A lista
| Subcontratante | Finalidade | Categoria de dados | Região |
|---|---|---|---|
| Amazon Web Services (AWS) | Computação, armazenamento, bases de dados, distribuição de conteúdos | Todos os dados operacionais | UE (Irlanda, Estocolmo) por defeito |
| Amazon SES | Email transacional (confirmações de marcação, redefinições de palavra-passe, notificações de leads) | Endereços de email, conteúdo das mensagens | UE |
| Stripe | Processamento de pagamentos (quando faturado por cartão) | Dados do titular do cartão tokenizados na origem | UE / global conforme residência do Stripe |
| Plausible Analytics | Análise Web anónima e sem cookies | Eventos de visualização de página, país (geo-IP), referenciador, classe de dispositivo | UE (Alemanha) |
| Anthropic, OpenAI, AWS Bedrock | Fornecedores de modelos de IA para o motor Nordix BIOS | Conteúdo de conversas (operador → agente → ação) | UE e EUA — consulte o adendo ao DPA |
| Postmark (legado) | Email transacional — em fase de descontinuação a favor do SES | Endereços de email, conteúdo das mensagens | EUA |
Como os escolhemos
Três critérios, por esta ordem:
- Residência dos dados — por defeito queremos armazenamento na UE. As exceções (por exemplo, um fornecedor de IA sediado nos EUA) são documentadas no adendo ao DPA e oferecidas com opt-in explícito.
- Rigor contratual — cada subcontratante assina um Acordo de Tratamento de Dados alinhado com o art. 28.º do RGPD e o art. 39.º da LGPD. Recusamo-nos a integrar com serviços que não possam assinar um DPA.
- Histórico — preferimos fornecedores com históricos públicos de incidentes, páginas de estado públicas e auditorias SOC 2 / ISO 27001 a outros que prometem em privado e nada reportam.
Como atualizamos esta lista
As alterações materiais (novo subcontratante a tratar dados pessoais) são anunciadas com pelo menos 30 dias de antecedência face à ativação, nesta página e por email aos clientes ao abrigo de um MSA assinado. Os clientes podem opor-se a um subcontratante específico; colaboramos com eles para encontrar uma alternativa ou, caso não exista, documentar a exceção.
Direitos do cliente
Ao abrigo do seu MSA pode, a qualquer momento:
- Solicitar um inventário completo dos subcontratantes que acedem ao seu tenant.
- Receber uma cópia de qualquer DPA que detenhamos com um subcontratante, mediante pedido.
- Ser notificado no prazo de 72 horas de qualquer incidente de segurança confirmado num subcontratante que tenha afetado os seus dados.
Contacto
Questões sobre subcontratantes ou DPAs: security@nordixsystems.com ou privacy@nordixsystems.com.
Esta lista foi atualizada pela última vez em 2026-05-12.