Is Road to Headliner really free?

Yes, 100% free with no ads or pay-to-win mechanics. All players compete on equal footing. We believe the best game is one where skill and strategy determine success, not your wallet.

How long is a season?

Each season lasts 12 real-world weeks. After a season ends, there's a brief offseason period, then you start fresh with a new band while keeping your awards, prestige, and account history.

Can I play on mobile?

Road to Headliner is designed primarily for PC/desktop browsers. The interface works reasonably on tablets, but the complex management screens are best experienced on a larger screen. A dedicated mobile experience may come in the future.

Yes! You share the game world with other players in real-time. Compete on leaderboards, enter festival brackets, collaborate on features, and declare rivalries with other bands.

What is MT (Management Time)?

MT is your action currency — think of it as your manager's energy. It regenerates 1 per hour up to a maximum of 48. Every action like booking shows, rehearsing, or recording costs MT, so planning your time wisely is key to success.

Política de Privacidade

1. Quem Somos

Road to Headliner é um jogo online de gestão de banda multiplayer operado por um desenvolvedor independente com sede na Eslováquia, União Europeia. Somos o controlador de dados dos dados pessoais tratados através deste serviço ao abrigo do Regulamento (EU) 2016/679 (Regulamento Geral de Proteção de Dados, "GDPR"). Nossos servidores de jogos e bancos de dados são hospedados pela Hetzner Cloud em Falkenstein, Alemanha (EU). Para todas as perguntas de privacidade, solicitações de assunto de dados ou reclamações, entre em contato conosco em [email protected].

2. Que dados coletamos

Dados da conta: endereço de email, nome de exibição, senha do hashed
Dados de preferência: idioma, fuso horário
Dados técnicos: Endereço IP, agente do usuário (browser), identificadores de sessão
Dados do jogo: nome da banda, ações do jogo, estatísticas, resultados da temporada
Dados de comunicação: mensagens diretas, posts no fórum (conteúdo gerado pelo usuário)
Dados de segurança: tentativas de autenticação, sinais de detecção multi-conta

3. Como usamos seus dados

Fornecer e operar o serviço de jogo
Segurança, luta contra a fraude e prevenção da fraude
Análise de produtos sem cookies através da nuvem PostHog EU (somente memória, sem cookies ou armazenamento local).
E-mails transacionais (códigos de verificação, redefinições de senhas, avisos de segurança) enviados através do nosso servidor de e-mail self-hosted.

4. Bases jurídicas para o processamento (GDPR)

Desempenho do contrato [artigo 6.o, n.o 1, alínea b)]: Gestão de contas, dados do jogo, comunicações
Juros legítimos (n.o 1, alínea f), do artigo 6.o): Monitoramento de segurança, anti-barato, análise
Autorização (n.o 1, alínea a), do artigo 6.o): Só se características futuras específicas o exigirem

5. Retenção de dados

Nós conservamos dados pessoais apenas durante o tempo necessário para as finalidades para as quais foram coletados, de acordo com o princípio da limitação de armazenamento (Art. 5(1) e) GDPR). Os seguintes períodos de retenção são aplicados automaticamente através de limpeza programada diária:

Contas activas: dados conservados enquanto a sua conta existe e está activa
Tentativas de autenticação: automaticamente apagadas após 90 dias
Sessões: no máximo 30 dias, sessões expiradas limpas diariamente
Solicitação e registros de segurança: automaticamente podados após 90 dias
Registos de auditoria de administração: conservados durante 1 ano para a conformidade regulamentar e depois suprimidos
Notificações: ler notificações apagadas após 90 dias, não lidas após 180 dias
Alertas de segurança: alertas resolvidos apagados após 180 dias, alertas abertos apagados após 365 dias
Registros do sistema de jogos: excluídos após 30 dias. Cálculo de traços e registros de auditoria RNG: excluídos após 90 dias
Mensagens diretas: ler mensagens apagadas após 180 dias, mensagens não lidas apagadas após 365 dias
Registros de ação do jogador: excluídos após 30 dias
Estado instantâneos e instantâneos semanais: excluídos após 365 dias
Relatórios do jogador: relatórios resolvidos ou rejeitados apagados após 180 dias
Valido ou usado verificação e senha reset tokens: excluído após 7 dias
Contas apagadas: dados pessoais anônimos imediatamente após a exclusão da conta. Registros de jogo (bandas, histórico gráfico) são preservados em forma pseudônimo para a integridade competitiva
Backups: os dados pessoais podem persistir em backups criptografados por até 30 dias após a deleção. Os backups são criptografados em repouso, controlados por acesso e automaticamente apagados dentro da janela de retenção. Esta é uma limitação aceite divulgada no considerando 65 GDPR

