Política de privacidade

Autenticação via Steam OpenID. Quando você faz login com Steam, recebemos apenas dados públicos do seu perfil: SteamID64, nome de exibição, avatar e URL pública. Nunca temos acesso à sua senha Steam, items do inventário que você optou por esconder, ou qualquer informação privada da conta.

Transações que você registra. Compras e vendas de skins que você manualmente adiciona (ou importa via histórico Steam) ficam armazenadas no banco de dados vinculadas ao seu SteamID64. Servem exclusivamente para calcular seu P&L e base de custo.

Preferências da watchlist. Skins marcadas como favoritas e alertas de preço ficam no seu navegador (localStorage) e, quando autenticado, replicadas no servidor para sincronização entre dispositivos.

Newsletter (opcional). Se você se cadastrar na newsletter, armazenamos seu e-mail + timestamp de confirmação. Nada mais. Processamento via Resend (provedor de e-mail transacional).

• Senhas, tokens de API Steam ou sessões da Valve
• Dados bancários, CPF, números de cartão — o site não processa pagamentos
• Localização geográfica precisa (usamos IP apenas para rate limiting de APIs, sem armazenar)
• Histórico de navegação em outros sites
• Sem Google Analytics, Facebook Pixel, TikTok Pixel ou qualquer tracker que associe o comportamento a uma pessoa física

Usamos um único cookie essencial: skin_tracker_session (HTTP-only, assinado via iron-session). Ele armazena apenas o seu SteamID64 autenticado para manter a sessão ativa entre requests. Duração: 30 dias ou até você fazer logout.

Nenhum cookie de tracking, advertising ou analytics é setado — o Plausible (descrito abaixo) é 100% cookieless.

Usamos Plausible, uma ferramenta de analytics open-source, hospedada na União Europeia, sem cookies e sem dados pessoais. Ela nos informa quantas pessoas visitam cada página, de qual país (apenas país, não cidade), qual navegador usam e de qual site vieram (referrer). Tudo agregado — nunca associado a uma pessoa específica.

O que isso NÃO faz: não seta cookies, não usa fingerprinting de navegador, não retém seu IP (usado apenas para calcular o hash de sessão do dia e imediatamente descartado), não cruza com outros sites, não vende nada pra terceiros.

Os eventos customizados que rastreamos são apenas de produto — por exemplo, "alguém se inscreveu na newsletter" (sem dizer quem) ou "alguém clicou num link externo do Steam". Servem pra saber quais conteúdos ajudam e quais não.

Adicionado em 29/04/2026 pra fechar o gap qualitativo do Plausible: enquanto Plausible nos diz QUANTAS pessoas visitam, PostHog nos mostra ONDE elas se confundem ou clicam.

PostHog (session replay): gravamos a interação visual da sua sessão (clicks, scroll, movimento de mouse, navegação entre páginas). NÃO gravamos o conteúdo de campos de input (busca, formulários) — todos os <input> e <textarea> são mascarados antes de sair do seu navegador. NÃO gravamos áudio, vídeo ou seu inventário pessoal. Replay tem retenção de 30 dias e é privado da equipe Skin Trackers.

Sentry (bug reports): erros de JavaScript não-tratados (ex: uma página crasha pra você) são enviados pra Sentry com stack trace + últimos 10s de session replay daquela sessão específica. Cookies de sessão e tokens de admin são removidos antes do envio (sanitização explícita em sentry.client.config.ts). O botão flutuante "Reportar feedback" permite enviar bug ou sugestão de forma proativa — email/nome são opcionais.

Como opt-out: instale uma browser extension de privacidade (uBlock Origin, Privacy Badger). Ambos PostHog e Sentry são bloqueados nas listas default. Você não perde nenhuma funcionalidade do site — apenas não vamos saber se algo deu ruim na sua sessão.

