A lista
| Subprocessador | Finalidade | Categoria de dados | Região |
|---|---|---|---|
| Amazon Web Services (AWS) | Computação, armazenamento, bancos de dados, entrega de conteúdo | Todos os dados operacionais | UE (Irlanda, Estocolmo) por padrão |
| Amazon SES | E-mail transacional (confirmações de agendamento, redefinição de senha, notificações de lead) | Endereços de e-mail, conteúdo das mensagens | UE |
| Stripe | Processamento de pagamentos (quando faturamos por cartão) | Dados de cartão tokenizados na origem | UE / global conforme residência da Stripe |
| Plausible Analytics | Analytics web anônimo e sem cookies | Eventos de pageview, país (geo-IP), referenciador, classe de dispositivo | UE (Alemanha) |
| Anthropic, OpenAI, AWS Bedrock | Provedores de modelo de IA para o motor Nordix BIOS | Conteúdo das conversas (operador → agente → ação) | UE e EUA — ver adendo do DPA |
| Postmark (legado) | E-mail transacional — em descontinuação em favor do SES | Endereços de e-mail, conteúdo das mensagens | EUA |
Como escolhemos
Três critérios, nessa ordem:
- Residência dos dados — por padrão queremos armazenamento na UE. Exceções (por exemplo, um provedor de IA sediado nos EUA) ficam documentadas no adendo do DPA e são oferecidas com opt-in explícito.
- Rigor contratual — todo subprocessador assina um Contrato de Tratamento de Dados alinhado ao Art. 28 do GDPR e ao Art. 39 da LGPD. Recusamos integrações com serviços que não conseguem assinar um DPA.
- Histórico — preferimos fornecedores com histórico público de incidentes, páginas de status públicas e auditorias SOC 2 / ISO 27001 a quem promete em privado e não publica nada.
Como atualizamos esta lista
Adições materiais (novo subprocessador tratando dados pessoais) são anunciadas com pelo menos 30 dias de antecedência à ativação, nesta página e por e-mail aos clientes com MSA assinado. Clientes podem se opor a um subprocessador específico; trabalhamos para encontrar uma alternativa ou, na falta dela, documentar a exceção.
Direitos do cliente
Pelo seu MSA, a qualquer momento você pode:
- Pedir um inventário completo de quais subprocessadores têm acesso ao seu tenant.
- Receber uma cópia de qualquer DPA que mantenhamos com um subprocessador, sob solicitação.
- Ser notificado em até 72 horas sobre qualquer incidente de segurança confirmado em um subprocessador que tenha afetado os seus dados.
Contato
Dúvidas sobre subprocessadores ou DPAs: security@nordixsystems.com ou privacy@nordixsystems.com.
Esta lista foi atualizada pela última vez em 2026-05-12.