Política de Privacidade
1. Responsável pelo tratamento
O responsável pelo tratamento dos seus dados pessoais é a Vitality Peak, Lda, pessoa colectiva n.º 518 258 777, com sede em Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal.
Para qualquer questão relacionada com a privacidade dos seus dados, pode contactar-nos por email: legal@tfmecu.com.
A Vitality Peak, Lda actua em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (RGPD) e com a Lei n.º 58/2019, de 8 de Agosto (Lei de Execução do RGPD em Portugal).
2. Dados recolhidos
No âmbito da prestação do serviço TFM ECU, recolhemos as seguintes categorias de dados pessoais:
- Dados de conta: endereço de email, nome de utilizador e palavra-passe armazenada em formato de hash irreversível (bcrypt). Nunca armazenamos a palavra-passe em texto claro.
- Registo de aceitação de Termos: data, hora, endereço IP, identificação de dispositivo (user-agent) e versão dos Termos e Condições aceite no acto do registo, para fins probatórios.
- Dados de pagamento: os pagamentos são integralmente processados pela Stripe Payments Europe Ltd. A Vitality Peak, Lda não armazena dados de cartão bancário nem informação de pagamento sensível — estes ficam exclusivamente na Stripe, sob a responsabilidade desta.
- Dados de facturação: nome, endereço de facturação, país, NIF (quando fornecido) e referência da transacção, necessários para emissão de factura fiscal através da InvoiceXpress e para cumprimento das obrigações fiscais e contabilísticas aplicáveis.
- Emails transaccionais: o seu endereço de email é utilizado para envio de emails operacionais (confirmação de registo, facturas, alertas de conta) através do serviço Resend.
- Ficheiros de calibração ECU: ficheiros binários de calibração de ECU que carrega voluntariamente para utilização das funcionalidades do TFM ECU, bem como metadados associados (número de software SW, número de hardware HW, identificação de família ECU). Os ficheiros são processados transitoriamente e não são retidos após a conclusão do processamento.
- Registos técnicos de segurança: endereços IP de acesso, registos de sessão, identificação de dispositivo (user-agent, fingerprint de sessão) e geolocalização ao nível do país (derivada do IP para fins de detecção de partilha de conta e prevenção de fraude). Não é efectuada geolocalização precisa.
- Análise de tráfego sem cookies: recolhemos dados de utilização do site de forma agregada e anónima — caminho da página visitada, país de origem derivado do IP sem armazenar o IP, referenciador (referrer), tipo de dispositivo (desktop/mobile) e um hash diário não reversível do visitante (para contagem de visitantes únicos sem tracking entre sessões ou dias). Esta análise não utiliza cookies e não permite a identificação individual do utilizador.
3. Finalidades e base legal
Tratamos os seus dados pessoais com base nas seguintes finalidades e fundamentos legais:
- Execução do contrato (art. 6.º, n.º 1, al. b) do RGPD): criação e gestão de conta, autenticação, processamento de pagamentos, emissão de facturas, prestação das funcionalidades do TFM ECU e comunicações operacionais estritamente necessárias ao serviço.
- Interesse legítimo (art. 6.º, n.º 1, al. f) do RGPD): segurança da plataforma, detecção e prevenção de fraude, monitorização de padrões de acesso para detecção de partilha de conta, e medição agregada e anónima do tráfego do site (sem impacto na privacidade individual).
- Cumprimento de obrigação legal (art. 6.º, n.º 1, al. c) do RGPD): conservação de dados de facturação e contabilidade nos prazos legais exigidos pela legislação fiscal e contabilística portuguesa.
- Consentimento (art. 6.º, n.º 1, al. a) do RGPD): para comunicações de marketing ou outras finalidades não abrangidas pelas bases anteriores, quando e se aplicável, o seu consentimento será solicitado de forma separada e explícita, podendo ser retirado a qualquer momento.
4. Prazos de retenção
Os seus dados são conservados pelo tempo estritamente necessário para cada finalidade:
- Dados de conta: enquanto a conta se mantiver activa. Após cancelamento ou pedido de apagamento, os dados de identificação são eliminados, salvo os que sejam necessários para cumprimento de obrigações legais ou fins probatórios.
- Dados de facturação e contabilidade: conservados pelo período legalmente exigido pela legislação fiscal e contabilística portuguesa (actualmente 10 anos, nos termos do Código do IVA e do Código do IRC).
- Registos de aceitação de Termos: conservados pelo período de prescrição aplicável para fins probatórios.
- Registos de segurança (IPs, sessões): conservados por um período máximo de 12 meses, ou mais em caso de suspeita fundamentada de fraude para fins de prevenção de reincidência.
- Análise de tráfego — registos brutos (page_views): eliminados ao fim de 90 dias. Os agregados anónimos (sem dados pessoais) podem ser conservados indefinidamente.
5. Subcontratantes e destinatários dos dados
Recorremos a subcontratantes que tratam dados pessoais em nosso nome, exclusivamente para as finalidades indicadas e ao abrigo de contratos de subcontratação conformes ao RGPD:
- Stripe Payments Europe Ltd (Irlanda, EEA) — processamento de pagamentos;
- InvoiceXpress, Lda (Portugal, EEA) — emissão de facturas fiscais;
- Resend, Inc. (EUA — ver Secção 6) — envio de emails transaccionais;
- Fornecedor de alojamento (servidor na UE) — alojamento da plataforma e base de dados.
A Vitality Peak, Lda não vende, arrenda nem cede os seus dados pessoais a terceiros para fins de marketing ou quaisquer outras finalidades não descritas nesta Política.
6. Transferências internacionais
Alguns dos nossos subcontratantes estão localizados fora do Espaço Económico Europeu (EEA), nomeadamente:
- Resend, Inc. (EUA): as transferências são efectuadas ao abrigo das Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia, conforme previsto no art. 46.º do RGPD.
Os restantes subcontratantes estão sediados na EEA ou operam em países considerados adequados pela Comissão Europeia, não sendo necessárias medidas adicionais de salvaguarda.
7. Direitos do titular dos dados
Nos termos do RGPD, tem os seguintes direitos relativamente aos seus dados pessoais:
- Direito de acesso (art. 15.º): obter confirmação de que os seus dados são tratados e aceder a uma cópia dos mesmos;
- Direito de rectificação (art. 16.º): corrigir dados inexactos ou incompletos;
- Direito de apagamento (art. 17.º): solicitar a eliminação dos seus dados, quando deixem de ser necessários ou em caso de retirada de consentimento, salvo obrigações legais de conservação;
- Direito de limitação do tratamento (art. 18.º): solicitar a suspensão temporária do tratamento em determinadas circunstâncias;
- Direito de portabilidade (art. 20.º): receber os seus dados num formato estruturado, de uso corrente e de leitura automática, e transmiti-los a outro responsável;
- Direito de oposição (art. 21.º): opor-se ao tratamento baseado em interesse legítimo, incluindo para fins de marketing directo.
Para exercer qualquer um destes direitos, envie um email para legal@tfmecu.com, identificando-se e especificando o direito que pretende exercer. Responderemos no prazo máximo de 30 dias.
Tem ainda o direito de apresentar reclamação junto da Comissão Nacional de Protecção de Dados (CNPD), a autoridade de controlo nacional, através do site www.cnpd.pt.
8. Segurança
A Vitality Peak, Lda adopta medidas técnicas e organizacionais adequadas para proteger os seus dados pessoais contra acesso não autorizado, perda, destruição, alteração ou divulgação:
- Hash de palavras-passe: as palavras-passe são armazenadas exclusivamente em formato de hash irreversível (bcrypt com salt), nunca em texto claro;
- Cifra em trânsito: todas as comunicações entre o seu browser e os nossos servidores utilizam HTTPS/TLS;
- Protecção CSRF: os formulários e endpoints da plataforma utilizam tokens CSRF para prevenção de ataques cross-site request forgery;
- Controlo de acesso: o acesso aos dados de produção é restrito a colaboradores da Vitality Peak com necessidade operacional demonstrada, em regime de mínimo privilégio;
- Monitorização de segurança: os registos de acesso e sessão são monitorizados para detecção de anomalias e actividade suspeita.
