← Voltar
LGPD · Documento Legal

Acordo de Tratamento de Dados Pessoais

Data Processing Agreement (DPA) — Versão Brasileira · Em conformidade com a Lei nº 13.709/2018 (LGPD)

Versão 1.0 — Brasil Versão vigente para clientes brasileiros
Prevalência do idioma: este DPA é celebrado em versões em português e inglês. Em caso de divergência, prevalece a versão em português, por ser o instrumento de regência no Brasil.

Qualificação das Partes

Pelo presente instrumento particular, de um lado:

AGARON SOLUCOES EM TECNOLOGIA LTDA, sociedade empresária limitada inscrita no CNPJ sob o nº 09.012.687/0001-50, com sede em Avenida Monsenhor Seckler nº 1234, Porto Feliz, Estado de São Paulo, CEP 18546-056, neste ato representada na forma de seu Contrato Social, doravante denominada “AGARON” ou “OPERADORA”;

solidariamente garantida por AGARON TECHNOLOGIES LLC, sociedade constituída sob as leis do Estado da Flórida, Estados Unidos da América, com sede em W Pine St, Office 324, Orlando, Flórida 32801, nos termos da Cláusula de Garantia Solidária constante da Seção 22 deste DPA;

e, de outro lado:

O CLIENTE qualificado no Contrato Principal (Terms of Service, Contrato de Prestação de Serviços ou instrumento equivalente), doravante denominado “CLIENTE” ou “CONTROLADOR”;

AGARON e CLIENTE denominadas individualmente como “Parte” e conjuntamente como “Partes”, têm entre si certo e ajustado o presente Acordo de Tratamento de Dados Pessoais (“DPA”), que se regerá pelas cláusulas e condições a seguir.

Considerandos

  1. a AGARON oferece plataforma de comunicação omnichannel denominada Omnichat, que processa Dados Pessoais em nome do CLIENTE;
  2. o CLIENTE, na qualidade de Controlador dos Dados Pessoais, contratou os serviços da AGARON mediante o Contrato Principal;
  3. as Partes desejam formalizar as condições aplicáveis ao Tratamento de Dados Pessoais em conformidade com a Lei nº 13.709/2018 (“LGPD”) e demais normas aplicáveis.

Resolvem as Partes celebrar o presente DPA, que será regido pelas cláusulas seguintes.

1. Definições

Para os fins deste DPA, os termos iniciados em maiúscula terão os significados abaixo, sem prejuízo das definições da LGPD:

  • 1.1 “LGPD” — significa a Lei Federal nº 13.709/2018 e suas alterações.
  • 1.2 “ANPD” — significa a Autoridade Nacional de Proteção de Dados.
  • 1.3 “Dados Pessoais” — significa qualquer informação relacionada a pessoa natural identificada ou identificável, nos termos do art. 5º, I, da LGPD.
  • 1.4 “Dados Pessoais Sensíveis” — significa Dados Pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, nos termos do art. 5º, II, da LGPD.
  • 1.5 “Tratamento” — significa toda operação realizada com Dados Pessoais, incluindo coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão ou extração, nos termos do art. 5º, X, da LGPD.
  • 1.6 “Controlador” — significa o CLIENTE, a quem competem as decisões sobre o Tratamento de Dados Pessoais, nos termos do art. 5º, VI, da LGPD.
  • 1.7 “Operador” — significa a AGARON, que realiza o Tratamento de Dados Pessoais em nome do Controlador, nos termos do art. 5º, VII, da LGPD.
  • 1.8 “Titular” — significa a pessoa natural a quem se referem os Dados Pessoais, nos termos do art. 5º, V, da LGPD.
  • 1.9 “Suboperador” — significa qualquer terceiro contratado pela AGARON para realizar atividades de Tratamento em nome do CLIENTE, nos termos da Seção 9.
  • 1.10 “Incidente de Segurança” — significa qualquer evento confirmado que possa acarretar risco ou dano relevante aos Titulares, incluindo a destruição, perda, alteração, acesso ou divulgação não autorizados de Dados Pessoais, nos termos do art. 48 da LGPD.
  • 1.11 “Encarregado” ou “DPO” — significa a pessoa indicada pela AGARON para atuar como canal de comunicação entre a AGARON, os Titulares e a ANPD, nos termos do art. 41 da LGPD.

