Entrar
NoKycVPS aviso de privacidade dados mínimos sem logs hospedagem anônima offshore
Privacidade · Vigência Jun 27, 2026

O que coletamos — e o que não coletamos.

Tratamos seus dados como gostaríamos que os nossos fossem tratados: coletados com parcimônia, retidos brevemente e jamais compartilhados por solicitação. Esta é a lista completa.

Resumo rápido Leia os termos completos
Em um parágrafo

Coletamos um e-mail, um hash de senha, o saldo da sua conta, a configuração do seu servidor e o estritamente necessário para manter seus serviços em funcionamento. Não coletamos nomes, endereços, telefones, documentos, impressões digitais do navegador nem dados analíticos. Não vendemos, alugamos nem compartilhamos seus dados. Não utilizamos rastreadores. Excluímos quase tudo rapidamente. A única circunstância em que qualquer dado sai da nossa infraestrutura é mediante uma ordem judicial válida de um tribunal competente — e mesmo assim, você é notificado antes de agirmos.

01

O que coletamos

Por conta:

  • Endereço de e-mail. Um por conta. Aceitamos qualquer endereço que receba mensagens, incluindo caixas de entrada descartáveis. Enviamos avisos de serviço e alertas preventivos para ele.
  • Hash de senha. Armazenado como bcrypt com custo 12. Nunca vemos nem armazenamos a senha em texto simples.
  • Saldo da conta. Seu crédito atual em USD.
  • Registro de data/hora do login. A data e hora do login mais recente. Usado para exibir "visto por último" nas suas configurações e para detectar atividade incomum.

Por serviço implantado:

  • Produto (VPS ou dedicado), plano, região, imagem do SO e ciclo de faturamento — a configuração que você escolheu.
  • Senha root criptografada. AES-256-CBC em repouso, vinculada a um segredo exclusivo do servidor que não expomos. Não podemos descriptografá-la para consulta casual; o provisionador a descriptografa no momento da implantação e o valor é então apagado da memória do processo.
  • Estado do serviço (pendente, ativo, suspenso, encerrado), IPv4 atribuído (quando alocado), registros de data/hora de criação e renovação.

Por pagamento:

  • Referência do pedido, valor solicitado, moeda escolhida, o endereço de depósito gerado pelo nosso hub de pagamento, o ID da transação após confirmação e o registro de data/hora da confirmação.
  • Não registramos o endereço da sua carteira remetente. Não vinculamos pagamentos a nenhuma identidade externa.
02

O que não coletamos

  • Nenhum nome real. Jamais.
  • Nenhum endereço físico. Para cobrança ou entrega.
  • Nenhum número de telefone. Nem para verificação, nem para recuperação, nem "em caso de problemas urgentes".
  • Nenhum documento oficial. Sem cópias de passaporte, sem carteiras de motorista, sem números fiscais.
  • Nenhuma impressão digital do navegador. Não utilizamos bibliotecas de fingerprinting em nossas páginas.
  • Sem analytics. Sem Google Analytics, sem Plausible, sem Matomo, sem pixel interno. Não sabemos quantos de vocês leram esta página.
  • Sem rastreadores de terceiros. Sem Facebook Pixel, sem Hotjar, sem widget de chat que reporta dados. Os únicos recursos externos que carregamos são as fontes do Google Fonts e um conjunto de ícones de cripto de um CDN público — ambos porque são cacheados agressivamente na web e economizar 200ms de handshake TLS não justifica manter nosso próprio servidor de fontes. Se você se opõe a isso, navegue pelo Tor; as páginas renderizam normalmente sem eles.
  • Sem dados bancários ou de cartão. Não aceitamos esses métodos de pagamento.
  • Nenhum conteúdo do seu servidor. Não indexamos, escaneamos, espelhamos nem amostramos o que é executado nele.
03

Logs do servidor

O servidor web (nginx) registra uma entrada de log de acesso para cada requisição HTTP — URL, código de status, timestamp, user agent e IP de origem após o desempacotamento do Cloudflare. Usamos esses logs para uma única finalidade: limitar a taxa de bots e rastrear problemas de infraestrutura. Eles são rotacionados e excluídos após 7 dias. Nunca saem do host.

