Voltar para Conformidade LGPD
Contratos com Operadores

Contratos com Operadores

Conforme Art. 37, § 1º da Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018)

Versão: 1.0 | Última atualização: 27 de janeiro de 2025 | Próxima revisão: 27 de abril de 2025

📋 Resumo Executivo

Este documento lista todos os operadores (prestadores de serviço) que processam dados pessoais em nome do Nivro, conforme Art. 37, § 1º da LGPD. Todos os operadores são contratados com cláusulas de proteção de dados adequadas.

1. Lista de Operadores

1.1. Stripe (Processamento de Pagamentos)

Serviço: Processamento de pagamentos e assinaturas

Localização: Estados Unidos (EUA)

Dados Processados: Dados de pagamento, informações de cartão (tokenizadas), histórico de transações, assinaturas

Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais

Medidas de Proteção: PCI DSS Level 1, criptografia em trânsito e repouso, certificações de segurança

Cláusulas Contratuais: Data Processing Addendum (DPA) com Stripe

Observações: Stripe processa dados de pagamento de forma tokenizada. Números de cartão completos nunca são armazenados pelo Nivro. Stripe está em conformidade com PCI DSS.

1.2. Railway (Hospedagem de Aplicação)

Serviço: Hospedagem de aplicação backend

Localização: Estados Unidos / Europa

Dados Processados: Todos os dados da aplicação (dados pessoais, dados operacionais)

Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais

Medidas de Proteção: Criptografia em trânsito (TLS), backups automatizados, certificações de segurança

Cláusulas Contratuais: Terms of Service incluem cláusulas de proteção de dados

1.3. Neon / Supabase (Banco de Dados)

Serviço: Banco de dados PostgreSQL (hospedado)

Localização: Estados Unidos / Europa

Dados Processados: Todos os dados pessoais armazenados no banco de dados

Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais

Medidas de Proteção: Criptografia em repouso, backups automatizados, isolamento de dados, certificações

Cláusulas Contratuais: Data Processing Agreement (DPA)

Observações: Dados são armazenados com criptografia em repouso. Backups são criptografados. Acesso restrito e monitorado.

1.4. Cloudflare (CDN e Segurança)

Serviço: CDN, proteção DDoS, firewall de aplicação web (WAF)

Localização: Global (servidores distribuídos)

Dados Processados: Dados de tráfego, endereços IP, logs de acesso, dados de requisições HTTP

Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais

Medidas de Proteção: Criptografia, anonimização de IP quando possível, certificações (ISO 27001, SOC 2)

Cláusulas Contratuais: Data Processing Addendum (DPA)

1.5. Vercel (Hospedagem de Frontend)

Serviço: Hospedagem de aplicação frontend (Next.js)

Localização: Estados Unidos / Global (Edge Network)

Dados Processados: Dados de frontend, logs de acesso, métricas de performance

Base Legal: Art. 33 LGPD - Consentimento tácito + cláusulas contratuais

Medidas de Proteção: Criptografia, certificações de segurança

Cláusulas Contratuais: Terms of Service incluem cláusulas de proteção de dados

1.6. Google Analytics (Analytics - Com Consentimento)

Serviço: Análise de uso do site, métricas

Localização: Estados Unidos

Dados Processados: Dados de navegação, cookies, métricas agregadas (apenas com consentimento)

Base Legal: Art. 7º, I (consentimento) + Art. 33 LGPD

Medidas de Proteção: Anonimização de IP, Consent Mode v2, políticas de privacidade do Google

Cláusulas Contratuais: Google Analytics Terms of Service

Observações: Só processa dados com consentimento explícito do usuário. Consent Mode v2 implementado (padrão DENIED). IP anonimizado. Google Signals desabilitado por padrão.

2. Cláusulas Contratuais Padrão

Todos os contratos com operadores devem incluir:

  • Obrigação de Confidencialidade: Operador não pode usar dados para outros fins
  • Medidas de Segurança: Operador deve implementar medidas técnicas e administrativas adequadas
  • Subprocessadores: Operador deve informar sobre subprocessadores
  • Assistência ao Controlador: Operador deve auxiliar em requisições de titulares
  • Retorno ou Exclusão de Dados: Ao término do contrato, operador deve retornar ou excluir dados
  • Auditoria: Controlador tem direito de auditar operador
  • Notificação de Incidentes: Operador deve notificar controlador imediatamente sobre incidentes

3. Transferências Internacionais

3.1. Base Legal

Art. 33 da LGPD: Transferência realizada com consentimento tácito ao aceitar Política de Privacidade. Países de destino oferecem grau adequado de proteção ou são adotadas cláusulas contratuais padrão.

3.2. Medidas de Proteção

Para todos os operadores:

  • Cláusulas contratuais padrão de proteção de dados
  • Criptografia em trânsito (TLS/HTTPS)
  • Criptografia em repouso (quando disponível)
  • Certificações de segurança (ISO 27001, SOC 2, PCI DSS)

4. Responsável pela Gestão

Responsável: Equipe de Desenvolvimento / DPO
E-mail de contato: privacidade@nivro.app
Frequência de revisão: Anual
Próxima revisão: 27 de janeiro de 2026