Lista completa
Para entender qual base legal sustenta cada operador, veja a matriz de bases legais em /legal/privacy.
| Operador | Finalidade | Jurisdição | Dados tratados | DPA |
|---|---|---|---|---|
| Stripe | Cobrança recorrente e assinatura (Checkout + Customer Portal hospedados) | EUA (transferência internacional — Art. 33) | Nome, e-mail, CNPJ/CPF do responsável financeiro, dados de cartão (inseridos direto no Stripe — nunca trafegam pelo SIM) | Stripe DPA (Standard Contractual Clauses) (padrão) |
| NFE.io | Emissão de NFSe da assinatura (provedor fiscal dedicado) | Brasil (LGPD direta) | CNPJ/CPF e razão social do tomador, valor e descrição do serviço | NFE.io — Termos de Uso + DPA (padrão) |
| SOC Prevent Safety | Sincronização de funcionários, exames, ASOs e CATs (módulo Integração SOC) | Brasil | CPF, RG, PIS, nome, contato, demografia sensível, exames, CATs | Contrato SOC + Termo Adicional LGPD (contratado) |
| Receita Federal / eSocial | Obrigação legal: transmissão de eventos S-2210, S-2220, S-2240 | Brasil (poder público) | Funcionário completo (CPF, dados ocupacionais, riscos, ASOs) | Obrigação legal — base Art. 7º II (dispensado) |
| Resend | Envio de e-mails transacionais (confirmações, alertas, recuperação de senha) | EUA + região sa-east-1 (São Paulo) | Endereço de e-mail, nome, conteúdo do e-mail (com PII redacted onde aplicável) | Resend DPA (padrão) |
| Cloudflare R2 | Armazenamento de PDFs de ASO, fotos de funcionário e anexos | EUA (location hint configurado; ver ALTA-014 para revisão) | Arquivos binários (PDFs ASO, imagens, anexos com URLs presigned) | Cloudflare LGPD Trust Hub (padrão) |
| Meta — WhatsApp Business Cloud API | Envio de convocações de exame ocupacional (somente com consentimento explícito) | EUA + Irlanda | Telefone E.164 + parâmetros do template (data/local do exame) | Business Data Transfer Addendum + Business Solution Terms (padrão) |
| Sentry | Monitoramento de erros e performance | EU (Frankfurt) | Stack traces sanitizados, IDs opacos (ULIDs); sem PII após scrub | Sentry DPA (padrão) |
| PostHog | Analytics de uso da plataforma (com consentimento via banner de cookies) | EU (Frankfurt) | Eventos identificados por userId/tenantId; person_profiles=identified_only | PostHog Privacy & Security (padrão) |
| BetterStack (Logtail) | Centralização e busca de logs operacionais | Irlanda | Linhas de log com PII automaticamente redacted no ingest | BetterStack DPA (padrão) |
| MapTiler | Geocoding de endereço de unidades do tenant e mapas no front | Dinamarca | Endereço da unidade (não de funcionário) | MapTiler Privacy (padrão) |
| BrasilAPI | Consulta CNPJ no onboarding e validação de dados públicos | Brasil (open data) | CNPJ consultado pelo tenant (dado público) | Dado público (dispensado) |
Tipos de DPA
- contratado — DPA específico assinado entre EcoSunset e o operador (cópia mantida em cofre interno; disponível ao tenant B2B mediante NDA).
- padrão — Termos públicos do operador aplicáveis sem assinatura adicional (link no campo "DPA"). Aceite registrado internamente.
- dispensado — Operador trata dados públicos ou a transferência é imposta por obrigação legal (eSocial), portanto DPA não se aplica.
Como solicitar evidência
Clientes B2B em compliance review podem solicitar cópia dos DPAs assinados via DPO em dpo@ecosunset.com.br. Funcionários (titulares) podem solicitar relatório de compartilhamentos via /portal/dsr.