Apesar das medidas adoptadas, nenhum sistema é absolutamente inviolável. Em caso de violação de dados que afecte os seus direitos, será notificado nos prazos legais.
9. Cookies
A plataforma TFM ECU utiliza um número mínimo de cookies, estritamente necessários ao funcionamento técnico do serviço. Não utilizamos cookies de rastreamento, publicidade ou análise comportamental.
| Nome |
Tipo |
Finalidade |
Duração |
Necessário |
connect.sid |
Sessão |
Mantém a sessão autenticada do utilizador entre pedidos HTTP. Sem este cookie, não é possível permanecer autenticado. |
Sessão do browser (eliminado ao fechar) |
Sim — estritamente necessário |
_csrf |
Segurança |
Token de protecção CSRF (cross-site request forgery). Garante que os pedidos ao servidor provêm de páginas legítimas da plataforma. Atributo SameSite=Strict. |
Sessão do browser (eliminado ao fechar) |
Sim — estritamente necessário |
Estes cookies são estritamente necessários para o funcionamento seguro do serviço e estão isentos de consentimento prévio, nos termos do art. 5.º, n.º 3 da Directiva 2002/58/CE (Directiva ePrivacy) e da legislação nacional de transposição.
A análise de tráfego descrita na Secção 2 é efectuada sem recurso a cookies. O hash diário de visitante é calculado no servidor com base em dados técnicos do pedido (IP + user-agent + sal diário) e não é armazenado no browser do utilizador, não sendo por isso um cookie nem tecnologia equivalente.
Não utilizamos cookies de terceiros, pixels de rastreamento, beacons, fingerprinting de longa duração, nem qualquer outra tecnologia de rastreamento entre sessões.
10. Alterações a esta Política e contacto
A Vitality Peak, Lda reserva-se o direito de actualizar esta Política de Privacidade para reflectir alterações legais, regulamentares ou operacionais. Em caso de alterações materiais, notificaremos os utilizadores registados por email e publicaremos a nova versão com data actualizada.
A versão em vigor está sempre disponível em https://tfmecu.com/privacidade.
Para qualquer questão, exercício de direitos ou reclamação relacionada com o tratamento dos seus dados pessoais, contacte-nos:
- Email: legal@tfmecu.com
- Postal: Vitality Peak, Lda · Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal
Privacy Policy
1. Data Controller
The controller of your personal data is Vitality Peak, Lda, legal entity no. 518 258 777, with registered office at Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal.
For any questions relating to the privacy of your data, please contact us by email: legal@tfmecu.com.
Vitality Peak, Lda acts in compliance with Regulation (EU) 2016/679 of the European Parliament and of the Council (GDPR) and with Law no. 58/2019 of 8 August (the Portuguese GDPR Implementation Act).
2. Data Collected
In the course of providing the TFM ECU service, we collect the following categories of personal data:
- Account data: email address, username and password stored in irreversible hash format (bcrypt). We never store passwords in plain text.
- Terms-acceptance record: date, time, IP address, device identification (user-agent) and version of the Terms and Conditions accepted at registration, for evidentiary purposes.
- Payment data: payments are processed entirely by Stripe Payments Europe Ltd. Vitality Peak, Lda does not store card data or sensitive payment information — these remain exclusively with Stripe, under its own responsibility.
- Billing data: name, billing address, country, tax number (where provided) and transaction reference, required for issuing a legal invoice through InvoiceXpress and for compliance with applicable tax and accounting obligations.
- Transactional emails: your email address is used to send operational emails (registration confirmation, invoices, account alerts) via the Resend service.
- ECU calibration files: binary calibration files that you voluntarily upload to use TFM ECU's features, together with associated metadata (software number SW, hardware number HW, ECU family identification). Files are processed transiently and are not retained after processing is complete.
- Security and technical logs: access IP addresses, session records, device identification (user-agent, session fingerprint) and country-level geolocation derived from the IP address for the purposes of account-sharing detection and fraud prevention. No precise geolocation is performed.
- Cookie-free traffic analytics: we collect usage data in an aggregated and anonymous manner — page path visited, country of origin derived from the IP without storing the IP itself, referrer, device type (desktop/mobile) and a daily non-reversible visitor hash (for unique-visitor counting without cross-session or cross-day tracking). This analysis uses no cookies and does not permit the individual identification of users.
3. Purposes and Legal Basis
We process your personal data on the basis of the following purposes and legal grounds:
- Performance of a contract (Art. 6(1)(b) GDPR): account creation and management, authentication, payment processing, invoice issuance, provision of TFM ECU features and operational communications strictly necessary for the service.
- Legitimate interest (Art. 6(1)(f) GDPR): platform security, fraud detection and prevention, monitoring of access patterns to detect account sharing, and aggregated and anonymous measurement of site traffic (without impact on individual privacy).
- Compliance with a legal obligation (Art. 6(1)(c) GDPR): retention of billing and accounting data for the statutory periods required by Portuguese tax and accounting legislation.
- Consent (Art. 6(1)(a) GDPR): for marketing communications or other purposes not covered by the above grounds, where and when applicable, your consent will be sought separately and explicitly, and may be withdrawn at any time.
4. Retention Periods
Your data is kept for the time strictly necessary for each purpose:
- Account data: for as long as the account remains active. Following cancellation or a deletion request, identification data is erased, except where retention is required to meet legal obligations or for evidentiary purposes.
- Billing and accounting data: retained for the period legally required by Portuguese tax and accounting legislation (currently 10 years, pursuant to the VAT Code and the Corporate Income Tax Code).
- Terms-acceptance records: retained for the applicable limitation period for evidentiary purposes.
- Security logs (IPs, sessions): retained for a maximum of 12 months, or longer in the event of substantiated suspicion of fraud for the purpose of preventing recurrence.
- Traffic analytics — raw records (page_views): deleted after 90 days. Anonymous aggregates (containing no personal data) may be retained indefinitely.
5. Sub-processors and Recipients
We use sub-processors who process personal data on our behalf, exclusively for the purposes indicated and under GDPR-compliant sub-processing agreements:
- Stripe Payments Europe Ltd (Ireland, EEA) — payment processing;
- InvoiceXpress, Lda (Portugal, EEA) — legal invoice issuance;
- Resend, Inc. (USA — see Section 6) — transactional email delivery;
- Hosting provider (EU-based server) — platform and database hosting.
Vitality Peak, Lda does not sell, rent or transfer your personal data to third parties for marketing or any other purposes not described in this Policy.
6. International Transfers
Some of our sub-processors are located outside the European Economic Area (EEA), in particular:
- Resend, Inc. (USA): transfers are carried out under the Standard Contractual Clauses (SCCs) approved by the European Commission, as provided for in Art. 46 GDPR.
All other sub-processors are based in the EEA or operate in countries deemed adequate by the European Commission, so no additional safeguards are required.
7. Data Subject Rights
Under the GDPR, you have the following rights with regard to your personal data:
- Right of access (Art. 15): to obtain confirmation that your data is being processed and to access a copy of it;
- Right to rectification (Art. 16): to correct inaccurate or incomplete data;
- Right to erasure (Art. 17): to request the deletion of your data when it is no longer necessary or where consent is withdrawn, subject to legal retention obligations;
- Right to restriction of processing (Art. 18): to request the temporary suspension of processing in certain circumstances;
- Right to data portability (Art. 20): to receive your data in a structured, commonly used and machine-readable format and to transmit it to another controller;
- Right to object (Art. 21): to object to processing based on legitimate interest, including for direct marketing purposes.
To exercise any of these rights, send an email to legal@tfmecu.com, identifying yourself and specifying the right you wish to exercise. We will respond within a maximum of 30 days.
You also have the right to lodge a complaint with the Comissão Nacional de Protecção de Dados (CNPD), the national supervisory authority, via www.cnpd.pt.
8. Security
Vitality Peak, Lda implements appropriate technical and organisational measures to protect your personal data against unauthorised access, loss, destruction, alteration or disclosure:
- Password hashing: passwords are stored exclusively in irreversible hash format (bcrypt with salt) and are never stored in plain text;
- Encryption in transit: all communications between your browser and our servers use HTTPS/TLS;
- CSRF protection: the platform's forms and endpoints use CSRF tokens to prevent cross-site request forgery attacks;
- Access control: access to production data is restricted to Vitality Peak staff with a demonstrated operational need, on a least-privilege basis;
- Security monitoring: access and session logs are monitored for anomaly detection and suspicious activity.
