📋 Resumo Executivo
Este documento lista todos os operadores (prestadores de serviço) que processam dados pessoais em nome do Nivro, conforme Art. 37, § 1º da LGPD. Todos os operadores são contratados com cláusulas de proteção de dados adequadas.
Conforme Art. 37, § 1º da Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018)
Versão: 1.0 | Última atualização: 27 de janeiro de 2025 | Próxima revisão: 27 de abril de 2025
Este documento lista todos os operadores (prestadores de serviço) que processam dados pessoais em nome do Nivro, conforme Art. 37, § 1º da LGPD. Todos os operadores são contratados com cláusulas de proteção de dados adequadas.
Serviço: Processamento de pagamentos e assinaturas
Localização: Estados Unidos (EUA)
Dados Processados: Dados de pagamento, informações de cartão (tokenizadas), histórico de transações, assinaturas
Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais
Medidas de Proteção: PCI DSS Level 1, criptografia em trânsito e repouso, certificações de segurança
Cláusulas Contratuais: Data Processing Addendum (DPA) com Stripe
Observações: Stripe processa dados de pagamento de forma tokenizada. Números de cartão completos nunca são armazenados pelo Nivro. Stripe está em conformidade com PCI DSS.
Serviço: Hospedagem de aplicação backend
Localização: Estados Unidos / Europa
Dados Processados: Todos os dados da aplicação (dados pessoais, dados operacionais)
Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais
Medidas de Proteção: Criptografia em trânsito (TLS), backups automatizados, certificações de segurança
Cláusulas Contratuais: Terms of Service incluem cláusulas de proteção de dados
Serviço: Banco de dados PostgreSQL (hospedado)
Localização: Estados Unidos / Europa
Dados Processados: Todos os dados pessoais armazenados no banco de dados
Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais
Medidas de Proteção: Criptografia em repouso, backups automatizados, isolamento de dados, certificações
Cláusulas Contratuais: Data Processing Agreement (DPA)
Observações: Dados são armazenados com criptografia em repouso. Backups são criptografados. Acesso restrito e monitorado.
Serviço: CDN, proteção DDoS, firewall de aplicação web (WAF)
Localização: Global (servidores distribuídos)
Dados Processados: Dados de tráfego, endereços IP, logs de acesso, dados de requisições HTTP
Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais
Medidas de Proteção: Criptografia, anonimização de IP quando possível, certificações (ISO 27001, SOC 2)
Cláusulas Contratuais: Data Processing Addendum (DPA)
Serviço: Hospedagem de aplicação frontend (Next.js)
Localização: Estados Unidos / Global (Edge Network)
Dados Processados: Dados de frontend, logs de acesso, métricas de performance
Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais
Medidas de Proteção: Criptografia, certificações de segurança
Cláusulas Contratuais: Terms of Service incluem cláusulas de proteção de dados
Serviço: Análise de uso do site, métricas
Localização: Estados Unidos
Dados Processados: Dados de navegação, cookies, métricas agregadas (apenas com consentimento)
Base Legal: Art. 7º, I (consentimento) + Art. 33 LGPD
Medidas de Proteção: Anonimização de IP, Consent Mode v2, políticas de privacidade do Google
Cláusulas Contratuais: Google Analytics Terms of Service
Observações: Só processa dados com consentimento explícito do usuário. Consent Mode v2 implementado (padrão DENIED). IP anonimizado. Google Signals desabilitado por padrão.
Todos os contratos com operadores devem incluir:
Art. 33 da LGPD: Transferência realizada com consentimento tácito ao aceitar Política de Privacidade. Países de destino oferecem grau adequado de proteção ou são adotadas cláusulas contratuais padrão.
Para todos os operadores:
Responsável: Equipe de Desenvolvimento / DPO
E-mail de contato: privacidade@nivro.app
Frequência de revisão: Anual
Próxima revisão: 27 de janeiro de 2026