Política de Privacidade — SaasToStore
Última atualização: 8 de junho de 2026
Em caso de divergência de interpretação, a versão em inglês desta Política de Privacidade prevalece.
1. Responsável pelo tratamento
Méga Joule — Empresário individual (auto-entrepreneur) Representado por: Khalfallah MAHFOUD SIREN: 995 382 512 — SIRET: 995 382 512 00011 Código APE: 6201Z (Programação de computadores) Endereço: 3 allée Rouget de Lisle — 78300 Poissy, França E-mail: hello@saastostore.com
2. Dados recolhidos e finalidades
2.1 Dados da conta
| Dado | Finalidade | Base legal |
|---|---|---|
| Endereço de e-mail | Autenticação, notificações transacionais, faturação | Execução do contrato |
| Palavra-passe (hash bcrypt, custo ≥ 12) | Segurança da conta | Execução do contrato |
| Data de registo | Gestão da conta, prevenção de fraude | Interesse legítimo |
| Preferência de idioma | Interface de utilizador localizada | Interesse legítimo |
2.2 Dados do projeto
| Dado | Finalidade | Base legal |
|---|---|---|
| URL de origem PWA / site | Análise técnica, compilação, pipeline de build | Execução do contrato |
| Nome da aplicação | Geração de ficha de loja, configuração de build | Execução do contrato |
| Nome de pacote Android | Identificação única da app no Google Play | Execução do contrato |
| Ícone da app (carregado pelo utilizador) | Assets de Android, Desktop e loja | Execução do contrato |
| Capturas de ecrã (autogeradas) | Ficha da Play Store / Microsoft Store | Execução do contrato |
| Ícones gerados | Artefactos de Android e Desktop | Execução do contrato |
| Descrição e textos de loja | Ficha de loja (fornecidos pelo utilizador ou gerados por IA) | Execução do contrato |
| Loja(s) de destino selecionadas | Roteamento de build e publicação multi-loja | Execução do contrato |
| Configuração de build Desktop (largura, altura) | Parâmetros de build Tauri/Pake | Execução do contrato |
2.3 Dados de build e publicação
| Dado | Finalidade | Base legal |
|---|---|---|
| Ficheiro AAB / APK compilado | Publicação em lojas Android | Execução do contrato |
| Ficheiros compilados .msi / .dmg / .AppImage | Distribuição via GitHub Releases | Execução do contrato |
| Keystore Android (encriptado AES-256-GCM) | Assinatura da app para atualizações e reenvios | Execução do contrato |
| Logs de build | Depuração, suporte, segurança | Interesse legítimo |
| Estado, carimbos de data/hora e histórico de builds | Monitorização do pipeline, painel de utilizador | Execução do contrato |
| Dados de callback por plataforma Desktop | Relatório de progresso em tempo real | Execução do contrato |
2.4 Dados de ligação às lojas
Todas as credenciais de lojas de terceiros são encriptadas com AES-256-GCM com um vetor de inicialização (IV) aleatório único por entrada e armazenadas exclusivamente na base de dados do SaasToStore. São desencriptadas apenas em RAM no servidor de build/publicação no momento da chamada à API relevante.
Lojas abrangidas: Google Play (token OAuth 2.0), Amazon Appstore (client ID/secret), Samsung Galaxy Store (credenciais de conta de serviço), Microsoft Partner Center (tenant Azure AD + client secret), Snap Store (credenciais snapcraft), Flathub (token GitHub pessoal).
Todas com base legal de consentimento explícito.
2.5 Dados de pagamento
Os pagamentos são processados exclusivamente pela Stripe Inc. O SaasToStore nunca armazena dados bancários. São conservados para contabilidade: ID de cliente Stripe, identificador do plano subscrito, datas e montantes de transações, e IDs de eventos webhook da Stripe.
2.6 Dados de navegação e técnicos
| Dado | Finalidade | Base legal |
|---|---|---|
| Endereço IP (truncado a /24 para utilizadores da UE) | Segurança, prevenção de abuso | Interesse legítimo |
| Tipo e versão do navegador | Compatibilidade, depuração | Interesse legítimo |
| Sistema operativo | Análises de compatibilidade | Interesse legítimo |
| Páginas visitadas, tempo na página | Análise de desempenho, utilização de funcionalidades | Interesse legítimo |
| URL de referência | Análise de fontes de tráfego | Interesse legítimo |
| Logs de erros e relatórios de falhas | Estabilidade do produto | Interesse legítimo |
Não são utilizados cookies publicitários nem ferramentas de rastreamento comportamental de terceiros.