Despite the measures implemented, no system is completely immune to attack. In the event of a data breach affecting your rights, you will be notified within the statutory timeframes.
9. Cookies
The TFM ECU platform uses a minimal number of cookies, strictly necessary for the technical operation of the service. We do not use tracking, advertising or behavioural analytics cookies.
| Name |
Type |
Purpose |
Duration |
Necessary |
connect.sid |
Session |
Maintains the authenticated user session between HTTP requests. Without this cookie, it is not possible to remain logged in. |
Browser session (deleted on close) |
Yes — strictly necessary |
_csrf |
Security |
CSRF (cross-site request forgery) protection token. Ensures that requests to the server originate from legitimate platform pages. Attribute SameSite=Strict. |
Browser session (deleted on close) |
Yes — strictly necessary |
These cookies are strictly necessary for the secure operation of the service and are exempt from prior consent under Art. 5(3) of Directive 2002/58/EC (the ePrivacy Directive) and applicable national transposing legislation.
The traffic analytics described in Section 2 are carried out without the use of any cookies. The daily visitor hash is computed server-side from technical request data (IP + user-agent + daily salt) and is not stored in the user's browser; it is therefore not a cookie or equivalent technology.
We do not use third-party cookies, tracking pixels, beacons, long-term fingerprinting or any other cross-session tracking technology.
10. Changes to this Policy and Contact
Vitality Peak, Lda reserves the right to update this Privacy Policy to reflect legal, regulatory or operational changes. In the event of material changes, registered users will be notified by email and the new version will be published with an updated date.
The version in force is always available at https://tfmecu.com/privacidade.
For any questions, exercise of rights or complaints relating to the processing of your personal data, please contact us:
- Email: legal@tfmecu.com
- Post: Vitality Peak, Lda · Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal
Política de Privacidad
1. Responsable del tratamiento
El responsable del tratamiento de sus datos personales es Vitality Peak, Lda, persona jurídica n.º 518 258 777, con domicilio social en Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal.
Para cualquier cuestión relacionada con la privacidad de sus datos, puede contactarnos por correo electrónico: legal@tfmecu.com.
Vitality Peak, Lda actúa en conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) y con la Ley n.º 58/2019, de 8 de agosto (Ley de Aplicación del RGPD en Portugal).
2. Datos recogidos
En el marco de la prestación del servicio TFM ECU, recopilamos las siguientes categorías de datos personales:
- Datos de cuenta: dirección de correo electrónico, nombre de usuario y contraseña almacenada en formato de hash irreversible (bcrypt). Nunca almacenamos contraseñas en texto claro.
- Registro de aceptación de Términos: fecha, hora, dirección IP, identificación del dispositivo (user-agent) y versión de los Términos y Condiciones aceptados en el momento del registro, a efectos probatorios.
- Datos de pago: los pagos son procesados íntegramente por Stripe Payments Europe Ltd. Vitality Peak, Lda no almacena datos de tarjeta bancaria ni información de pago sensible — estos permanecen exclusivamente en Stripe, bajo su responsabilidad.
- Datos de facturación: nombre, dirección de facturación, país, NIF (cuando se facilite) y referencia de transacción, necesarios para la emisión de factura fiscal a través de InvoiceXpress y para el cumplimiento de las obligaciones fiscales y contables aplicables.
- Correos electrónicos transaccionales: su dirección de correo electrónico se utiliza para el envío de correos operativos (confirmación de registro, facturas, alertas de cuenta) a través del servicio Resend.
- Archivos de calibración ECU: archivos binarios de calibración de ECU que carga voluntariamente para utilizar las funcionalidades de TFM ECU, junto con los metadatos asociados (número de software SW, número de hardware HW, identificación de familia ECU). Los archivos se procesan de forma transitoria y no se conservan tras la finalización del procesamiento.
- Registros técnicos de seguridad: direcciones IP de acceso, registros de sesión, identificación del dispositivo (user-agent, huella de sesión) y geolocalización a nivel de país derivada de la IP, a efectos de detección de uso compartido de cuenta y prevención de fraude. No se realiza geolocalización precisa.
- Análisis de tráfico sin cookies: recopilamos datos de uso del sitio de forma agregada y anónima — ruta de página visitada, país de origen derivado de la IP sin almacenar la IP, referenciador, tipo de dispositivo (escritorio/móvil) y un hash diario no reversible del visitante (para recuento de visitantes únicos sin seguimiento entre sesiones o días). Este análisis no utiliza cookies y no permite la identificación individual del usuario.
3. Finalidades y base legal
Tratamos sus datos personales sobre la base de las siguientes finalidades y fundamentos jurídicos:
- Ejecución del contrato (art. 6, apdo. 1, letra b) del RGPD): creación y gestión de cuenta, autenticación, procesamiento de pagos, emisión de facturas, prestación de las funcionalidades de TFM ECU y comunicaciones operativas estrictamente necesarias para el servicio.
- Interés legítimo (art. 6, apdo. 1, letra f) del RGPD): seguridad de la plataforma, detección y prevención de fraude, supervisión de patrones de acceso para detectar uso compartido de cuenta, y medición agregada y anónima del tráfico del sitio (sin impacto en la privacidad individual).
- Cumplimiento de una obligación legal (art. 6, apdo. 1, letra c) del RGPD): conservación de datos de facturación y contabilidad durante los plazos legales exigidos por la legislación fiscal y contable portuguesa.
- Consentimiento (art. 6, apdo. 1, letra a) del RGPD): para comunicaciones de marketing u otras finalidades no cubiertas por las bases anteriores, cuando y en la medida en que sea aplicable, su consentimiento se solicitará de forma separada y explícita, y podrá ser retirado en cualquier momento.
4. Plazos de conservación
Sus datos se conservan durante el tiempo estrictamente necesario para cada finalidad:
- Datos de cuenta: mientras la cuenta permanezca activa. Tras la cancelación o solicitud de supresión, los datos de identificación serán eliminados, salvo aquellos que deban conservarse para el cumplimiento de obligaciones legales o a efectos probatorios.
- Datos de facturación y contabilidad: conservados durante el período legalmente exigido por la legislación fiscal y contable portuguesa (actualmente 10 años, conforme al Código del IVA y al Código del Impuesto sobre Sociedades).
- Registros de aceptación de Términos: conservados durante el período de prescripción aplicable a efectos probatorios.
- Registros de seguridad (IPs, sesiones): conservados por un período máximo de 12 meses, o más en caso de sospecha fundada de fraude para prevenir la reincidencia.
- Análisis de tráfico — registros brutos (page_views): eliminados a los 90 días. Los agregados anónimos (sin datos personales) pueden conservarse indefinidamente.
5. Subencargados y destinatarios de los datos
Recurrimos a subencargados que tratan datos personales en nuestro nombre, exclusivamente para las finalidades indicadas y en virtud de acuerdos de subcontratación conformes al RGPD:
- Stripe Payments Europe Ltd (Irlanda, EEE) — procesamiento de pagos;
- InvoiceXpress, Lda (Portugal, EEE) — emisión de facturas fiscales;
- Resend, Inc. (EE. UU. — véase Sección 6) — envío de correos electrónicos transaccionales;
- Proveedor de alojamiento (servidor en la UE) — alojamiento de la plataforma y base de datos.
Vitality Peak, Lda no vende, alquila ni cede sus datos personales a terceros con fines de marketing ni para ninguna otra finalidad no descrita en esta Política.
6. Transferencias internacionales
Algunos de nuestros subencargados están ubicados fuera del Espacio Económico Europeo (EEE), en particular:
- Resend, Inc. (EE. UU.): las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, conforme a lo previsto en el art. 46 del RGPD.
Los demás subencargados están establecidos en el EEE o operan en países considerados adecuados por la Comisión Europea, por lo que no se requieren medidas de salvaguarda adicionales.
