Regulatório · LGPD

Política de Privacidade e Termos de Uso

Este documento explica como a Cumbuca Instituição de Pagamento LTDA. coleta, trata, armazena e protege dados dos usuários. Aplica-se a todos os serviços da Cumbuca e rege os direitos e deveres dos usuários e da instituição, em conformidade com a Lei nº 13.709/2018 (LGPD).

Versão 1.0 Última atualização Agosto/2025 Publicado 21 Abr 2026

Identificação da Cumbuca

A Cumbuca é uma instituição de pagamento regulamentada pelo Banco Central do Brasil, atuando como iniciadora de pagamentos no ecossistema Open Finance. Para fins desta política, os dados de contato e registro da controladora são:

Razão social
CUMBUCA INSTITUIÇÃO DE PAGAMENTO LTDA.
CNPJ
44.353.942/0001-29
Privacidade
privacidade@cumbuca.com
Suporte
suporte@cumbuca.com
Ouvidoria
ouvidoria@cumbuca.com · 0800 715 8075

Dados coletados

A Cumbuca coleta as seguintes categorias de dados, sempre vinculadas a uma finalidade específica descrita na seção seguinte:

Dados pessoais (pessoa física)

Nome completo, CPF, RG, data de nascimento, endereço, e-mail, telefone, dados profissionais, nacionalidade e dados parentais.

Dados empresariais (pessoa jurídica)

Razão social, CNPJ, NIRE, data de abertura, dados dos representantes legais, receita e informações patrimoniais.

Dados financeiros

Saldos bancários, histórico transacional, dados de cartões de crédito, registros de investimentos, operações de crédito e operações de câmbio, sempre sob consentimento específico.

Dados técnicos

Endereço IP, características do dispositivo, cookies, geolocalização, informações de navegador, assinaturas FIDO2 e identificadores de dispositivo.

Dados comportamentais

Padrões de transação, logs de uso, tentativas de autenticação e sinais de risco utilizados para prevenção a fraude e proteção da conta.

Finalidades do tratamento

Os dados são tratados exclusivamente para as seguintes finalidades:

  • Identificação e autenticação do usuário
  • Execução de serviços de iniciação de pagamento (Pix, agendado, recorrente, Pix Automático)
  • Compartilhamento de dados via Open Finance, somente com consentimento explícito
  • Prevenção a fraudes e monitoramento de segurança
  • Cumprimento de obrigações legais e regulatórias
  • Aprimoramento e personalização dos serviços
  • Análise de crédito e avaliação de risco, quando aplicável
  • Comunicação sobre serviços e atualizações

Compartilhamento de dados

Os dados podem ser compartilhados apenas quando necessário para a execução dos serviços contratados ou para cumprimento de obrigação regulatória.

Compartilhamento interno

Empresas do grupo econômico, controladas e parceiros comerciais autorizados contratualmente.

Compartilhamento externo

Instituições financeiras, processadores de pagamento, provedores de infraestrutura (Amazon Web Services), plataformas de analytics (Google Analytics) e autoridades regulatórias competentes, Banco Central do Brasil (BCB), Autoridade Nacional de Proteção de Dados (ANPD), entre outras.

Condição

O compartilhamento ocorre somente quando necessário às atividades e produtos oferecidos, com notificação prévia ao usuário quando legalmente exigido.

Armazenamento e segurança

Os dados são armazenados em infraestrutura de nuvem da Amazon Web Services (AWS), com controles de acesso restritos a pessoal autorizado e submetido a treinamento periódico em segurança cibernética.

Medidas técnicas

  • Criptografia TLS/SSL em todas as comunicações
  • HTTPS obrigatório para acesso às plataformas
  • Criptografia avançada para credenciais bancárias e chaves privadas
  • Padrões FIDO2 e OpenID Certified para autenticação
  • Políticas de segurança da informação revistas periodicamente

Retenção

Os dados são retidos pelo período necessário ao cumprimento das finalidades declaradas ou para cumprimento de obrigação legal ou regulatória específica.

Direitos do titular (LGPD)

Em conformidade com a Lei nº 13.709/2018, o titular pode exercer os seguintes direitos:

  1. Confirmação da existência de tratamento de dados
  2. Acesso aos dados tratados
  3. Correção de dados incompletos, inexatos ou desatualizados
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, respeitadas as obrigações legais
  5. Portabilidade a outro fornecedor, exceto conteúdos protegidos por segredo de negócio
  6. Revogação do consentimento a qualquer tempo
  7. Informação sobre compartilhamento com entidades públicas e privadas
  8. Explicação sobre as consequências de conceder ou negar consentimento

O exercício de qualquer desses direitos é feito por requisição escrita a privacidade@cumbuca.com ou pelo Portal do Cliente. A Cumbuca responde em até 10 dias úteis.

Consentimento e revogação

A Cumbuca opera sobre três tipos de consentimento:

  • Consentimento LGPD, autorização para o tratamento de dados pessoais na forma da Lei 13.709/2018
  • Consentimento Open Finance, aprovação específica para compartilhamento de dados financeiros entre instituições
  • Autorização de pagamento, permissão para iniciar transações Pix (única, agendada ou recorrente)

A revogação é permitida a qualquer tempo, pelo Portal do Cliente ou pelo mesmo canal usado para a concessão. A revogação é de efeito imediato sobre transações futuras, sem efeito retroativo sobre transações já iniciadas.

Categorias especiais

Dados FIDO2

Coletados e tratados para usuários que utilizem Pix biométrico, Pix por proximidade e Jornada sem Redirecionamento (JSR), usados exclusivamente para autenticação e prevenção a fraudes.

Dados de crédito (SCR)

Informações do registro de crédito do Banco Central podem ser compartilhadas mediante consentimento explícito, para oferta personalizada de produtos de crédito.

Dados de funcionários

Nome do empregador e cargo coletados para análise de perfil e verificação de identidade.

Dados de menores

Tratados apenas quando o menor for dependente ou beneficiário, no melhor interesse da criança e nunca para fins de marketing.

Usos proibidos

É vedado ao usuário:

  • Violar leis ou regulamentos aplicáveis
  • Assumir identidade falsa
  • Compartilhar conteúdo ilegal, ofensivo ou lesivo
  • Violar direitos de propriedade intelectual
  • Transmitir malware ou código disruptivo
  • Exercer atividades financeiras sem a devida autorização regulatória
  • Utilizar o serviço para lavagem de dinheiro ou financiamento ao terrorismo
  • Tentar burlar mecanismos de segurança

O descumprimento autoriza a Cumbuca a suspender ou bloquear o acesso, sem aviso prévio, comunicando as autoridades competentes quando cabível.

Lei aplicável e foro

Este documento é regido pelas leis da República Federativa do Brasil. Fica eleito o foro da Comarca de São Paulo, SP como competente para dirimir quaisquer controvérsias, salvo direito do consumidor de ajuizar ação no foro de seu domicílio, nos termos do Código de Defesa do Consumidor.

Contato

Privacidade / direitos LGPD

privacidade@cumbuca.com

Suporte técnico

suporte@cumbuca.com

Ouvidoria

ouvidoria@cumbuca.com · 0800 715 8075

Endereço

São Paulo, SP, Brasil

Alterações desta política

A Cumbuca pode modificar esta política a qualquer tempo. As atualizações são publicadas com a data de modificação explícita. O uso continuado dos serviços após a publicação da nova versão caracteriza aceitação das novas condições, sem efeito retroativo sobre consentimentos já concedidos.