Suboperadores

Fornecedores previstos para prestar o QLAC, com escopo, dados tratados e garantias pendentes de fechamento contratual.

Informação legal publicada para QLAC Audit.

Última atualização: 2026-05-11

1. Estado e escopo

Esta lista documenta fornecedores atuais ou previstos que podem tratar dados pessoais ou técnicos para prestar o QLAC. Deve ser revisada antes de contratos B2B finais e mantida atualizada quando mudarem arquitetura, hosting, billing, email, analytics ou IA.

O QLAC não armazena cartões nem dados bancários. A Paddle gerencia pagamentos, impostos, faturas e meios de pagamento como provedor especializado.

2. Lista inicial de fornecedores

  • Vercel: hosting, deploy, CDN, logs técnicos e Vercel Analytics opcional. Dados: IP, user agent, eventos agregados, metadados técnicos e conteúdo público do site.
  • Paddle: checkout, billing, impostos, faturamento, assinaturas e webhooks de status. Dados: email, país, plano, moeda, status de pagamento, referências de fatura e dados fiscais necessários. O QLAC não recebe números completos de cartão nem dados bancários.
  • Fornecedor de email transacional pendente de confirmação: emails de conta, recuperação, avisos de segurança, troca de senha, trials, billing e suporte. Dados: email, nome, idioma e conteúdo estritamente necessário da mensagem.
  • Fornecedor de banco de dados, filas e storage de produção pendente de confirmação: armazenamento de contas, projetos, relatórios, evidências, artefatos, snapshots e logs de segurança conforme configuração final.
  • GitHub/GitLab: acesso a repositórios apenas se o cliente conectar a integração. Dados: metadados do repositório, branches, arquivos autorizados e tokens criptografados com permissões mínimas.
  • Fornecedor de IA opcional pendente de ativação: análise assistida e geração de recomendações apenas com feature flag, documentação, consentimento ou base contratual adequada.
  • PostHog opcional: eventos explícitos de conversão quando marketing_analytics estiver ativo e houver consentimento analítico. Autocapture, pageview automático e session replay devem permanecer desativados salvo nova revisão.

3. Transferências e garantias

Quando um fornecedor tratar dados fora do país do cliente ou fora do EEE, o QLAC deve revisar DPA, SCCs ou mecanismo equivalente, medidas suplementares, localização, segurança e retenção antes do uso produtivo.

4. Mudanças e objeções

Clientes B2B com DPA poderão solicitar aviso razoável de novos suboperadores materiais e apresentar objeções justificadas se a mudança aumentar risco ou contrariar instruções documentadas.

5. Exclusão e devolução

No término do serviço ou diante de instrução válida, o QLAC deverá excluir, anonimizar ou devolver dados conforme contrato, retenção técnica, obrigações legais e backups razoáveis.