6. Seus Direitos

Sob o GDPR (artigos 15-22), você tem os seguintes direitos sobre seus dados pessoais. Para exercer qualquer um desses direitos, e-mail [email protected] com a linha de assunto "Data Subject Request" e especificar o direito que deseja exercer. Vamos verificar a sua identidade antes de processar o seu pedido. Responderemos dentro de 30 dias (Art. 12(3) GDPR), extensível por mais 60 dias para pedidos complexos, caso em que iremos informá-lo da extensão dentro do período inicial de 30 dias.

Direito de Acesso (Art. 15): Solicite uma cópia de todos os dados pessoais que temos sobre si. Você também pode baixar seus dados em formato JSON legível por máquina a qualquer momento através de Configurações > Exportar Dados, ou enviando uma solicitação GET para /api/v1/auth/data-export enquanto estiver conectado. A exportação inclui dados de conta, dados de jogo, mensagens, posts no fórum e histórico de transações.
Direito a Erasure (Art. 17): Solicitar a exclusão permanente de sua conta e anonimização de todos os dados pessoais. Você mesmo pode fazer isso a qualquer momento através de Configurações > Excluir Conta (requer confirmação de senha). Os seus dados pessoais são anonimizados imediatamente. Registros de jogos (bandas, gráficos) são preservados em forma de pseudônimo para a integridade competitiva. Por favor, note que dados anônimos podem persistir em backups criptografados por até 30 dias.
Direito de Retificação (Art. 16): Solicitar correção de dados pessoais incorretos. Você pode atualizar suas informações de perfil através das configurações de sua conta. Para dados que não podem ser alterados através do UI (como seu endereço de e-mail), contate [email protected].
Direito à Portabilidade de Dados (Art. 20): Receba seus dados pessoais em um formato estruturado, comumente usado, legível por máquina (JSON). Use o recurso de exportação de dados descrito acima, ou peça uma cópia via e-mail.
Direito ao Objeto (Art. 21): Objeto ao processamento baseado no nosso interesse legítimo (Art. 6 (1) f), incluindo perfil anti-cheat e monitoramento de segurança. E-mail [email protected] com o processamento específico que você se opõe. Vamos cessar o processamento a menos que demonstremos motivos legítimos convincentes que sobreponham os seus interesses.
Direito à Restrição (Art. 18): Solicitar limitação temporária do processamento enquanto verificamos a exatidão de seus dados, avaliar sua objeção ou estabelecer se nossos motivos legítimos sobrepõem os seus. Durante a restrição, armazenaremos mas não processaremos ativamente os dados relevantes. E-mail [email protected] para solicitar restrição.
Direito de retirar o consentimento (artigo 7.o, n.o 3): Se o processamento se basear no seu consentimento, pode retirá-lo a qualquer momento. A retirada não afecta a legalidade do tratamento efectuado antes da retirada. Atualmente, todo o processamento é baseado no desempenho do contrato ou interesse legítimo, não consentimento.
Direito de apresentar uma queixa (Art. 77): Tem o direito de apresentar uma queixa a uma autoridade de supervisão. A autoridade competente para nossas operações é o Urad na ochranu osobnych udajov Slovenskej republiky (Serviço de Proteção de Dados Pessoais da República Eslovaca), Hranicna 12, 820 07 Bratislava, Eslováquia (https://dataprotection.gov.sk). Pode também contactar a autoridade de supervisão do Estado-Membro EU da sua residência habitual ou local de trabalho.

