Subprocessadores GitScrum
Data de vigência: 5 de Janeiro de 2026
1. Introdução
Esta Lista de Subprocessadores ("Lista") identifica todos os prestadores de serviços terceirizados ("Subprocessadores") contratados pela GitScrum para processar Dados Pessoais em nome de nossos clientes em conexão com a prestação dos serviços GitScrum (os "Serviços").
Esta Lista é mantida de acordo com o Acordo de Processamento de Dados (DPA) da GitScrum e em conformidade com o Artigo 28(2) e 28(4) do GDPR.
Importante: Ao usar os Serviços da GitScrum, os clientes fornecem autorização geral para que a GitScrum contrate os Subprocessadores listados abaixo, sujeito aos procedimentos de notificação e objeção descritos na Seção 4 deste documento e em nosso DPA.
2. O que é um Subprocessador?
Um Subprocessador é um prestador de serviços terceirizado contratado pela GitScrum (como Processador) para processar Dados Pessoais em nome de nossos clientes (Controladores de Dados) em conexão com o fornecimento da plataforma e serviços GitScrum.
Exemplos de Subprocessadores incluem:
- Provedores de hospedagem e infraestrutura em nuvem
- Processadores de pagamento
- Serviços de entrega de e-mail
- Plataformas de suporte ao cliente
- Ferramentas de análise e monitoramento
- Serviços de segurança e prevenção de fraudes
Não são Subprocessadores:
Os seguintes não são considerados Subprocessadores sob o GDPR:
- Serviços que não processam Dados Pessoais do cliente (por exemplo, ferramentas internas usadas apenas por funcionários da GitScrum)
- Serviços onde a GitScrum atua como Controlador de Dados (por exemplo, nossas próprias análises para operações comerciais)
- Controladores de Dados independentes que processam dados para seus próprios fins de acordo com seus próprios termos
3. Subprocessadores Autorizados Atuais
Os seguintes Subprocessadores estão atualmente autorizados a processar Dados Pessoais em nome dos clientes da GitScrum:
3.1 Serviços de Infraestrutura e Hospedagem
| Nome do Subprocessador | Localização da Entidade | Local de Processamento de Dados | Descrição do Serviço | Dados Processados | Política de Privacidade |
|---|---|---|---|---|---|
| Amazon Web Services (AWS) | Estados Unidos | UE (Frankfurt, Alemanha; Dublin, Irlanda) | Infraestrutura em nuvem, recursos de computação, armazenamento de dados, hospedagem de banco de dados | Todos os dados do cliente armazenados na plataforma GitScrum | Política de Privacidade da AWS |
Propósito: Fornece a infraestrutura de nuvem fundamental para a plataforma GitScrum, incluindo servidores, armazenamento, bancos de dados e recursos de rede.
Salvaguardas para Transferências Internacionais: Cláusulas Contratuais Padrão (SCCs) e Adendo de Processamento de Dados GDPR da AWS.
3.2 Processamento de Pagamentos
| Nome do Subprocessador | Localização da Entidade | Local de Processamento de Dados | Descrição do Serviço | Dados Processados | Política de Privacidade |
|---|---|---|---|---|---|
| Stripe, Inc. | Estados Unidos | Global (Certificado pelo Quadro de Privacidade de Dados UE-EUA) | Processamento de pagamentos, faturamento de assinaturas, geração de faturas | Informações de contato de faturamento, detalhes do cartão de pagamento, registros de transações | Política de Privacidade da Stripe |
Propósito: Processa todos os pagamentos de assinatura, gerencia o faturamento e gera faturas para os clientes da GitScrum.
Nota Importante: A GitScrum não armazena ou acessa diretamente os detalhes completos do cartão de pagamento. As informações do cartão de pagamento são coletadas e processadas exclusivamente pela Stripe de acordo com os padrões PCI-DSS.
Salvaguardas para Transferências Internacionais: Certificação do Quadro de Privacidade de Dados UE-EUA, Cláusulas Contratuais Padrão (SCCs) e DPA da Stripe.