3. Cookies e armazenamento local
O SaasToStore utiliza apenas cookies funcionais e chaves de armazenamento local estritamente necessárias para o funcionamento do Serviço.
3.1 Cookies
| Nome | Tipo | Duração | Finalidade |
|---|---|---|---|
sb-<projeto>-auth-token | Essencial | Sessão (até 7 dias) | Token de sessão de autenticação Supabase |
sb-<projeto>-auth-token-code-verifier | Essencial | Sessão | Verificador de código PKCE OAuth (fluxo de auth Google Play) |
3.2 Armazenamento local
| Chave | Duração | Finalidade |
|---|---|---|
sts_locale | Persistente | Idioma preferido do utilizador (EN/FR/DE/ES/PT-BR) |
sts_redirected | Sessão | Prevenção de ciclos de redirecionamento na deteção inicial de idioma |
3.3 Consentimento de cookies
O SaasToStore não implementa cookies não essenciais, pelo que não é necessário um banner de consentimento de cookies. Se no futuro forem introduzidos cookies não essenciais, os utilizadores serão informados e um mecanismo de consentimento será adicionado.
4. Prazos de conservação
| Categoria de dados | Prazo de conservação |
|---|---|
| Dados de conta ativa | Vida útil da conta |
| Configuração de projeto e build | 12 meses após o último build |
| Ficheiros AAB / APK compilados | 30 dias após compilação |
| Artefactos de build Desktop (GitHub Releases) | 90 dias após build |
| Keystore Android | Vida útil da conta + 30 dias após eliminação |
| Credenciais de lojas | Até revogação pelo utilizador ou eliminação da conta |
| Dados de pagamento e registos de transações | 10 anos (obrigação legal contabilística francesa — Art. L.123-22 C.com.) |
| Logs técnicos e de build | 90 dias |
| Logs de navegação | 30 dias |
Após a eliminação da conta, todos os dados pessoais são apagados em 30 dias, exceto os que devam ser conservados por obrigações legais.
5. Destinatários e subcontratantes
5.1 Subcontratantes
| Fornecedor | Função | Dados partilhados | Localização |
|---|---|---|---|
| Supabase Inc. | Base de dados, autenticação, armazenamento, edge functions | Dados de conta, projeto, credenciais (encriptadas), jobs de build | UE (AWS eu-west-3, Paris) |
| Ionos SE | Servidor de compilação AAB/APK | URL de origem, nome, ícone, parâmetros de build | Alemanha (UE) |
| GitHub Inc. | Pipeline de build Desktop, armazenamento de artefactos | URL de origem, nome, ícone, ID de job | EUA |
| Stripe Inc. | Processamento de pagamentos | E-mail, montantes, planos | EUA (PCI-DSS Nível 1) |
| Resend Inc. | Entrega de e-mail transacional | Endereço de e-mail, dados de resultado de build | EUA |
| Anthropic PBC | Geração de texto por IA | Nome de app, URL, categoria | EUA |
| Google LLC (Gemini) | Geração de imagens por IA | Nome de app, URL, esquema de cores | EUA |
| Browserless Inc. | Capturas de ecrã automáticas de PWA | URL de origem | EUA |
| Google LLC (Firebase) | Entrega de notificações push | Tokens de subscrição push | EUA |
| PWABuilder / Microsoft | Geração de pacotes .msix | URL de origem, nome | EUA |
5.2 Transferências fora da UE
As transferências internacionais para fornecedores nos EUA são realizadas ao abrigo de cláusulas contratuais-tipo (CCT), do Quadro de Privacidade de Dados UE-EUA ou das derrogações do artigo 49.º do RGPD. Pode solicitar informações sobre mecanismos específicos em hello@saastostore.com.
5.3 Sem venda de dados
O SaasToStore não vende, aluga nem transfere dados pessoais a terceiros para fins comerciais ou publicitários.