Não vendemos, trocamos ou compartilhamos seus dados com terceiros para fins comerciais. Os únicos processadores de dados são:

• Valve — para validação do login OpenID (protocolo padrão, sem envio de dados adicionais)
• Resend — para envio da newsletter, quando aplicável (apenas e-mails dos subscribers confirmados)
• Banco Central do Brasil — API pública de câmbio USD/BRL e séries do CDI (sem envio de dados do usuário)
• Plausible — analytics agregado, cookieless, sem dados pessoais (ver seção 4)
• PostHog — session replay + heatmaps com input masking obrigatório (ver seção 4b). Hospedado nos EUA (data residency) — usamos free tier community-edition. Retenção 30 dias.
• Sentry — error tracking + bug report widget com sanitização de cookies/tokens antes de envio (ver seção 4b)

O Skin Trackers oferece uma extensão Chrome opcional que ajuda a sincronizar histórico do Steam Market e contribuir com backfill de preços históricos pra os índices STI. A extensão é 100% opcional — o site funciona normalmente sem ela.

O que a extensão faz no SEU browser:

• Lê seus cookies de sessão Steam (apenas no contexto do steamcommunity.com, nunca cross-site) pra acessar endpoints autenticados como histórico de transações e histórico de preços público.
• Faz fetch local dos dados Steam usando sua sessão (igual a você navegar manualmente).
• Envia o resultado processado (preços públicos, NUNCA seus cookies) pro servidor do Skin Tracker via token autenticado.

O que NÃO acontece:

• Servidor do Skin Trackers nunca recebe seus cookies Steam — eles ficam no seu browser.
• A extensão nunca lê dados de outros sites (Gmail, banking, etc.) — escopo restrito a steamcommunity.com e skintrackers.com via host_permissions do Manifest V3.
• Nenhum scraping é executado sem ação humana explícita — cada operação requer click + consent modal antes de iniciar.

Risk transfer (importante): ao autorizar o backfill de histórico (botão "Contribuir com histórico" no popup da extensão), você usa sua conta Steam pra fazer requests à Valve. A Valve pode, em casos raros, aplicar cooldown de 24h se detectar volume anormal — risco que recai sobre sua conta, não sobre o Skin Trackers. Recomendamos usar conta Steam principal real (não descartável) e respeitar o pace human-paced de 4s entre requests configurado na extensão.

Direito de não usar: você pode desinstalar a extensão a qualquer momento (Chrome → Extensões → Skin Trackers → Remover). Os dados já contribuídos permanecem no nosso DB porque são de mercado público (preços Steam), não dados pessoais. Se quiser deletar dados pessoais associados ao seu SteamID64, ver Seção 6 (LGPD).

Termos Steam (SSA §5C): a seção 5C do Steam Subscriber Agreement proíbe "automated systems for accessing Services". Argumentamos fair use baseado em (a) trigger humano explícito, (b) pace human-paced (≥4s), (c) endpoint público a usuários logados, (d) sem revenda dos dados. Esta análise é nossa interpretação — não decisão jurídica final. Em caso de divergência da Valve, a operação será descontinuada imediatamente.

Você tem direito a, a qualquer momento:

• Acessar todos os dados associados ao seu SteamID64 (disponíveis dentro do próprio app, em /inventario e /historico)
• Exportar sua base de transações em CSV
• Deletar sua conta e todos os dados associados (solicitação via /sobre)
• Descadastrar da newsletter via link em qualquer e-mail enviado

Prazo de atendimento: até 15 dias úteis após solicitação, conforme LGPD art. 19. Processo detalhado disponível sob solicitação via /sobre.

Jorgin_ — autor do Skin Tracker e responsável pelo tratamento de dados pessoais (Encarregado conforme LGPD art. 41).

Contato: via /sobre (formulário + links Steam verificáveis), ou diretamente pelo perfil público steamcommunity.com/id/Jorgin_.

Por ser produto solo-dev sem estrutura corporativa, o Encarregado acumula função operacional + compliance. Solicitações são atendidas pessoalmente pelo autor no prazo legal. Se o produto crescer e exigir Encarregado dedicado, a mudança será comunicada por e-mail + banner.

Dados do seu usuário são mantidos enquanto a conta existir. Após deletar, são removidos do banco de dados em até 7 dias úteis — incluindo cópias em backups rotativos.

Mudanças materiais nesta política são sinalizadas por alteração na data "Última atualização" no topo. Mudanças no tipo de dado coletado ou compartilhado são comunicadas também via e-mail (para subscribers da newsletter) e banner no app.