Sub-processadores

Empresas que tratam dados pessoais a serviço da SAPIANS, conforme LGPD Arts. 33-36 e Resolução CD/ANPD nº 19/2024. Atualizamos esta lista com 30 dias de antecedência sempre que incluímos novo prestador.

Última atualização: 20 mai 2026

Em atividade (7)

Supabase

Ativo desde 2026-05-12

País
Brasil (servidores AWS São Paulo · sa-east-1)
Finalidade
Banco de dados primário + autenticação
Dados tratados
Identidade, perfil profissional, respostas, scores, audit log
Hipótese legal
Sub-contratação direta · operador (LGPD Art. 39) · DPA assinado
Salvaguardas
Criptografia em repouso AES-256 · RLS por usuário · backups criptografados

Vercel Inc.

Ativo desde 2026-05-12

País
Estados Unidos
Finalidade
Hospedagem da aplicação web (Next.js · Functions)
Dados tratados
Logs operacionais (IP, user-agent), arquivos estáticos. NÃO trata dados de saúde.
Hipótese legal
Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + DPA Vercel
Salvaguardas
TLS 1.3 em trânsito · logs com retenção 24-72h · SOC2 Type II

Resend

Ativo desde 2026-05-15

País
Estados Unidos
Finalidade
Envio de email transacional (códigos 2FA · notificações)
Dados tratados
Email de cadastro + código 2FA. NÃO trata dados de saúde.
Hipótese legal
Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + DPA Resend
Salvaguardas
TLS 1.3 · SPF/DKIM/DMARC · sem retenção de conteúdo do email

Sentry

Ativo desde 2026-05-20

País
Estados Unidos (San Francisco, CA)
Finalidade
Monitoramento de erros e performance (observabilidade)
Dados tratados
Logs de erro (stack traces, URLs pseudonimizadas), métricas de performance, user.id pseudonimizado. NÃO recebe email/nome/PII bruto (redact aplicado em beforeSend).
Hipótese legal
Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + DPA Sentry
Salvaguardas
TLS 1.3 · sendDefaultPii=false · beforeSend filtra query params (email/code/token) · setUser apenas com id · SOC2 Type II · ISO 27001

Anthropic

Ativo desde 2026-05-20

País
Estados Unidos (San Francisco, CA)
Finalidade
LLM para assistente Vita (conversação · Camada A)
Dados tratados
Prompts contextuais sem PII direta (perguntas do usuário pseudonimizadas, contexto agregado do relatório). NÃO envia identidade do titular.
Hipótese legal
Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + termos Anthropic API
Salvaguardas
TLS 1.3 · zero data retention para treinamento (Anthropic API · contrato comercial) · acesso via Vercel AI Gateway com auditoria

OpenAI

Ativo desde 2026-05-20

País
Estados Unidos (San Francisco, CA)
Finalidade
Embeddings text-embedding-3-small para RAG (busca semântica em rag_chunks)
Dados tratados
Textos canônicos do XRESET (specs, módulos de alavanca). NÃO envia respostas do questionário nem PII do titular · pipeline interno apenas.
Hipótese legal
Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + termos OpenAI API
Salvaguardas
TLS 1.3 · API enterprise (sem treinamento em dados enviados) · embedding gerado uma vez e armazenado no Supabase

GitHub (Microsoft)

Ativo desde 2026-05-20

País
Estados Unidos (San Francisco, CA)
Finalidade
Hospedagem de código-fonte + CI/CD (GitHub Actions) + GitHub Packages (specs canônicas)
Dados tratados
Código-fonte e specs (não contém dados de titulares). Logs de CI (sem PII). Audit log de commits e merges.
Hipótese legal
Cláusulas-padrão contratuais (LGPD Art. 33, II, 'd') + DPA Microsoft/GitHub
Salvaguardas
TLS 1.3 · SAML SSO · branch protection main · code review obrigatório · SOC2 Type II · ISO 27001

Planejados (1)

Stripe

Planejado desde 2026-05-12 (planejado · ativação pós-beta)

País
Estados Unidos / Irlanda
Finalidade
Processamento de pagamento (quando o beta abrir)
Dados tratados
Dados de pagamento (cartão, PIX). NÃO recebe dados psicométricos.
Hipótese legal
Cláusulas-padrão + certificação SOC2 · PCI-DSS Level 1
Salvaguardas
Tokenização · cartão nunca passa pelo nosso backend