ContaClara

SEGURANÇA & LGPD · PÁGINA DE PROVA

Segurança e LGPD da ContaClara

A ContaClara processa fatura telecom corporativa. Isso significa CPF de colaborador, número de linha pessoal, endereço de instalação e centro de custo — dado pessoal nos termos do art. 5º, I, da Lei 13.709/2018 (LGPD). Tratamos esses dados com a mesma seriedade que a fatura merece.

  • ✓ DPA (Data Processing Agreement) público — download em PDF, assinatura digital em 5 minutos
  • ✓ Política de privacidade aplicada artigo por artigo (LGPD 7º, 9º, 18º), em linguagem clara
  • ✓ Arquitetura multi-tenant baseada em Row Level Security do Postgres
  • ✓ Hospedagem soberana em Hetzner Falkenstein (zona EU-DE) — transferência amparada pelo art. 33 LGPD
  • ✓ Audit trail exportável (CSV/JSON), retenção mínima 12 meses
  • ✓ 12 controles aderentes aos princípios da ISO/IEC 27001:2022
  • ✓ Roadmap público: SOC 2 Type II Q4/2027 · ISO/IEC 27001 em 2028

Revisado em 16 de maio de 2026 · próxima revisão programada para 16 de novembro de 2026

BLOCO 1

DPA — Data Processing Agreement em PDF + assinatura digital

O DPA é o contrato técnico-jurídico que define a relação entre a sua empresa (controladora dos dados pessoais na fatura) e a ContaClara (operadora de tratamento, art. 39 LGPD). Sem DPA, sua empresa fica exposta — e o seu DPO sabe disso.

O que está dentro do DPA

  • Identificação completa das partes — sua razão social + nossa razão social AtraND ND Ltda. CNPJ 28.726.886/0001-83
  • Categorias de dados pessoais tratados — CPF de colaborador, número de linha, plano, consumo, endereço. Lista exaustiva, sem "etc."
  • Finalidade específica — consolidar, organizar e governar fatura telecom corporativa. Nada além disso.
  • Base legal aplicada — art. 7º V (execução de contrato) e II (cumprimento de obrigação legal e regulatória)
  • Sub-operadores autorizados — Supabase (DB+auth), Hetzner (infra), Modal Labs (parser), MailerSend (e-mail), Asaas (gateway). Lista pública, 30 dias de aviso prévio.
  • Cláusula de transferência internacional — declaração explícita amparada no art. 33, II LGPD
  • Direitos do titular operacionalizados — fluxo concreto art. 18, SLA até 15 dias úteis
  • Notificação de incidente — 24h cliente, 72h ANPD (Res. CD/ANPD 15/2024)
  • Portabilidade e devolução — export integral self-service · 90 dias pós-cancelamento
  • Auditoria pelo controlador — direito anual sem custo

Como assinar em 5 minutos

Usamos ZapSign (autoridade certificadora ICP-Brasil credenciada) para assinatura digital. Você baixa o DPA, envia o nome do signatário pra dpo@usecontaclara.com.br, abrimos envelope ZapSign preenchido, você assina via e-CPF/e-CNPJ/gov.br Prata-Ouro. Validade jurídica plena (MP 2.200-2/2001 + Lei 14.063/2020).

Sem reunião comercial. Sem "fale com o nosso jurídico". DPA padrão e idêntico para todos os clientes — só mudam os dados de identificação.

Datapoint: o DPA da ContaClara foi minutado em maio/2026 sob revisão jurídica externa especializada em LGPD e telecomunicações. Próxima revisão programada para novembro/2026 — versionamento público em /seguranca/dpa-historico.

BLOCO 2

Política de privacidade aplicada — LGPD artigo por artigo

A maior parte das políticas do mercado parafraseia a LGPD. A nossa aplica a LGPD.

