Sub-processadores
Empresas que tratam dados pessoais a serviço da SAPIANS, conforme LGPD Arts. 33-36 e Resolução CD/ANPD nº 19/2024. Atualizamos esta lista com 30 dias de antecedência sempre que incluímos novo prestador.
Última atualização: 20 mai 2026
Em atividade (7)
Supabase
Ativo desde 2026-05-12
- País
- Brasil (servidores AWS São Paulo · sa-east-1)
- Finalidade
- Banco de dados primário + autenticação
- Dados tratados
- Identidade, perfil profissional, respostas, scores, audit log
- Hipótese legal
- Sub-contratação direta · operador (LGPD Art. 39) · DPA assinado
- Salvaguardas
- Criptografia em repouso AES-256 · RLS por usuário · backups criptografados
Vercel Inc.
Ativo desde 2026-05-12
- País
- Estados Unidos
- Finalidade
- Hospedagem da aplicação web (Next.js · Functions)
- Dados tratados
- Logs operacionais (IP, user-agent), arquivos estáticos. NÃO trata dados de saúde.
- Hipótese legal
- Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + DPA Vercel
- Salvaguardas
- TLS 1.3 em trânsito · logs com retenção 24-72h · SOC2 Type II
Resend
Ativo desde 2026-05-15
- País
- Estados Unidos
- Finalidade
- Envio de email transacional (códigos 2FA · notificações)
- Dados tratados
- Email de cadastro + código 2FA. NÃO trata dados de saúde.
- Hipótese legal
- Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + DPA Resend
- Salvaguardas
- TLS 1.3 · SPF/DKIM/DMARC · sem retenção de conteúdo do email
Sentry
Ativo desde 2026-05-20
- País
- Estados Unidos (San Francisco, CA)
- Finalidade
- Monitoramento de erros e performance (observabilidade)
- Dados tratados
- Logs de erro (stack traces, URLs pseudonimizadas), métricas de performance, user.id pseudonimizado. NÃO recebe email/nome/PII bruto (redact aplicado em beforeSend).
- Hipótese legal
- Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + DPA Sentry
- Salvaguardas
- TLS 1.3 · sendDefaultPii=false · beforeSend filtra query params (email/code/token) · setUser apenas com id · SOC2 Type II · ISO 27001
Anthropic
Ativo desde 2026-05-20
- País
- Estados Unidos (San Francisco, CA)
- Finalidade
- LLM para assistente Vita (conversação · Camada A)
- Dados tratados
- Prompts contextuais sem PII direta (perguntas do usuário pseudonimizadas, contexto agregado do relatório). NÃO envia identidade do titular.
- Hipótese legal
- Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + termos Anthropic API
- Salvaguardas
- TLS 1.3 · zero data retention para treinamento (Anthropic API · contrato comercial) · acesso via Vercel AI Gateway com auditoria
OpenAI
Ativo desde 2026-05-20
- País
- Estados Unidos (San Francisco, CA)
- Finalidade
- Embeddings text-embedding-3-small para RAG (busca semântica em rag_chunks)
- Dados tratados
- Textos canônicos do XRESET (specs, módulos de alavanca). NÃO envia respostas do questionário nem PII do titular · pipeline interno apenas.
- Hipótese legal
- Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + termos OpenAI API
- Salvaguardas
- TLS 1.3 · API enterprise (sem treinamento em dados enviados) · embedding gerado uma vez e armazenado no Supabase
GitHub (Microsoft)
Ativo desde 2026-05-20
- País
- Estados Unidos (San Francisco, CA)
- Finalidade
- Hospedagem de código-fonte + CI/CD (GitHub Actions) + GitHub Packages (specs canônicas)
- Dados tratados
- Código-fonte e specs (não contém dados de titulares). Logs de CI (sem PII). Audit log de commits e merges.
- Hipótese legal
- Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + DPA Microsoft/GitHub
- Salvaguardas
- TLS 1.3 · SAML SSO · branch protection main · code review obrigatório · SOC2 Type II · ISO 27001
Planejados (1)
- País
- Estados Unidos / Irlanda
- Finalidade
- Processamento de pagamento (quando o beta abrir)
- Dados tratados
- Dados de pagamento (cartão, PIX). NÃO recebe dados psicométricos.
- Hipótese legal
- Cláusulas-padrão + certificação SOC2 · PCI-DSS Level 1
- Salvaguardas
- Tokenização · cartão nunca passa pelo nosso backend