Subprocessadores · LGPD art. 39

Lista pública de todos os subprocessadores que tratam dados pessoais em nome da Lavrante. Atualizada continuamente.

Transparência total · LGPD art. 39

Lista pública de TODOS os subprocessadores que tratam dados pessoais em nome da Lavrante. Atualizada continuamente. Novos subprocessadores são adicionados com aviso prévio de 30 dias aos Partners ativos · pode bloquear se discordar.

Total subprocessadores

Críticos (alta criticidade)

Brasil

DPA assinado

14/14

14 subprocessadores ativos

Subprocessador	País	Serviço	Dados tratados	Base legal	Certificações	Crit.	Desde
Amazon Web Services (AWS) DPA	Brasil · sa-east-1 (São Paulo)	Infraestrutura · compute, storage, banco de dados	Todos os dados em repouso e em trânsito	Execução de contrato	ISO 27001ISO 27017ISO 27018SOC 1/2/3PCI DSS	alta	Jan/2025
Cloudflare Ambos	EUA · com pop no Brasil	CDN, WAF, DDoS protection, DNS	Logs de tráfego (IP, user-agent) · sem PII	Legítimo interesse · segurança	ISO 27001SOC 2	media	Jan/2025
Supabase DPA	Singapura (com replica BR)	PostgreSQL gerenciado · auth	Dados estruturados da plataforma	Execução de contrato	SOC 2HIPAA	alta	Mar/2025
Upstash DPA	EUA	Redis serverless · cache, rate limit	Tokens de sessão, contadores · sem PII direto	Legítimo interesse	SOC 2	baixa	Mar/2025
Postmark / AWS SES DPA	Brasil + EUA (backup)	Envio de emails transacionais	Email + nome do destinatário	Execução de contrato	SOC 2ISO 27001	media	Jan/2025
Twilio (SMS + WhatsApp Business) DPA	EUA · com presença Brasil	SMS e WhatsApp transacional	Telefone + conteúdo da mensagem	Consentimento	ISO 27001SOC 2	media	Fev/2025
Stripe Ambos	EUA · processamento BR	Pagamentos com cartão internacional (opcional)	Dados de cartão (tokenizados) · nome	Execução de contrato	PCI DSSSOC 2	alta	Mar/2025
Asaas / Iugu DPA	Brasil	Boleto, PIX, NFSe automática	Dados de pagamento + emissão fiscal	Obrigação legal	PCI DSS	alta	Mar/2025
Datadog DPA	EUA · com region BR para logs	APM, logs, monitoring	Logs de aplicação (com PII redacted)	Legítimo interesse	ISO 27001SOC 2	media	Jan/2025
Sentry DPA	EUA	Error tracking · stack traces	Erros de runtime (sem PII configurado)	Legítimo interesse	SOC 2	baixa	Jan/2025
OpenAI Ambos	EUA · API com zero data retention	Copiloto IA (GPT-4) · classificador NCM	Conteúdo de chat enviado pelo usuário	Consentimento (opt-in)	SOC 2	media	Mar/2025
AWS Textract DPA	Brasil · sa-east-1	OCR de PDFs e imagens	Conteúdo de documentos enviados pelo cliente	Execução de contrato	ISO 27001SOC 2HIPAA	alta	Abr/2025
Plausible Analytics DPA	Alemanha · GDPR-compliant	Analytics de uso · sem cookies	Páginas visitadas (anônimo) · sem fingerprinting	Legítimo interesse	GDPR-compliant	baixa	Jan/2025
Iron Mountain DPA	Brasil · cartório SP	Escrow técnico · código-fonte em custódia	Snapshot código-fonte e schema BD	Garantia contratual	ISO 27001	alta	Jan/2025

Como funciona a relação com subprocessadores

DPA (Data Processing Agreement) assinado: Cada subprocessador tem contrato específico LGPD com cláusulas obrigatórias do art. 37.
Standard Contractual Clauses (SCC): Para subprocessadores fora do Brasil, adotamos cláusulas-padrão UE/GDPR como garantia adequada.
Auditoria anual: Validação anual de certificações + revisão dos termos. Não-renovação se houver downgrade.
Aviso prévio para novos: Adição de novo subprocessador comunicada com 30 dias de antecedência aos Partners ativos.
Direito de objeção: Partner pode objetar a novo subprocessador em até 30 dias. Caso não consigamos endereçar, contrato pode ser rescindido sem multa.
Lista pública versionada: Cada alteração gera nova versão com hash · histórico disponível mediante solicitação ao DPO.

Subprocessador

País

Serviço

Dados tratados

Base legal

Certificações

Crit.

Desde

Amazon Web Services (AWS)

DPA

Brasil · sa-east-1 (São Paulo)

Infraestrutura · compute, storage, banco de dados

Todos os dados em repouso e em trânsito

Execução de contrato

ISO 27001ISO 27017ISO 27018SOC 1/2/3PCI DSS

alta

Jan/2025

Cloudflare

Ambos

EUA · com pop no Brasil

CDN, WAF, DDoS protection, DNS

Logs de tráfego (IP, user-agent) · sem PII

Legítimo interesse · segurança

ISO 27001SOC 2

media

Jan/2025

Supabase

DPA

Singapura (com replica BR)

PostgreSQL gerenciado · auth

Dados estruturados da plataforma

Execução de contrato

SOC 2HIPAA

alta

Mar/2025

Upstash

DPA

EUA

Redis serverless · cache, rate limit

Tokens de sessão, contadores · sem PII direto

Legítimo interesse

SOC 2

baixa

Mar/2025

Postmark / AWS SES

DPA

Brasil + EUA (backup)

Envio de emails transacionais

Email + nome do destinatário

Execução de contrato

SOC 2ISO 27001

media

Jan/2025

Twilio (SMS + WhatsApp Business)

DPA

EUA · com presença Brasil

SMS e WhatsApp transacional

Telefone + conteúdo da mensagem

Consentimento

ISO 27001SOC 2

media

Fev/2025

Stripe

Ambos

EUA · processamento BR

Pagamentos com cartão internacional (opcional)

Dados de cartão (tokenizados) · nome

Execução de contrato

PCI DSSSOC 2

alta

Mar/2025

Asaas / Iugu

DPA

Brasil

Boleto, PIX, NFSe automática

Dados de pagamento + emissão fiscal

Obrigação legal

PCI DSS

alta

Mar/2025

Datadog

DPA

EUA · com region BR para logs

APM, logs, monitoring

Logs de aplicação (com PII redacted)

Legítimo interesse

ISO 27001SOC 2

media

Jan/2025

Sentry

DPA

EUA

Error tracking · stack traces

Erros de runtime (sem PII configurado)

Legítimo interesse

SOC 2

baixa

Jan/2025

OpenAI

Ambos

EUA · API com zero data retention

Copiloto IA (GPT-4) · classificador NCM

Conteúdo de chat enviado pelo usuário

Consentimento (opt-in)

SOC 2

media

Mar/2025

AWS Textract

DPA

Brasil · sa-east-1

OCR de PDFs e imagens

Conteúdo de documentos enviados pelo cliente

Execução de contrato

ISO 27001SOC 2HIPAA

alta

Abr/2025

Plausible Analytics

DPA

Alemanha · GDPR-compliant

Analytics de uso · sem cookies

Páginas visitadas (anônimo) · sem fingerprinting

Legítimo interesse

GDPR-compliant

baixa

Jan/2025

Iron Mountain

DPA

Brasil · cartório SP

Escrow técnico · código-fonte em custódia

Snapshot código-fonte e schema BD

Garantia contratual

ISO 27001

alta

Jan/2025