7. Compartilhamento de dados e subprocessadores

Usamos os seguintes subprocessadores para operar este serviço. Cada subprocessador está envolvido em um Contrato de Processamento de Dados (Art. 28 GDPR) e processa apenas os dados estritamente necessários para sua finalidade:

Hetzner Cloud (Hetzner Online GmbH, Alemanha): Hospedagem de infraestrutura e armazenamento de backup criptografado. Categorias de dados: todos os conteúdos do banco de dados (dados da conta, dados do jogo, comunicações). Localização: Centro de dados Falkenstein, Alemanha -- nenhuma transferência internacional. DPA: padrão Hetzner DPA por Art. 28 GDPR (https://docs.hetzner.com/general/general-terms-and-conditions/data-privacy-faq/).
Cloudflare (Cloudflare, Inc., US com nós de borda EU): CDN, proteção DDoS e firewall de aplicação web. Categorias de dados: endereços IP, cabeçalhos de pedidos HTTP, URLs de pedidos. Mecanismo de transferência: EU-US Data Privacy Framework (DPF, decisão de adequação Art. 45) e Normas Contratuais (SCCs, Módulo 2: Controller-to-Processador, Art. 46(2) c)). DPA: Cliente Cloudflare DPA (https://www.cloudflare.com/cloudflare-customer-dpa/).
Entrega de e-mail transacional: emails de verificação, resets de senha e avisos de segurança são atualmente enviados através do nosso servidor SMTP/Postfix self-hosted na mesma infraestrutura hospedada por Hetzner que o aplicativo. Endereços de e-mail e nomes de exibição são processados apenas para entrega de mensagens.
PostHog Cloud (região EU): Análise de produtos e análise CTA no local público. Categorias de dados: IDs de usuário pseudônimos, IDs de banda, IDs de temporada, caminhos de página e propriedades explícitas de eventos. O armazenamento do cliente está desativado (`persistence: memory`), então nenhum cookies de análise ou identificadores locais de armazenamento são criados pelo PostHog no navegador. DPA: https://posthog.com/dpa.

Não vendemos, alugamos, comercializamos ou compartilhamos seus dados pessoais com terceiros para fins de marketing, publicidade ou perfil. Os dados são compartilhados apenas com os subprocessadores listados acima, apenas para os fins descritos.

8. Transferências Internacionais de Dados

Seus dados são armazenados principalmente na Alemanha (Hetzner Cloud, datacenter Falkenstein). Cloudflare processa dados de solicitação HTTP em nós de borda EU; para qualquer processamento não-EU, Cloudflare participa do EU-US Data Privacy Framework (DPF, decisão de adequação Art. 45) e fornece Cláusulas Contratuais Padrão (SCCs, Módulo 2, Art. 46(2) c)) como uma salvaguarda suplementar. A análise do produto é processada através da região de nuvem EU da PostHog no modo de memória sem cookies. Entrega de email transacional atualmente usa nosso servidor SMTP/Postfix self-hosted na infraestrutura hospedada Hetzner, assim nenhum processador de email de país terceiro separado está ativo na produção. Todos os dados em trânsito são criptografados via TLS 1.2+. Nenhum dado pessoal é transferido para países sem uma decisão de adequação EU ou salvaguardas apropriadas (Art. 46 GDPR).

9. Medidas de segurança

Criptografia em trânsito (TLS 1.2+)
Senhas hashed com Argon2id (algoritmo líder da indústria)
Cookies de sessão HttpOnly com proteção CSRF
Controlos de acesso baseados em funções e registo de auditoria abrangente

10. Cookies e armazenamento local

Utilizamos apenas cookies estritamente necessários e funcionais, tal como definidos na Directiva ePrivacidade (artigo 5.o, n.o 3, Directiva 2002/58/EC). Não é necessário consentimento para estes cookies porque eles são essenciais para a prestação do serviço que você solicitou. Não utilizamos cookies de análise de rastreamento, publicidade ou terceiros:

access token (httpOnly, Secure, SameSite=Strict, 1 hora): Cookie de sessão de autenticação. Estritamente necessário para manter sua sessão de login.
refresh token (httpOnly, Secure, SameSite=Strict, 30 dias): Cookie de atualização de sessão. Estritamente necessário para re-autenticação sem costura.
rth-lang (funcional): Armazena sua preferência linguística. Cookie funcional isento sob ePrivacy Art. 5(3) como é necessário para prestar o serviço em sua língua escolhida.
cf bm (Cloudflare, terceiros, duração da sessão): Bookie de gerenciamento de bots. Estritamente necessário para proteção e segurança DDoS.
Análise: Usamos o PostHog em modo somente memória para análise de produtos e sites públicos. PostHog não define cookies de análise ou identificadores de armazenamento local no navegador nesta configuração.
Armazenamento local: Nós armazenamos preferências UI não pessoais (demissão de aviso de cookies, progresso tutorial, dicas UI) no armazenamento local do seu navegador. Estes não contêm dados pessoais.