7. Derechos del interesado
En virtud del RGPD, usted dispone de los siguientes derechos respecto a sus datos personales:
- Derecho de acceso (art. 15): obtener confirmación de que sus datos son tratados y acceder a una copia de los mismos;
- Derecho de rectificación (art. 16): corregir datos inexactos o incompletos;
- Derecho de supresión (art. 17): solicitar la eliminación de sus datos cuando ya no sean necesarios o en caso de retirada del consentimiento, salvo obligaciones legales de conservación;
- Derecho a la limitación del tratamiento (art. 18): solicitar la suspensión temporal del tratamiento en determinadas circunstancias;
- Derecho a la portabilidad de los datos (art. 20): recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable;
- Derecho de oposición (art. 21): oponerse al tratamiento basado en interés legítimo, incluido con fines de mercadotecnia directa.
Para ejercer cualquiera de estos derechos, envíe un correo electrónico a legal@tfmecu.com, identificándose y especificando el derecho que desea ejercer. Responderemos en un plazo máximo de 30 días.
Tiene asimismo el derecho de presentar una reclamación ante la Comissão Nacional de Protecção de Dados (CNPD), la autoridad de control nacional, a través del sitio web www.cnpd.pt.
8. Seguridad
Vitality Peak, Lda adopta las medidas técnicas y organizativas adecuadas para proteger sus datos personales contra el acceso no autorizado, la pérdida, la destrucción, la alteración o la divulgación:
- Cifrado de contraseñas: las contraseñas se almacenan exclusivamente en formato de hash irreversible (bcrypt con salt) y nunca en texto claro;
- Cifrado en tránsito: todas las comunicaciones entre su navegador y nuestros servidores utilizan HTTPS/TLS;
- Protección CSRF: los formularios y endpoints de la plataforma utilizan tokens CSRF para prevenir ataques de falsificación de solicitud entre sitios;
- Control de acceso: el acceso a los datos de producción está restringido al personal de Vitality Peak con necesidad operativa demostrada, bajo un régimen de mínimo privilegio;
- Supervisión de seguridad: los registros de acceso y sesión son monitorizados para la detección de anomalías y actividad sospechosa.
A pesar de las medidas adoptadas, ningún sistema es completamente invulnerable. En caso de violación de seguridad de los datos que afecte a sus derechos, será notificado en los plazos legales.
9. Cookies
La plataforma TFM ECU utiliza un número mínimo de cookies, estrictamente necesarias para el funcionamiento técnico del servicio. No utilizamos cookies de seguimiento, publicidad ni análisis conductual.
| Nombre |
Tipo |
Finalidad |
Duración |
Necesaria |
connect.sid |
Sesión |
Mantiene la sesión autenticada del usuario entre solicitudes HTTP. Sin esta cookie, no es posible permanecer autenticado. |
Sesión del navegador (eliminada al cerrar) |
Sí — estrictamente necesaria |
_csrf |
Seguridad |
Token de protección CSRF (cross-site request forgery). Garantiza que las solicitudes al servidor provienen de páginas legítimas de la plataforma. Atributo SameSite=Strict. |
Sesión del navegador (eliminada al cerrar) |
Sí — estrictamente necesaria |
Estas cookies son estrictamente necesarias para el funcionamiento seguro del servicio y están exentas de consentimiento previo, en virtud del art. 5, apdo. 3 de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) y de la legislación nacional de transposición.
El análisis de tráfico descrito en la Sección 2 se realiza sin el uso de cookies. El hash diario del visitante se calcula en el servidor a partir de datos técnicos de la solicitud (IP + user-agent + sal diaria) y no se almacena en el navegador del usuario; por tanto, no es una cookie ni tecnología equivalente.
No utilizamos cookies de terceros, píxeles de seguimiento, balizas, fingerprinting de larga duración ni ninguna otra tecnología de seguimiento entre sesiones.
10. Cambios en esta Política y contacto
Vitality Peak, Lda se reserva el derecho de actualizar esta Política de Privacidad para reflejar cambios legales, reglamentarios u operativos. En caso de cambios sustanciales, los usuarios registrados serán notificados por correo electrónico y la nueva versión será publicada con fecha actualizada.
La versión en vigor está siempre disponible en https://tfmecu.com/privacidade.
Para cualquier consulta, ejercicio de derechos o reclamación relacionada con el tratamiento de sus datos personales, contáctenos:
- Correo electrónico: legal@tfmecu.com
- Correo postal: Vitality Peak, Lda · Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal
Politique de Confidentialité
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est Vitality Peak, Lda, personne morale n° 518 258 777, dont le siège social est situé à Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal.
Pour toute question relative à la confidentialité de vos données, vous pouvez nous contacter par e-mail : legal@tfmecu.com.
Vitality Peak, Lda agit conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD) ainsi qu'à la Loi n° 58/2019 du 8 août (Loi portugaise de mise en œuvre du RGPD).
2. Données collectées
Dans le cadre de la fourniture du service TFM ECU, nous collectons les catégories de données personnelles suivantes :
- Données de compte : adresse e-mail, nom d'utilisateur et mot de passe stocké sous forme de hachage irréversible (bcrypt). Nous ne stockons jamais les mots de passe en clair.
- Enregistrement d'acceptation des Conditions : date, heure, adresse IP, identification de l'appareil (user-agent) et version des Conditions Générales acceptées lors de l'inscription, à des fins probatoires.
- Données de paiement : les paiements sont entièrement traités par Stripe Payments Europe Ltd. Vitality Peak, Lda ne stocke pas de données de carte bancaire ni d'informations de paiement sensibles — celles-ci restent exclusivement chez Stripe, sous sa propre responsabilité.
- Données de facturation : nom, adresse de facturation, pays, numéro de TVA (lorsqu'il est fourni) et référence de transaction, nécessaires à l'émission d'une facture fiscale via InvoiceXpress et au respect des obligations fiscales et comptables applicables.
- E-mails transactionnels : votre adresse e-mail est utilisée pour l'envoi d'e-mails opérationnels (confirmation d'inscription, factures, alertes de compte) via le service Resend.
- Fichiers de calibration ECU : fichiers binaires de calibration ECU que vous chargez volontairement pour utiliser les fonctionnalités de TFM ECU, ainsi que les métadonnées associées (numéro de logiciel SW, numéro de matériel HW, identification de la famille ECU). Les fichiers sont traités de manière transitoire et ne sont pas conservés après la fin du traitement.
- Journaux techniques de sécurité : adresses IP d'accès, enregistrements de session, identification de l'appareil (user-agent, empreinte de session) et géolocalisation au niveau du pays dérivée de l'adresse IP, à des fins de détection de partage de compte et de prévention des fraudes. Aucune géolocalisation précise n'est effectuée.
- Analyse du trafic sans cookies : nous collectons des données d'utilisation du site de manière agrégée et anonyme — chemin de la page visitée, pays d'origine dérivé de l'IP sans stocker l'IP elle-même, référent, type d'appareil (bureau/mobile) et un hachage quotidien non réversible du visitant (pour le comptage des visiteurs uniques sans suivi entre les sessions ou les jours). Cette analyse n'utilise pas de cookies et ne permet pas l'identification individuelle des utilisateurs.
3. Finalités et base juridique
Nous traitons vos données personnelles sur la base des finalités et fondements juridiques suivants :
- Exécution du contrat (art. 6, par. 1, point b) du RGPD) : création et gestion de compte, authentification, traitement des paiements, émission de factures, fourniture des fonctionnalités de TFM ECU et communications opérationnelles strictement nécessaires au service.
- Intérêt légitime (art. 6, par. 1, point f) du RGPD) : sécurité de la plateforme, détection et prévention des fraudes, surveillance des schémas d'accès pour détecter le partage de compte et mesure agrégée et anonyme du trafic du site (sans impact sur la vie privée individuelle).
- Respect d'une obligation légale (art. 6, par. 1, point c) du RGPD) : conservation des données de facturation et de comptabilité pendant les délais légaux requis par la législation fiscale et comptable portugaise.
- Consentement (art. 6, par. 1, point a) du RGPD) : pour les communications marketing ou d'autres finalités non couvertes par les bases précédentes, lorsque et dans la mesure où cela est applicable, votre consentement sera sollicité séparément et explicitement, et pourra être retiré à tout moment.