2. Objeto e Papéis das Partes

2.1 O presente DPA tem por objeto estabelecer as condições para o Tratamento de Dados Pessoais realizado pela AGARON, na qualidade de Operadora, em nome do CLIENTE, na qualidade de Controlador, no âmbito dos serviços da plataforma Omnichat.

2.2 A AGARON realizará o Tratamento exclusivamente conforme as instruções documentadas do CLIENTE e para as finalidades descritas neste DPA e no Contrato Principal.

2.3 A AGARON não utilizará os Dados Pessoais para finalidades próprias, incluindo, mas não se limitando a: (i) marketing comercial direcionado aos Titulares; (ii) criação de perfis; ou (iii) treinamento de modelos de inteligência artificial, salvo mediante instrução expressa e por escrito do CLIENTE, ou determinação legal.

2.4 A AGARON informará prontamente o CLIENTE caso, em sua avaliação razoável, alguma instrução viole a LGPD ou demais normas aplicáveis.

3. Natureza e Finalidade do Tratamento

3.1 A AGARON oferece plataforma de comunicação omnichannel (plataforma Omnichat) que integra os seguintes canais:

  • WhatsApp Cloud API;
  • Facebook Messenger;
  • Instagram Direct Messages;
  • Line;
  • SMS;
  • E-mail;
  • Telegram Bots;
  • Webchat;
  • Integrações com Twilio e Bandwidth;
  • Integrações via API / SDK;
  • Chatbots de IA (funcionalidade opcional).

3.2 As atividades de Tratamento incluem gerenciamento da comunicação com clientes finais, automação via chatbots de IA, fluxos de atendimento, automação de vendas, roteamento e armazenamento de mensagens e metadados correlatos.

3.3 A duração do Tratamento corresponderá ao prazo de vigência do Contrato Principal, acrescido do período estritamente necessário à eliminação ou devolução dos Dados Pessoais, nos termos da Seção 14.

4. Categorias de Dados Pessoais

4.1 As categorias de Dados Pessoais Tratadas sob este DPA podem incluir:

  • nomes;
  • endereços de e-mail;
  • números de telefone;
  • endereços IP e registros de conexão;
  • conteúdo de mensagens e conversações;
  • metadados do CLIENTE;
  • dados de localização (quando fornecidos pelos Titulares ou inferidos do IP);
  • cookies e identificadores similares;
  • arquivos enviados pelos Titulares, incluindo imagens, PDFs e áudios.

4.2 Dados Pessoais Sensíveis. A AGARON não realiza Tratamento intencional de Dados Pessoais Sensíveis. Contudo, o CLIENTE reconhece que conteúdos de mensagens em texto livre e arquivos enviados pelos Titulares podem incidentalmente conter tais informações. É de responsabilidade exclusiva do CLIENTE avaliar se sua atividade envolve Dados Pessoais Sensíveis e implementar as salvaguardas e bases legais exigidas pelo art. 11 da LGPD.

4.3 Dados Financeiros. A AGARON não armazena dados de cartão de pagamento, conta bancária ou outras credenciais financeiras. Os Dados Pessoais relacionados a pagamentos são coletados e Tratados exclusivamente pela Stripe, Inc. (ver Seção 9), a qual atua como Controladora independente para tais dados.

5. Categorias de Titulares

5.1 Os Dados Pessoais Tratados sob este DPA referem-se às seguintes categorias de Titulares:

  • empregados, prepostos e usuários autorizados do CLIENTE;
  • clientes finais do CLIENTE (incluindo consumidores, prospects e terceiros que interajam com o CLIENTE por meio dos Serviços).

6. Tratamento por Inteligência Artificial

6.1 Os Serviços podem incluir funcionalidades opcionais de inteligência artificial (“Funcionalidades de IA”), que utilizam provedores terceiros, especificamente OpenAI, L.L.C. e Google LLC.

6.2 As Funcionalidades de IA são desativadas por padrão e podem ser ativadas ou desativadas pelo CLIENTE a qualquer momento, por meio da configuração da plataforma.

6.3 Quando as Funcionalidades de IA forem ativadas pelo CLIENTE, Dados Pessoais contidos em mensagens e prompts poderão ser transmitidos ao provedor de IA selecionado, exclusivamente para a geração do resultado solicitado. A AGARON configurará tais transmissões, na máxima extensão suportada pelo respectivo provedor, para excluir o uso dos dados do CLIENTE no treinamento de modelos.

6.4 O CLIENTE reconhece que a utilização das Funcionalidades de IA envolve transferência internacional de Dados Pessoais para os Estados Unidos e consente com tal transferência, sujeita às salvaguardas descritas na Seção 10.

7. Armazenamento e Retenção

7.1 Localização do Armazenamento

Os Dados Pessoais Tratados sob este DPA são armazenados em servidores dedicados da AGARON, fisicamente localizados em território brasileiro (infraestrutura própria em colocation). O armazenamento primário não é realizado em servidores localizados fora do Brasil.

7.2 Prazos de Retenção

  • Dados da plataforma (conta, configuração, registros agregados): 12 (doze) meses a contar da coleta ou da última interação, salvo retenção por prazo maior exigida por lei ou instrução expressa do CLIENTE.
  • Histórico de conversas e conteúdo conversacional: 30 (trinta) dias a contar da data da mensagem, ou até que o limite de armazenamento do plano do CLIENTE seja atingido, o que ocorrer primeiro.
  • Backups: retidos por até 30 (trinta) dias após a eliminação do registro original, sendo sobrescritos no curso ordinário de rotação de backup.

8. Medidas Técnicas e Organizacionais de Segurança

8.1 Em cumprimento ao art. 46 da LGPD, a AGARON implementará e manterá medidas técnicas e organizacionais apropriadas, destinadas a proteger os Dados Pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. As medidas atualmente implementadas estão descritas no Anexo B.

8.2 A AGARON revisará tais medidas periodicamente e poderá atualizá-las, desde que o nível geral de proteção não seja materialmente reduzido.

8.3 A AGARON declara que todo o pessoal autorizado ao Tratamento de Dados Pessoais está sujeito a obrigações formais de confidencialidade e recebe treinamento apropriado em matéria de proteção de dados.

8.4 Certificações

Na data de eficácia deste DPA, a AGARON não possui certificações formais ISO 27001 ou SOC 2. A AGARON tem a intenção de buscar ISO/IEC 27001 e SOC 2 Tipo II. O CLIENTE reconhece que o status de certificação não afeta as obrigações da AGARON sob este DPA.

9. Suboperadores

9.1 O CLIENTE autoriza, por meio deste DPA, a AGARON a contratar Suboperadores para o Tratamento de Dados Pessoais, observadas as condições desta Seção 9.

9.2 Suboperadores atuais. Na data de eficácia deste DPA, a AGARON utiliza os Suboperadores listados a seguir:

SuboperadorFinalidadeLocalização
Stripe, Inc.Processamento de pagamentosEUA
Meta Platforms, Inc.Integrações WhatsApp, Messenger e InstagramEUA
Twilio Inc.Infraestrutura de SMS e vozEUA
OpenAI, L.L.C.IA (opcional, apenas quando ativada pelo CLIENTE)EUA
Google LLCIA (opcional, apenas quando ativada pelo CLIENTE)EUA
LinkedIn CorporationIntegração de mensagens (opcional)EUA

9.3 Esclarecimento sobre infraestrutura. O armazenamento primário é realizado em servidores da AGARON no Brasil. Os Suboperadores acima são utilizados apenas para as funções específicas descritas (processamento de pagamentos, entrega por canal de mensageria e IA opcional). A AGARON não utiliza provedores de nuvem terceiros (AWS, GCP ou Azure) para armazenamento primário dos Dados Pessoais do CLIENTE.

9.4 Obrigações em cascata. A AGARON celebrará instrumento escrito com cada Suboperador, impondo obrigações de proteção de dados substancialmente equivalentes e não menos protetivas que as deste DPA.

9.5 Atualização da lista. A AGARON mantém lista atualizada de Suboperadores e notificará o CLIENTE com antecedência mínima de 30 (trinta) dias sobre qualquer inclusão ou substituição de Suboperador.

9.6 Direito de oposição. O CLIENTE poderá, por motivos razoáveis relacionados à proteção de dados, opor-se à contratação de novo Suboperador no prazo de 15 (quinze) dias a contar da notificação. Não havendo acordo no prazo de 30 (trinta) dias, o CLIENTE poderá, como único remédio, rescindir a parte afetada dos Serviços mediante aviso por escrito, sem penalidade.

9.7 Responsabilidade pelos Suboperadores. A AGARON permanece responsável perante o CLIENTE pelos atos e omissões de seus Suboperadores no que tange ao Tratamento de Dados Pessoais, na mesma extensão em que seria responsável se realizasse diretamente tal Tratamento, observadas as limitações da Seção 16.

10. Transferências Internacionais de Dados

10.1 Armazenamento primário no Brasil. Os Dados Pessoais do CLIENTE são armazenados no Brasil e não são transferidos para fora do território nacional para fins de armazenamento.

10.2 Transferências inerentes aos canais de mensageria. O CLIENTE reconhece que os canais de mensageria operados por Meta, Twilio e LinkedIn (os “Suboperadores de Canal”), bem como as Funcionalidades de IA operadas por OpenAI e Google, envolvem inerentemente transferência internacional de Dados Pessoais para os Estados Unidos. Tais transferências constituem característica técnica necessária dos respectivos canais e não podem ser evitadas durante sua utilização.

10.3 Base legal para transferência. As transferências descritas no item 10.2 são realizadas com fundamento no art. 33 da LGPD, com base em um ou mais dos seguintes fundamentos, conforme aplicável:

  • a transferência é necessária para a execução de contrato do qual o Titular é parte ou de procedimentos preliminares relacionados (art. 33, V, da LGPD);
  • a transferência é necessária para o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 33, VI, da LGPD);
  • execução de cláusulas-padrão contratuais, cláusulas contratuais específicas ou outros instrumentos aprovados pela ANPD (art. 33, II, da LGPD);
  • consentimento específico do Titular, quando aplicável (art. 33, VIII, da LGPD).

10.4 Salvaguardas. A AGARON assegurará que cada Suboperador que receba Dados Pessoais fora do Brasil esteja vinculado por compromissos contratuais que ofereçam nível de proteção substancialmente equivalente ao exigido pela LGPD.

11. Direitos dos Titulares

11.1 A AGARON prestará assistência razoável ao CLIENTE, por meio de medidas técnicas e organizacionais adequadas, para viabilizar o atendimento aos pedidos de Titulares no exercício dos direitos previstos nos arts. 17 a 22 da LGPD, incluindo:

  • confirmação da existência de Tratamento;
  • acesso aos Dados Pessoais;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • portabilidade a outro fornecedor de serviço ou produto;
  • eliminação dos Dados Pessoais Tratados com consentimento do Titular;
  • informação sobre entidades públicas e privadas com as quais a AGARON compartilhou dados;
  • informação sobre a possibilidade de não fornecer consentimento e suas consequências;
  • revogação do consentimento.

11.2 Caso a AGARON receba requisição diretamente de Titular, encaminhará prontamente a solicitação ao CLIENTE, salvo impedimento legal, abstendo-se de responder diretamente ao Titular, exceto para confirmar o recebimento e redirecioná-lo ao CLIENTE.

12. Incidentes de Segurança

12.1 A AGARON notificará o CLIENTE sem demora injustificada e, em qualquer hipótese, no prazo de 48 (quarenta e oito) horas a contar da confirmação da ocorrência, sobre qualquer Incidente de Segurança que afete os Dados Pessoais do CLIENTE.

12.2 A notificação incluirá, na medida em que conhecidas, e será suplementada à medida em que novas informações estiverem disponíveis:

  • a natureza do Incidente, incluindo categorias e número aproximado de Titulares e registros afetados;
  • as prováveis consequências do Incidente;
  • as medidas adotadas ou propostas para tratar o Incidente e mitigar seus efeitos;
  • dados de contato do Encarregado da AGARON.

12.3 A AGARON prestará assistência razoável ao CLIENTE no cumprimento de seu dever de comunicar a ANPD e os Titulares afetados, nos termos do art. 48 da LGPD.

12.4 Nenhuma disposição desta Seção será interpretada como reconhecimento de culpa ou responsabilidade da AGARON em relação ao Incidente.

13. Auditorias e Demonstração de Conformidade

13.1 A AGARON disponibilizará ao CLIENTE, mediante solicitação escrita razoável, a documentação razoavelmente necessária para demonstrar a conformidade com este DPA, podendo incluir resumos de políticas de segurança, relatórios de pentest (em forma redigida) e relatórios de auditoria de terceiros, se houver.

13.2 O CLIENTE poderá, a suas expensas e, no máximo, uma vez por ano civil (salvo em caso de Incidente de Segurança ou exigência de autoridade competente), realizar ou mandar realizar, por auditor independente sujeito a obrigações de confidencialidade razoavelmente aceitáveis pela AGARON, auditoria destinada a verificar o cumprimento deste DPA.

13.3 Qualquer auditoria: (i) será precedida de aviso escrito com, no mínimo, 30 (trinta) dias de antecedência; (ii) será conduzida em horário comercial regular; (iii) não interferirá de forma irrazoável nas operações da AGARON; e (iv) respeitará a confidencialidade de dados de outros clientes.

14. Devolução e Eliminação de Dados

14.1 Mediante a extinção ou rescisão do Contrato Principal, ou a qualquer tempo mediante solicitação por escrito do CLIENTE, a AGARON:

  • cessará o Tratamento de Dados Pessoais, exceto para fins de eliminação ou devolução;
  • fornecerá ao CLIENTE, mediante solicitação prévia por escrito, exportação dos Dados Pessoais em formato usual e legível por máquina;
  • eliminará permanentemente os Dados Pessoais dos sistemas de produção no prazo de 30 (trinta) dias;
  • eliminará ou tornará irrecuperáveis os Dados Pessoais em backups no prazo de 90 (noventa) dias.

14.2 A AGARON poderá reter Dados Pessoais quando e na medida exigida por lei, continuando a protegê-los conforme este DPA e limitando o Tratamento às finalidades que exigem tal retenção.

14.3 Mediante solicitação escrita do CLIENTE, a AGARON certificará a eliminação dos Dados Pessoais.

15. Confidencialidade

15.1 A AGARON tratará todos os Dados Pessoais como informação confidencial e assegurará que qualquer pessoa autorizada a realizar o Tratamento esteja sujeita a obrigação de confidencialidade contratual ou legal apropriada.

16. Responsabilidade

16.1 A responsabilidade agregada de cada Parte, decorrente ou relacionada a este DPA, fica sujeita às limitações e exclusões de responsabilidade previstas no Contrato Principal. Na ausência de tais limitações, a responsabilidade agregada de cada Parte ficará limitada ao total das contraprestações pagas pelo CLIENTE à AGARON sob o Contrato Principal nos 12 (doze) meses que antecederam o fato gerador do pedido.

16.2 As limitações previstas não se aplicam a: (i) responsabilidade que não possa ser excluída ou limitada sob normas aplicáveis, incluindo a responsabilidade solidária perante Titulares nos termos dos arts. 42 a 45 da LGPD; (ii) dolo ou culpa grave; ou (iii) violação de obrigações de confidencialidade.

16.3 Nenhuma Parte será responsável por danos indiretos, incidentais, especiais, consequentes ou punitivos, nem por lucros cessantes, perda de receita ou de oportunidade de negócio, exceto quando tal exclusão seja vedada por lei.

17. Lei Aplicável e Foro

17.1 Este DPA rege-se pelas leis da República Federativa do Brasil, em especial pela Lei nº 13.709/2018 (LGPD).

17.2 As Partes elegem o Foro Central da Comarca da Capital de São Paulo, Estado de São Paulo, com exclusão de qualquer outro, por mais privilegiado que seja, para dirimir quaisquer controvérsias decorrentes deste DPA, ressalvadas as normas de competência cogente em matéria de proteção de dados e de defesa do consumidor.

17.3 Nenhuma disposição deste DPA limita o exercício, pelos Titulares ou pela ANPD, dos direitos e poderes decorrentes da LGPD.

18. Componentes de Código Aberto

18.1 Os Serviços incorporam componentes de software de código aberto, incluindo versão modificada (fork) do Chatwoot, originalmente licenciado sob a MIT License.

18.2 A AGARON mantém tal fork para fins de pesquisa, desenvolvimento e aprimoramento do produto. Os componentes de código aberto permanecem sujeitos às suas respectivas licenças, cuja cópia será disponibilizada ao CLIENTE mediante solicitação escrita.

19. Encarregado de Proteção de Dados

19.1 Em cumprimento ao art. 41 da LGPD, a AGARON designou Encarregado interno. O CLIENTE, os Titulares e a ANPD poderão contatar o Encarregado pelos seguintes canais:

20. Vigência

20.1 Este DPA vigora a partir da data de assinatura do Contrato Principal (ou da data posterior em que o CLIENTE aceitar a versão então vigente deste DPA) e permanecerá em vigor enquanto a AGARON realizar Tratamento de Dados Pessoais em nome do CLIENTE.

