Subprocessadores
Operadores sub-contratados que tratam dados pessoais em nome da OrgSense AI conforme LGPD Art. 33 § 2º. Toda adição requer notificação prévia ao Controlador com direito a objeção (cláusula contratual de proteção de dados — DPA §7). Para o contrato de processamento completo, consulte sua Política de Privacidade e o canal do Encarregado (DPO).
- Versão da lista:
- 1.0
- Última atualização:
- 2026-05-18
- Total de subprocessadores:
- 6
| Empresa | Finalidade | Localização | Transferência |
|---|---|---|---|
Adicionado em 2026-01-01 | Inferência LLM (modelo Claude) — classificação de sinais psicossociais Salvaguardas: Cláusulas Contratuais Padrão (SCC) + contrato zero-retention; prompts não são utilizados para treinamento de modelo. | Estados Unidos | Internacional |
Adicionado em 2026-01-01 | Banco de dados Postgres gerenciado + storage de objetos Salvaguardas: SCC + envelope encryption controlada pelo controlador (KMS Azure); chaves não-extraíveis HSM. | Estados Unidos (região configurável) | Internacional |
Adicionado em 2026-01-01 | Hospedagem edge do operator-console (Next.js) Salvaguardas: SCC + headers de segurança (HSTS, CSP, X-Frame-Options); sem persistência de payload no edge. | Estados Unidos (edge global) | Internacional |
Adicionado em 2026-01-01 | Canal WhatsApp Business (Cloud API) — coleta de sinal e mensageria Salvaguardas: DPA Meta + verificação business obrigatória por tenant; HMAC do webhook validado a cada inbound. | Estados Unidos / Irlanda | Internacional |
Adicionado em 2026-01-01 | Entrega de e-mail transacional (notificações, escalações) Salvaguardas: SCC + chave por tenant via envelope KMS; credenciais armazenadas com criptografia at-rest. | Estados Unidos | Internacional |
Adicionado em 2026-01-01 | Key Management Service (KMS) para envelope encryption Salvaguardas: DPA Microsoft + chaves não-extraíveis (HSM FIPS 140-2 Level 2); rotação de KEK trimestral. | Brasil (região São Paulo) | Doméstica |
Como contestar um subprocessador
Se você é cliente (Controlador) e deseja objetar à inclusão ou substituição de um subprocessador, escreva ao Encarregado da OrgSense AI em /dpo dentro da janela de aviso prévio (30 dias). Se você é titular e tem dúvida sobre como seus dados transitam pela cadeia acima, o canal do DPO também é o caminho — ou o DPO da empresa cliente.
Garantias adicionais
- Transferências internacionais ocorrem sob Cláusulas Contratuais Padrão (SCC) ou DPA equivalente, conforme LGPD Art. 33, II.
- Dados em trânsito: TLS 1.3 obrigatório para todos os subprocessadores.
- Dados em repouso: envelope encryption AES-256 com chaves gerenciadas em KMS dedicado (chaves não-extraíveis HSM).
- Pseudonimização imediata na ingestão (HMAC-SHA256 por tenant) — subprocessadores nunca recebem identificadores diretos (telefone, CPF, nome).
O histórico completo de versões desta lista é canônico no repositório público do produto.