicitários no painel administrativo.

Os checkouts customizados que rodam nas vitrines dos merchants podem usar cookies adicionais (_fbp, _fbc) controlados pelo próprio merchant para fins de tracking.

9. Retenção

Mantemos seus dados enquanto sua conta estiver ativa. Após exclusão da conta, dados são apagados em até 30 dias, exceto registros que precisamos manter por obrigação legal (fiscal, contábil) por até 5 anos conforme legislação brasileira.

10. Crianças

O Kodac é destinado a empresas e profissionais. Não coletamos intencionalmente dados de crianças menores de 13 anos. Se identificarmos dados de menores em nossa base, eles serão removidos imediatamente.

11. Mudanças nesta política

Podemos atualizar esta política periodicamente. Mudanças significativas serão comunicadas por email e/ou aviso no painel com pelo menos 30 dias de antecedência.

12. Contato

Encarregado de dados (DPO): contact@kodac.io

Kodac Checkout
Site: https://app.kodac.io