$ cat /etc/internalhost/privacy

Política de privacidade

Versão 1.0 · Última atualização: 19-05-2026 · Em vigor desde já

TL;DR

Recolhemos o mínimo necessário para te entregar um servidor e enviar-te uma fatura. Sem tracking, sem ad networks, sem revenda de dados. Estamos na UE, aplica-se o RGPD, e nunca partilhamos os teus dados com terceiros salvo obrigação legal.

1. Quem somos

A InternalHost é um empresário em nome individual (KvK neerlandês 90174720), propriedade de Xaviero Kajafas, com sede em Amesterdão. Sede social: Bijlmerdreef 910, 1103 DV Amesterdão. Escritório (com marcação): Nieuwe Hemweg 26, 1013 CX Amesterdão. Somos o "responsável pelo tratamento" nos termos do RGPD relativamente aos dados pessoais que nos confias enquanto cliente.

2. O que recolhemos

Três categorias, nada mais:

  • Dados de conta: nome, email, nome da empresa (opcional), número de IVA (opcional, para B2B). Indicados por ti no registo.
  • Dados de faturação: morada de faturação, método de pagamento (não guardamos números de cartão — esses ficam na Mollie/Revolut), histórico de pagamentos. Exigidos pela fiscalidade neerlandesa + RGPD art. 6(1)(b) (contrato).
  • Dados técnicos: IP da sessão, user-agent do browser, timestamps de início de sessão. Necessários para segurança (CrowdSec, fail2ban) e prevenção de fraude. Base jurídica: art. 6(1)(f) (interesse legítimo).

Não recolhemos: cookies de tracking de terceiros, pixels de redes sociais, IDs publicitários, geolocalização para além do IP, analítica comportamental, mouse tracking ou qualquer outra tecnologia de vigilância.

3. Para que o usamos

  • Prestar o serviço que pagaste (aprovisionar servidores, enviar-te email, suporte).
  • Gerar e enviar faturas.
  • Detetar e travar abusos na nossa infraestrutura (ver AUP).
  • Cumprir obrigações legais de conservação (fiscalidade NL: faturas durante 7 anos).

Não o usamos para: perfilamento, publicidade personalizada, revenda, treino de modelos de IA ou qualquer outra biscata paralela.

4. Durante quanto tempo guardamos

  • Dados de conta: enquanto fores cliente + 30 dias após o cancelamento para eventuais reclamações.
  • Faturas: 7 anos (fiscalidade neerlandesa).
  • Logs de login: 90 dias (forense de segurança).
  • Dados do servidor (o conteúdo do teu VPS): enquanto o teu serviço estiver ativo. Depois do cancelamento, 14 dias para recuperação, depois eliminação permanente.
  • Tickets de suporte: 2 anos.

5. Com quem partilhamos

Lista curta. Todos são subcontratantes em jurisdição UE:

  • Mollie (NL): processador de pagamentos. Recebe o teu nome, valor da fatura e email. Privacidade da Mollie.
  • Revolut Business (LT, UE): processador alternativo. Mesmo âmbito que a Mollie.
  • Cloudflare (US, região de dados UE): CDN/DDoS para este site. Processa o teu IP + fingerprint do browser para anti-bot. Aplicam-se as SCCs standard. Privacidade da Cloudflare.
  • Qupra DC (NL): datacenter. Acesso físico ao nosso hardware, sem acesso lógico aos dados.
  • OpenProvider (NL): registrar de domínios — só relevante se registares um domínio connosco. Recebe os dados de contacto WHOIS.

É isto. Sem pixels de tracking, sem plataformas publicitárias, sem "analítica" SaaS.

6. Os teus direitos (RGPD)

Tens o direito a:

  • Aceder a todos os teus dados.
  • Corrigi-los.
  • Pedir a eliminação (exceto quando se aplique conservação legal).
  • Receber uma cópia legível por máquina (portabilidade).
  • Opor-te ao tratamento baseado em interesse legítimo.
  • Apresentar reclamação junto da Autoridade Neerlandesa de Proteção de Dados (ou da tua autoridade local, no caso de Portugal a CNPD).

Escreve para [email protected]. Respondemos em 30 dias, normalmente em 5.

7. Segurança

  • TLS em tudo (HSTS preloaded).
  • Palavras-passe guardadas em bcrypt, nunca em texto plano.
  • SSH de produção apenas com chaves ed25519, autenticação por palavra-passe desligada.
  • MFA obrigatório para contas de admin.
  • CrowdSec + fail2ban em todos os endpoints públicos.
  • Backups diários cifrados dos dados de cliente.
  • Acesso restrito: só o Nick e o Jarreth têm shell em produção, só o Xavi tem admin do Filament.

Violação de dados? Notificamos a autoridade de proteção de dados e os clientes afetados em 72 horas, nos termos do RGPD art. 33-34.

8. Contacto + alterações

Dúvidas, pedidos ou reclamações: [email protected] ou Signal (link no rodapé). Reservamo-nos o direito de alterar esta política. Alterações substanciais são comunicadas por email aos clientes ativos com pelo menos 30 dias de antecedência.