Política de Privacidade

1. Introdução e âmbito de aplicação

O socialistic.ai (o "Serviço") é operado pela haitai social ("haitai social", "nós" ou "nosso"). A presente Política de Privacidade se aplica a todos os dados pessoais coletados por meio do Serviço em https://socialistic.haitai-social.com, incluindo o aplicativo web e as APIs. Ao utilizar o Serviço, você reconhece as práticas aqui descritas. Caso não concorde, você deve deixar de utilizar o Serviço.

2. Roles

One account can act in two roles depending on the context:

• Consumer You are a consumer when you visit a Skill published by someone else, upload files to it, or start a conversation with it.
• Creator You are a creator when you publish a Skill, configure its API key or hosting mode, or manage it from your Skills page.

The same account can switch between roles at any time. Sections labeled "Creator" or "Consumer" apply only when you act in that role; unlabeled sections apply to both.

3. Arquitetura do Serviço

O Serviço opera por meio de uma camada web e de API baseada em Next.js hospedada na Vercel; agentes de execução de habilidades ("Goose agents") em servidores privados virtuais gerenciados pela haitai social; e serviços de autenticação, banco de dados e armazenamento da Supabase. Cada componente trata dados pessoais apenas na medida necessária para desempenhar sua função, e a comunicação entre componentes é criptografada em trânsito com HTTPS/TLS.

4. Dados que coletamos

• 4.1 Dados de conta e autenticação. Quando o usuário faz login, recebemos e armazenamos informações de perfil do método escolhido — atualmente Google, GitHub ou WeChat, ou um link de login por e-mail de uso único. Dependendo do método, isso pode incluir seu nome de exibição, endereço de e-mail, imagem de avatar e um identificador único do provedor. Nunca recebemos nem armazenamos uma senha.
• 4.2 Conteúdo do usuário.
  • Criadores: metadados da Skill (URL de origem, título, descrição, configuração) e, nos modos Own key ou de assinatura própria, sua chave de API de LLM ou credenciais de assinatura. Os criadores também podem escolher o modo hospedado, que não requer nenhuma chave — a plataforma faz as solicitações por meio da API pública do OpenRouter em seu nome.
  • Consumers: files and links submitted on the cold-start surface, and the messages exchanged in conversation sessions.
• 4.3 Dados de telemetria e uso. Coletamos análises de produto por meio do PostHog (páginas visualizadas, interações com a interface, eventos de funcionalidades, duração da sessão, origem de referência) e registros de servidor padrão (endereço IP, user-agent, carimbos de data e hora, códigos de resposta, URIs de requisição), utilizados apenas para operar, monitorar e depurar o Serviço.
• 4.4 Dados de crédito e transações. Caso o usuário utilize créditos credits, armazenamos o saldo de sua carteira e um livro-razão somente de inclusão das movimentações de crédito — cobranças de uso hospedado e concessões promocionais — incluindo o valor, o motivo, a contraparte e o que autorizou cada movimentação.

5. Como utilizamos seus dados

We process your personal data for these purposes:

• Authenticate you and maintain your account.
• Render and distribute the Skill cards you create.
• Provision and manage agent sessions for conversations.
• Transmit your messages to the LLM provider configured for a Skill.
• Operate the credit system and keep an auditable record of credit movements.
• Diagnose errors and maintain stability.
• Comply with legal obligations.

We do not sell, rent, or license personal data. We do not use your messages, uploaded files, or conversation history to train or improve any machine-learning model.

6. Fluxo de dados durante a execução de uma Skill

When you use a Skill, your input — text, uploaded files, code, and URLs — is sent to the LLM provider configured for that Skill. The call uses either the creator's own API key (Own key mode) or the platform's key (hosted mode).

The provider returns a response. Both your input and the response are stored in our database (Supabase) so the conversation can continue across turns. Uploaded files are stored in Supabase Storage.

We do not inspect, analyze, or mine the content of your conversations or files for any purpose beyond delivering the Service. Each LLM provider's own privacy policy governs how it handles the data it receives.

Data handling by mode

In all modes, your input and the LLM response are stored in the platform database (Supabase). Uploaded files are stored in Supabase Storage. You can see which mode applies when you start a session.

Criadores: nos modos Own key ou de assinatura própria, sua chave de API é armazenada na plataforma e transmitida ao ambiente de execução do agente por meio de conexões criptografadas para atender chamadas de LLM. As conversas dos consumidores roteadas pela sua chave são visíveis para o seu provedor de LLM. Se você escolher o modo hospedado, nenhuma chave é necessária — a plataforma usa sua própria chave para fazer solicitações por meio do OpenRouter.

7. Segurança das chaves de API de LLM

Sabemos que uma chave de API é sensível. Os criadores podem escolher o modo hospedado, que não requer nenhuma chave — a plataforma faz as solicitações de LLM por meio da API pública do OpenRouter em seu nome. Se você optar por usar o Own key mode, é assim que sua chave é protegida:

• Sua chave nunca é visível aos consumidores, a outros criadores ou a qualquer pessoa com quem você compartilha sua Skill. Ela nunca aparece em uma página compartilhada, URL, superfície de compartilhamento ou conversa. Somente você, conectado à sua própria conta, pode visualizá-la ou alterá-la.
• Sua chave é armazenada em nossos servidores exclusivamente para atender a chamadas de LLM da sua Skill, e é transmitida apenas por conexões criptografadas (HTTPS/TLS) entre o navegador, nossos servidores e o ambiente de execução do agente.
• O acesso aos sistemas que armazenam sua chave é restrito a pessoal autorizado, com base na estrita necessidade de conhecimento. Você pode alterar, remover ou rotacionar sua chave a qualquer momento na configuração da sua Skill; removê-la interrompe imediatamente a possibilidade de compartilhar a Skill. Todos os dados em trânsito entre clientes, nossos servidores e componentes internos são protegidos com TLS.

8. Dados de crédito e financeiros

O livro-razão de credits é o registro autoritativo e somente de inclusão de cada movimentação de crédito; o saldo de sua carteira é uma leitura em cache desse livro-razão. Retemos os registros do livro-razão e das transações pelo tempo necessário para fornecer o Serviço, resolver disputas e cumprir obrigações legais e contábeis, o que pode se estender para além do encerramento da conta.

9. Destinatários de dados terceirizados

• 9.1 Provedores de identidade. A Google LLC, a GitHub, Inc. e/ou a Tencent (para login via WeChat) recebem e tratam dados de autenticação quando o usuário opta por fazer login por meio delas.
• 9.2 Provedores de LLM. When a Skill runs, consumer messages and attached content are sent to the third-party LLM provider configured for that Skill — in hosted mode, the platform selects the provider; in creator-provided modes, the creator’s own key or subscription routes the call. We do not control how those providers handle data.
• 9.3 Provedores de infraestrutura e serviços. Vercel, Inc. (hospedagem e CDN), Supabase, Inc. (banco de dados, autenticação, armazenamento e entrega de links de login por e-mail) e PostHog, Inc. (análise de produto). Cada uma atua como operadora de dados sob nossas instruções, nos termos de seu próprio acordo de tratamento de dados.

Não divulgamos dados pessoais a anunciantes ou corretores de dados, nem a qualquer terceiro para fins de marketing.

10. Retenção de dados

Account data is kept while your account is active. Skill metadata, conversation history, and uploaded files are kept until you delete them or close your account. After that, data is removed from active systems within 30 days. Encrypted backups are purged within 90 days.

Credit ledger and transaction records may be retained longer to meet legal, accounting, and dispute-resolution obligations.

11. Seus direitos e escolhas

Sujeito à legislação aplicável, o usuário pode acessar os dados pessoais que mantemos a seu respeito, solicitar correção ou exclusão, opor-se a determinado tratamento ou restringi-lo, e solicitar uma cópia portável. Você pode excluir suas Skills a qualquer momento em sua página de Skills, e pode entrar em contato conosco para exercer qualquer direito ou solicitar a exclusão da conta. Respondemos a solicitações verificadas em até trinta (30) dias ou conforme exigido por lei.