4. Durées de conservation
Vos données sont conservées pendant le temps strictement nécessaire à chaque finalité :
- Données de compte : aussi longtemps que le compte reste actif. À la suite d'une résiliation ou d'une demande de suppression, les données d'identification sont effacées, sauf celles dont la conservation est requise pour respecter des obligations légales ou à des fins probatoires.
- Données de facturation et de comptabilité : conservées pendant la période légalement requise par la législation fiscale et comptable portugaise (actuellement 10 ans, conformément au Code de la TVA et au Code de l'impôt sur les sociétés).
- Enregistrements d'acceptation des Conditions : conservés pendant le délai de prescription applicable à des fins probatoires.
- Journaux de sécurité (adresses IP, sessions) : conservés pendant une période maximale de 12 mois, ou plus en cas de suspicion fondée de fraude pour prévenir la récidive.
- Analyse du trafic — enregistrements bruts (page_views) : supprimés au bout de 90 jours. Les agrégats anonymes (ne contenant pas de données personnelles) peuvent être conservés indéfiniment.
5. Sous-traitants et destinataires des données
Nous faisons appel à des sous-traitants qui traitent des données personnelles pour notre compte, exclusivement aux fins indiquées et dans le cadre d'accords de sous-traitance conformes au RGPD :
- Stripe Payments Europe Ltd (Irlande, EEE) — traitement des paiements ;
- InvoiceXpress, Lda (Portugal, EEE) — émission de factures fiscales ;
- Resend, Inc. (États-Unis — voir Section 6) — envoi d'e-mails transactionnels ;
- Hébergeur (serveur basé dans l'UE) — hébergement de la plateforme et de la base de données.
Vitality Peak, Lda ne vend, ne loue ni ne cède vos données personnelles à des tiers à des fins de marketing ou à toute autre fin non décrite dans la présente Politique.
6. Transferts internationaux
Certains de nos sous-traitants sont situés en dehors de l'Espace économique européen (EEE), notamment :
- Resend, Inc. (États-Unis) : les transferts sont effectués dans le cadre des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, conformément à l'art. 46 du RGPD.
Tous les autres sous-traitants sont établis dans l'EEE ou opèrent dans des pays reconnus adéquats par la Commission européenne, de sorte qu'aucune garantie supplémentaire n'est requise.
7. Droits des personnes concernées
En vertu du RGPD, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès (art. 15) : obtenir la confirmation que vos données font l'objet d'un traitement et accéder à une copie de celles-ci ;
- Droit de rectification (art. 16) : corriger les données inexactes ou incomplètes ;
- Droit à l'effacement (art. 17) : demander la suppression de vos données lorsqu'elles ne sont plus nécessaires ou en cas de retrait du consentement, sous réserve des obligations légales de conservation ;
- Droit à la limitation du traitement (art. 18) : demander la suspension temporaire du traitement dans certaines circonstances ;
- Droit à la portabilité des données (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement ;
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime, y compris à des fins de marketing direct.
Pour exercer l'un de ces droits, envoyez un e-mail à legal@tfmecu.com, en vous identifiant et en précisant le droit que vous souhaitez exercer. Nous répondrons dans un délai maximum de 30 jours.
Vous avez également le droit d'introduire une réclamation auprès de la Comissão Nacional de Protecção de Dados (CNPD), l'autorité de contrôle nationale, via le site www.cnpd.pt.
8. Sécurité
Vitality Peak, Lda met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, toute perte, destruction, altération ou divulgation :
- Hachage des mots de passe : les mots de passe sont stockés exclusivement sous forme de hachage irréversible (bcrypt avec sel) et jamais en clair ;
- Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs utilisent HTTPS/TLS ;
- Protection CSRF : les formulaires et points de terminaison de la plateforme utilisent des tokens CSRF pour prévenir les attaques de type cross-site request forgery ;
- Contrôle des accès : l'accès aux données de production est limité au personnel de Vitality Peak ayant un besoin opérationnel démontré, selon le principe du moindre privilège ;
- Surveillance de la sécurité : les journaux d'accès et de session sont surveillés pour détecter les anomalies et les activités suspectes.
Malgré les mesures mises en place, aucun système n'est totalement invulnérable. En cas de violation de données affectant vos droits, vous serez notifié dans les délais légaux.
9. Cookies
La plateforme TFM ECU utilise un nombre minimal de cookies, strictement nécessaires au fonctionnement technique du service. Nous n'utilisons pas de cookies de suivi, de publicité ni d'analyse comportementale.
| Nom |
Type |
Finalité |
Durée |
Nécessaire |
connect.sid |
Session |
Maintient la session authentifiée de l'utilisateur entre les requêtes HTTP. Sans ce cookie, il n'est pas possible de rester connecté. |
Session du navigateur (supprimé à la fermeture) |
Oui — strictement nécessaire |
_csrf |
Sécurité |
Token de protection CSRF (cross-site request forgery). Garantit que les requêtes adressées au serveur proviennent de pages légitimes de la plateforme. Attribut SameSite=Strict. |
Session du navigateur (supprimé à la fermeture) |
Oui — strictement nécessaire |
Ces cookies sont strictement nécessaires au fonctionnement sécurisé du service et sont exemptés de consentement préalable en vertu de l'art. 5, par. 3 de la Directive 2002/58/CE (Directive vie privée et communications électroniques) et de la législation nationale de transposition.
L'analyse du trafic décrite à la Section 2 est effectuée sans recours à des cookies. Le hachage quotidien du visitant est calculé côté serveur à partir de données techniques de la requête (IP + user-agent + sel quotidien) et n'est pas stocké dans le navigateur de l'utilisateur ; il ne constitue donc pas un cookie ni une technologie équivalente.
Nous n'utilisons pas de cookies tiers, de pixels de suivi, de balises, de fingerprinting à long terme ni aucune autre technologie de suivi intersessions.
10. Modifications de la présente Politique et contact
Vitality Peak, Lda se réserve le droit de mettre à jour la présente Politique de Confidentialité pour refléter des changements légaux, réglementaires ou opérationnels. En cas de modifications substantielles, les utilisateurs enregistrés seront informés par e-mail et la nouvelle version sera publiée avec une date mise à jour.
La version en vigueur est toujours disponible à l'adresse https://tfmecu.com/privacidade.
Pour toute question, exercice de droits ou réclamation relative au traitement de vos données personnelles, veuillez nous contacter :
- E-mail : legal@tfmecu.com
- Courrier postal : Vitality Peak, Lda · Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal
Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist Vitality Peak, Lda, juristische Person Nr. 518 258 777, mit Sitz in Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal.
Bei Fragen zum Datenschutz können Sie uns per E-Mail kontaktieren: legal@tfmecu.com.
Vitality Peak, Lda handelt in Übereinstimmung mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO) sowie dem Gesetz Nr. 58/2019 vom 8. August (Portugiesisches DSGVO-Durchführungsgesetz).
2. Erhobene Daten
Im Rahmen der Bereitstellung des TFM ECU-Dienstes erheben wir folgende Kategorien personenbezogener Daten:
- Kontodaten: E-Mail-Adresse, Benutzername und in irreversiblem Hash-Format gespeichertes Passwort (bcrypt). Passwörter werden niemals im Klartext gespeichert.
- Nachweis der Nutzungsbedingungen-Akzeptanz: Datum, Uhrzeit, IP-Adresse, Gerätekennzeichnung (User-Agent) und Version der bei der Registrierung akzeptierten Nutzungsbedingungen, zu Beweiszwecken.
- Zahlungsdaten: Zahlungen werden vollständig von Stripe Payments Europe Ltd verarbeitet. Vitality Peak, Lda speichert keine Bankkarteninformationen oder sonstige sensible Zahlungsdaten — diese verbleiben ausschließlich bei Stripe, unter dessen Verantwortung.
- Rechnungsdaten: Name, Rechnungsadresse, Land, Steuernummer (sofern angegeben) und Transaktionsreferenz, die für die Ausstellung einer Rechnung über InvoiceXpress und zur Erfüllung der geltenden steuerlichen und buchhalterischen Verpflichtungen erforderlich sind.