Os logs de aplicação (erros, avisos) são gravados em um arquivo separado, também rotacionado após 7 dias. Não contêm credenciais nem conteúdo de mensagens.

Não registramos logs dentro do seu servidor. Seja lá o que seu serviço faça, não vemos.

04

Cookies

Definimos exatamente um cookie quando você faz login: PHPSESSID, um identificador de sessão opaco. Ele é HttpOnly, Secure, SameSite=Lax e tem duração de trinta dias, a menos que você saia. Não há cookie de rastreamento, cookie de publicidade, nem banner de consentimento porque não há nada a consentir. Se você estiver deslogado, nenhum cookie é definido.

05

Criptografia

  • Em trânsito: TLS 1.2+ em todas as conexões, HSTS pré-carregado, apenas conjuntos de cifras modernos. Sem fallback para HTTP.
  • Em repouso: O disco do banco de dados usa criptografia total de disco LUKS. As senhas root dos servidores implantados são adicionalmente criptografadas com AES-256-CBC no nível da linha. Os backups são criptografados antes de sair do host.
  • Senhas: bcrypt com custo 12. Não podemos recuperá-las, apenas verificá-las.
06

Com quem compartilhamos dados

Por padrão, ninguém. Nem outros provedores, nem autoridades, nem "parceiros de confiança".

As exceções restritas:

  • Hub de pagamento (simsms.co). Quando você recarrega, enviamos o valor solicitado e a moeda ao nosso hub de pagamento para que ele possa gerar um endereço de depósito e verificar as confirmações. Enviamos: a referência do pedido, o valor em USD e a moeda escolhida. Não enviamos seu e-mail nem ID de conta.
  • CDNs que utilizamos. Google Fonts e jsDelivr (para o conjunto de ícones de cripto e nosso conjunto de bandeiras de idioma) veem os IPs dos visitantes que buscam esses recursos. Não trocamos dados com eles — eles apenas servem arquivos estáticos.
  • Provedores de hospedagem/trânsito. Nossos provedores de datacenter tecnicamente têm acesso físico às máquinas. Eles não podem ler os volumes criptografados sem nossas chaves, que não são armazenadas em disco.
  • Ordens judiciais. Consulte os termos de serviço. Agimos apenas mediante ordens executáveis, com escopo restrito e aviso prévio a você.
07

Por quanto tempo retemos os dados

  • Registro da conta: durante toda a vida útil da conta, mais 30 dias após o encerramento definitivo para resolução de disputas. Em seguida, excluído do banco de dados ativo.
  • Registros de pagamento: 13 meses após a confirmação para fins contábeis, depois excluídos permanentemente.
  • Registros de servidor: 90 dias após o encerramento, depois excluídos. Os volumes de disco associados são apagados no momento do encerramento.
  • Logs de acesso nginx: 7 dias, depois rotacionados.
  • Registros de sessão: até o vencimento da sessão (30 dias de inatividade) ou logout, o que ocorrer primeiro.
  • Backups: 14 dias criptografados, depois rotacionados.
08

Seu controle

No painel você pode: alterar sua senha, visualizar serviços ativos, visualizar seu extrato de faturamento completo, encerrar qualquer serviço e sair do navegador atual. O encerramento de conta é feito de forma autônoma no painel de configurações.

Não há botão "excluir meus dados" porque não há um banco de dados extra armazenando seus dados. Encerre seus serviços, retire o saldo restante por meio de uma última recarga e você terá feito isso de forma efetiva. A janela de carência de 30 dias existe caso você mude de ideia.

Se sua jurisdição lhe concede um direito de acesso (GDPR, CCPA ou similar), o painel já expõe tudo que mantemos sobre você. Não há armazenamento externo ao sistema para inspecionar.

09

Alterações

Alterações materiais — qualquer mudança que amplie o que coletamos, reduza seus prazos de retenção em seu desfavor ou adicione um novo destinatário de compartilhamento de dados — são anunciadas com 30 dias de antecedência, por e-mail e na página /canary.

Alterações não materiais (esclarecimentos, erros tipográficos) entram em vigor imediatamente. A data de "vigência" no topo desta página sempre reflete a última atualização.