SEGURANÇA & LGPD · PÁGINA DE PROVA
Segurança e LGPD da ContaClara
A ContaClara processa fatura telecom corporativa. Isso significa CPF de colaborador, número de linha pessoal, endereço de instalação e centro de custo — dado pessoal nos termos do art. 5º, I, da Lei 13.709/2018 (LGPD). Tratamos esses dados com a mesma seriedade que a fatura merece.
- ✓ DPA (Data Processing Agreement) público — download em PDF, assinatura digital em 5 minutos
- ✓ Política de privacidade aplicada artigo por artigo (LGPD 7º, 9º, 18º), em linguagem clara
- ✓ Arquitetura multi-tenant baseada em Row Level Security do Postgres
- ✓ Hospedagem soberana em Hetzner Falkenstein (zona EU-DE) — transferência amparada pelo art. 33 LGPD
- ✓ Audit trail exportável (CSV/JSON), retenção mínima 12 meses
- ✓ 12 controles aderentes aos princípios da ISO/IEC 27001:2022
- ✓ Roadmap público: SOC 2 Type II Q4/2027 · ISO/IEC 27001 em 2028
Revisado em 16 de maio de 2026 · próxima revisão programada para 16 de novembro de 2026
BLOCO 1
DPA — Data Processing Agreement em PDF + assinatura digital
O DPA é o contrato técnico-jurídico que define a relação entre a sua empresa (controladora dos dados pessoais na fatura) e a ContaClara (operadora de tratamento, art. 39 LGPD). Sem DPA, sua empresa fica exposta — e o seu DPO sabe disso.
O que está dentro do DPA
- • Identificação completa das partes — sua razão social + nossa razão social AtraND ND Ltda. CNPJ 28.726.886/0001-83
- • Categorias de dados pessoais tratados — CPF de colaborador, número de linha, plano, consumo, endereço. Lista exaustiva, sem "etc."
- • Finalidade específica — consolidar, organizar e governar fatura telecom corporativa. Nada além disso.
- • Base legal aplicada — art. 7º V (execução de contrato) e II (cumprimento de obrigação legal e regulatória)
- • Sub-operadores autorizados — Supabase (DB+auth), Hetzner (infra), Modal Labs (parser), MailerSend (e-mail), Asaas (gateway). Lista pública, 30 dias de aviso prévio.
- • Cláusula de transferência internacional — declaração explícita amparada no art. 33, II LGPD
- • Direitos do titular operacionalizados — fluxo concreto art. 18, SLA até 15 dias úteis
- • Notificação de incidente — 24h cliente, 72h ANPD (Res. CD/ANPD 15/2024)
- • Portabilidade e devolução — export integral self-service · 90 dias pós-cancelamento
- • Auditoria pelo controlador — direito anual sem custo
Como assinar em 5 minutos
Usamos ZapSign (autoridade certificadora ICP-Brasil credenciada) para assinatura digital. Você baixa o DPA, envia o nome do signatário pra dpo@usecontaclara.com.br, abrimos envelope ZapSign preenchido, você assina via e-CPF/e-CNPJ/gov.br Prata-Ouro. Validade jurídica plena (MP 2.200-2/2001 + Lei 14.063/2020).
Sem reunião comercial. Sem "fale com o nosso jurídico". DPA padrão e idêntico para todos os clientes — só mudam os dados de identificação.
Datapoint: o DPA da ContaClara foi minutado em maio/2026 sob revisão jurídica externa especializada em LGPD e telecomunicações. Próxima revisão programada para novembro/2026 — versionamento público em /seguranca/dpa-historico.
BLOCO 2
Política de privacidade aplicada — LGPD artigo por artigo
A maior parte das políticas do mercado parafraseia a LGPD. A nossa aplica a LGPD.
2.1 Artigo 7º — Bases legais que aplicamos
A ContaClara opera sob duas bases legais, e só essas duas:
| Inciso | Base legal | Como aplicamos |
|---|---|---|
| V | Execução de contrato | Consolidar, organizar e governar a fatura — objeto contratual |
| II | Obrigação legal/regulatória | Reter audit trail mín 12m (art. 133 Res. Anatel 632/2014) |
Não usamos consentimento porque a relação é contratual entre a sua empresa e a ContaClara. Quem responde ao colaborador é a sua empresa (controladora). Não usamos legítimo interesse para fim algum — preferimos bases discretas e auditáveis.
2.2 Artigo 9º — Acesso facilitado às informações
- Esta página — público, indexável, sem login
- Política autoral em /privacidade — em português, sumário, FAQ, semântica HTML para leitor de tela
- Mapa de fluxo de dado público em /seguranca/fluxo-de-dado
- Canal direto com o DPO — SLA de primeira resposta 48h úteis
2.3 Artigo 18 — Direitos do titular operacionalizados
A maioria das empresas escreve "atendemos todos eles" e para por aí. Aqui está como cada um vira operação concreta:
| Direito (art. 18) | O que entregamos |
|---|---|
| I — Confirmação | 5 dias úteis |
| II — Acesso | Export CSV em 10 dias úteis |
| III — Correção | 5 dias úteis após confirmação com a controladora |
| IV — Eliminação | 15 dias úteis quando não houver retenção legal pendente |
| V — Portabilidade | Export JSON estruturado em 10 dias úteis |
| VII — Compartilhamento | Lista pública de sub-operadores em /seguranca#sub-operadores |
Datapoint: fluxo de exercício de direitos testado em 3 simulações internas em abril/2026. Tempos médios: 1,4d (confirmação), 3,1d (acesso), 6,8d (eliminação). SLAs declarados são teto superior, não tempo médio.
BLOCO 3
Isolamento multi-tenant — Row Level Security no Postgres
A maior preocupação técnica do seu coordenador de TI é simples: "se a ContaClara é multi-tenant, como vocês garantem que o cliente A nunca enxergue dado do cliente B?". A resposta é Row Level Security (RLS) do Postgres, ativado em todas as tabelas que carregam cliente_id.
┌──────────────────────────────────────────────────────────┐
│ APLICAÇÃO Next.js (app.usecontaclara.com.br) │
│ │
│ Usuário autenticado → JWT contém claim cliente_id │
│ Toda query passa por Supabase Auth → set_config() │
│ Postgres aplica política RLS automaticamente │
└────────────────────────────┬─────────────────────────────┘
▼
┌──────────────────────────────────────────────────────────┐
│ POSTGRES 16 (Supabase) │
│ │
│ Tabela cc_faturas: │
│ ┌─────────────┬─────────────┬───────────┐ │
│ │ fatura_id │ cliente_id │ valor_brl │ │
│ ├─────────────┼─────────────┼───────────┤ │
│ │ ftr-001 │ cli-A │ 47.328 │ ← cli-A vê │
│ │ ftr-002 │ cli-A │ 46.910 │ ← cli-A vê │
│ │ ftr-003 │ cli-B │ 12.450 │ ← cli-A NÃO vê │
│ └─────────────┴─────────────┴───────────┘ │
│ │
│ Política RLS ativa: │
│ CREATE POLICY tenant_isolation ON cc_faturas │
│ USING (cliente_id = current_setting( │
│ 'request.jwt.claims', true │
│ )::json->>'cliente_id'); │
│ │
│ → Isolamento APLICADO PELO BANCO, não pela aplicação. │
└──────────────────────────────────────────────────────────┘ Por que isso é diferente de "isolamento por WHERE no código"
- Qualquer endpoint que esqueça o WHERE vaza tudo — classe de bug que produz manchete.
- Migrations, ferramentas administrativas e scripts ad-hoc não respeitam o filtro.
- Auditor externo não consegue verificar isolamento sem ler todo o código-fonte.
Com RLS, a política é definida uma vez por tabela, no banco. Auditor externo verifica isolamento lendo a definição da política, em SQL, sem mergulhar no código.
Tabelas com RLS ativado hoje
cc_clientes · cc_contas_telecom · cc_faturas · cc_linhas · cc_anomalias · cc_audit_log · cc_assinaturas · cc_pagamentos · cc_planos_assinatura · cc_users_cliente · cc_demo_cliente_public (esta deliberadamente pública sem RLS — apenas dataset fictício Mercearia Tem de Tudo LTDA)
Datapoint: em 16/05/2026, há 47 testes de isolamento RLS rodando a cada commit no monorepo, com cobertura 11 de 11 tabelas tenant-scoped (100%). Logs públicos disponíveis sob solicitação.
BLOCO 4
Hospedagem soberana — Hetzner Falkenstein (EU-DE)
Onde a sua fatura mora importa. A ContaClara hospeda em Hetzner Online GmbH, no datacenter Falkenstein, Saxônia, Alemanha (zona EU-DE). Não é "AWS São Paulo", não é "GCP Brasil". É EU-DE — decisão deliberada.
Por que EU-DE, e não Brasil
- O GDPR é mais antigo, mais maduro e mais testado que a LGPD. A LGPD foi inspirada no GDPR. Aplicar primeiro o regime europeu cumpre, por construção, o regime brasileiro mais o europeu — padrão duplo, não-conflitante.
- Hetzner é certificada ISO/IEC 27001:2022 desde 2012, com auditoria externa anual pela TÜV Süd. Datacenter brasileiro equivalente para SaaS B2B é exceção, não regra.
- Custo operacional menor permite cobrar R$ 149/mês na faixa de entrada. Hospedagem doméstica triplicaria a infraestrutura por linha.
E o art. 33 da LGPD?
Transferência amparada por dois fundamentos da LGPD:
- Art. 33, II — país com grau de proteção adequado. A UE foi reconhecida pela ANPD como referência de proteção adequada.
- Art. 33, VIII — operação necessária para execução do contrato entre controlador e operador.
Em resumo: transferência declarada, fundamentada, contratualmente regulada. Não é "esconder o dado fora do Brasil". É operar sob duplo regime (GDPR + LGPD) com transparência total.
Camadas de proteção física e lógica
- Em trânsito: TLS 1.3 obrigatório, HSTS max-age 1 ano + includeSubDomains + preload. SSL Labs: A+.
- At-rest: Postgres com TDE habilitado no Supabase. Storage Hetzner com LUKS no volume.
- Acesso ao banco: nenhum acesso direto da internet pública. Bastion Tailscale + chave SSH ed25519 + 2FA obrigatório.
- Backups: diário (30d) · semanal (12 semanas) · mensal (12 meses). Replicação off-site Hetzner Helsinki (EU-FI).
Datapoint: RTO declarado 4 horas. RPO declarado 1 hora (replicação WAL Postgres a cada 60 min). Compromisso contratual no DPA, não promessa de marketing.
BLOCO 5
Audit trail exportável — quem, o quê, quando, onde
Toda alteração relevante é registrada em cc_audit_log, tabela imutável (insert-only) com retenção mínima de 12 meses e exportação self-service em CSV/JSON.
3 casos de uso destravados
- Auditoria interna — quem aprovou a inclusão de uma linha nova? Quem cancelou a linha do colaborador X?
- Auditoria contábil/fiscal externa — relatório de 12-36 meses por centro de custo, exportado em segundos.
- Exercício de direito do titular (art. 18 LGPD) — quem acessou o dado pessoal do colaborador X nos últimos 90 dias.
Estrutura do registro (11 campos)
audit_id (UUID v7) · cliente_id · actor_id · actor_role · event_type · entity_type · entity_id · payload_before (JSONB) · payload_after (JSONB) · ip_origem (mascarado) · occurred_at (timestamptz)
Política de retenção
- Mínima: 12 meses (orientação ANPD)
- Padrão contratual: 24 meses
- Máxima: 36 meses (art. 133 Res. Anatel 632/2014)
- Pós-cancelamento: 90 dias para export self-service
Datapoint: audit trail não é apagável por usuário cliente nem por operador interno. Tabela é insert-only · eliminação só executada por job batch autenticado por chave de sistema separada, com log próprio em cc_system_log — também imutável.
BLOCO 6
Controles aderentes à ISO/IEC 27001:2022
A ContaClara não é certificada ISO/IEC 27001 hoje. A certificação está no roadmap para 2028. Antes de afirmar "ISO 27001-equivalente" ou inflar credencial, preferimos listar os controles que aplicamos hoje, com nome técnico e descrição operacional. Cada item abaixo é verificável.
| # | Controle ISO 27001:2022 | Como aplicamos hoje |
|---|---|---|
| A.5.1 | Políticas de segurança da informação | Política pública em /seguranca/politica + revisão semestral documentada |
| A.5.7 | Inteligência de ameaças | CVE feed + Dependabot + alerta automático para CVEs críticos em dependências |
| A.5.23 | Segurança em serviços de nuvem | Lista pública de sub-operadores + DPA com cada um (Supabase, Hetzner, Modal, MailerSend, Asaas) |
| A.5.30 | Continuidade do negócio | Runbook de incidente + DR plan + simulação trimestral |
| A.6.3 | Conscientização e treinamento | Onboarding obrigatório em LGPD para qualquer operador interno + revisão anual |
| A.8.1 | Endpoint security | MDM + criptografia FileVault/BitLocker em qualquer máquina com acesso ao bastion |
| A.8.5 | Autenticação segura | MFA obrigatório (TOTP ou WebAuthn) para operadores internos; SSO para clientes |
| A.8.7 | Proteção contra malware | Antivírus gerenciado + análise estática (Snyk + npm audit) em CI |
| A.8.9 | Gestão de configuração | Infraestrutura como código (Terraform + Coolify) + revisão obrigatória em PR |
| A.8.11 | Mascaramento de dados | CPF + telefone exibidos com mask ***.123.456-** em logs e telas administrativas |
| A.8.16 | Monitoramento de atividades | Stack observabilidade (Plausible + Uptime Kuma + Grafana Loki) com alerta para anomalia |
| A.8.24 | Uso de criptografia | TLS 1.3 em trânsito + Postgres TDE at-rest + chaves rotacionadas a cada 180 dias |
Por que dizemos "aderente" e não "equivalente"
"Equivalente" sugere paridade com certificação formal — que exige auditoria externa por organismo acreditado, escopo declarado, escopo testado, declaração de aplicabilidade (SoA). Não temos isso hoje, então não dizemos. "Aderente aos princípios" é o que entregamos.
BLOCO 7
Roadmap público de certificações
Transparência vale mais do que credencial inflada. Aqui está o que está cravado, com data:
2026 ─┬─ Q2 Página /seguranca publicada (este documento)
│ DPA versão 2026-05 disponível para download
│
├─ Q3 Microsoft Entra ID (SSO via OIDC) em produção
│ Status page (status.usecontaclara.com.br) live
│
└─ Q4 Pen test externo por consultoria especializada
Relatório resumido público em /seguranca/pentest-2026
2027 ─┬─ Q2 ANPD — registro voluntário de operador
│ Política de mascaramento dinâmico em produção
│
└─ Q4 SOC 2 Type II — auditoria iniciada
Foco: Security + Availability + Confidentiality
2028 ─── Q2 ISO/IEC 27001:2022 — auditoria iniciada
Escopo: app.usecontaclara.com.br + Hetzner
Declaração de aplicabilidade (SoA) pública Por que adiar SOC 2 para Q4/2027
Honestidade técnica: SOC 2 Type II exige observação contínua de controles por no mínimo 6 meses antes da auditoria final. O custo (auditor + tempo interno) faz sentido a partir de aproximadamente 50 clientes ativos. ContaClara está em ramp-up e prefere atender 50 clientes bem antes de pagar SOC 2 sem que isso resolva problema do cliente médio.
Para o cliente que precisa de SOC 2 já, recomendamos esperar Q4/2027 ou considerar consultoria PREMIUM da Adrion Telecom. Não fingimos.
Perguntas técnicas frequentes
7 perguntas que o seu coordenador de TI vai fazer.
A ContaClara oferece SSO via SAML ou OIDC? +
Sim. Google Workspace SSO está ativo em produção via OAuth 2.0 desde Sprint 1. Microsoft Entra ID (Azure AD) entra no roadmap Q3/2026 via OIDC. SAML 2.0 disponível sob solicitação em planos a partir de 500 linhas (R$ 1.450/mês). JIT provisioning disponível com mapeamento de grupos do IdP para papéis.
Qual é a residência de dado e como justificam a transferência internacional? +
Dados processados em Hetzner Falkenstein, zona EU-DE (Alemanha). Transferência internacional fundamentada nos incisos II e VIII do art. 33 LGPD — zona com nível adequado de proteção e operação necessária para execução do contrato. Backup off-site em Hetzner Helsinki (EU-FI), também GDPR.
Qual a política de retenção de dado processado? +
Faturas processadas: retidas enquanto contrato ativo. Após cancelamento: 90 dias para export self-service, depois exclusão em 30 dias. Audit log: mín 12m, padrão 24m, máx 36m (alinhado ao art. 133 Anatel). Dado fiscal NF-e: 5 anos por exigência tributária.
Como é a criptografia at-rest e em trânsito? +
Em trânsito: TLS 1.3 obrigatório. HSTS habilitado max-age 1 ano + includeSubDomains + preload. Avaliação SSL Labs: A+. At-rest: Postgres com TDE no Supabase. Volume Hetzner com LUKS. Chaves rotacionadas a cada 180 dias. Senhas com bcrypt + salt único.
Qual é o RTO e o RPO declarado? +
RTO: 4 horas — tempo máximo até retomada após incidente. RPO: 1 hora — perda máxima de dado tolerável, viabilizada por replicação contínua de WAL Postgres a cada 60 minutos. Backups: diário (30d) + semanal (12 semanas) + mensal (12 meses). Compromisso contratual no DPA.
Como a ContaClara comunica um incidente de segurança? +
Comunicação ao cliente afetado em até 24h após detecção (e-mail ao DPO + status page). Comunicação à ANPD em até 72h (Res. CD/ANPD 15/2024). Relatório técnico pós-incidente em até 7 dias úteis com timeline, causa raiz, escopo e plano de remediação.
Posso solicitar pen test próprio da minha empresa contra a ContaClara? +
Sim, com agendamento. Em planos a partir de 500 linhas, pen test externo independente com escopo declarado, dentro de janela combinada. Solicitação por dpo@usecontaclara.com.br com 30 dias de antecedência. Resultados CVSS ≥ 4.0 remediados em até 30 dias (Alta) ou 15 dias (Crítica).
Encarregado de proteção de dados (DPO)
E-mail: dpo@usecontaclara.com.br
SLA de primeira resposta: até 48 horas úteis.
Resolução de solicitação do titular (art. 18 LGPD): até 15 dias úteis.
Para temas que não sejam de proteção de dado pessoal (dúvida comercial, suporte de produto, cobrança), use oi@usecontaclara.com.br — o DPO é canal especializado, não fila de suporte geral. Isso preserva capacidade de resposta para o que importa.
A fatura telecom corporativa carrega dado pessoal. Cuidar desse dado não é diferencial competitivo — é obrigação legal, técnica e moral. A ContaClara prefere mostrar o que faz, com nome técnico e prova verificável, do que falar de "compromisso com a segurança" em parágrafo de manifesto.
Se o seu DPO tiver pergunta que esta página não respondeu, ele tem caminho direto em dpo@usecontaclara.com.br.