Sub-processadores
Última atualização: 22 de maio de 2026 · Versão 2.0
De acordo com os Artigos 28(2) e 28(4) do GDPR e Artigo 39 da LGPD, divulgamos todos os terceiros que processam dados pessoais em nosso nome. Cada sub-processador foi avaliado quanto à segurança, conformidade e adequação contratual antes de ser integrado, e é reavaliado anualmente.
| Sub-processador | Localização | Finalidade | Salvaguarda jurídica |
|---|---|---|---|
| Amazon Web Services Inc. | Brazil (sa-east-1, São Paulo) | Hospedagem de aplicação (ECS Fargate), banco de dados (RDS PostgreSQL), armazenamento (S3), CDN (CloudFront), DNS (Route 53). | DPA + SCCs (EEA users) |
| Stripe Payments Europe Ltd. | Ireland (EU) + USA (Stripe Inc.) | Processamento de pagamentos de assinatura no canal web. | DPA + SCCs + PCI-DSS L1 |
| Belvo Instituição de Pagamento Ltda. | Brazil | Open Finance Brasil — agregação segura de conexões bancárias autorizada pelo Banco Central. | DPA + LGPD + BCB authorization |
| Sentry GmbH (Functional Software Inc.) | Germany (de.sentry.io) | Rastreamento de erros, monitoramento de performance e source maps com mascaramento de PII. | DPA (EU data residency) |
| Apple Inc. | USA | Distribuição do app iOS na App Store, compras in-app (IAP), Sign in with Apple. | Apple Developer Agreement + SCCs |
| Google LLC | USA | Distribuição do app Android no Google Play, compras in-app, Google OAuth, Firebase Cloud Messaging (notificações push). | Google Cloud DPA + SCCs |
| Cloudflare Inc. | USA (global edge network) | CDN para entrega de bibliotecas estáticas (ícones Phosphor) e proteção contra DDoS. | DPA + SCCs |
Segurança e conformidade
Todos os sub-processadores assinaram Acordos de Processamento de Dados (DPA) compatíveis com LGPD e GDPR. Para transferências fora da UE/EEE, utilizamos Cláusulas Contratuais Padrão (SCCs, módulos aplicáveis) com medidas suplementares conforme acórdão Schrems II quando necessárias. Reservamo-nos o direito contratual de auditar qualquer sub-processador a qualquer momento.
Atualizações desta lista
Se incluirmos novos sub-processadores que tratem dados pessoais, atualizaremos esta página e notificaremos usuários do EEE com pelo menos 30 dias de antecedência por e-mail, conforme exige o GDPR Art. 28(2). Para Brasil, atualizações são comunicadas no momento da publicação.
Seus direitos
Você tem direito de objetar à participação de qualquer sub-processador específico. Caso a objeção seja procedente, faremos esforços razoáveis para fornecer alternativa; se não for possível, você pode rescindir o contrato com reembolso pro-rata. Encaminhe pedidos para dpo@buddybapp.com.