3.3 Serviços de Entrega de E-mail
| Nome do Subprocessador | Localização da Entidade | Local de Processamento de Dados | Descrição do Serviço | Dados Processados | Política de Privacidade |
|---|---|---|---|---|---|
| Amazon SES (AWS Simple Email Service) | Estados Unidos | Global | Entrega de e-mail transacional (notificações, redefinições de senha, alertas do sistema) | Endereços de e-mail do usuário, conteúdo de e-mail (notificações, alertas), dados de interação de e-mail | Política de Privacidade da AWS |
Propósito: Entrega e-mails transacionais da GitScrum para os usuários, incluindo notificações de conta, e-mails de redefinição de senha, alertas do sistema e atualizações da plataforma.
Nota: E-mails de marketing (se houver) são gerenciados separadamente e podem usar serviços diferentes.
Salvaguardas para Transferências Internacionais: Cláusulas Contratuais Padrão (SCCs) e Adendo de Processamento de Dados GDPR da AWS.
3.4 Análise e Monitoramento de Desempenho
Google Analytics
| Nome do Subprocessador | Localização da Entidade | Local de Processamento de Dados | Descrição do Serviço | Dados Processados | Política de Privacidade |
|---|---|---|---|---|---|
| Google Analytics | Estados Unidos | Global | Análise da web, rastreamento de uso, análise de comportamento do usuário | Endereços IP (anonimizados), tipo de navegador, tipo de dispositivo, visualizações de página, interações do usuário, localização aproximada (nível de país/cidade) | Política de Privacidade do Google |
Propósito: Analisa o uso da plataforma, o comportamento do usuário e as métricas de desempenho para melhorar os Serviços e a experiência do usuário da GitScrum.
Configuração: A GitScrum habilita a anonimização de IP no Google Analytics para aumentar a proteção da privacidade.
Salvaguardas para Transferências Internacionais: Certificação do Quadro de Privacidade de Dados UE-EUA (Google LLC), Termos de Processamento de Dados do Google Ads, anonimização de IP.
3.5 Marketing e Publicidade
| Nome do Subprocessador | Localização da Entidade | Local de Processamento de Dados | Descrição do Serviço | Dados Processados | Política de Privacidade |
|---|---|---|---|---|---|
| Meta Platforms, Inc. (Facebook Pixel) | Estados Unidos | Estados Unidos | Rastreamento de publicidade, construção de público, medição de conversão | Endereços IP, informações do navegador, identificadores de dispositivo, interações no site, dados de desempenho de publicidade | Política de Privacidade da Meta |
Propósito: Permite publicidade direcionada, mede a eficácia da campanha e constrói públicos para fins de marketing.
Nota: O Facebook Pixel está ativo apenas para usuários que consentiram com cookies de marketing de acordo com nossa Política de Cookies.
Salvaguardas para Transferências Internacionais: Certificação do Quadro de Privacidade de Dados UE-EUA, Cláusulas Contratuais Padrão (SCCs).
4. Notificação de Alterações nos Subprocessadores
4.1 Requisito de Aviso Prévio
A GitScrum fornecerá aos clientes pelo menos 30 dias de aviso prévio por escrito antes de:
- Adicionar um novo Subprocessador, ou
- Substituir um Subprocessador existente por um provedor diferente
4.2 Métodos de Notificação
O aviso de alterações de Subprocessador será fornecido através dos seguintes métodos:
- Notificação por E-mail: Enviada para o endereço de e-mail associado à conta GitScrum do cliente
- Atualização desta Lista: Esta Lista de Subprocessadores será atualizada com as novas informações do Subprocessador e a data da atualização
- Assinatura de E-mail (Opcional): Os clientes podem se inscrever para receber notificações automáticas por e-mail sobre alterações de Subprocessadores enviando um e-mail para subprocessors[at]gitscrum.com com "Subscribe to Subprocessor Updates" na linha de assunto
Nota: A Lista de Subprocessadores atualizada sempre refletirá a data da "Última Atualização" no topo deste documento.
