Lista nominal de fornecedores que processam dados em nome da SignDocs Brasil, países envolvidos e mecanismos legais de transferência.
Versão 1.1 — Última atualização: 2 de Maio de 2026 (desmembramento da linha de Antifraude para refletir AWS Rekognition; janela de 30 dias da cláusula 5.3 do DPA em curso)
Mudanças materiais nesta lista são notificadas com pelo menos 30 dias de antecedência, conforme ANPD Res. 18/2024 e DPA §7. Inscreva-se para receber avisos.
Um sub-operador é qualquer terceiro que trate Dados Pessoais em nome da SignDocs Brasil, conforme art. 39 da LGPD. Sub-operadores são contratualmente obrigados a respeitar o mesmo nível de proteção de dados oferecido pela SignDocs Brasil aos seus Clientes Controladores.
A tabela abaixo lista os sub-operadores nominais por categoria de tratamento, com país principal de processamento e mecanismo de transferência internacional aplicável. Esta lista é mantida atualizada e mudanças materiais são comunicadas com 30 dias de antecedência conforme ANPD Res. 18/2024 (ver §3 abaixo para inscrição em notificações).
| Categoria | Função | País principal de processamento | Fornecedor nominal | Mecanismo de transferência |
|---|---|---|---|---|
| Cloud / Infraestrutura | Hospedagem de aplicação, banco de dados, armazenamento de documentos, autenticação (Cognito), observabilidade (CloudWatch) | Estados Unidos (us-east-1) — região principal; Brasil (sa-east-1) — região de backup ativo (failover) | Amazon Web Services, Inc. (AWS) | Cláusulas-padrão ANPD Res. 18/2024 (processamento principal nos EUA; replicação local no Brasil) |
| E-mail transacional | Envio de convites, notificações, alertas, OTP por e-mail; e-mails de autenticação (recuperação de senha, confirmação de cadastro, login) | Estados Unidos | Mailgun (Sinch) — principal, para envios transacionais de produto; Amazon Web Services — secundário, para e-mails de autenticação via Cognito | Cláusulas-padrão ANPD Res. 18/2024 |
| SMS Gateway | OTP por SMS, alertas transacionais | Brasil + Estados Unidos (orquestração) | Amazon Web Services (Amazon SNS — somente SMS; WhatsApp não está integrado em produção) | Cláusulas-padrão ANPD Res. 18/2024 (componente de orquestração nos EUA) |
| Gateway de Pagamento | Cobrança de assinaturas, processamento de cartões, prevenção a fraude transacional | União Europeia (Irlanda) + Estados Unidos | Stripe Payments Europe, Ltd. / Stripe, Inc. — pagamentos no painel B2B; Apple Inc. — assinaturas In-App Purchase no aplicativo iOS | Decisão de adequação (UE) + cláusulas-padrão ANPD Res. 18/2024 (componente EUA) |
| SERPRO / DataValid | Validação biométrica e documental contra base governamental | Brasil | SERPRO — Serviço Federal de Processamento de Dados | Tratamento doméstico |
| Autoridade Certificadora ICP-Brasil | Emissão e validação de certificados digitais A1/A3 | Brasil (ITI/ICP-Brasil) | Conforme ICP-Brasil credenciada do Cliente | Tratamento doméstico |
| Analytics de marketing | Mensuração de tráfego e conversões no site institucional, sob consentimento granular do visitante (categoria "Analíticos") | Estados Unidos | Google LLC (Google Analytics 4 via Google Tag Manager — container GTM-MDZXPTVQ) | Cláusulas-padrão ANPD Res. 18/2024 |
| Formulários de contato | Recebimento e roteamento de mensagens enviadas via formulários do site institucional (nome, e-mail, empresa, mensagem) | Estados Unidos | FormSubmit.co | Cláusulas-padrão ANPD Res. 18/2024 |
| Antifraude (não-biométrico) | Scoring de risco, detecção de anomalias, mitigação de abuso (AWS WAF managed rules, lógica interna de scoring) | Estados Unidos (us-east-1) | Amazon Web Services, Inc. | Cláusulas-padrão ANPD Res. 18/2024 (componente já coberto pela linha "Cloud / Infraestrutura"; replicação local no Brasil) |
| Biometria / Liveness | Verificação de prova de vida e comparação facial em fluxos de autenticação biométrica | Estados Unidos (us-east-1) | Amazon Web Services, Inc. (AWS Rekognition) | Cláusulas-padrão ANPD Res. 18/2024 — dado sensível LGPD art. 5º II |
Quando há transferência internacional, a SignDocs Brasil utiliza apenas mecanismos previstos no art. 33 da LGPD e operacionalizados pela ANPD Res. 18/2024:
Não realizamos transferências baseadas exclusivamente em consentimento, salvo em situações pontuais relacionadas a Cliente Enterprise específico, sempre com transparência ao Titular.
Conforme DPA §7, o Cliente Controlador pode objetar por escrito a um novo sub-operador em até 15 dias após o aviso de 30 dias. Mantida a divergência, o Cliente pode rescindir sem penalidade dentro da janela de portabilidade aplicável (30/90 dias).
Alterações materiais são registradas com data, descrição e link para a notificação enviada. Histórico ainda em construção — primeiro registro será adicionado na próxima atualização da lista.
Inscreva-se para receber e-mail automático sempre que esta lista for atualizada. Você poderá cancelar a qualquer momento.
Dúvidas sobre sub-operadores ou transferências internacionais: dpo@signdocs.com.br. Encarregado de Proteção de Dados conforme LGPD art. 41.
