Política de Privacidade

O Critical20 é uma plataforma de apoio ao RPG de mesa ("Plataforma", "nós"). Atuamos como controladores dos dados pessoais coletados, conforme o Art. 5º, VI, da LGPD.

Encarregado pelo Tratamento de Dados Pessoais (DPO): privacidade@critical20.com.br

Cadastro: nome, e-mail, senha (armazenada como hash bcrypt — nunca em texto puro).

Uso: endereço IP, User-Agent (browser/dispositivo), timestamps de login e ações sensíveis (mudança de senha, exclusão de conta, expulsão de membros). Esses dados ficam em log por até 90 dias e servem para investigar incidentes de segurança.

Conteúdo gerado: campanhas, fichas de personagem, handouts, notas, mapas, mensagens de chat e uploads (imagens). Esse conteúdo é seu — você decide quem tem acesso.

Cookies: usamos apenas cookies essenciais (httpOnly): c20-session (autenticação, 30 dias) e c20-pending-invite (10 minutos, fluxo de convite). Não usamos cookies de tracking próprios.

• Prover o Serviço (criar conta, salvar campanhas, autenticar você).
• Garantir segurança (detectar abuso, investigar incidentes).
• Comunicar mudanças importantes (atualizações de termos, alertas de segurança).
• Cumprir obrigações legais (responder a ordens judiciais).

• Execução de contrato (Art. 7º, V): cadastro, autenticação, hospedagem do conteúdo do usuário.
• Consentimento (Art. 7º, I): coleta opcional (ex: emails de novidades, se você optar).
• Legítimo interesse (Art. 7º, IX): logs de segurança, prevenção de fraude e abuso.
• Cumprimento de obrigação legal (Art. 7º, II): respostas a autoridades quando exigido.

Não vendemos seus dados. Compartilhamento ocorre apenas com prestadores essenciais à operação:

• MongoDB Atlas (banco de dados — hospedagem do conteúdo da Plataforma).
• Resend (envio de emails transacionais — verificação de email, recuperação de senha).
• Google AdSense (exibição de anúncios em páginas públicas como blog/wiki). O Google pode usar cookies próprios para personalização — você pode desativar em google.com/settings/ads.

Não fornecemos dados pessoais a terceiros para fins de marketing.

• Dados de cadastro e conteúdo: enquanto sua conta existir.
• Logs de segurança (audit log): 90 dias.
• Cookies de sessão: 30 dias ou até logout.
• Backups: dados podem permanecer em backups por até 30 dias após a exclusão da conta, sendo então removidos definitivamente.

Você pode, a qualquer momento, solicitar:

• Confirmação da existência de tratamento de seus dados.
• Acesso aos dados que temos sobre você.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD.
• Portabilidade dos dados a outro fornecedor.
• Eliminação dos dados pessoais (exclusão da conta).
• Informação sobre com quem compartilhamos seus dados.
• Revogação do consentimento.

Para exercer qualquer um desses direitos, envie email para privacidade@critical20.com.br. Respondemos em até 15 dias úteis.

• Senhas armazenadas com bcrypt (12 rounds) — nunca em texto puro.
• Comunicação criptografada via HTTPS (TLS 1.2+) com HSTS habilitado.
• JWT de autenticação com revogação central — você pode encerrar sessões individuais ou todas remotamente.
• Rate limiting em endpoints sensíveis (login, registro, criação de recursos).
• Logs de eventos sensíveis para auditoria.

O Critical20 não é destinado a menores de 13 anos. Não coletamos intencionalmente dados de crianças nessa faixa etária. Adolescentes (13 a 17 anos) só podem usar o Serviço com supervisão e consentimento dos responsáveis legais. Se você for responsável e perceber que seu filho criou conta sem autorização, entre em contato para que excluamos.

Esta Política pode ser atualizada para refletir mudanças no Serviço ou na legislação. Mudanças significativas serão comunicadas por email e/ou aviso na Plataforma com pelo menos 30 dias de antecedência. A versão vigente sempre estará nesta página, com a data da última revisão no topo.