Acordo de Processamento de Dados (DPA) & Práticas LGPD
Este documento descreve papéis, finalidades, bases legais, controles de segurança e direitos dos titulares quando atuamos como Operadora ou Controladora, conforme o escopo contratado.
Tratamos dados pessoais em nome do Controlador (Cliente), seguindo instruções documentadas. O Cliente define finalidades, categorias, prazos e base legal; nós implementamos controles técnicos e organizacionais.
Para dados próprios (ex.: faturamento, contato comercial, registros operacionais) definimos finalidades e bases legais, observando minimização e retenção adequada.
Finalidades & Bases legais
Escopo típico em contratos de software, cloud e orquestração. Itens podem variar por projeto.
- • Autenticação, autorização e gestão de acesso
- • Execução de fluxos de negócio e integrações
- • Monitoramento de performance e disponibilidade (SLO)
- • Emissão de NFS-e, registros contábeis e fiscais
- • Detecção de abuso, anomalias e acessos indevidos
- • Proteções anti-spam, rate limiting, mTLS/HMAC
- • E-mails/Push sobre eventos do sistema e status de operações
| Base | Artigo | Uso típico |
|---|---|---|
| Execução de contrato | LGPD art. 7º, V | Operação do serviço, comunicações essenciais |
| Obrigação legal/regulatória | LGPD art. 7º, II | Faturamento, obrigações fiscais/contábeis |
| Legítimo interesse | LGPD art. 7º, IX | Segurança, melhoria contínua e prevenção a fraudes |
| Consentimento (quando aplicável) | LGPD art. 7º, I | Funcionalidades opcionais e marketing |
Categorias de dados & Retenção
Minimização e prazos condizentes com cada finalidade.
| Categoria | Exemplos | Retenção |
|---|---|---|
| Identificação básica | nome, e-mail corporativo, telefone, cargo/empresa | Enquanto durar o contrato + prazos legais |
| Técnicos/telemetria | IP, user-agent, IDs de sessão, logs de erro/performance | Entre 90 e 400 dias (conforme severidade/ILM) |
| Operacionais de negócio | IDs de entidades, eventos, estados do fluxo | Enquanto necessários à prestação + auditoria |
Subprocessadores
Prestadores essenciais para a operação. A lista pode ser ajustada por contrato/ambiente.
| Fornecedor | Escopo | Região | Garantias |
|---|---|---|---|
| Amazon Web Services (AWS) | EKS (Kubernetes), RDS/Aurora, S3, CloudWatch, SES | Brasil/Américas e/ou conforme contrato | Criptografia, IAM, VPC, backups e logs |
| Cloudflare | Workers, R2, KV, CDN/WAF, Rate limiting | Global Anycast (compliance & DPA próprios) | TLS, cache controlado, acesso restrito |
| Pusher/Soketi | Canal WebSocket/Realtime | Conforme plano/infra | HMAC/mTLS, expiração de tokens, presença |
| FCM (Firebase Cloud Messaging) | Push notifications | Global | TLS, chaves rotacionadas, escopos mínimos |
| Brevo/SES (alternativos de e-mail) | Envio de e-mail transacional | Conforme provedor | SPF/DKIM/DMARC, TLS, chaves/segredos |
- • mTLS/HMAC entre serviços e na borda
- • Criptografia em trânsito e, quando aplicável, em repouso
- • Segregação por ambiente e menor privilégio (RBAC/ABAC)
- • Rotação de segredos (Vault/KMS) e inventário
- • Backups com testes de restore e DR (RTO/RPO) definidos
- • Observabilidade: métricas, logs estruturados e tracing
- Segregação dev/stage/prod • acesso sob demanda (least privilege)
- CI/CD com checagens de segurança e revisão de pares
- Inventário de ativos e registros de auditoria
- Testes de restore, plano de continuidade e DR
Direitos do titular
Solicitações podem ser feitas pelo canal do DPO. Atendemos dentro dos prazos legais e contratuais.
- • Confirmação da existência de tratamento
- • Acesso e correção de dados
- • Anonimização, bloqueio ou eliminação (quando aplicável)
- • Portabilidade e informação sobre compartilhamentos
- • Revogação de consentimento (quando aplicável)
Em caso de incidente relevante de segurança, comunicaremos o Controlador e autoridades quando requerido, em até 72h a partir da ciência, com informações disponíveis no momento, plano de contenção e medidas corretivas.
Mantemos registros de acesso, alterações relevantes e evidências de processos para suporte a auditorias, investigações e melhoria contínua.
Transferências internacionais
Quando houver transferência internacional, adotamos garantias adequadas (contratuais, técnicas e organizacionais), respeitando a LGPD e os acordos com o Controlador.
Cookies & tecnologias similares
Utilizamos cookies essenciais e, quando aplicável, ferramentas analíticas com configuração de privacidade. Preferências podem ser gerenciadas pelo usuário/cliente nos canais disponibilizados.
Tratamento de dados de crianças/adolescentes
Não direcionamos serviços a crianças. Quando o projeto do Cliente envolver menores, exigimos comprovação de base legal e salvaguardas específicas antes de iniciar qualquer tratamento.
Vigência & alterações
Este DPA integra o contrato principal. Alterações relevantes serão comunicadas. Em caso de divergência, prevalece o contrato assinado entre as partes.