| Sub-processador | Finalidade | Dados | Região |
|---|---|---|---|
| Hostinger International (VPS Brasil) | Hospedagem do cluster k3s onde rodam o app, banco e Keycloak. | Todos os dados em repouso e em trânsito interno ao cluster. | Servidor físico no Brasil. |
| Cloudflare, Inc. | DNS, CDN, proteção contra ataques (WAF) e mitigação de DDoS. | Metadados de tráfego (IP, user-agent), conteúdo público em cache (sem dados de conta). | Rede global; ponto de presença São Paulo prioritário. |
| GitHub, Inc. (Container Registry) | Hospedagem das imagens Docker da aplicação (GHCR). | Não contém dados pessoais de usuários; apenas código compilado. | Estados Unidos. |
| Anthropic, PBC | Modelos de IA (Claude) para parse de planilhas, faturas e extratos, e categorização de transações. | Trechos mínimos de texto necessários para a tarefa, com identificadores removidos. Anthropic não usa dados de API para treinar modelos (contrato de processamento). | Estados Unidos. |
| Stripe Payments Europe, Ltd. (em avaliação) | Processamento de pagamentos online (planos web). | Dados de cartão NÃO passam pelos nossos servidores; vão direto para Stripe. Coletamos apenas o token, valor e identificador da transação. | Stripe Brasil quando disponível; processamento global. |
| Google LLC (Play Billing + AdMob) | Processamento de pagamentos in-app no Android (Play Billing) e exibição de anúncios opcionais no plano gratuito (AdMob). | Identificadores de assinatura, status do pagamento e, para AdMob, identificador de publicidade do dispositivo (com consentimento granular). | Estados Unidos. |
| Mailcow (self-hosted) e provedor de SMTP de envio | Envio de emails transacionais (confirmação, recuperação de senha, exportação de dados). | Endereço de email do destinatário e conteúdo do email. | Servidor próprio no Brasil + relay SMTP a definir. |
Transferência internacional
Alguns sub-processadores estão localizados fora do Brasil. Nesses casos, a transferência ocorre com base na LGPD Art. 33, em especial: cumprimento de obrigação contratual, garantia de adequação por contrato de processamento, ou consentimento específico. Pedimos garantias contratuais de proteção equivalente à LGPD aos fornecedores listados.