- Transaktions-E-Mails: Ihre E-Mail-Adresse wird für den Versand von Betriebs-E-Mails (Registrierungsbestätigung, Rechnungen, Kontobenachrichtigungen) über den Dienst Resend verwendet.
- ECU-Kalibrierdateien: Binäre ECU-Kalibrierdateien, die Sie freiwillig hochladen, um die Funktionen von TFM ECU zu nutzen, sowie die damit verbundenen Metadaten (Software-Nummer SW, Hardware-Nummer HW, ECU-Familienkennung). Dateien werden vorübergehend verarbeitet und nach Abschluss der Verarbeitung nicht aufbewahrt.
- Technische Sicherheitsprotokolle: Zugriffs-IP-Adressen, Sitzungsaufzeichnungen, Gerätekennzeichnung (User-Agent, Sitzungs-Fingerabdruck) und IP-basierte Geolokalisierung auf Länderebene zur Erkennung von Kontoteilung und Betrugsprävention. Eine genaue Geolokalisierung wird nicht vorgenommen.
- Cookie-freie Traffic-Analyse: Wir erheben Website-Nutzungsdaten in aggregierter und anonymer Form — besuchter Seitenpfad, aus der IP abgeleitetes Herkunftsland (ohne Speicherung der IP selbst), Referrer, Gerätetyp (Desktop/Mobil) und ein täglicher nicht umkehrbarer Besucher-Hash (zur Zählung einzigartiger Besucher ohne sitzungs- oder tagesübergreifendes Tracking). Diese Analyse verwendet keine Cookies und ermöglicht keine individuelle Identifizierung von Nutzern.
3. Zwecke und Rechtsgrundlage
Wir verarbeiten Ihre personenbezogenen Daten auf der Grundlage folgender Zwecke und Rechtsgrundlagen:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Kontoerstellung und -verwaltung, Authentifizierung, Zahlungsabwicklung, Rechnungsstellung, Bereitstellung der TFM ECU-Funktionen und für den Dienst unbedingt erforderliche Betriebskommunikation.
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Plattformsicherheit, Betrugserkennung und -prävention, Überwachung von Zugriffsmustern zur Erkennung von Kontoteilung sowie aggregierte und anonyme Messung des Website-Traffics (ohne Auswirkungen auf die individuelle Privatsphäre).
- Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Rechnungs- und Buchhaltungsdaten für die gesetzlich vorgeschriebenen Zeiträume nach portugiesischem Steuer- und Buchhaltungsrecht.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Marketingkommunikation oder andere Zwecke, die nicht durch die obigen Grundlagen abgedeckt sind, wird Ihre Einwilligung, sofern und soweit anwendbar, separat und ausdrücklich eingeholt und kann jederzeit widerrufen werden.
4. Speicherfristen
Ihre Daten werden so lange aufbewahrt, wie es für jeden Zweck unbedingt erforderlich ist:
- Kontodaten: solange das Konto aktiv ist. Nach der Kündigung oder einem Löschantrag werden die Identifikationsdaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten oder Beweiszwecke eine längere Speicherung erfordern.
- Rechnungs- und Buchhaltungsdaten: werden für den gesetzlich vorgeschriebenen Zeitraum nach portugiesischem Steuer- und Buchhaltungsrecht aufbewahrt (derzeit 10 Jahre gemäß dem Mehrwertsteuer- und dem Körperschaftsteuergesetz).
- Aufzeichnungen zur Akzeptanz der Nutzungsbedingungen: werden für die geltende Verjährungsfrist zu Beweiszwecken aufbewahrt.
- Sicherheitsprotokolle (IPs, Sitzungen): werden für maximal 12 Monate aufbewahrt oder länger bei begründetem Betrugsverdacht zur Rückfallprävention.
- Traffic-Analyse — Rohdatensätze (page_views): werden nach 90 Tagen gelöscht. Anonyme Aggregate (ohne personenbezogene Daten) können unbegrenzt aufbewahrt werden.
5. Auftragsverarbeiter und Empfänger der Daten
Wir nutzen Auftragsverarbeiter, die personenbezogene Daten in unserem Auftrag verarbeiten, ausschließlich für die angegebenen Zwecke und auf der Grundlage DSGVO-konformer Auftragsverarbeitungsverträge:
- Stripe Payments Europe Ltd (Irland, EWR) — Zahlungsabwicklung;
- InvoiceXpress, Lda (Portugal, EWR) — Ausstellung von Steuerrechnungen;
- Resend, Inc. (USA — siehe Abschnitt 6) — Transaktions-E-Mail-Versand;
- Hosting-Anbieter (EU-basierter Server) — Plattform- und Datenbank-Hosting.
Vitality Peak, Lda verkauft, vermietet oder überträgt Ihre personenbezogenen Daten nicht an Dritte für Marketingzwecke oder andere in dieser Richtlinie nicht beschriebene Zwecke.
6. Internationale Übermittlungen
Einige unserer Auftragsverarbeiter befinden sich außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere:
- Resend, Inc. (USA): Übermittlungen erfolgen auf der Grundlage der von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCC), gemäß Art. 46 DSGVO.
Alle anderen Auftragsverarbeiter sind im EWR ansässig oder operieren in Ländern, die von der Europäischen Kommission als angemessen anerkannt werden, sodass keine zusätzlichen Schutzmaßnahmen erforderlich sind.
7. Rechte der betroffenen Personen
Gemäß der DSGVO haben Sie folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
- Auskunftsrecht (Art. 15): Bestätigung zu erhalten, ob Ihre Daten verarbeitet werden, und Zugang zu einer Kopie davon;
- Berichtigungsrecht (Art. 16): unrichtige oder unvollständige Daten zu korrigieren;
- Recht auf Löschung (Art. 17): die Löschung Ihrer Daten zu verlangen, wenn diese nicht mehr erforderlich sind oder bei Widerruf der Einwilligung, vorbehaltlich gesetzlicher Aufbewahrungspflichten;
- Recht auf Einschränkung der Verarbeitung (Art. 18): unter bestimmten Umständen die vorübergehende Aussetzung der Verarbeitung zu verlangen;
- Recht auf Datenübertragbarkeit (Art. 20): Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln;
- Widerspruchsrecht (Art. 21): der auf berechtigten Interessen basierenden Verarbeitung zu widersprechen, auch für Zwecke des Direktmarketings.
Um eines dieser Rechte auszuüben, senden Sie eine E-Mail an legal@tfmecu.com, identifizieren Sie sich und geben Sie das Recht an, das Sie ausüben möchten. Wir werden innerhalb von maximal 30 Tagen antworten.
Sie haben außerdem das Recht, eine Beschwerde bei der Comissão Nacional de Protecção de Dados (CNPD), der nationalen Aufsichtsbehörde, über die Website www.cnpd.pt einzureichen.
8. Sicherheit
Vitality Peak, Lda trifft geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung, Veränderung oder Offenlegung zu schützen:
- Passwort-Hashing: Passwörter werden ausschließlich in irreversiblem Hash-Format (bcrypt mit Salt) gespeichert, niemals im Klartext;
- Verschlüsselung während der Übertragung: alle Kommunikation zwischen Ihrem Browser und unseren Servern erfolgt über HTTPS/TLS;
- CSRF-Schutz: Formulare und Endpunkte der Plattform verwenden CSRF-Tokens zur Verhinderung von Cross-Site-Request-Forgery-Angriffen;
- Zugriffskontrolle: der Zugriff auf Produktionsdaten ist auf Vitality Peak-Mitarbeiter mit nachgewiesenem betrieblichem Bedarf beschränkt, nach dem Prinzip der minimalen Rechte;
- Sicherheitsüberwachung: Zugriffs- und Sitzungsprotokolle werden zur Erkennung von Anomalien und verdächtigen Aktivitäten überwacht.
Trotz der getroffenen Maßnahmen ist kein System vollständig sicher. Im Falle einer Datenpanne, die Ihre Rechte beeinträchtigt, werden Sie innerhalb der gesetzlichen Fristen benachrichtigt.
