Política de Privacidade - Gateway

A PayFast4 ("PayFast4", "nós", "nosso") respeita a privacidade de suas informações empresariais e dos dados de seus clientes finais. Esta Política de Privacidade explica como coletamos, usamos, compartilhamos e protegemos dados em conformidade com a LGPD (Lei nº 13.709/2018), PCI-DSS e demais legislações aplicáveis.

Esta política se aplica especificamente ao uso de nosso gateway de pagamento por empresas e desenvolvedores.

1.1 Dados da Empresa Cliente

• Razão social e nome fantasia
• CNPJ e inscrição estadual/municipal
• Endereço comercial completo
• Documentos corporativos (contrato social, cartão CNPJ)
• Dados bancários (conta para repasse)
• Identificação de sócios e representantes legais
• Email corporativo e telefones
• Modelo de negócio e descrição de produtos/serviços
• Website e URLs de integração

1.2 Dados de Transações

• Dados de pagamento dos clientes finais (tokenizados)
• Valor, moeda e método de pagamento
• Status da transação (aprovada, recusada, estornada)
• Data e hora da transação
• Endereço IP do pagador
• Device fingerprint (para antifraude)
• Geolocalização (quando disponível)
• Histórico de chargebacks e disputas

1.3 Dados de Uso da API

• API keys e tokens de autenticação
• Logs de requisições (endpoints, timestamps, IPs)
• Webhooks configurados e entregas
• Erros e exceções da integração
• Métricas de uso e performance
• Versão da API utilizada

1.4 Dados de Clientes Finais (Seus Clientes)

Importante: Você é o controlador dos dados de seus clientes. A PayFast4 atua como operadora de dados para processamento de pagamentos.

• Nome do portador do cartão
• 4 primeiros e 4 últimos dígitos do cartão (BIN e últimos dígitos)
• Bandeira do cartão (Visa, Master, etc.)
• Email e telefone (quando fornecidos)
• Endereço de cobrança
• CPF/CNPJ (para PIX e alguns métodos)

2.1 Processamento de Pagamentos

• Autorizar e processar transações
• Tokenizar dados sensíveis de cartão
• Comunicar com adquirentes e bandeiras
• Gerar QR Codes PIX
• Processar pagamentos em criptomoedas
• Gerenciar split de pagamento

2.2 Prevenção à Fraude

• Análise antifraude em tempo real
• Machine learning para detecção de padrões suspeitos
• Validação de dispositivos e geolocalização
• Verificação de listas negras (BIN blocking)
• Análise comportamental
• 3DS (3D Secure) para cartões

2.3 Conformidade Regulatória

• Cumprimento de obrigações PCI-DSS
• Prevenção à lavagem de dinheiro (PLD)
• Relatórios ao Banco Central e COAF
• Atendimento a ordens judiciais
• Auditorias de segurança

2.4 Melhoria dos Serviços

• Análise de performance da API
• Otimização de taxas de aprovação
• Desenvolvimento de novos recursos
• Personalização de relatórios

2.5 Comunicação

• Notificações de transações via webhook
• Alertas de segurança e fraude
• Comunicação sobre atualizações da API
• Suporte técnico
• Faturamento e cobranças

• Execução de contrato: Processamento de pagamentos conforme contratado
• Obrigação legal: Conformidade com Banco Central, PCI-DSS, PLD
• Legítimo interesse: Prevenção à fraude e segurança das transações
• Proteção de crédito: Análise de risco e prevenção de inadimplência

4.1 Parceiros de Processamento

• Adquirentes: Rede, Cielo, Stone, GetNet (para cartões)
• Bandeiras: Visa, Mastercard, Elo, Amex
• Bancos: Para processamento PIX e transferências
• Provedores Crypto: Para transações em criptomoedas
• Antifraude: ClearSale, Konduto (análise de risco)

4.2 Infraestrutura

• Amazon Web Services (AWS) - hospedagem segura
• Google Cloud Platform - analytics e ML
• Cloudflare - CDN e proteção DDoS

4.3 Órgãos Reguladores

• Banco Central do Brasil
• COAF (Conselho de Controle de Atividades Financeiras)
• Receita Federal
• Autoridades judiciais (mediante ordem)

4.4 Auditores e Consultores

Compartilhamos dados com auditores independentes para certificações PCI-DSS e auditorias financeiras.

5.1 Conformidade PCI-DSS Level 1

Como processador de pagamentos, mantemos a mais alta certificação PCI-DSS:

• Tokenização de dados de cartão
• Nunca armazenamos CVV ou dados completos de cartão
• Segmentação de rede (network segmentation)
• Controles de acesso rigorosos
• Auditorias trimestrais de vulnerabilidade
• Testes de penetração anuais

5.2 Medidas Técnicas

• Criptografia: TLS 1.3 em trânsito, AES-256 em repouso
• Tokenização: Substituição de dados sensíveis por tokens
• Firewalls: WAF (Web Application Firewall)
• IDS/IPS: Detecção e prevenção de intrusão
• DDoS Protection: Cloudflare Enterprise
• Logs: Monitoramento 24/7 com alertas automáticos
• Backup: Backup automático a cada 6 horas com retenção de 30 dias

5.3 Medidas Organizacionais

• Acesso baseado em funções (RBAC)
• Autenticação multifator obrigatória
• Treinamento regular de segurança
• Políticas de senha forte
• Revisão trimestral de acessos
• Plano de resposta a incidentes

5.4 Em Caso de Violação

Em caso de incidente de segurança que afete dados pessoais, notificaremos você e a ANPD em até 72 horas, conforme exigido pela LGPD.

Após os prazos legais, dados são anonimizados ou excluídos de forma segura (wiping de múltiplas passagens).

Como cliente empresarial, você tem direito a:

Como Exercer seus Direitos

Importante: Como controlador dos dados de seus clientes finais, você é responsável por:

• Obter consentimento válido de seus clientes para processamento de dados
• Informar seus clientes sobre compartilhamento de dados com a PayFast4
• Manter Política de Privacidade própria atualizada
• Cumprir obrigações da LGPD como controlador
• Responder a solicitações de direitos de titulares (LGPD)
• Não processar dados sensíveis sem base legal adequada
• Implementar medidas de segurança em sua aplicação
• Notificar a PayFast4 sobre incidentes de segurança

No dashboard e páginas de checkout hospedadas, utilizamos:

• Cookies essenciais: Sessão e autenticação
• Cookies de segurança: Detecção de fraude e device fingerprinting
• Cookies analíticos: Google Analytics (anonimizado)
• Local Storage: Preferências do dashboard

Você pode gerenciar cookies através das configurações do navegador. Cookies essenciais não podem ser desabilitados sem impactar a funcionalidade.

Alguns serviços de infraestrutura (AWS, Google Cloud) possuem servidores fora do Brasil. Garantimos que:

• Dados sensíveis são processados preferencialmente em datacenters brasileiros
• Transferências internacionais seguem cláusulas contratuais padrão
• Conformidade com LGPD é mantida
• Certificações internacionais (SOC 2, ISO 27001) são respeitadas

Podemos atualizar esta política para refletir mudanças em práticas ou legislação. Alterações significativas serão comunicadas por email com 30 dias de antecedência. Versões anteriores ficam disponíveis em nosso site.

Nosso Data Protection Officer (DPO) é responsável por garantir conformidade com LGPD e atender suas solicitações:

Para questões sobre privacidade e proteção de dados:

Caso não fique satisfeito com nossas respostas, você pode apresentar reclamação à ANPD: