Privacy Policy
Última atualização: 8 de julho de 2026
1. Introdução
O kvit é um aplicativo de finanças pessoais feito para dar clareza sobre o futuro do seu dinheiro. Esta política explica quais dados tratamos no app, na API do kvit e no site público.
Nesta política, “kvit”, “nós” ou “nosso” significa o serviço kvit. O contato para assuntos de privacidade é kvit.developers@gmail.com.
2. Dados que tratamos
Conta e autenticação
Para entrar no kvit, você informa um e-mail. Usamos esse e-mail para criar ou encontrar sua conta e enviar links de acesso. O app também pode enviar o idioma do dispositivo para que o e-mail de acesso chegue no idioma correto.
No servidor, armazenamos tokens de acesso de forma protegida para autenticar sua sessão. No seu dispositivo, o app guarda o token da sessão e o identificador do perfil financeiro selecionado em armazenamento seguro do sistema operacional.
Dados financeiros que você insere
A versão atual do app usa a API do kvit para manter sua informação disponível na sua conta. Quando você usa o app, podemos armazenar nos servidores do kvit dados como:
- perfis financeiros, nome e moeda;
- contas, nomes de contas, tipos, saldos informados, datas de fechamento e vencimento de cartão de crédito;
- categorias, transações, valores, datas, descrições, status e contas de origem ou destino;
- recorrências, parcelas, compras parceladas e dados necessários para gerar compromissos futuros;
- plano, compromissos, gastos fixos/flexíveis, reservas, prioridades e metas;
- preferências do app, como idioma, formatação e ordem de navegação.
Se você colocar dados pessoais em nomes, descrições, categorias ou campos livres, esses dados também serão armazenados como parte do uso do app.
Assinaturas
O kvit usa RevenueCat para gerenciar assinaturas e acesso ao kvit Pro. Para isso, o app envia ao RevenueCat um identificador interno da sua conta do kvit e recebe informações de status da assinatura, direitos ativos, restauração de compras e Customer Center. Pagamentos, recibos e dados de loja são processados pela Apple, Google e RevenueCat. O kvit não recebe dados completos de cartão de pagamento.
Não enviamos suas transações, saldos, contas, plano ou projeção financeira ao RevenueCat.
Site público, recursos do app e beta do Android
No site público do kvit, usamos PostHog para medir visitas, saída de página, Core Web Vitals e eventos básicos de conversão, como cliques para baixar o app ou pedidos de beta do Android. Configuramos o PostHog sem autocaptura, sem gravação de sessão e sem perfis pessoais anônimos. Não enviamos dados financeiros do app para o PostHog.
A API do kvit também pode consultar o PostHog para avaliar flags de recurso do app. Nessa avaliação, enviamos um identificador técnico da conta no formato user_id:<id>, a versão do app informada pelo cabeçalho como app_version e o id do household selecionado como propriedade household. Não enviamos seu e-mail, nome do household, transações, saldos, contas, plano ou projeção financeira ao PostHog para essa avaliação.
Se você pedir acesso ao beta fechado do Android, coletamos o e-mail, plataforma e idioma informados apenas para responder sobre esse acesso. O pedido usa Cloudflare Turnstile para prevenir abuso do formulário; a Cloudflare pode tratar dados técnicos como IP, user agent e sinais do navegador para verificar que a interação é legítima. O pedido é enviado pelo backend do kvit por e-mail transacional, com gustavo@kvit.com.br em cópia para acompanhamento.
Dados técnicos e segurança
Como qualquer serviço online, a API e o site podem tratar dados técnicos como endereço IP, user agent, rota acessada, horário, status da resposta, metadados de requisição, logs de erro e métricas operacionais. Usamos esses dados para segurança, prevenção de abuso, diagnóstico e confiabilidade. Parâmetros sensíveis como e-mail, token e autorização são configurados para filtragem nos logs da API.
3. Dados e permissões que não coletamos
- Credenciais bancárias: o kvit não pede login ou senha de banco.
- Conexão bancária automática: o kvit não se conecta a bancos, não acessa contas bancárias reais e não importa extratos automaticamente.
- Investimentos: o kvit não rastreia ações, criptoativos, previdência ou performance de carteira.
- Localização, contatos, câmera e fotos: o app não solicita essas permissões para operar.
- Publicidade: o app não usa SDKs de anúncios e não vendemos seus dados pessoais.
- Rastreamento financeiro por terceiros: não enviamos suas transações, saldos, contas, plano ou projeção para ferramentas de analytics do site ou de flags de recurso.
4. Como usamos seus dados
Usamos seus dados para:
- fornecer o app, a API e a sincronização da sua conta;
- calcular projeções, saldos, compromissos, reservas, resumos e telas do app;
- autenticar sessões e enviar links de acesso;
- salvar preferências e configuração do seu uso;
- avaliar flags de recurso e servir respostas compatíveis com a versão do app;
- processar assinatura, restauração de compras e acesso ao kvit Pro;
- responder a pedidos de beta, suporte ou migração quando você entra em contato;
- manter segurança, prevenir abuso, aplicar limites de requisição e investigar falhas;
- cumprir obrigações legais ou responder a solicitações válidas de autoridades, quando aplicável.
Sob a LGPD, essas finalidades podem se apoiar na execução do serviço solicitado, no cumprimento de obrigações legais, no exercício regular de direitos, no nosso interesse legítimo em manter o serviço seguro e funcionando, ou no seu consentimento quando ele for exigido.
5. Armazenamento local e armazenamento em servidor
A versão atual do app não é mais apenas local. Seus dados financeiros principais são armazenados na API do kvit para que o serviço funcione com sua conta.
No dispositivo, o app armazena principalmente dados de sessão e seleção de perfil financeiro em armazenamento seguro. O app também pode manter dados temporários em memória ou cache operacional enquanto você usa as telas.
Se você desinstalar o app, os dados locais do dispositivo podem ser removidos, mas isso não apaga automaticamente os dados da sua conta nos servidores do kvit. Para pedir exclusão de conta ou dados, entre em contato pelo e-mail desta política.
Exportação do banco legado
Se o app encontrar um banco local da versão anterior do kvit no dispositivo, ele pode oferecer uma exportação de backup. Essa exportação é iniciada por você e usa a folha de compartilhamento do sistema. O kvit só recebe esse arquivo se você escolher enviá-lo para nós, por exemplo para ajuda de migração. Nesse caso, usaremos o arquivo apenas para suporte ou migração solicitada.
6. Compartilhamento com terceiros
Não vendemos seus dados pessoais. Compartilhamos dados apenas quando necessário para operar o kvit:
- Infraestrutura, hospedagem, banco de dados e CDN: para hospedar o app, a API, o site e armazenar dados.
- Resend: para envio de e-mails transacionais, como links de acesso e confirmação de beta do Android.
- RevenueCat, Apple App Store e Google Play: para assinaturas, restauração de compras, status de direito ativo e gerenciamento de pagamento pela loja.
- PostHog: no site público, para analytics básico de página, performance e conversões da landing page; e na API, para avaliar flags de recurso com base na versão do app e no escopo autenticado.
- Cloudflare Turnstile: no site público, para proteger o formulário de beta do Android contra abuso e envio automatizado.
- Google Fonts e provedores técnicos do site: para carregar recursos do site público.
- Suporte ou e-mail: quando você entra em contato ou envia informações para receber ajuda.
- Autoridades ou terceiros legais: se for necessário cumprir lei, ordem válida ou proteger direitos, segurança e integridade do serviço.
Esses provedores tratam dados conforme suas próprias políticas e contratos:
- Política de Privacidade da Apple
- Política de Privacidade do Google
- Política de Privacidade da RevenueCat
- Política de Privacidade da PostHog
- Política de Privacidade da Cloudflare
- Política de Privacidade da Resend
7. Segurança
Usamos medidas técnicas e organizacionais para proteger seus dados, incluindo HTTPS em produção, autenticação por token, tokens armazenados em formato protegido no servidor, isolamento por usuário e perfil financeiro, filtragem de parâmetros sensíveis em logs e controles de acesso internos.
Nenhum sistema é 100% seguro. Você também deve proteger seu dispositivo, e-mail e conta da loja de aplicativos com senha forte, biometria quando disponível e atualizações do sistema operacional.
8. Retenção e exclusão
Mantemos os dados da sua conta enquanto forem necessários para fornecer o kvit, para cumprir obrigações legais, resolver disputas, manter segurança ou conforme permitido por lei.
Algumas ações no app arquivam registros para preservar consistência da projeção e histórico operacional. Se você quiser excluir sua conta ou pedir exclusão de dados pessoais, entre em contato. Avaliaremos e atenderemos a solicitação de acordo com a LGPD e obrigações aplicáveis. Dados em backups e logs podem levar mais tempo para sair dos sistemas de retenção.
Tokens de sessão expiram após um período limitado ou podem ser removidos quando você encerra a sessão. Pedidos de beta e mensagens de suporte são mantidos pelo tempo necessário para acompanhamento e registro razoável do contato.
9. Seus direitos
Nos termos da LGPD, você pode solicitar:
- confirmação de tratamento de dados pessoais;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- portabilidade, quando aplicável;
- informação sobre compartilhamento com terceiros;
- revogação de consentimento, quando o tratamento depender de consentimento;
- revisão de decisões automatizadas, quando aplicável.
Para exercer seus direitos, escreva para kvit.developers@gmail.com. Podemos precisar confirmar sua identidade antes de atender a solicitação.
10. Transferências internacionais
Alguns provedores usados pelo kvit podem processar dados fora do Brasil. Quando isso acontece, buscamos usar provedores reconhecidos e medidas contratuais ou técnicas adequadas para proteger os dados conforme a LGPD.
11. Menores de idade
O kvit não é direcionado a menores de 13 anos. Não coletamos intencionalmente dados de crianças. Se você acredita que uma criança forneceu dados ao kvit, entre em contato para que possamos avaliar e remover as informações quando aplicável.
12. Alterações nesta política
Podemos atualizar esta política eventualmente. A data de “última atualização” no topo será ajustada. Alterações relevantes poderão ser comunicadas pelo app, pelo site ou por outro meio apropriado.
13. Legislação aplicável
Esta política é regida pelas leis da República Federativa do Brasil, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).
1. Introduction
kvit is a personal finance app built to give you clarity about the future of your money. This policy explains what data we handle in the app, in the kvit API, and on the public website.
In this policy, “kvit,” “we,” or “our” means the kvit service. For privacy questions, contact kvit.developers@gmail.com.
2. Data we process
Account and authentication
To sign in to kvit, you provide an email address. We use that email to create or find your account and send sign-in links. The app may also send your device language so the sign-in email can use the right language.
On the server, we store access tokens in a protected form to authenticate your session. On your device, the app stores the session token and selected household identifier in operating-system secure storage.
Financial data you enter
The current app uses the kvit API to keep your information available in your account. When you use the app, we may store data on kvit servers such as:
- households, household names, and currency;
- accounts, account names, account types, entered balances, credit-card closing days, and due days;
- categories, transactions, amounts, dates, descriptions, statuses, and source or destination accounts;
- recurrences, installments, installment purchases, and data needed to generate future commitments;
- plan data, commitments, fixed/flexible spending, reserves, priorities, and goals;
- app preferences such as language, formatting, and navigation order.
If you include personal data in names, descriptions, categories, or other free text fields, that data is stored as part of your app use.
Subscriptions
kvit uses RevenueCat to manage subscriptions and kvit Pro access. For that, the app sends RevenueCat an internal kvit account identifier and receives subscription status, active entitlement, purchase restoration, and Customer Center information. Payments, receipts, and store data are processed by Apple, Google, and RevenueCat. kvit does not receive full payment card details.
We do not send your transactions, balances, accounts, plan, or financial projection to RevenueCat.
Public website, app features, and Android beta
On the public kvit website, we use PostHog to measure page visits, pageleave, Core Web Vitals, and basic conversion events such as app-download clicks or Android beta requests. We configure PostHog without autocapture, without session recording, and without anonymous person profiles. We do not send financial app data to PostHog.
The kvit API may also query PostHog to evaluate app feature flags. For that evaluation, we send a technical account identifier in the form user_id:<id>, the app version reported by the app header as app_version, and the selected household id as the household property. We do not send your email address, household name, transactions, balances, accounts, plan, or financial projection to PostHog for that evaluation.
If you request access to the Android closed beta, we collect the email address, platform, and language you provide only to follow up about that access. The request uses Cloudflare Turnstile to prevent form abuse; Cloudflare may process technical data such as IP address, user agent, and browser signals to verify that the interaction is legitimate. The request is sent by the kvit backend through transactional email, with gustavo@kvit.com.br cc’d for follow-up.
Technical and security data
Like any online service, the API and website may process technical data such as IP address, user agent, accessed route, timestamp, response status, request metadata, error logs, and operational metrics. We use this data for security, abuse prevention, diagnostics, and reliability. Sensitive parameters such as email, token, and authorization are configured for filtering in API logs.
3. Data and permissions we do not collect
- Bank credentials: kvit does not ask for your bank login or password.
- Automatic bank connection: kvit does not connect to banks, access real bank accounts, or automatically import statements.
- Investments: kvit does not track stocks, cryptoassets, retirement accounts, or portfolio performance.
- Location, contacts, camera, and photos: the app does not request these permissions to operate.
- Advertising: the app does not use advertising SDKs, and we do not sell your personal data.
- Third-party financial tracking: we do not send your transactions, balances, accounts, plan, or projection to website analytics or feature-flag tools.
4. How we use your data
We use your data to:
- provide the app, API, and account sync;
- calculate projections, balances, commitments, reserves, summaries, and app screens;
- authenticate sessions and send sign-in links;
- save preferences and app configuration;
- evaluate feature flags and serve responses compatible with your app version;
- process subscriptions, purchase restoration, and kvit Pro access;
- respond to beta, support, or migration requests when you contact us;
- maintain security, prevent abuse, apply rate limits, and investigate failures;
- comply with legal obligations or respond to valid authority requests when applicable.
Under the LGPD, these purposes may rely on performing the service you requested, complying with legal obligations, exercising rights, our legitimate interest in keeping the service safe and working, or your consent when consent is required.
5. Local storage and server storage
The current app is no longer local-only. Your main financial data is stored in the kvit API so the service can work with your account.
On the device, the app mainly stores session data and selected household data in secure storage. The app may also keep temporary data in memory or operational cache while you use the screens.
If you uninstall the app, local device data may be removed, but that does not automatically delete your account data from kvit servers. To request account or data deletion, contact us at the email address in this policy.
Legacy database export
If the app finds a local database from the previous version of kvit on your device, it may offer a backup export. You start that export, and it uses the system share sheet. kvit receives that file only if you choose to send it to us, for example for migration help. In that case, we use the file only for the support or migration you requested.
6. Sharing data with third parties
We do not sell your personal data. We share data only when needed to operate kvit:
- Infrastructure, hosting, database, and CDN: to host the app, API, website, and store data.
- Resend: to send transactional emails, such as sign-in links and Android beta confirmations.
- RevenueCat, Apple App Store, and Google Play: for subscriptions, purchase restoration, active entitlement status, and store-managed payments.
- PostHog: on the public website, for basic page, performance, and landing-page conversion analytics; and in the API, to evaluate feature flags based on the app version and authenticated scope.
- Cloudflare Turnstile: on the public website, to protect the Android beta form from abuse and automated submissions.
- Google Fonts and technical website providers: to load public website assets.
- Support or email: when you contact us or send information to receive help.
- Authorities or legal third parties: if needed to comply with law, a valid order, or to protect rights, safety, and service integrity.
These providers process data under their own policies and contracts:
- Apple Privacy Policy
- Google Privacy Policy
- RevenueCat Privacy Policy
- PostHog Privacy Policy
- Cloudflare Privacy Policy
- Resend Privacy Policy
7. Security
We use technical and organizational measures to protect your data, including HTTPS in production, token-based authentication, tokens stored in protected form on the server, user and household scoping, sensitive-parameter filtering in logs, and internal access controls.
No system is 100% secure. You should also protect your device, email account, and app-store account with a strong password, biometrics where available, and operating-system updates.
8. Retention and deletion
We keep account data for as long as needed to provide kvit, comply with legal obligations, resolve disputes, maintain security, or as otherwise permitted by law.
Some actions in the app archive records to preserve projection consistency and operational history. If you want to delete your account or request deletion of personal data, contact us. We will evaluate and respond according to the LGPD and applicable obligations. Data in backups and logs may take longer to leave retention systems.
Session tokens expire after a limited period or can be removed when you sign out. Beta requests and support messages are kept for as long as needed for follow-up and a reasonable record of the contact.
9. Your rights
Under the LGPD, you may request:
- confirmation that personal data is processed;
- access to data;
- correction of incomplete, inaccurate, or outdated data;
- anonymization, blocking, or deletion of unnecessary, excessive, or improperly processed data;
- portability, when applicable;
- information about sharing with third parties;
- withdrawal of consent, when processing depends on consent;
- review of automated decisions, when applicable.
To exercise your rights, write to kvit.developers@gmail.com. We may need to confirm your identity before fulfilling the request.
10. International transfers
Some providers used by kvit may process data outside Brazil. When that happens, we aim to use recognized providers and appropriate contractual or technical measures to protect data under the LGPD.
11. Children
kvit is not directed at children under 13. We do not intentionally collect data from children. If you believe a child provided data to kvit, contact us so we can evaluate and remove the information where applicable.
12. Changes to this policy
We may update this policy from time to time. The “last updated” date at the top will be adjusted accordingly. Important changes may be communicated through the app, website, or another appropriate channel.
13. Applicable law
This policy is governed by the laws of the Federative Republic of Brazil, including the Brazilian General Data Protection Law (LGPD — Law No. 13,709/2018).