/me/skills · official@tinkerland.app

12. Cookies e rastreamento

O Serviço utiliza um pequeno conjunto de cookies próprios estritamente necessários para as sessões de autenticação, a preferência de idioma e o registro da sua resposta à pergunta sobre disposição a pagar. O PostHog define um cookie de análise próprio para a deduplicação de visitantes; você pode bloqueá-lo nas configurações do seu navegador sem perder a funcionalidade essencial. Não utilizamos cookies de publicidade de terceiros nem rastreamento entre sites.

13. Privacidade de crianças

O Serviço não é direcionado a, e não coletamos conscientemente dados pessoais de, qualquer pessoa com menos de treze (13) anos ou abaixo da idade de consentimento digital em sua jurisdição. Caso tomemos conhecimento de que coletamos tais dados, nós os excluiremos prontamente.

14. Denúncias de abuso e investigações

Caso o usuário denuncie um abuso, ou seja objeto de uma denúncia, tratamos as informações contidas na denúncia — incluindo as Skills, contas e evidências envolvidas — para investigá-la e agir a respeito. Tratamos a identidade do denunciante como confidencial e não a divulgamos à parte denunciada. Retemos os registros de investigação e de aplicação de medidas pelo tempo necessário para manter o Serviço seguro, processar recursos e cumprir obrigações legais.

15. Legal Basis for Processing

If you are located in the European Economic Area (EEA), the United Kingdom, or another jurisdiction that requires a legal basis, we rely on the following grounds:

• Contract performance. Processing necessary to provide the Service you signed up for — account authentication, Skill rendering and distribution, agent session management, message transmission to the LLM provider, and credit system operation.
• Legitimate interest. Processing necessary for our legitimate business interests, where those interests are not overridden by your rights — product analytics and telemetry, error diagnosis and stability, abuse investigation, and service security.
• Legal obligation. Processing necessary to comply with applicable law — regulatory compliance and retention of financial records.
• Consent. Where we rely on your consent (e.g. the PostHog analytics cookie), you may withdraw it at any time by adjusting your browser settings. Withdrawal does not affect processing carried out before the withdrawal.

16. International Data Transfers

The Service is operated from servers located in the United States. If you access the Service from outside the US, your personal data is transferred to and processed in the US.

For transfers from the EEA, the UK, or Switzerland, we rely on the Standard Contractual Clauses (SCCs) published by the European Commission, supplemented by additional technical and organizational measures where appropriate.

Our principal sub-processors and their locations: Vercel, Inc. (US — hosting and CDN), Supabase, Inc. (US — database, authentication, storage), PostHog, Inc. (US/EU — product analytics). LLM provider locations vary by the Skill's hosting configuration.

17. Jurisdiction-Specific Rights

Depending on where you live, you may have additional rights under local data protection law. This section supplements — but does not replace — section 11.

• 17.1 European Economic Area and United Kingdom. Under the GDPR / UK GDPR you may: access your data, request rectification or erasure, restrict or object to processing, request data portability, and withdraw consent at any time. You also have the right to lodge a complaint with your local supervisory authority. The data controller is haitai social.
• 17.2 California (CCPA / CPRA). California residents may: know what personal information we collect and how it is used, request deletion, and opt out of any sale or sharing. We do not sell personal information. We do not discriminate against you for exercising these rights.
• 17.3 China (PIPL). Under the Personal Information Protection Law you may: know about and decide on the processing of your personal information, restrict or refuse processing, request access, portability, correction, and deletion. Cross-border transfers are based on your informed consent provided at sign-up.

18. Modificações desta Política

Podemos modificar esta Política de Privacidade a qualquer momento. Caso façamos uma alteração material, atualizaremos a data de "Vigência" acima e, sempre que viável, daremos aviso por meio do Serviço. A continuidade do uso do Serviço após a publicação de uma política revisada constitui sua aceitação.

19. Continuidade do Serviço

O Serviço é operado em regime comercialmente razoável e de melhor esforço. Não garantimos disponibilidade ininterrupta e podemos modificar, suspender ou descontinuar qualquer parte do Serviço a qualquer momento, sujeito à Seção 18 sobre alterações materiais.

20. Contato

Para dúvidas ou solicitações sobre esta Política de Privacidade ou nossas práticas de dados, envie-nos um e-mail para o endereço abaixo.

official@tinkerland.app