20.2 As obrigações da AGARON previstas nas Seções 11 (Direitos dos Titulares), 12 (Incidentes de Segurança), 14 (Devolução e Eliminação), 15 (Confidencialidade) e 16 (Responsabilidade) sobreviverão ao término deste DPA enquanto houver Dados Pessoais retidos.

21. Disposições Gerais

21.1 Prevalência. Em caso de conflito entre este DPA e o Contrato Principal, prevalecerão os termos deste DPA no que se refere à matéria de proteção de dados.

21.2 Alterações. Este DPA somente poderá ser alterado por instrumento escrito assinado pelas Partes, exceto quando a AGARON precisar atualizá-lo unilateralmente para refletir alterações da legislação aplicável, desde que tais atualizações não reduzam materialmente o nível de proteção conferido aos Dados Pessoais.

21.3 Autonomia. A invalidade ou inexequibilidade de qualquer disposição deste DPA não prejudicará a validade das demais, que permanecerão em pleno vigor.

21.4 Idioma. Este DPA é celebrado em versões em português e inglês. Em caso de divergência entre as versões, prevalecerá a versão em português, por ser o instrumento de regência no Brasil.

22. Garantia Solidária

22.1 A AGARON TECHNOLOGIES LLC, sociedade constituída sob as leis do Estado da Flórida, Estados Unidos da América, ao assinar este DPA na qualidade de Interveniente-Garantidora, obriga-se, de forma solidária com a AGARON SOLUCOES EM TECNOLOGIA LTDA, ao cumprimento de todas as obrigações aqui previstas, renunciando expressamente aos benefícios de ordem e divisão previstos nos arts. 827 e 828 do Código Civil Brasileiro.

22.2 A AGARON TECHNOLOGIES LLC reconhece que, para fins desta cláusula, submete-se à jurisdição brasileira, em especial à ANPD e ao Foro eleito na Seção 17.

Anexo A — Detalhes do Tratamento

ItemDescrição
ControladorCLIENTE identificado no Contrato Principal
OperadorAGARON SOLUCOES EM TECNOLOGIA LTDA, garantida solidariamente por AGARON TECHNOLOGIES LLC
FinalidadePrestação da plataforma Omnichat
DuraçãoPrazo do Contrato Principal e período de eliminação (Seção 14)
NaturezaColeta, armazenamento, roteamento, exibição e (opcionalmente) geração assistida por IA de mensagens e conteúdos correlatos
Categorias de DadosConforme Seção 4
TitularesConforme Seção 5
ArmazenamentoServidores da AGARON no Brasil (colocation)
RetençãoConforme Seção 7.2

Anexo B — Medidas Técnicas e Organizacionais

A AGARON implementa as seguintes medidas para proteger os Dados Pessoais. Tais medidas são revistas periodicamente e podem ser atualizadas, desde que o nível de proteção não seja materialmente reduzido.

B.1 Criptografia

Criptografia em repouso para Dados Pessoais armazenados, utilizando algoritmos padrão de mercado.

B.2 Controle de Acesso

  • Controle de acesso baseado em papéis (RBAC) para todos os acessos administrativos e operacionais.
  • Autenticação multifator (MFA) obrigatória para todos os acessos administrativos.
  • Princípio do menor privilégio aplicado ao pessoal interno.

B.3 Autenticação

  • Requisitos robustos de senha.
  • Gestão segura de sessão.
  • Registro (log) de eventos de autenticação.

B.4 Backups e Continuidade

  • Backups automáticos a cada 3 (três) horas.
  • Verificação de integridade dos backups.

B.5 Monitoramento e Logs

  • Monitoramento e alertas de infraestrutura.
  • Registro de eventos de segurança.
  • Retenção de logs por prazo razoavelmente necessário a fins investigativos.

B.6 Pessoal

  • Obrigações formais de confidencialidade para todo o pessoal com acesso a Dados Pessoais.
  • Treinamento periódico de proteção de dados e segurança da informação.
  • Revogação de acessos em caso de desligamento ou mudança de função.

B.7 Segurança Física

  • Acesso restrito às instalações de colocation / servidores.
  • Controles ambientais (combate a incêndio, redundância elétrica, climatização) na instalação de colocation.

B.8 Roteiro de Certificações

A AGARON está implementando controles alinhados à ISO/IEC 27001 e SOC 2 Tipo II, pretendendo concluir a certificação formal dentro de 12 (doze) meses a contar da data de eficácia deste DPA.

© 2026 Agaron Technologies LLC — Todos os direitos reservados.