// data processing agreement
Contrato de Processamento de Dados (DPA)
1. Partes e Papéis LGPD
Este instrumento é celebrado entre:
- Operadora: 3X Tecnologia Ltda. (produto: engineAPI), CNPJ 21.025.760/0001-23 — empresa que processa dados pessoais por conta e sob instrução do Parceiro, na qualidade de Operadora (LGPD Art. 5º, VII).
- Controlador / Parceiro: a Software House ou empresa que contratou a Plataforma e determina as finalidades e os meios do tratamento de dados dos seus Emissores e usuários finais, na qualidade de Controladora (LGPD Art. 5º, VI).
O Parceiro reconhece que é o único Controlador dos dados pessoais dos seus clientes (Emissores) e que a engineAPI apenas os processa seguindo instrução do Parceiro, conforme LGPD Art. 39.
2. Objeto do Processamento
2.1 Natureza dos dados processados
| Categoria | Dados | Titular |
|---|---|---|
| Dados cadastrais de Emissores | CNPJ, Razão Social, IE, IM, endereço, regime tributário | Pessoa jurídica (não é dado pessoal de titular individual) |
| Dados de representantes legais | Nome, CPF do responsável pelo CNPJ | Pessoa física — titular LGPD |
| Certificados digitais A1 | Arquivo PFX criptografado + senha | Pessoa jurídica / representante |
| Dados em documentos fiscais | CPF/CNPJ de destinatários, pagadores, motoristas (MDFe) | Pessoa física ou jurídica |
| Dados de acesso ao dashboard | E-mail, nome dos usuários do Parceiro | Pessoa física — titular LGPD |
2.2 Finalidade
A engineAPI processa os dados acima exclusivamente para: (i) transmissão de documentos fiscais eletrônicos à SEFAZ, Prefeituras e bancos; (ii) armazenamento de XMLs e DANFEs conforme exigência legal; (iii) disponibilização do histórico ao Parceiro via API e dashboard.
2.3 Duração
O processamento ocorre durante a vigência do contrato com o Parceiro.
3. Obrigações da engineAPI (Operadora)
A engineAPI compromete-se a:
- Processar dados pessoais apenas conforme instrução documentada do Parceiro;
- Garantir que pessoas autorizadas ao acesso estejam sob obrigação de confidencialidade;
- Adotar medidas técnicas e organizacionais adequadas (item 5 deste DPA);
- Notificar o Parceiro em até 48 horas após ciência de incidente de segurança;
- Auxiliar o Parceiro no atendimento a direitos dos titulares (LGPD Art. 18);
- Disponibilizar informações necessárias para demonstração de conformidade;
- Excluir ou devolver dados ao término do contrato, conforme instrução do Parceiro, respeitados os prazos legais de retenção.
4. Obrigações do Parceiro (Controlador)
O Parceiro compromete-se a:
- Garantir que possui base legal adequada (LGPD Art. 7º) para tratar os dados que submete à Plataforma;
- Informar seus clientes (Emissores) sobre o uso da engineAPI como subprocessadora, conforme LGPD Art. 37;
- Não submeter dados de categorias sensíveis (LGPD Art. 11) sem aviso prévio;
- Manter seus dados de cadastro atualizados na Plataforma;
- Comunicar imediatamente qualquer suspeita de comprometimento de credenciais.
5. Medidas de Segurança
A engineAPI implementa as seguintes medidas técnicas (LGPD Art. 46):
| Controle | Implementação |
|---|---|
| Criptografia em trânsito | TLS 1.2+ em todas as conexões externas |
| Criptografia em repouso | AES-256 para certificados A1 e dados sensíveis |
| Controle de acesso | JWT + API Keys com hash SHA-256; RBAC com papéis OWNER/ADMIN/VIEWER |
| Isolamento de dados | Isolamento por issuerId; nenhum Parceiro acessa dados de outro |
| Logs de auditoria | Todos os acessos logados com IP, timestamp e API Key |
| Backup | Backups diários com retenção de 30 dias; restore testado mensalmente |
| Monitoramento | Alertas automatizados de anomalias via Sentry; uptime 24/7 |
| Acesso interno | Princípio do menor privilégio; acesso a dados de produção restrito |
6. Suboperadores (Sub-processors)
A engineAPI autoriza o uso dos seguintes suboperadores. O Parceiro aceita esta lista ao assinar o contrato. Em caso de alteração relevante, a engineAPI notificará com 30 dias de antecedência.
| Suboperador | Finalidade | País |
|---|---|---|
| Stripe, Inc. | Processamento de pagamentos | EUA (SCCs) |
| Functional Software (Sentry) | Monitoramento de erros de software | EUA (SCCs) |
| Provedor de cloud (AWS/VPS) | Hospedagem, banco de dados, armazenamento | Brasil |
| SEFAZ / Receita Federal / Prefeituras / Bancos | Transmissão de documentos fiscais (obrigação legal) | Brasil |
7. Transferência Internacional
Stripe e Sentry podem processar dados fora do Brasil. Ambos possuem Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia e são compatíveis com LGPD Art. 33, II. A engineAPI mantém DPAs vigentes com ambos.
8. Gestão de Incidentes
- Detecção: A engineAPI monitora continuamente sua infraestrutura em busca de acessos não autorizados.
- Notificação ao Parceiro: Em até 48 horas após confirmação do incidente, por e-mail ao contato cadastrado, com: natureza do incidente, dados afetados, medidas tomadas e contato para esclarecimentos.
- Notificação à ANPD: A engineAPI notificará a ANPD conforme LGPD Art. 48, no prazo legal de 72 horas. O Parceiro é responsável por notificar seus titulares caso os dados de seus Emissores sejam afetados.
9. Exclusão e Portabilidade de Dados
Ao término do contrato, o Parceiro pode solicitar: (i) exportação de todos os dados em formato JSON/XML em até 30 dias; (ii) exclusão dos dados dos sistemas ativos após a exportação ou após 90 dias do cancelamento.
XMLs fiscais obrigatórios por lei (prazo mínimo de 5 anos) não podem ser excluídos antes do prazo legal, mesmo por solicitação do Parceiro.
Para solicitar exportação ou exclusão: dpo@engineapi.com.br
10. Vigência e Rescisão
Este DPA vigora enquanto o Parceiro usar a Plataforma. As obrigações de confidencialidade e segurança sobrevivem ao término por 5 anos.
11. Contato do DPO
Para questões sobre este DPA: dpo@engineapi.com.br