Sec xAPI

Acordo de Processamento de Dados (DPA)

Resumo para clientes corporativos · LGPD Art. 37-39

1. Papéis

O cliente é o Controlador dos dados pessoais tratados no contexto dos testes de segurança. A Sec xAPI atua como Operadora, processando dados conforme instruções do cliente e este DPA.

2. Finalidade

Execução de descoberta de APIs, varreduras de segurança, geração de relatórios, gestão de vulnerabilidades e integrações acordadas.

3. Subprocessadores

• Infraestrutura de hospedagem (cloud)
• Provedor de e-mail transacional
• Provedor de IA (explicações e briefing), quando habilitado
• Backup criptografado (S3 ou equivalente)

Lista atualizada mediante aviso prévio de 30 dias.

4. Segurança

• Isolamento multi-tenant
• Criptografia em trânsito (TLS)
• Controle de acesso por papel (RBAC)
• Auditoria de ações administrativas
• Verificação de domínio antes de scans ativos

5. Direitos dos titulares

O cliente pode solicitar exportação, correção ou exclusão via API (/auth/privacy/export, exclusão de dados de scan ou workspace) ou por privacidade@secxapi.com.br.

6. Incidentes

Notificação ao controlador em até 72 horas após ciência de incidente de segurança com impacto em dados pessoais, com informações para mitigação e comunicação à ANPD quando aplicável.

7. Retenção e exclusão

Dados mantidos durante a vigência do contrato. Após rescisão, exclusão em até 30 dias, salvo obrigação legal de retenção.

8. Contato

DPO: privacidade@secxapi.com.br