Compliance

Nova está en pre-lanzamiento. Esta página describe controles del comportamiento actual de la aplicación y del servidor en producción para usuarios. No declara licencias, oficiales, auditorías, programas de sanciones o autorizaciones de socios que todavía no hayan sido publicados. Consultas: hello@novadao.app.

1. Resumen

Nova está construida como software de billetera autocustodiada. Nova no guarda claves privadas de usuarios y no puede mover ni recuperar fondos de la billetera. Nova opera acceso a cuenta, integraciones de pago, checkout, API, webhooks, prevención de abuso, soporte y revisión de riesgo.

Esta página declara la postura de compliance que Nova actualmente soporta para usuarios y operación del servicio en producción. Evita placeholders sobre empresas no nombradas, oficiales no nombrados, licencias no publicadas, actualización diaria de listas de sanciones o auditorías de terceros.

2. Controles existentes

Los controles actuales de producción de Nova incluyen:

• soporte de registro por invitación;
• bloqueo de email descartable;
• verificación Cloudflare Turnstile cuando está configurada;
• checks CSRF same-origin en flujos sensibles de autenticación;
• rate limits en endpoints públicos y de autenticación;
• verificación HIBP Pwned Passwords en el navegador usando solo el prefijo del hash de contraseña;
• hash Argon2id del secreto de autenticación;
• tokens de verificación y reset con hash y expiración;
• TOTP, secretos TOTP cifrados y backup codes en hash;
• límites de sesión y cookies HttpOnly;
• hash de claves API, idempotencia, contadores, CORS por origen y allowlists opcionales de IP/dominio;
• firma de webhooks y rastreo de entregas;
• telemetría antifraude de autenticación para revisión de cuentas duplicadas, bots y credential stuffing;
• mensajes a usuarios, restricciones de cuenta y herramientas de revisión antifraude para cuentas en producción.

3. Controles que Nova todavía no declara

Con base solo en este repositorio, Nova no declara:

• entidad operadora publicada para apertura pública amplia;
• encargado de datos o responsable de compliance nombrado;
• representante formal en Brasil;
• licencias bancarias, de broker, exchange, VASP, institución de pago o inversión de Nova;
• auditoría independiente de seguridad, informe SOC, certificación ISO, certificación PCI o informe anual de transparencia;
• KYC hecho directamente por Nova;
• infraestructura de actualización diaria de listas de sanciones;
• integraciones de Google, Meta, TikTok o similares para analítica/publicidad.

Estos puntos solo deben entrar en esta página cuando estén efectivamente vigentes y comprobables.

4. Dependencia de pago y DePix

Los flujos PIX y DePix dependen de proveedores terceros de pago, incluido Eulen/DePix cuando esté habilitado. Nova registra metadatos operacionales de depósitos y retiros para mostrar estado, conciliar pagos, dar soporte e investigar abuso.

Cualquier deber regulado de pago, KYC, AML, chargeback, reverso o reporte hecho por un proveedor sigue los términos, políticas, licencias y obligaciones legales de ese proveedor.

5. Revisión de abuso y fraude

Nova puede revisar señales como fallas repetidas de login, velocidad de registros, uso de email descartable, patrones sospechosos de invitación, fingerprints compartidos, patrones de IP compartida, comportamiento de formulario con mucho pegar o ritmo no humano, abuso de links de pago, ráfagas de depósito, abuso de API/webhook y baja conversión repetida de pagos.

Estos controles protegen usuarios y el servicio. Pueden resultar en rate limit, bloqueo temporal, revisión adicional, límites de función, bloqueo de tráfico API o restricciones de cuenta. Los usuarios pueden pedir revisión escribiendo a hello@novadao.app.

6. Blockchain pública y autocustodia

Las transacciones en la red Liquid son públicas o visibles a participantes y exploradores según el diseño de la red. Nova puede consultar exploradores con direcciones o scriptPubKeys y puede transmitir transacción raw, pero no guarda las claves de firma.

Si Nova recibe una solicitud legal para mover, bloquear o recuperar fondos on-chain, solo puede actuar dentro de su control técnico. Nova no firma transacciones sin las claves de la billetera del usuario.

7. Autoridades y solicitudes legales

Nova revisa solicitudes legales antes de divulgar datos. Cuando la solicitud es válida y está dentro del control técnico de Nova, puede divulgar registros de cuenta, pago, API, webhook, riesgo, sesión, soporte o auditoría. Nova puede preservar registros cuando la ley lo exija.

Nova puede no notificar al usuario cuando la notificación esté prohibida, cree riesgo de seguridad o interfiera en una investigación. En los demás casos, Nova busca transparencia cuando sea lícito y viable.

8. Incidentes de seguridad

La respuesta a incidentes de Nova debe seguir la ley aplicable, incluidos requisitos de la LGPD para incidentes que involucren datos personales de personas en Brasil. La ANPD orienta que los controladores comuniquen a la ANPD y a titulares afectados en hasta tres días hábiles cuando el incidente pueda generar riesgo o daño relevante, salvo plazo específico en otra ley.

9. Contacto

Reportes de abuso, seguridad, solicitudes legales, privacidad y compliance van a hello@novadao.app.