Compliance

A Nova está em pré-lançamento. Esta página descreve controles do comportamento atual do aplicativo e do servidor em produção para usuários. Ela não declara licenças, oficiais, auditorias, programas de sanções ou autorizações de parceiros que ainda não foram publicados. Dúvidas vão para hello@novadao.app.

1. Resumo

A Nova é construída como software de carteira autocustodial. A Nova não guarda chaves privadas de usuários e não consegue mover nem recuperar fundos da carteira. A Nova opera acesso à conta, integrações de pagamento, checkout, API, webhooks, prevenção de abuso, suporte e revisão de risco.

Esta página declara a postura de compliance que a Nova atualmente suporta para usuários e operação do serviço em produção. Ela evita placeholders sobre empresas não nomeadas, oficiais não nomeados, licenças não publicadas, atualização diária de listas de sanções ou auditorias de terceiros.

2. Controles existentes

Os controles atuais de produção da Nova incluem:

• suporte a cadastro por convite;
• bloqueio de email descartável;
• verificação Cloudflare Turnstile quando configurada;
• checagens CSRF same-origin em fluxos sensíveis de autenticação;
• rate limits em endpoints públicos e de autenticação;
• checagem HIBP Pwned Passwords no navegador usando apenas prefixo do hash da senha;
• hash Argon2id do segredo de autenticação;
• tokens de verificação e reset com hash e expiração;
• TOTP, segredos TOTP criptografados e backup codes em hash;
• limites de sessão e cookies HttpOnly;
• hash de chaves de API, idempotência, contadores, CORS por origem e allowlists opcionais de IP/domínio;
• assinatura de webhooks e rastreamento de entregas;
• telemetria antifraude de autenticação para revisão de contas duplicadas, bots e credential stuffing;
• mensagens a usuários, restrições de conta e ferramentas de revisão antifraude para contas em produção.

3. Controles que a Nova ainda não declara

Com base apenas neste repositório, a Nova não declara:

• entidade operacional publicada para abertura pública ampla;
• encarregado de dados ou responsável de compliance nomeado;
• representante formal no Brasil;
• licenças bancárias, de corretora, exchange, VASP, instituição de pagamento ou investimento da Nova;
• auditoria independente de segurança, relatório SOC, certificação ISO, certificação PCI ou relatório anual de transparência;
• KYC feito diretamente pela Nova;
• infraestrutura de atualização diária de listas de sanções;
• integrações de Google, Meta, TikTok ou similares para analytics/publicidade.

Esses itens só devem entrar nesta página quando estiverem efetivamente vigentes e comprováveis.

4. Dependência de pagamento e DePix

Fluxos PIX e DePix dependem de provedores terceiros de pagamento, incluindo Eulen/DePix quando habilitado. A Nova registra metadados operacionais de depósitos e saques para mostrar status, reconciliar pagamentos, dar suporte e investigar abuso.

Qualquer dever regulado de pagamento, KYC, PLD, chargeback, reversão ou reporte feito por provedor segue os termos, políticas, licenças e obrigações legais desse provedor.

5. Revisão de abuso e fraude

A Nova pode revisar sinais como falhas repetidas de login, velocidade de cadastros, uso de email descartável, padrões suspeitos de convite, fingerprints compartilhados, padrões de IP compartilhado, comportamento de formulário com muito colar ou ritmo não humano, abuso de links de pagamento, rajadas de depósito, abuso de API/webhook e baixa conversão repetida de pagamentos.

Esses controles protegem usuários e o serviço. Eles podem resultar em rate limit, bloqueio temporário, revisão adicional, limites de recurso, bloqueio de tráfego de API ou restrições de conta. Usuários podem pedir revisão por hello@novadao.app.

6. Blockchain pública e autocustódia

Transações na rede Liquid são públicas ou visíveis a participantes e exploradores conforme o desenho da rede. A Nova pode consultar exploradores com endereços ou scriptPubKeys e pode transmitir transação raw, mas não guarda as chaves de assinatura.

Se a Nova receber pedido legal para mover, bloquear ou recuperar fundos on-chain, ela só pode agir dentro do seu controle técnico. A Nova não assina transação sem as chaves da carteira do usuário.

7. Autoridades e pedidos legais

A Nova revisa pedidos legais antes de divulgar dados. Quando o pedido for válido e estiver dentro do controle técnico da Nova, ela pode divulgar registros de conta, pagamento, API, webhook, risco, sessão, suporte ou auditoria. A Nova pode preservar registros quando exigido por lei.

A Nova pode deixar de notificar o usuário quando a notificação for proibida, criar risco de segurança ou interferir em investigação. Nos demais casos, a Nova busca transparência quando isso for lícito e viável.

8. Incidentes de segurança

A resposta a incidentes da Nova deve seguir a lei aplicável, incluindo requisitos da LGPD para incidentes envolvendo dados pessoais de pessoas no Brasil. A ANPD orienta que controladores comuniquem a ANPD e titulares afetados em até três dias úteis quando o incidente puder acarretar risco ou dano relevante, salvo prazo específico em outra lei.

9. Contato

Relatos de abuso, segurança, pedidos legais, privacidade e compliance vão para hello@novadao.app.