6. Segurança dos dados
O SaasToStore implementa as seguintes medidas de segurança técnicas e organizativas:
- Encriptação em trânsito: HTTPS/TLS 1.3 em todas as comunicações
- Encriptação em repouso: AES-256-GCM com IV único por entrada para tokens OAuth, credenciais de lojas e keystores
- Segurança de palavras-passe: hash bcrypt com fator de custo ≥ 12; palavras-passe em texto simples nunca são armazenadas
- Segurança ao nível das linhas (RLS): aplicada ao nível da base de dados
- Princípio do mínimo privilégio: cada componente acede apenas aos dados estritamente necessários
- Sanitização de logs: filtragem automática de palavras-passe, tokens e segredos nos logs
- Notificação de incidentes: em caso de violação de dados, o SaasToStore notificará a CNIL em 72 horas (Art. 33 RGPD) e os utilizadores afetados sem demora indevida (Art. 34 RGPD)
7. Os seus direitos ao abrigo do RGPD (residentes na UE/EEE)
| Direito | Descrição | Como exercer |
|---|---|---|
| Acesso (Art. 15) | Obter confirmação do tratamento e cópia dos seus dados | E-mail para hello@saastostore.com |
| Retificação (Art. 16) | Corrigir dados inexatos ou incompletos | E-mail ou definições da conta |
| Apagamento (Art. 17) | Solicitar a eliminação dos seus dados pessoais | E-mail ou eliminação de conta |
| Limitação (Art. 18) | Solicitar a suspensão temporária do tratamento | |
| Portabilidade (Art. 20) | Receber os seus dados em formato estruturado e legível por máquina | |
| Oposição (Art. 21) | Opor-se ao tratamento baseado em interesse legítimo | |
| Retirada do consentimento | Revogar o consentimento a qualquer momento | Definições da conta ou e-mail |
Prazo de resposta: 30 dias. Para pedidos complexos, pode ser prolongado por mais dois meses com aviso prévio.
Autoridade de controlo: CNIL (França) — https://www.cnil.fr — ou a autoridade do seu país de residência.
8. Os seus direitos ao abrigo do UK RGPD (residentes no Reino Unido)
Os residentes no Reino Unido têm direitos equivalentes ao abrigo do UK RGPD e do Data Protection Act 2018. Autoridade competente: Information Commissioner's Office (ICO) — https://ico.org.uk
9. Os seus direitos ao abrigo do CCPA/CPRA (residentes da Califórnia)
Os residentes da Califórnia têm o direito de conhecer, eliminar e corrigir os seus dados, e de se opor à venda de informações pessoais. O SaasToStore não vende dados pessoais. Para pedidos: hello@saastostore.com (resposta em 45 dias).
10. Inteligência artificial
Algumas funcionalidades do Serviço utilizam modelos de IA para gerar conteúdo:
- Anthropic Claude Haiku: gera descrições de loja. Dados transmitidos: nome da app, URL, categoria.
- Google Gemini: gera ícones da app. Dados transmitidos: nome da app, URL, esquema de cores.
O conteúdo gerado por IA é uma sugestão. O utilizador é o único responsável pela sua revisão e conformidade legal. O SaasToStore não utiliza os seus dados para treinar modelos de IA.
11. Notificações push
O serviço de entrega de notificações push é fornecido pela Google LLC (Firebase Cloud Messaging). O SaasToStore transmite o conteúdo das notificações e os tokens de destino para o Firebase, mas não retém tokens push de utilizadores finais para além do necessário para a entrega imediata.
12. Menores de idade
O Serviço destina-se exclusivamente a utilizadores com pelo menos 18 anos. O SaasToStore não recolhe conscientemente dados pessoais de crianças com menos de 13 anos. Contacte-nos em hello@saastostore.com se acreditar que um menor criou uma conta.
13. Ligações e integrações de terceiros
Esta Política de Privacidade não se aplica a serviços de terceiros. Recomendamos que consulte as políticas de privacidade de qualquer serviço de terceiros a que aceda através do SaasToStore.
14. Notificação de violações de dados
Em caso de violação de dados pessoais, o SaasToStore notificará a CNIL em 72 horas (Art. 33 RGPD) e os utilizadores afetados sem demora indevida se existir alto risco para os seus direitos e liberdades (Art. 34 RGPD).
15. Alterações a esta Política
As alterações materiais serão comunicadas por e-mail com pelo menos 15 dias de antecedência. A versão atual está sempre disponível em https://saastostore.com/privacy.
16. Contacto — Proteção de dados
Khalfallah MAHFOUD Responsável pelo tratamento — Méga Joule E-mail: hello@saastostore.com Endereço: 3 allée Rouget de Lisle — 78300 Poissy, França
Respondemos no prazo de 30 dias após a receção do seu pedido.