Subprocessadores
Última atualização: 24 de maio de 2026
Em conformidade com os artigos 7º, 9º e 39 da Lei nº 13.709/2018 (LGPD), a GoAventura mantém esta página atualizada com os operadores e prestadores de serviço que tratam dados pessoais em nosso nome. Cada um deles está submetido a obrigações contratuais de confidencialidade, segurança da informação e finalidade restrita.
Os fornecedores listados podem ser substituídos por equivalentes de igual nível de proteção, com aviso prévio razoável publicado nesta página. Mudanças materiais que afetem direitos dos titulares serão comunicadas pelos canais oficiais da plataforma.
1. Lista de subprocessadores
Clerk (Clerk, Inc.)
- Finalidade
- Autenticação, gestão de identidades e sessão dos usuários (donos e colaboradores das empresas).
- Dados tratados
- E-mail, nome, identificador de sessão, endereço IP e metadados de login (dispositivo, navegador).
- País
- Estados Unidos
- Garantias
- DPA padrão do fornecedor, com cláusulas-padrão para transferência internacional.
Pagar.me (Stone Pagamentos S.A.)
- Finalidade
- Processamento de pagamentos (Pix e cartão de crédito), assinaturas SaaS, split nativo de comissão e KYC dos recebedores.
- Dados tratados
- Nome, CPF/CNPJ, data de nascimento, endereço, dados bancários, dados do cartão (tokenizados — nunca passam pelo nosso servidor), valor e descrição da transação.
- País
- Brasil
- Garantias
- Contrato comercial Pagar.me/Stone; instituição autorizada e fiscalizada pelo Banco Central do Brasil (Circular 3.978/20). PCI-DSS.
Supabase (Supabase Inc., infraestrutura sobre AWS)
- Finalidade
- Banco de dados PostgreSQL (produção e staging), armazenamento de objetos e backups.
- Dados tratados
- Todos os dados pessoais armazenados pela plataforma (cadastro, reservas, conversas, logs).
- País
- Estados Unidos (instância em região leste, com replicação interna)
- Garantias
- DPA padrão do fornecedor + Standard Contractual Clauses (SCCs) para transferência internacional.
Vercel (Vercel Inc.)
- Finalidade
- Hospedagem da aplicação Next.js, CDN, edge cache, Analytics (anonimizado) e Speed Insights.
- Dados tratados
- Endereço IP truncado, user-agent, métricas de performance agregadas e logs de requisição (com expurgo automático).
- País
- Estados Unidos
- Garantias
- DPA padrão do fornecedor + SCCs.
Cloudinary (Cloudinary Ltd.)
- Finalidade
- Upload, transformação e CDN de fotos e vídeos (capa de empresa, fotos de atrações, fotos de reviews).
- Dados tratados
- Imagens enviadas pelas empresas e por clientes em reviews.
- País
- Estados Unidos / Israel
- Garantias
- DPA padrão do fornecedor.
Resend (Resend, Inc.)
- Finalidade
- Envio de e-mails transacionais (confirmação de reserva, lembretes, upsell, recuperação de conta, comunicações administrativas).
- Dados tratados
- E-mail e nome do destinatário, assunto e corpo da mensagem.
- País
- Estados Unidos
- Garantias
- DPA padrão do fornecedor.
Anthropic (Anthropic PBC) — modelo Claude Haiku
- Finalidade
- Inteligência artificial que apoia os bots de atendimento ao cliente das empresas (WhatsApp e Instagram). As mensagens trocadas no chat são enviadas à API da Anthropic para gerar a resposta.
- Dados tratados
- Conteúdo de mensagens enviadas pelo cliente no canal de atendimento e contexto público da empresa/atração injetado no prompt. A Anthropic, por contrato, não usa esses dados para treinamento de modelos.
- País
- Estados Unidos
- Garantias
- DPA público da Anthropic; uso comercial sem treinamento por padrão (zero data retention conforme termos comerciais).
Meta Platforms (Instagram Graph API)
- Finalidade
- Recebimento e envio de DMs do Instagram quando o bot de Instagram é ativado pela empresa.
- Dados tratados
- ID do usuário do Instagram (IGSID), conteúdo das mensagens trocadas, ID da página comercial.
- País
- Estados Unidos / Irlanda
- Garantias
- Termos da Meta para desenvolvedores e Plataforma Comercial; uso restrito aos limites da política da plataforma.
Evolution API (auto-hospedada pela GoAventura)
- Finalidade
- Gateway para o bot de WhatsApp das empresas.
- Dados tratados
- Número de telefone do cliente, conteúdo das mensagens e identificador da instância da empresa. Tokens de instância são criptografados em repouso com AES-256-GCM.
- País
- Brasil (servidor próprio)
- Garantias
- Operada diretamente pela GoAventura; integração com WhatsApp segue a política da Meta para o WhatsApp Business.
Upstash (Upstash, Inc.)
- Finalidade
- Cache de leitura (Redis serverless) — limite de taxa (rate limiting), cache de reviews do Google, locks de idempotência de webhook.
- Dados tratados
- Identificadores efêmeros (IP, token de reserva, chave de cache) — sem dado cadastral persistido.
- País
- Estados Unidos / União Europeia (multi-região)
- Garantias
- DPA padrão do fornecedor + SCCs.
Sentry (Functional Software, Inc.)
- Finalidade
- Monitoramento de erros da aplicação e rastreamento de exceções em produção.
- Dados tratados
- Stack trace, mensagens de erro, URL acessada, identificador de usuário (clerkId) sem nome ou e-mail. PII sensível é filtrada antes do envio.
- País
- Estados Unidos / União Europeia
- Garantias
- DPA padrão do fornecedor + SCCs.
Google (Places API New / Maps)
- Finalidade
- Buscar e exibir avaliações públicas no Google Reviews da empresa parceira, quando ela ativa a funcionalidade.
- Dados tratados
- Place ID configurado pela empresa. Não enviamos dados pessoais dos clientes finais à Google.
- País
- Estados Unidos
- Garantias
- Termos comerciais Google Maps Platform.
2. Transferências internacionais
Diversos subprocessadores estão sediados fora do Brasil. Quando a transferência internacional ocorrer para país que não conta com decisão de adequação da Autoridade Nacional de Proteção de Dados (ANPD), adotamos garantias específicas como Cláusulas-Padrão Contratuais (Standard Contractual Clauses) e Acordos de Tratamento de Dados (DPAs) com os fornecedores, conforme o art. 33 da LGPD.
3. Como sou notificado de mudanças?
Atualizações nesta lista são refletidas no campo "Última atualização" no topo desta página. Mudanças que envolvam substituição de fornecedor ou inclusão de nova categoria de dados serão comunicadas por e-mail aos titulares cujos dados sejam afetados, sempre que tecnicamente exequível, e pelos canais oficiais (banner no painel, e-mail aos donos de empresas).
4. Dúvidas e exercício de direitos
Para esclarecimentos sobre o uso destes subprocessadores ou para exercer qualquer dos direitos previstos no art. 18 da LGPD em relação a eles, escreva para privacidade@goaventura.app. Detalhes adicionais estão na Política de Privacidade.