4.3 Direitos de Objeção do Cliente
Se um cliente tiver motivos legítimos relacionados à proteção de dados para se opor à nomeação de um novo Subprocessador pela GitScrum, o cliente deve:
- Notificar a GitScrum por escrito dentro de 30 dias após receber o aviso do novo Subprocessador
- Enviar objeção para: legal[at]gitscrum.com ou dpo[at]gitscrum.com
- Declarar claramente os motivos da objeção, incluindo preocupações específicas de proteção de dados
Processo de Resolução:
- A GitScrum envidará esforços razoáveis para abordar as preocupações do cliente ou fornecer uma solução alternativa (por exemplo, não usar o Subprocessador para os dados do cliente, migrar para um Subprocessador diferente ou implementar salvaguardas adicionais)
- Se a GitScrum não puder fornecer uma alternativa razoável dentro de 60 dias e o cliente mantiver uma objeção legítima, o cliente poderá encerrar a parte afetada dos Serviços (ou todos os Serviços se o Subprocessador for essencial) sem penalidade ou taxas pelo restante do prazo pré-pago
Aceitação Tácita: Se o cliente não se opuser dentro de 30 dias após o aviso, considera-se que o cliente aceitou o novo Subprocessador.
5. Gestão e Conformidade de Subprocessadores
5.1 Obrigações da GitScrum
A GitScrum garante que todos os Subprocessadores:
- Celebrem contratos escritos com termos de proteção de dados substancialmente equivalentes ao DPA da GitScrum, incluindo:
- Obrigações de confidencialidade
- Medidas de segurança técnicas e organizacionais apropriadas
- Assistência com solicitações de direitos dos titulares dos dados
- Procedimentos de notificação de violação de dados (dentro de 72 horas)
- Exclusão ou devolução de dados após o término do contrato
- Direitos de auditoria
- Cumpram o GDPR e as leis de proteção de dados aplicáveis
- Processem Dados Pessoais apenas de acordo com as instruções documentadas do cliente (conforme fornecidas através da GitScrum)
- Implementem medidas de segurança apropriadas para proteger Dados Pessoais
5.2 Responsabilidade da GitScrum
A GitScrum permanece totalmente responsável perante os clientes pelo desempenho das obrigações de qualquer Subprocessador sob o DPA, como se a GitScrum estivesse executando os serviços diretamente.
Se um Subprocessador não cumprir suas obrigações de proteção de dados, a GitScrum permanece diretamente responsável perante o cliente pelo não cumprimento das obrigações do Subprocessador.
5.3 Due Diligence e Monitoramento
A GitScrum realiza due diligence em todos os Subprocessadores antes da contratação, incluindo:
- Revisão de certificações de segurança (por exemplo, ISO 27001, SOC 2 Tipo II)
- Avaliação de políticas e práticas de proteção de dados
- Avaliação de medidas de segurança técnicas e organizacionais
- Verificação de conformidade com o GDPR e leis de proteção de dados aplicáveis
A GitScrum realiza monitoramento contínuo do desempenho e conformidade do Subprocessador através de:
- Revisões periódicas da postura de segurança do Subprocessador
- Revisão de relatórios de incidentes de segurança do Subprocessador
- Monitoramento de certificações e relatórios de auditoria do Subprocessador
6. Transferências Internacionais de Dados
6.1 Mecanismos de Transferência de Dados
Quando os Subprocessadores processam Dados Pessoais fora do Espaço Econômico Europeu (EEE), a GitScrum garante que salvaguardas apropriadas estejam em vigor, incluindo:
- Cláusulas Contratuais Padrão (SCCs): Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (2021) com Subprocessadores localizados em Terceiros Países
- Decisões de Adequação: Transferências para países reconhecidos pela Comissão Europeia como fornecendo proteção de dados adequada (por exemplo, Reino Unido, Suíça, outros selecionados)
- Quadro de Privacidade de Dados UE-EUA (DPF): Para transferências para entidades dos EUA certificadas sob o DPF (por exemplo, Stripe, Google)
- Medidas Suplementares: Medidas técnicas e organizacionais adicionais (por exemplo, criptografia, pseudonimização) quando exigido por Avaliações de Impacto de Transferência (TIAs)
6.2 Verificação
Os clientes podem verificar os mecanismos de transferência de dados e certificações para cada Subprocessador:
- Revisando a política de privacidade do Subprocessador (link na Seção 3)
- Entrando em contato com a GitScrum em legal[at]gitscrum.com ou dpo[at]gitscrum.com para solicitar informações adicionais
- Verificando a certificação DPF UE-EUA em: https://www.dataprivacyframework.gov/list
7. Direitos de Auditoria
Os clientes têm o direito de auditar a conformidade da GitScrum com os requisitos do Subprocessador, conforme descrito na Seção 11 do Acordo de Processamento de Dados da GitScrum.