9. Cookies
Die TFM ECU-Plattform verwendet eine minimale Anzahl von Cookies, die für den technischen Betrieb des Dienstes unbedingt erforderlich sind. Wir verwenden keine Tracking-, Werbe- oder Verhaltensanalyse-Cookies.
| Name |
Typ |
Zweck |
Dauer |
Erforderlich |
connect.sid |
Sitzung |
Hält die authentifizierte Benutzersitzung zwischen HTTP-Anfragen aufrecht. Ohne dieses Cookie ist es nicht möglich, eingeloggt zu bleiben. |
Browser-Sitzung (bei Schließen gelöscht) |
Ja — unbedingt erforderlich |
_csrf |
Sicherheit |
CSRF-Schutz-Token (Cross-Site Request Forgery). Stellt sicher, dass Anfragen an den Server von legitimen Plattformseiten stammen. Attribut SameSite=Strict. |
Browser-Sitzung (bei Schließen gelöscht) |
Ja — unbedingt erforderlich |
Diese Cookies sind für den sicheren Betrieb des Dienstes unbedingt erforderlich und von der Einwilligungspflicht gemäß Art. 5 Abs. 3 der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) und den entsprechenden nationalen Umsetzungsgesetzen befreit.
Die in Abschnitt 2 beschriebene Traffic-Analyse erfolgt ohne Verwendung von Cookies. Der tägliche Besucher-Hash wird serverseitig aus technischen Anfragedaten (IP + User-Agent + Tagessalt) berechnet und nicht im Browser des Nutzers gespeichert; er stellt daher kein Cookie oder eine gleichwertige Technologie dar.
Wir verwenden keine Drittanbieter-Cookies, Tracking-Pixel, Beacons, langfristiges Fingerprinting oder andere sitzungsübergreifende Tracking-Technologien.
10. Änderungen dieser Richtlinie und Kontakt
Vitality Peak, Lda behält sich das Recht vor, diese Datenschutzerklärung zu aktualisieren, um rechtliche, regulatorische oder betriebliche Änderungen widerzuspiegeln. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail benachrichtigt und die neue Version mit einem aktualisierten Datum veröffentlicht.
Die jeweils gültige Version ist stets verfügbar unter https://tfmecu.com/privacidade.
Für Fragen, die Ausübung von Rechten oder Beschwerden im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten kontaktieren Sie uns bitte:
- E-Mail: legal@tfmecu.com
- Post: Vitality Peak, Lda · Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal
سياسة الخصوصية
1. المسؤول عن معالجة البيانات
المسؤول عن معالجة بياناتك الشخصية هو Vitality Peak, Lda، الشخص الاعتباري رقم 518 258 777، ومقره في Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal.
لأي استفسار يتعلق بخصوصية بياناتك، يمكنك التواصل معنا عبر البريد الإلكتروني: legal@tfmecu.com.
تعمل Vitality Peak, Lda وفقًا للائحة (EU) 2016/679 للبرلمان الأوروبي والمجلس (اللائحة العامة لحماية البيانات GDPR)، وكذلك القانون رقم 58/2019 الصادر في 8 أغسطس (قانون تنفيذ اللائحة العامة لحماية البيانات في البرتغال).
2. البيانات المُجمَّعة
في إطار تقديم خدمة TFM ECU، نجمع الفئات التالية من البيانات الشخصية:
- بيانات الحساب: عنوان البريد الإلكتروني واسم المستخدم وكلمة المرور المخزنة بصيغة تجزئة لا رجعة فيها (bcrypt). لا نخزن كلمات المرور أبدًا بصيغة نص عادي.
- سجل قبول الشروط: التاريخ والوقت وعنوان IP وتعريف الجهاز (user-agent) وإصدار الشروط والأحكام المقبولة عند التسجيل، لأغراض إثباتية.
- بيانات الدفع: تتم معالجة المدفوعات بالكامل من قِبل Stripe Payments Europe Ltd. لا تخزن Vitality Peak, Lda بيانات البطاقة البنكية أو أي معلومات دفع حساسة — تبقى هذه البيانات حصريًا لدى Stripe تحت مسؤوليتها.
- بيانات الفواتير: الاسم وعنوان الفوترة والدولة والرقم الضريبي (عند توفيره) ومرجع المعاملة، وهي ضرورية لإصدار فاتورة ضريبية عبر InvoiceXpress والامتثال للالتزامات الضريبية والمحاسبية المعمول بها.
- الرسائل الإلكترونية التشغيلية: يُستخدم عنوان بريدك الإلكتروني لإرسال رسائل تشغيلية (تأكيد التسجيل والفواتير وتنبيهات الحساب) عبر خدمة Resend.
- ملفات معايرة ECU: ملفات معايرة ثنائية لـ ECU تقوم بتحميلها طوعًا لاستخدام ميزات TFM ECU، إلى جانب البيانات الوصفية المرتبطة بها (رقم البرنامج SW، رقم الجهاز HW، تعريف عائلة ECU). تتم معالجة الملفات مؤقتًا ولا يتم الاحتفاظ بها بعد اكتمال المعالجة.
- سجلات الأمان التقنية: عناوين IP للوصول وسجلات الجلسات وتعريف الجهاز (user-agent وبصمة الجلسة) والموقع الجغرافي على مستوى الدولة المشتق من عنوان IP لأغراض اكتشاف مشاركة الحساب ومنع الاحتيال. لا يتم إجراء تحديد جغرافي دقيق.
- تحليل حركة المرور بدون ملفات تعريف الارتباط: نجمع بيانات استخدام الموقع بصورة مجمّعة ومجهولة الهوية — مسار الصفحة المزارة، وبلد المنشأ المشتق من عنوان IP دون تخزينه، والمرجع، ونوع الجهاز (سطح المكتب/الهاتف المحمول)، وتجزئة يومية غير قابلة للعكس للزائر (لحساب الزوار الفريدين دون تتبع عبر الجلسات أو الأيام). لا يستخدم هذا التحليل ملفات تعريف الارتباط ولا يتيح التعريف الفردي للمستخدمين.
3. الأغراض والأساس القانوني
نعالج بياناتك الشخصية على أساس الأغراض والمبررات القانونية التالية:
- تنفيذ العقد (المادة 6(1)(ب) من اللائحة العامة لحماية البيانات): إنشاء الحساب وإدارته والمصادقة ومعالجة المدفوعات وإصدار الفواتير وتوفير ميزات TFM ECU والاتصالات التشغيلية الضرورية للخدمة.
- المصلحة المشروعة (المادة 6(1)(و) من اللائحة العامة لحماية البيانات): أمان المنصة واكتشاف الاحتيال والوقاية منه ورصد أنماط الوصول للكشف عن مشاركة الحساب والقياس المجمّع ومجهول الهوية لحركة مرور الموقع (دون تأثير على الخصوصية الفردية).
- الامتثال لالتزام قانوني (المادة 6(1)(ج) من اللائحة العامة لحماية البيانات): الاحتفاظ ببيانات الفواتير والمحاسبة للفترات القانونية التي تقتضيها تشريعات الضرائب والمحاسبة البرتغالية.
- الموافقة (المادة 6(1)(أ) من اللائحة العامة لحماية البيانات): للاتصالات التسويقية أو الأغراض الأخرى غير المشمولة بالأسس السابقة، حيثما انطبق ذلك، ستُطلب موافقتك بشكل منفصل وصريح، ويمكن سحبها في أي وقت.
4. فترات الاحتفاظ بالبيانات
يتم الاحتفاظ ببياناتك للمدة الضرورية تمامًا لكل غرض:
- بيانات الحساب: طالما ظل الحساب نشطًا. عقب الإلغاء أو طلب الحذف، تُمحى بيانات الهوية، باستثناء تلك التي يتعين الاحتفاظ بها لأداء التزامات قانونية أو لأغراض إثباتية.
- بيانات الفواتير والمحاسبة: يتم الاحتفاظ بها للمدة التي يقتضيها القانون البرتغالي للضرائب والمحاسبة (حاليًا 10 سنوات وفقًا لقانون ضريبة القيمة المضافة وقانون ضريبة دخل الشركات).
- سجلات قبول الشروط: يتم الاحتفاظ بها لفترة التقادم المعمول بها لأغراض إثباتية.
