1. Partes e papéis
Este Acordo de Processamento de Dados ("DPA") é parte integrante do contrato de prestação de serviços entre o Cliente (atuando como Controlador dos dados pessoais, conforme Art. 5º, VI da LGPD) e VenRisk Tecnologia Ltda. ("VenRisk", atuando como Operador, conforme Art. 5º, VII da LGPD).
2. Escopo do tratamento
A VenRisk tratará dados pessoais exclusivamente para:
- Prestar os serviços de plataforma GRC contratados
- Manter a segurança, integridade e disponibilidade do sistema
- Cumprir obrigações legais (audit trail, retenção fiscal)
- Fornecer suporte técnico quando solicitado pelo Cliente
A VenRisk não utilizará dados pessoais dos usuários finais (Titulares) do Cliente para qualquer finalidade comercial própria, incluindo marketing ou treinamento de modelos de IA.
3. Categorias de dados e titulares
Tipicamente tratados na plataforma:
Titulares
- Funcionários do Cliente (usuários da plataforma)
- Representantes de fornecedores cadastrados pelo Cliente
- Contatos comerciais mencionados em contratos ou políticas
Categorias de dados pessoais
- Identificação (nome, CPF opcional, cargo)
- Contato (e-mail corporativo, telefone opcional)
- Autenticação (senha hash, TOTP criptografado, IPs de login)
- Uso (logs de ações, preferências, histórico de sessões)
Dados sensíveis (Art. 5º, II LGPD) não são tratados por padrão. Caso o Cliente insira dados sensíveis em campos livres (ex: descrição de incidente), o Cliente assume responsabilidade exclusiva pelo cumprimento da base legal adicional exigida.
4. Instruções do Controlador
A VenRisk tratará dados pessoais apenas conforme instruções documentadas do Cliente, compreendidas em:
- Este DPA e o Contrato de Prestação de Serviços
- Configurações feitas pelo Cliente no painel administrativo (permissões, retenção, integrações)
- Solicitações escritas formais (por e-mail do administrador ou ticket de suporte)
Se uma instrução do Cliente violar a LGPD ou outra legislação aplicável, a VenRisk informará o Cliente e poderá suspender a execução até esclarecimento.
5. Sub-operadores autorizados
O Cliente autoriza a VenRisk a contratar os seguintes sub-operadores essenciais à prestação do serviço:
- Railway (hospedagem da aplicação) — US
- Postgres / Redis gerenciados pelo Railway — US
- MinIO / S3-compatible storage (arquivos) — região BR/US
- Brevo (Sendinblue) (envio de e-mail transacional) — UE
- Stripe (processamento de cobrança) — US
- Sentry (monitoramento de erros) — UE
- Google Analytics 4 (apenas site público, com anonimização) — US
- Anthropic (modelo de IA do radar regulatório) — US
A VenRisk notificará o Cliente, com antecedência mínima de 30 dias, sobre qualquer mudança material na lista de sub-operadores. O Cliente poderá se opor por motivo razoável, caso em que as partes discutirão alternativa ou encerrarão o contrato sem multa.
6. Segurança (Art. 46 LGPD)
A VenRisk implementa as seguintes medidas técnicas e administrativas:
- Criptografia TLS 1.2+ em trânsito e AES-256 em repouso
- MFA obrigatório para administradores (TOTP)
- Hash PBKDF2-SHA256 para senhas com histórico sem reuso
- Segregação lógica multi-tenant (isolamento no nível da aplicação)
- Audit log imutável de ações sensíveis
- Rate limiting e detecção de força bruta
- Backup diário criptografado com retenção de 30 dias
- Revisão trimestral de acessos e privilégios
- Scan antivírus em uploads (ClamAV)
- Monitoramento contínuo via Sentry e logs estruturados
7. Incidentes de segurança
Em caso de incidente que afete dados pessoais do Cliente, a VenRisk:
- Notificará o Cliente em até 24 horas após a descoberta
- Fornecerá descrição da natureza do incidente, categorias/volume de titulares afetados e medidas tomadas
- Cooperará com o Cliente na notificação à ANPD (Art. 48 LGPD), quando aplicável
- Preservará evidências forenses conforme possível
8. Direitos dos titulares
A VenRisk fornecerá ao Cliente ferramentas self-service na plataforma para atender solicitações de titulares (acesso, correção, eliminação, portabilidade). Quando necessário, a VenRisk apoiará o Cliente com exports de dados em formato estruturado (JSON/CSV) em até 15 dias úteis após solicitação formal.
A função de anonimização (direito ao esquecimento, Art. 18, VI) está disponível na interface administrativa. Uma vez executada, a anonimização é irreversível.
9. Transferência internacional
Transferências para os sub-operadores listados ocorrem sob uma das seguintes bases (Art. 33 LGPD):
- País com nível adequado de proteção (UE, sob GDPR)
- Cláusulas contratuais padrão
- Consentimento específico do titular, quando aplicável
10. Retenção e devolução
Os dados pessoais são retidos durante a vigência do contrato. Após o encerramento:
- Exportação completa disponível pelo Cliente nos 30 dias seguintes
- Após 30 dias, os dados são anonimizados
- Audit trail é mantido por 5 anos para fins regulatórios (dados anonimizados)
- Backups automaticamente expirados no ciclo normal (30 dias)
11. Auditoria
O Cliente poderá solicitar, com antecedência mínima de 30 dias:
- Relatórios SOC 2 Type II / ISO 27001 (quando obtidos)
- Respostas a questionários de due diligence (CAIQ, SIG, VSA)
- Evidências de implementação de controles específicos deste DPA
Auditorias presenciais são limitadas a clientes Enterprise e condicionadas a NDA específico, cronograma acordado e reembolso de custos materiais, sem prejuízo do direito do Cliente perante ANPD.
12. Vigência e encerramento
Este DPA vigora enquanto durar o contrato principal. Obrigações de confidencialidade, retenção mínima legal e notificação de incidentes sobrevivem ao encerramento.
13. Disposições finais
Em caso de conflito entre este DPA e o contrato principal, prevalece este DPA no que diz respeito ao tratamento de dados pessoais. Alterações ao DPA exigem aditivo assinado pelas partes, exceto atualizações necessárias por mudança legal ou inclusão de sub-operador notificada conforme Seção 5.
14. Contato
Dúvidas operacionais sobre este DPA: dpo@venrisk.com.br
Para versão customizada (Enterprise): agende conversa com time comercial.