Mediante solicitação por escrito, a GitScrum fornecerá:
- Cópias de acordos de processamento de dados de Subprocessadores (com informações comercialmente sensíveis redigidas)
- Evidência de certificações de segurança de Subprocessadores (por exemplo, relatórios ISO 27001, SOC 2 Tipo II)
- Resumo da due diligence realizada em Subprocessadores
As solicitações devem ser enviadas para: legal[at]gitscrum.com ou dpo[at]gitscrum.com
8. Resumo das Categorias de Subprocessadores
Para fácil referência, a tabela a seguir resume as categorias de Subprocessadores e os tipos de Dados Pessoais processados:
| Categoria | Propósito Geral | Tipos de Dados Pessoais Processados |
|---|---|---|
| Infraestrutura e Hospedagem | Infraestrutura em nuvem, armazenamento de dados, recursos de computação | Todos os dados do cliente armazenados na plataforma GitScrum (projetos, tarefas, arquivos, dados do usuário) |
| Processamento de Pagamentos | Faturamento de assinaturas, processamento de pagamentos | Informações de contato de faturamento, detalhes do cartão de pagamento, registros de transações |
| Entrega de E-mail | E-mails transacionais, notificações | Endereços de e-mail do usuário, conteúdo de e-mail (notificações, alertas) |
| Análise e Monitoramento | Análise da plataforma, rastreamento de erros, monitoramento de desempenho | Endereços IP, informações do navegador/dispositivo, dados de uso, logs de erros |
| Marketing e Publicidade | Rastreamento de publicidade, construção de público | Endereços IP, informações do navegador, identificadores de dispositivo, dados de desempenho de publicidade |
9. Atualizações e Histórico de Versões
A GitScrum mantém um registro de todas as atualizações desta Lista de Subprocessadores:
| Versão | Data | Alterações Feitas |
|---|---|---|
| 1.0 | 27 de Dezembro de 2025 | Publicação inicial da Lista de Subprocessadores |
Para visualizar versões anteriores desta Lista de Subprocessadores, entre em contato: legal[at]gitscrum.com
10. Informações de Contato e Assinatura
10.1 Consultas Gerais
Para perguntas, preocupações ou solicitações sobre Subprocessadores ou processamento de dados, entre em contato:
Diretor de Proteção de Dados (DPO):
E-mail: dpo[at]gitscrum.com
Tempo de Resposta: 5 dias úteis
Departamento Jurídico:
E-mail: legal[at]gitscrum.com
Consultas Específicas sobre Subprocessadores:
E-mail: subprocessors[at]gitscrum.com
10.2 Assinar Atualizações de Subprocessadores
Para receber notificações automáticas por e-mail sempre que esta Lista de Subprocessadores for atualizada (novos Subprocessadores adicionados ou Subprocessadores existentes alterados), envie um e-mail para:
E-mail: subprocessors[at]gitscrum.com
Linha de Assunto: "Subscribe to Subprocessor Updates"
Corpo: Inclua seu nome, nome da empresa e endereço de e-mail da conta GitScrum
Você receberá um e-mail de confirmação e será notificado de todas as futuras alterações de Subprocessadores com pelo menos 30 dias de antecedência.
11. Recursos Adicionais
- Acordo de Processamento de Dados (DPA) da GitScrum: /legal/data-processing-agreement
- Política de Privacidade da GitScrum: /legal/privacy-policy
- Política de Segurança da GitScrum: /legal/security
- Termos e Condições da GitScrum: /legal/terms-and-conditions
12. Aviso Legal
Esta Lista de Subprocessadores é fornecida para fins informativos e constitui parte do Acordo de Processamento de Dados (DPA) da GitScrum. Ao usar os Serviços da GitScrum, os clientes concordam com os termos do DPA, incluindo a contratação de Subprocessadores listados aqui, sujeito aos procedimentos de notificação e objeção descritos neste documento.
A GitScrum reserva-se o direito de atualizar esta Lista de Subprocessadores de tempos em tempos, de acordo com os procedimentos de notificação estabelecidos na Seção 4.
Data de Vigência: Esta Lista de Subprocessadores entra em vigor em 5 de Janeiro de 2026 e aplica-se a todos os clientes que utilizam os Serviços da GitScrum.