Acordo de Processamento de Dados (DPA)

Última atualização: 27 de março de 2026 — Em conformidade com a LGPD (Lei 13.709/2018)

1. Partes

Controlador: O lojista ("Cliente") que utiliza a Plataforma Phonecore para gerenciar sua operação comercial. O Cliente determina as finalidades e os meios de tratamento dos dados pessoais de seus clientes finais.

Operador: Phonecore Tecnologia LTDA ("Phonecore"), inscrita no CNPJ [CNPJ], que processa dados pessoais em nome do Cliente conforme as instruções deste acordo e da legislação aplicável.

2. Categorias de Dados Processados

O Phonecore processa as seguintes categorias de dados pessoais em nome do Cliente:

  • Dados de identificação: Nome, CPF, email, telefone dos clientes do lojista.
  • Dados de contato: Endereço, cidade, estado.
  • Dados transacionais: Histórico de compras, ordens de serviço, valores.
  • Dados de dispositivos: IMEI, modelo, estado de conservação dos aparelhos.
  • Dados financeiros: Valores de transações (dados de cartão são processados exclusivamente pela Stripe).
  • Dados de fidelidade: Pontuação e histórico do programa de fidelidade.

3. Finalidades do Processamento

Os dados são processados exclusivamente para:

  • Prestação do serviço SaaS de gestão contratado pelo Cliente.
  • Gerenciamento de estoque, vendas e ordens de serviço.
  • Processamento de pagamentos e emissão de notas fiscais.
  • Operação do programa de fidelidade configurado pelo Cliente.
  • Comunicações transacionais (notificações de status de OS, etc.).
  • Geração de relatórios gerenciais para o Cliente.

4. Medidas de Segurança

O Phonecore implementa as seguintes medidas técnicas e organizacionais para proteger os dados:

  • Criptografia em trânsito: Todas as comunicações utilizam HTTPS/TLS.
  • Criptografia de senhas: Hash bcrypt com salt rounds de 12.
  • Autenticação: Tokens JWT com expiração de 7 dias.
  • Isolamento de dados: Arquitetura multi-tenant com isolamento por tenant em todas as consultas.
  • Rate limiting: Proteção contra ataques de força bruta (100 req/min global, 10 req/min em autenticação).
  • Sanitização de entrada: Remoção de tags HTML em todas as entradas.
  • Controle de acesso: Sistema de roles (ADMIN, MANAGER, SELLER, TECHNICIAN) com permissões granulares.
  • Logs de auditoria: Registro de consentimentos e operações sensíveis.

5. Sub-processadores

O Phonecore utiliza os seguintes sub-processadores para prestar o serviço:

  • Stripe (stripe.com): Processamento de pagamentos e gestão de assinaturas. Localização: EUA/UE. Certificação: PCI DSS Level 1.
  • Supabase (supabase.com): Infraestrutura de banco de dados PostgreSQL. Localização: Conforme região selecionada. Certificação: SOC 2 Type II.
  • Vercel (vercel.com): Hospedagem da aplicação web e API. Localização: Edge global com região primária configurável. Certificação: SOC 2 Type II.
  • Resend (resend.com): Envio de emails transacionais (boas-vindas, recuperação de senha, notificações de OS). Localização: EUA.

O Cliente será notificado com antecedência mínima de 30 dias sobre a adição de novos sub-processadores, podendo se opor caso haja justificativa fundamentada.

6. Notificação de Incidentes de Segurança

Em caso de incidente de segurança que afete dados pessoais processados em nome do Cliente:

  • O Phonecore notificará o Cliente em até 72 horas após tomar conhecimento do incidente.
  • A notificação incluirá: natureza do incidente, categorias de dados afetados, número aproximado de titulares afetados, medidas adotadas e recomendações.
  • O Phonecore cooperará com o Cliente na comunicação à ANPD e aos titulares, quando aplicável.
  • Medidas de contenção serão implementadas imediatamente após a detecção do incidente.

7. Devolução e Exclusão de Dados

Ao término do contrato ou mediante solicitação do Cliente:

  • Exportação: O Cliente pode exportar todos os seus dados a qualquer momento através da funcionalidade de exportação disponível no painel administrativo.
  • Período de retenção: Após o cancelamento, os dados ficam disponíveis para exportação por 30 dias.
  • Exclusão: O Cliente pode solicitar a exclusão dos dados. A exclusão é agendada para 30 dias após a solicitação, permitindo cancelamento durante este período.
  • Anonimização: Dados pessoais de clientes são anonimizados (nomes substituídos por "Removido", CPF, email e telefone removidos). Registros financeiros e fiscais são mantidos conforme obrigações legais.
  • Exceções legais: Dados necessários para cumprimento de obrigações fiscais e regulatórias podem ser retidos pelo prazo legal aplicável.

8. Direitos dos Titulares

O Phonecore auxiliará o Cliente no atendimento aos direitos dos titulares previstos no Art. 18 da LGPD, incluindo:

  • Confirmação da existência de tratamento.
  • Acesso aos dados.
  • Correção de dados incompletos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários.
  • Portabilidade dos dados.
  • Revogação do consentimento.

9. Obrigações do Controlador (Cliente)

O Cliente, na qualidade de controlador, compromete-se a:

  • Garantir que possui base legal adequada para o tratamento dos dados de seus clientes finais.
  • Informar seus clientes finais sobre o tratamento de dados realizado através da Plataforma.
  • Manter as credenciais de acesso seguras e notificar o Phonecore em caso de comprometimento.
  • Não inserir dados pessoais sensíveis (Art. 11 da LGPD) na Plataforma, salvo quando estritamente necessário e com base legal adequada.

10. Vigência

Este Acordo de Processamento de Dados vigora enquanto o Cliente mantiver conta ativa na Plataforma e permanece em vigor até a conclusão da exclusão ou anonimização de todos os dados pessoais processados.

Contato

Encarregado de dados (DPO): privacidade@phonecore.com.br

Questões gerais: contato@phonecore.com.br

← Voltar ao site