11. Privacidade das crianças e verificação da idade

O Road to Headliner exige que os utilizadores tenham pelo menos 16 anos de idade, em conformidade com o artigo 8.o da GDPR (condições aplicáveis ao consentimento de uma criança em relação aos serviços da sociedade da informação). Durante o registro, todos os usuários devem confirmar que têm pelo menos 16 anos de idade, verificando uma caixa de verificação de confirmação de idade obrigatória. Esta confirmação é registada como prova auditável. Não coletamos ou processamos conscientemente dados pessoais de crianças menores de 16 anos. Se tivermos consciência de que um usuário tem menos de 16 anos, eliminaremos prontamente sua conta e todos os dados pessoais associados. Se você acredita que uma pessoa com menos de 16 anos criou uma conta, entre em contato conosco em [email protected].

12. Anti-Trapaça & Profiling Automatizado

Para manter o fair play, usamos uma correlação automatizada baseada em IP para detectar o uso potencial de várias contas. Este sistema compara endereços IP e padrões de login entre contas. Alertas de detecção são revisados por um administrador humano antes de qualquer ação ser tomada -- nenhuma conta é automaticamente banida ou penalizada com base apenas na detecção automatizada. Este processamento baseia-se no nosso interesse legítimo em manter a integridade do jogo (Art. 6 (1) f) GDPR). Você pode se opor a este processamento contatando [email protected].

13. Notificação de violação de dados

No caso de uma violação de dados pessoais que represente um risco para os seus direitos e liberdades, notificaremos a autoridade supervisora competente no prazo de 72 horas após tomar conhecimento da violação (Art. 33 GDPR). Se a violação for provável que resulte em um alto risco para você, também iremos notificá-lo sem demora indevida via e-mail ou notificação no jogo (Art. 34 GDPR).

14. Oficial de Proteção de Dados e Autoridade Supervisora

Como um controlador de dados de pequena escala que não realiza o processamento em larga escala de categorias especiais de dados ou monitoramento sistemático em larga escala, estamos isentos da obrigação de nomear um Oficial de Proteção de Dados ao abrigo do artigo 37.o, n.o 1, GDPR. Para todas as questões de privacidade, solicitações de assunto de dados ou reclamações, entre em contato conosco diretamente em [email protected]. A autoridade de supervisão competente para este serviço é o Urad na ochranu osobnych udajov Slovenskej republiky (Serviço de Protecção de Dados Pessoais da República Eslovaca), Hranicna 12, 820 07 Bratislava, Eslováquia, website: https://dataprotection.gov.sk. Você também tem o direito de apresentar uma reclamação à autoridade supervisora no Estado-Membro EU de sua residência habitual ou local de trabalho (Art. 77 GDPR).

15. Alterações a esta política

Podemos atualizar esta Política de Privacidade de tempos em tempos. As alterações materiais serão comunicadas através de notificação no jogo ou e-mail. O uso contínuo do serviço após alterações constitui aceitação da política atualizada.

16. Contacto

Para perguntas de privacidade, solicitações de acesso ao titular de dados (SAR), solicitações de exclusão de dados, solicitações de retificação ou reclamações, entre em contato conosco em [email protected]. Por favor, inclua "Pedido de Assunto de Dados" na linha de assunto para processamento mais rápido. Pretendemos acusar a recepção no prazo de 5 dias úteis e responder substantivamente a todos os pedidos de titulares de dados no prazo de 30 dias após a recepção (Art. 12(3) GDPR). Se um pedido for complexo ou recebermos um volume elevado, poderemos prolongar o período de resposta até 60 dias, caso em que o informaremos dentro do período inicial de 30 dias.