Adendo de Processamento de Dados.
Última atualização: 01 de abril de 2026
Este Adendo (“DPA”) integra os Termos de uso da CPFHub e regula o tratamento de dados pessoais consultados via API, no qual a CPFHub atua como operadora em nome do cliente (controlador). Aplica-se sempre que o cliente realizar consultas que retornem dados pessoais de terceiros.
Definições
- 01Controlador: o cliente contratante, responsável por decidir as finalidades do tratamento.
- 02Operador: a CPFHub, que realiza o tratamento conforme instruções do controlador.
- 03Titular: a pessoa natural cujo CPF é consultado.
- 04LGPD: Lei nº 13.709/2018.
Objeto e duração
O objeto é o processamento de consultas de CPF e dados associados, conforme endpoints contratados. A duração coincide com a vigência do contrato comercial. Após o encerramento, os dados são eliminados em até 30 dias (exceto o necessário para cumprir obrigação legal).
Natureza dos dados tratados
- 01Dados de identificação: nome, CPF, data de nascimento, gênero, nome da mãe.
- 02Dados cadastrais: situação na Receita Federal.
- 03Dados de contato: e-mails, telefones, endereços (apenas em endpoints específicos).
Não tratamos dados sensíveis (art. 5º, II, LGPD) e não realizamos decisões automatizadas que afetem o titular.
Obrigações da CPFHub (operadora)
- 01Tratar dados apenas conforme instruções documentadas do controlador.
- 02Garantir confidencialidade do pessoal autorizado a acessar dados.
- 03Implementar medidas técnicas e organizacionais adequadas (vide Segurança).
- 04Notificar o controlador sobre incidentes de segurança em até 48 horas.
- 05Auxiliar o controlador no atendimento aos direitos dos titulares.
- 06Eliminar ou devolver os dados ao fim do contrato.
Subprocessadores
A CPFHub contrata subprocessadores para prestar o Serviço. Todos estão vinculados por contrato com cláusulas equivalentes a este DPA.
| Subprocessador | Finalidade | Localização |
|---|---|---|
| AWS (Amazon) | Infraestrutura de hospedagem | Brasil (sa-east-1) |
| Stripe | Processamento de pagamentos | Estados Unidos |
| Postmark | Envio de e-mail transacional | Estados Unidos |
| Datadog | Observabilidade e logs | União Europeia |
| Cloudflare | CDN e proteção DDoS | Global |
Mudanças na lista são comunicadas com 30 dias de antecedência. O controlador pode objetar por escrito; persistindo discordância, poderá rescindir sem multa.
Transferência internacional
Algumas operações de subprocessadores ocorrem fora do Brasil. Nesses casos, garantimos cláusulas contratuais padrão e medidas adicionais conforme art. 33 da LGPD.
Segurança técnica
- 01TLS 1.3 em todas as conexões.
- 02AES-256 em repouso para volumes e backups.
- 03Segregação por workspace; um cliente jamais acessa dados de outro.
- 04Rotação de credenciais e gestão de segredos via cofre dedicado.
- 05MFA obrigatório para acesso administrativo e de operação.
- 06Auditoria de acessos com retenção mínima de 6 meses.
Direitos dos titulares
O atendimento aos direitos dos titulares (art. 18, LGPD) é responsabilidade primária do controlador. A CPFHub colabora tecnicamente fornecendo, mediante solicitação formal, exportação, correção e eliminação dos dados sob seu tratamento, sem custo adicional.
Auditoria
O controlador pode auditar o cumprimento deste DPA mediante notificação com 30 dias de antecedência, no máximo uma vez por ano, em horário comercial e mediante NDA. Auditorias adicionais decorrentes de incidente são gratuitas.
Aceite
O DPA é considerado aceito automaticamente com a contratação dos planos pagos. Para versão assinada com firma do encarregado, contate dpo@cpfhub.com.