Acordo de Processamento de Dados (DPA)
Última atualização: 12 de março de 2026
Este Acordo de Processamento de Dados ("DPA") complementa os Termos de Uso e a Política de Privacidade da plataforma F7 KORE, operada pela F7 Fusion Tech LTDA ("Operadora", "nós"). Aplica-se a todos os clientes que utilizam o F7 KORE como operador de dados pessoais de seus usuários finais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e o Regulamento Geral sobre a Proteção de Dados (RGPD/GDPR) da União Europeia, quando aplicável.
1. Definições
- Controlador: o Cliente (empresa contratante do F7 KORE) que determina as finalidades e meios do tratamento de dados pessoais de seus colaboradores e usuários.
- Operador: a F7 Fusion Tech LTDA, que trata dados em nome do Controlador por meio da plataforma F7 KORE.
- Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável inserida na plataforma pelo Controlador ou por seus usuários.
- Tratamento: toda operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
2. Objeto e Escopo
A Operadora tratará Dados Pessoais exclusivamente para fornecer os serviços contratados pelo Controlador, conforme descrito nos Termos de Uso, e jamais para finalidades próprias não autorizadas pelo Controlador.
Os dados tratados incluem, entre outros:
- Dados de identificação de usuários (nome, e-mail, cargo)
- Dados de autenticação (hash de senha, tokens de sessão)
- Conteúdo inserido pelo Controlador (documentos, formulários, registros de processos)
- Logs de auditoria e acesso
- Dados de uso da plataforma (métricas, eventos de sistema)
3. Obrigações da Operadora
A Operadora se compromete a:
- Tratar os Dados Pessoais apenas conforme as instruções documentadas do Controlador e conforme a lei;
- Garantir que as pessoas autorizadas a tratar os dados estejam sujeitas a obrigações contratuais de confidencialidade;
- Implementar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado;
- Notificar o Controlador em até 72 horas após tomar conhecimento de uma violação de dados que possa afetar os direitos dos titulares;
- Auxiliar o Controlador a cumprir suas obrigações em relação aos direitos dos titulares (acesso, correção, portabilidade, eliminação, oposição);
- Não subcontratar o tratamento de dados sem autorização prévia do Controlador, exceto pelos subprocessadores listados no item 6 deste DPA;
- Excluir ou devolver todos os dados pessoais ao Controlador ao término do contrato, salvo obrigação legal de retenção.
4. Medidas de Segurança
A Operadora implementa as seguintes medidas técnicas e organizacionais:
- Criptografia em trânsito: TLS 1.2+ em todas as comunicações externas e internas
- Criptografia em repouso: AES-256 para banco de dados (RDS), armazenamento de objetos (S3) e secrets (AWS Secrets Manager)
- Controle de acesso: autenticação JWT com expiração de 15 minutos, MFA disponível, RBAC granular por tenant
- Isolamento multi-tenant: Row-Level Security (RLS) no PostgreSQL impede acesso cruzado entre tenants
- Auditoria: logs imutáveis de todos os acessos e alterações com before/after de dados
- Monitoramento: WAF com proteção OWASP, alarmes de latência e taxa de erro, CloudWatch
- Backups: snapshots diários do banco de dados com retenção de 30 dias e recuperação point-in-time
- Gestão de vulnerabilidades: Dependabot, CodeQL, OWASP ZAP quinzenal
5. Retenção e Exclusão de Dados
Os dados pessoais são retidos pelo prazo necessário à prestação dos serviços contratados ou por obrigação legal. Após o encerramento da conta ou solicitação de exclusão pelo titular:
- Dados de autenticação e pessoais: anonimizados em até 30 dias após exclusão da conta
- Sessões ativas: revogadas imediatamente
- Logs de auditoria: retidos por 5 anos conforme obrigação legal (Art. 37 da LGPD e normas contábeis/fiscais brasileiras)
- Dados fiscais e de cobrança: retidos por 5 anos conforme obrigação do Código Tributário Nacional
- Documentos e conteúdo: excluídos conforme política de retenção configurada pelo Controlador ou imediatamente após solicitação
6. Subprocessadores Aprovados
A Operadora utiliza os seguintes subprocessadores para fornecer os serviços, todos localizados em território com nível de proteção adequado ou com salvaguardas contratuais:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Amazon Web Services (AWS) | Infraestrutura de nuvem (compute, storage, banco de dados) | EUA (us-west-1), com AWS DPA |
| Asaas | Processamento de pagamentos | Brasil |
| Temporal.io | Orquestração de workflows (self-hosted na AWS) | EUA (self-hosted) |
7. Transferência Internacional de Dados
Os dados são armazenados primariamente na região AWS us-west-1 (Califórnia, EUA). A transferência internacional está amparada pelo Art. 33, inciso II da LGPD (quando o país de destino fornece grau de proteção adequado) e pelas Cláusulas Contratuais Padrão da AWS (AWS Data Processing Addendum).
8. Direitos dos Titulares
O Controlador é responsável por atender às solicitações dos titulares de dados. A Operadora fornece os seguintes mecanismos técnicos para suporte:
- Acesso e portabilidade: exportação completa em formato JSON disponível em Configurações → Conectar → Exportar Dados
- Correção: edição de dados diretamente na plataforma
- Eliminação: exclusão de conta com anonimização em Configurações → Minha Conta → Excluir Conta
- Revogação de consentimento: gerenciamento de consentimento de marketing nas configurações de notificação
9. Vigência e Rescisão
Este DPA entra em vigor com a aceitação dos Termos de Uso e permanece vigente durante toda a relação contratual. Em caso de rescisão, a Operadora deve, a critério do Controlador: (a) devolver todos os dados pessoais ou (b) excluir os dados com certificação de exclusão. A solicitação deve ser feita em até 30 dias após o término do contrato.
10. Encarregado pelo Tratamento de Dados (DPO)
A F7 Fusion Tech LTDA designa como Encarregado pelo Tratamento de Dados (DPO/Encarregado): [email protected]. O Encarregado atende solicitações de titulares, autoridades regulatórias (ANPD) e do Controlador em até 15 dias úteis.
11. Alterações neste DPA
Este DPA pode ser atualizado pela Operadora com aviso prévio de 30 dias ao Controlador. O uso continuado após a vigência das alterações constitui aceitação do DPA revisado.
12. Contato
Para questões relativas a este DPA, transferências de dados ou violações de segurança: [email protected] | F7 Fusion Tech LTDA.