- سجلات الأمان (عناوين IP والجلسات): يتم الاحتفاظ بها لمدة أقصاها 12 شهرًا، أو أكثر في حالة الاشتباه الموثق بالاحتيال لأغراض منع التكرار.
- تحليل حركة المرور — السجلات الأولية (page_views): يتم حذفها بعد 90 يومًا. يمكن الاحتفاظ بالتجمعات المجهولة (التي لا تحتوي على بيانات شخصية) إلى أجل غير مسمى.
5. المعالجون الفرعيون ومستلمو البيانات
نستعين بمعالجين فرعيين يعالجون البيانات الشخصية نيابةً عنا، حصريًا للأغراض المحددة وبموجب اتفاقيات معالجة فرعية متوافقة مع اللائحة العامة لحماية البيانات:
- Stripe Payments Europe Ltd (أيرلندا، المنطقة الاقتصادية الأوروبية) — معالجة المدفوعات؛
- InvoiceXpress, Lda (البرتغال، المنطقة الاقتصادية الأوروبية) — إصدار الفواتير الضريبية؛
- Resend, Inc. (الولايات المتحدة الأمريكية — انظر القسم 6) — إرسال الرسائل الإلكترونية التشغيلية؛
- مزود الاستضافة (خادم مقره في الاتحاد الأوروبي) — استضافة المنصة وقواعد البيانات.
لا تبيع Vitality Peak, Lda بياناتك الشخصية أو تؤجرها أو تنقلها إلى أطراف ثالثة لأغراض تسويقية أو لأي أغراض أخرى غير موضحة في هذه السياسة.
6. النقل الدولي للبيانات
بعض معالجينا الفرعيين مقيمون خارج المنطقة الاقتصادية الأوروبية، ولا سيما:
- Resend, Inc. (الولايات المتحدة الأمريكية): تُجرى عمليات النقل بموجب البنود التعاقدية القياسية (SCCs) المعتمدة من المفوضية الأوروبية، وفقًا للمادة 46 من اللائحة العامة لحماية البيانات.
يتخذ سائر المعالجين الفرعيين مقرًا في المنطقة الاقتصادية الأوروبية أو يعملون في دول تعترف بها المفوضية الأوروبية بالمستوى الكافي لحماية البيانات، مما يجعل اتخاذ ضمانات إضافية غير ضروري.
7. حقوق أصحاب البيانات
بموجب اللائحة العامة لحماية البيانات، تتمتع بالحقوق التالية فيما يخص بياناتك الشخصية:
- حق الوصول (المادة 15): الحصول على تأكيد بأن بياناتك تُعالَج والوصول إلى نسخة منها؛
- حق التصحيح (المادة 16): تصحيح البيانات غير الدقيقة أو غير المكتملة؛
- حق المحو (المادة 17): طلب حذف بياناتك عندما لا تكون ضرورية بعد الآن أو عند سحب الموافقة، مع مراعاة التزامات الاحتفاظ القانونية؛
- حق تقييد المعالجة (المادة 18): طلب تعليق المعالجة مؤقتًا في ظروف معينة؛
- حق نقل البيانات (المادة 20): استلام بياناتك بصيغة منظمة وشائعة الاستخدام وقابلة للقراءة آليًا ونقلها إلى مسؤول معالجة آخر؛
- حق الاعتراض (المادة 21): الاعتراض على المعالجة المستندة إلى المصلحة المشروعة، بما في ذلك لأغراض التسويق المباشر.
لممارسة أي من هذه الحقوق، أرسل بريدًا إلكترونيًا إلى legal@tfmecu.com، مع تعريف بنفسك وتحديد الحق الذي تريد ممارسته. سنرد خلال 30 يومًا كحد أقصى.
يحق لك أيضًا تقديم شكوى إلى Comissão Nacional de Protecção de Dados (CNPD)، وهي هيئة الرقابة الوطنية، عبر الموقع الإلكتروني www.cnpd.pt.
8. الأمن
تطبّق Vitality Peak, Lda تدابير تقنية وتنظيمية ملائمة لحماية بياناتك الشخصية من الوصول غير المصرح به والفقدان والتدمير والتعديل أو الإفصاح:
- تجزئة كلمات المرور: تُخزَّن كلمات المرور حصريًا بصيغة تجزئة لا رجعة فيها (bcrypt مع salt) ولا تُخزَّن أبدًا بصيغة نص عادي؛
- التشفير أثناء النقل: تستخدم جميع الاتصالات بين متصفحك وخوادمنا HTTPS/TLS؛
- الحماية من CSRF: تستخدم نماذج المنصة ونقاط النهاية رموز CSRF للحماية من هجمات تزوير الطلبات عبر المواقع؛
- التحكم في الوصول: يقتصر الوصول إلى بيانات الإنتاج على موظفي Vitality Peak الذين يثبتون حاجة تشغيلية، وفق مبدأ الحد الأدنى من الامتيازات؛
- مراقبة الأمن: تُراقَب سجلات الوصول والجلسات للكشف عن الشذوذ والأنشطة المشبوهة.
على الرغم من التدابير المتخذة، لا يوجد نظام محصّن تمامًا. في حال وقوع خرق للبيانات يؤثر على حقوقك، سيتم إخطارك ضمن المهل القانونية.
9. ملفات تعريف الارتباط (Cookies)
تستخدم منصة TFM ECU حدًّا أدنى من ملفات تعريف الارتباط الضرورية تمامًا للتشغيل التقني للخدمة. لا نستخدم ملفات تعريف ارتباط للتتبع أو الإعلانات أو التحليل السلوكي.
| الاسم |
النوع |
الغرض |
المدة |
ضروري |
connect.sid |
جلسة |
يحافظ على جلسة المستخدم المصادق عليها بين طلبات HTTP. بدون هذا الملف، لا يمكن البقاء مسجلًا للدخول. |
جلسة المتصفح (يُحذف عند الإغلاق) |
نعم — ضروري تمامًا |
_csrf |
أمان |
رمز حماية CSRF (تزوير الطلبات عبر المواقع). يضمن أن الطلبات الموجهة إلى الخادم تصدر من صفحات المنصة الشرعية. السمة SameSite=Strict. |
جلسة المتصفح (يُحذف عند الإغلاق) |
نعم — ضروري تمامًا |
تُعدّ ملفات تعريف الارتباط هذه ضرورية تمامًا للتشغيل الآمن للخدمة، وهي معفاة من الحاجة إلى موافقة مسبقة بموجب المادة 5(3) من التوجيه 2002/58/EC (توجيه الخصوصية الإلكترونية) والتشريعات الوطنية المنفِّذة له.
يتم تنفيذ تحليل حركة المرور الموضح في القسم 2 دون استخدام أي ملفات تعريف ارتباط. يُحسَب التجزئة اليومية للزائر على جانب الخادم استنادًا إلى البيانات التقنية للطلب (IP + user-agent + ملح يومي) ولا يُخزَّن في متصفح المستخدم؛ لذا فهو ليس ملف تعريف ارتباط ولا تقنية مماثلة.
لا نستخدم ملفات تعريف ارتباط تابعة لجهات خارجية ولا وحدات بكسل تتبع ولا منارات ولا بصمات رقمية طويلة الأمد ولا أي تقنية تتبع أخرى عبر الجلسات.
10. التعديلات على هذه السياسة والتواصل
تحتفظ Vitality Peak, Lda بحقها في تحديث سياسة الخصوصية هذه لتعكس التغييرات القانونية أو التنظيمية أو التشغيلية. في حال إجراء تغييرات جوهرية، سيتم إخطار المستخدمين المسجلين عبر البريد الإلكتروني وستُنشر النسخة الجديدة بتاريخ محدَّث.
النسخة السارية متاحة دائمًا على https://tfmecu.com/privacidade.
لأي استفسار أو ممارسة لحق أو شكوى تتعلق بمعالجة بياناتك الشخصية، تواصل معنا:
- البريد الإلكتروني: legal@tfmecu.com
- البريد العادي: Vitality Peak, Lda · Mal Julgado, Alcaria Ruiva, 7750-013 Alcaria Ruiva, Portugal