2.1 Artigo 7º — Bases legais que aplicamos

A ContaClara opera sob duas bases legais, e só essas duas:

Inciso Base legal Como aplicamos
VExecução de contratoConsolidar, organizar e governar a fatura — objeto contratual
IIObrigação legal/regulatóriaReter audit trail mín 12m (art. 133 Res. Anatel 632/2014)

Não usamos consentimento porque a relação é contratual entre a sua empresa e a ContaClara. Quem responde ao colaborador é a sua empresa (controladora). Não usamos legítimo interesse para fim algum — preferimos bases discretas e auditáveis.

2.2 Artigo 9º — Acesso facilitado às informações

  1. Esta página — público, indexável, sem login
  2. Política autoral em /privacidade — em português, sumário, FAQ, semântica HTML para leitor de tela
  3. Mapa de fluxo de dado público em /seguranca/fluxo-de-dado
  4. Canal direto com o DPO — SLA de primeira resposta 48h úteis

2.3 Artigo 18 — Direitos do titular operacionalizados

A maioria das empresas escreve "atendemos todos eles" e para por aí. Aqui está como cada um vira operação concreta:

Direito (art. 18) O que entregamos
I — Confirmação5 dias úteis
II — AcessoExport CSV em 10 dias úteis
III — Correção5 dias úteis após confirmação com a controladora
IV — Eliminação15 dias úteis quando não houver retenção legal pendente
V — PortabilidadeExport JSON estruturado em 10 dias úteis
VII — CompartilhamentoLista pública de sub-operadores em /seguranca#sub-operadores

Datapoint: fluxo de exercício de direitos testado em 3 simulações internas em abril/2026. Tempos médios: 1,4d (confirmação), 3,1d (acesso), 6,8d (eliminação). SLAs declarados são teto superior, não tempo médio.

BLOCO 3

Isolamento multi-tenant — Row Level Security no Postgres

A maior preocupação técnica do seu coordenador de TI é simples: "se a ContaClara é multi-tenant, como vocês garantem que o cliente A nunca enxergue dado do cliente B?". A resposta é Row Level Security (RLS) do Postgres, ativado em todas as tabelas que carregam cliente_id.

┌──────────────────────────────────────────────────────────┐
│ APLICAÇÃO Next.js (app.usecontaclara.com.br)             │
│                                                          │
│ Usuário autenticado → JWT contém claim cliente_id        │
│ Toda query passa por Supabase Auth → set_config()        │
│ Postgres aplica política RLS automaticamente             │
└────────────────────────────┬─────────────────────────────┘
                             ▼
┌──────────────────────────────────────────────────────────┐
│ POSTGRES 16 (Supabase)                                   │
│                                                          │
│ Tabela cc_faturas:                                       │
│ ┌─────────────┬─────────────┬───────────┐                │
│ │ fatura_id   │ cliente_id  │ valor_brl │                │
│ ├─────────────┼─────────────┼───────────┤                │
│ │ ftr-001     │ cli-A       │  47.328   │ ← cli-A vê     │
│ │ ftr-002     │ cli-A       │  46.910   │ ← cli-A vê     │
│ │ ftr-003     │ cli-B       │  12.450   │ ← cli-A NÃO vê │
│ └─────────────┴─────────────┴───────────┘                │
│                                                          │
│ Política RLS ativa:                                      │
│   CREATE POLICY tenant_isolation ON cc_faturas           │
│     USING (cliente_id = current_setting(                 │
│       'request.jwt.claims', true                         │
│     )::json->>'cliente_id');                             │
│                                                          │
│ → Isolamento APLICADO PELO BANCO, não pela aplicação.    │
└──────────────────────────────────────────────────────────┘

Por que isso é diferente de "isolamento por WHERE no código"

  1. Qualquer endpoint que esqueça o WHERE vaza tudo — classe de bug que produz manchete.
  2. Migrations, ferramentas administrativas e scripts ad-hoc não respeitam o filtro.
  3. Auditor externo não consegue verificar isolamento sem ler todo o código-fonte.

Com RLS, a política é definida uma vez por tabela, no banco. Auditor externo verifica isolamento lendo a definição da política, em SQL, sem mergulhar no código.

Tabelas com RLS ativado hoje

cc_clientes · cc_contas_telecom · cc_faturas · cc_linhas · cc_anomalias · cc_audit_log · cc_assinaturas · cc_pagamentos · cc_planos_assinatura · cc_users_cliente · cc_demo_cliente_public (esta deliberadamente pública sem RLS — apenas dataset fictício Mercearia Tem de Tudo LTDA)

Datapoint: em 16/05/2026, há 47 testes de isolamento RLS rodando a cada commit no monorepo, com cobertura 11 de 11 tabelas tenant-scoped (100%). Logs públicos disponíveis sob solicitação.

BLOCO 4

Hospedagem soberana — Hetzner Falkenstein (EU-DE)

Onde a sua fatura mora importa. A ContaClara hospeda em Hetzner Online GmbH, no datacenter Falkenstein, Saxônia, Alemanha (zona EU-DE). Não é "AWS São Paulo", não é "GCP Brasil". É EU-DE — decisão deliberada.

Por que EU-DE, e não Brasil

  1. O GDPR é mais antigo, mais maduro e mais testado que a LGPD. A LGPD foi inspirada no GDPR. Aplicar primeiro o regime europeu cumpre, por construção, o regime brasileiro mais o europeu — padrão duplo, não-conflitante.
  2. Hetzner é certificada ISO/IEC 27001:2022 desde 2012, com auditoria externa anual pela TÜV Süd. Datacenter brasileiro equivalente para SaaS B2B é exceção, não regra.
  3. Custo operacional menor permite cobrar R$ 149/mês na faixa de entrada. Hospedagem doméstica triplicaria a infraestrutura por linha.

E o art. 33 da LGPD?

Transferência amparada por dois fundamentos da LGPD:

  • Art. 33, II — país com grau de proteção adequado. A UE foi reconhecida pela ANPD como referência de proteção adequada.
  • Art. 33, VIII — operação necessária para execução do contrato entre controlador e operador.

Em resumo: transferência declarada, fundamentada, contratualmente regulada. Não é "esconder o dado fora do Brasil". É operar sob duplo regime (GDPR + LGPD) com transparência total.

Camadas de proteção física e lógica

  • Em trânsito: TLS 1.3 obrigatório, HSTS max-age 1 ano + includeSubDomains + preload. SSL Labs: A+.
  • At-rest: Postgres com TDE habilitado no Supabase. Storage Hetzner com LUKS no volume.
  • Acesso ao banco: nenhum acesso direto da internet pública. Bastion Tailscale + chave SSH ed25519 + 2FA obrigatório.
  • Backups: diário (30d) · semanal (12 semanas) · mensal (12 meses). Replicação off-site Hetzner Helsinki (EU-FI).

Datapoint: RTO declarado 4 horas. RPO declarado 1 hora (replicação WAL Postgres a cada 60 min). Compromisso contratual no DPA, não promessa de marketing.

BLOCO 5

Audit trail exportável — quem, o quê, quando, onde

Toda alteração relevante é registrada em cc_audit_log, tabela imutável (insert-only) com retenção mínima de 12 meses e exportação self-service em CSV/JSON.

3 casos de uso destravados

  1. Auditoria interna — quem aprovou a inclusão de uma linha nova? Quem cancelou a linha do colaborador X?
  2. Auditoria contábil/fiscal externa — relatório de 12-36 meses por centro de custo, exportado em segundos.
  3. Exercício de direito do titular (art. 18 LGPD) — quem acessou o dado pessoal do colaborador X nos últimos 90 dias.

Estrutura do registro (11 campos)

audit_id (UUID v7) · cliente_id · actor_id · actor_role · event_type · entity_type · entity_id · payload_before (JSONB) · payload_after (JSONB) · ip_origem (mascarado) · occurred_at (timestamptz)

Política de retenção

  • Mínima: 12 meses (orientação ANPD)
  • Padrão contratual: 24 meses
  • Máxima: 36 meses (art. 133 Res. Anatel 632/2014)
  • Pós-cancelamento: 90 dias para export self-service

Datapoint: audit trail não é apagável por usuário cliente nem por operador interno. Tabela é insert-only · eliminação só executada por job batch autenticado por chave de sistema separada, com log próprio em cc_system_log — também imutável.

BLOCO 6

Controles aderentes à ISO/IEC 27001:2022

A ContaClara não é certificada ISO/IEC 27001 hoje. A certificação está no roadmap para 2028. Antes de afirmar "ISO 27001-equivalente" ou inflar credencial, preferimos listar os controles que aplicamos hoje, com nome técnico e descrição operacional. Cada item abaixo é verificável.

# Controle ISO 27001:2022 Como aplicamos hoje
A.5.1 Políticas de segurança da informação Política pública em /seguranca/politica + revisão semestral documentada
A.5.7 Inteligência de ameaças CVE feed + Dependabot + alerta automático para CVEs críticos em dependências
A.5.23 Segurança em serviços de nuvem Lista pública de sub-operadores + DPA com cada um (Supabase, Hetzner, Modal, MailerSend, Asaas)
A.5.30 Continuidade do negócio Runbook de incidente + DR plan + simulação trimestral
A.6.3 Conscientização e treinamento Onboarding obrigatório em LGPD para qualquer operador interno + revisão anual
A.8.1 Endpoint security MDM + criptografia FileVault/BitLocker em qualquer máquina com acesso ao bastion
A.8.5 Autenticação segura MFA obrigatório (TOTP ou WebAuthn) para operadores internos; SSO para clientes
A.8.7 Proteção contra malware Antivírus gerenciado + análise estática (Snyk + npm audit) em CI
A.8.9 Gestão de configuração Infraestrutura como código (Terraform + Coolify) + revisão obrigatória em PR
A.8.11 Mascaramento de dados CPF + telefone exibidos com mask ***.123.456-** em logs e telas administrativas
A.8.16 Monitoramento de atividades Stack observabilidade (Plausible + Uptime Kuma + Grafana Loki) com alerta para anomalia
A.8.24 Uso de criptografia TLS 1.3 em trânsito + Postgres TDE at-rest + chaves rotacionadas a cada 180 dias

Por que dizemos "aderente" e não "equivalente"

"Equivalente" sugere paridade com certificação formal — que exige auditoria externa por organismo acreditado, escopo declarado, escopo testado, declaração de aplicabilidade (SoA). Não temos isso hoje, então não dizemos. "Aderente aos princípios" é o que entregamos.

BLOCO 7

Roadmap público de certificações

Transparência vale mais do que credencial inflada. Aqui está o que está cravado, com data:

2026  ─┬─ Q2  Página /seguranca publicada (este documento)
       │     DPA versão 2026-05 disponível para download
       │
       ├─ Q3  Microsoft Entra ID (SSO via OIDC) em produção
       │     Status page (status.usecontaclara.com.br) live
       │
       └─ Q4  Pen test externo por consultoria especializada
              Relatório resumido público em /seguranca/pentest-2026

2027  ─┬─ Q2  ANPD — registro voluntário de operador
       │     Política de mascaramento dinâmico em produção
       │
       └─ Q4  SOC 2 Type II — auditoria iniciada
              Foco: Security + Availability + Confidentiality

2028  ─── Q2  ISO/IEC 27001:2022 — auditoria iniciada
              Escopo: app.usecontaclara.com.br + Hetzner
              Declaração de aplicabilidade (SoA) pública

Por que adiar SOC 2 para Q4/2027

Honestidade técnica: SOC 2 Type II exige observação contínua de controles por no mínimo 6 meses antes da auditoria final. O custo (auditor + tempo interno) faz sentido a partir de aproximadamente 50 clientes ativos. ContaClara está em ramp-up e prefere atender 50 clientes bem antes de pagar SOC 2 sem que isso resolva problema do cliente médio.

Para o cliente que precisa de SOC 2 já, recomendamos esperar Q4/2027 ou considerar consultoria PREMIUM da Adrion Telecom. Não fingimos.

Perguntas técnicas frequentes

7 perguntas que o seu coordenador de TI vai fazer.

A ContaClara oferece SSO via SAML ou OIDC? +

Sim. Google Workspace SSO está ativo em produção via OAuth 2.0 desde Sprint 1. Microsoft Entra ID (Azure AD) entra no roadmap Q3/2026 via OIDC. SAML 2.0 disponível sob solicitação em planos a partir de 500 linhas (R$ 1.450/mês). JIT provisioning disponível com mapeamento de grupos do IdP para papéis.

Qual é a residência de dado e como justificam a transferência internacional? +

Dados processados em Hetzner Falkenstein, zona EU-DE (Alemanha). Transferência internacional fundamentada nos incisos II e VIII do art. 33 LGPD — zona com nível adequado de proteção e operação necessária para execução do contrato. Backup off-site em Hetzner Helsinki (EU-FI), também GDPR.

Qual a política de retenção de dado processado? +

Faturas processadas: retidas enquanto contrato ativo. Após cancelamento: 90 dias para export self-service, depois exclusão em 30 dias. Audit log: mín 12m, padrão 24m, máx 36m (alinhado ao art. 133 Anatel). Dado fiscal NF-e: 5 anos por exigência tributária.

Como é a criptografia at-rest e em trânsito? +

Em trânsito: TLS 1.3 obrigatório. HSTS habilitado max-age 1 ano + includeSubDomains + preload. Avaliação SSL Labs: A+. At-rest: Postgres com TDE no Supabase. Volume Hetzner com LUKS. Chaves rotacionadas a cada 180 dias. Senhas com bcrypt + salt único.

Qual é o RTO e o RPO declarado? +

RTO: 4 horas — tempo máximo até retomada após incidente. RPO: 1 hora — perda máxima de dado tolerável, viabilizada por replicação contínua de WAL Postgres a cada 60 minutos. Backups: diário (30d) + semanal (12 semanas) + mensal (12 meses). Compromisso contratual no DPA.

Como a ContaClara comunica um incidente de segurança? +

Comunicação ao cliente afetado em até 24h após detecção (e-mail ao DPO + status page). Comunicação à ANPD em até 72h (Res. CD/ANPD 15/2024). Relatório técnico pós-incidente em até 7 dias úteis com timeline, causa raiz, escopo e plano de remediação.

Posso solicitar pen test próprio da minha empresa contra a ContaClara? +

Sim, com agendamento. Em planos a partir de 500 linhas, pen test externo independente com escopo declarado, dentro de janela combinada. Solicitação por dpo@usecontaclara.com.br com 30 dias de antecedência. Resultados CVSS ≥ 4.0 remediados em até 30 dias (Alta) ou 15 dias (Crítica).

Encarregado de proteção de dados (DPO)

E-mail: dpo@usecontaclara.com.br
SLA de primeira resposta: até 48 horas úteis.
Resolução de solicitação do titular (art. 18 LGPD): até 15 dias úteis.

Para temas que não sejam de proteção de dado pessoal (dúvida comercial, suporte de produto, cobrança), use oi@usecontaclara.com.br — o DPO é canal especializado, não fila de suporte geral. Isso preserva capacidade de resposta para o que importa.

A fatura telecom corporativa carrega dado pessoal. Cuidar desse dado não é diferencial competitivo — é obrigação legal, técnica e moral. A ContaClara prefere mostrar o que faz, com nome técnico e prova verificável, do que falar de "compromisso com a segurança" em parágrafo de manifesto.

Se o seu DPO tiver pergunta que esta página não respondeu, ele tem caminho direto em dpo@usecontaclara.com.br.