documento legal

Acordo de Tratamento de Dados (DPA)

Última atualização: 2026-05-09 · Versão: 1.1

1. Partes e papéis (LGPD art. 5º VI e VII)

Este DPA integra os Termos de Uso entre Você (Cliente / Controlador) e ZARK (Operador). Quando o ZARK PAY processa dados pessoais de pagadores ou clientes finais por solicitação do Cliente, atua como operador nos termos da LGPD.

Para os dados do próprio Cliente (cadastro, KYC do beneficiário, credenciais de acesso), ZARK atua como controladora — esses tratamentos são regidos pela Política de Privacidade.

2. Objeto e finalidade

Tratamento de dados pessoais necessário à operação do gateway: criação de cobranças Pix, processamento de pagamentos, geração de comprovantes, conciliação financeira, prevenção a fraudes e cumprimento de obrigações regulatórias e fiscais aplicáveis.

3. Sub-processadores autorizados

O Cliente autoriza expressamente os seguintes sub-processadores:

WOOVI/OpenPix (CNPJ 33.522.539/0001-39) — Instituição de Pagamento autorizada pelo BCB; processamento Pix, subcontas, MED. Localização: Brasil.
Supabase Inc. — banco de dados Postgres e Storage. Localização: AWS sa-east-1, São Paulo/Brasil.
Provedor de email transacional (Resend ou equivalente) — envio de notificações operacionais.
Cloudflare — CDN, mitigação DDoS e DNS, com edge nodes no Brasil.

Adições ou substituições de sub-processadores serão comunicadas com antecedência mínima de 30 dias; o Cliente pode objetar formalmente, encerrando o contrato sem penalidade caso a objeção não seja superada.

4. Medidas técnicas e organizacionais (LGPD art. 46-47)

Criptografia em trânsito (TLS 1.3); senhas com hash bcrypt/argon2
Postgres Row-Level Security garantindo isolamento entre Clientes
Audit log imutável via constraint triggers Postgres em ledger e payment_events
Autenticação 2FA TOTP disponível para administradores
API keys com escopos restritos (princípio do menor privilégio)
Rate limiting e proteção CSRF em endpoints públicos
Backups diários com retenção mínima de 30 dias
Resposta a incidentes alinhada à Resolução CMN 4.893/2021
Rotação periódica de credenciais e webhooks signing secrets

5. Direitos dos titulares

Quando atuando como operador, ZARK auxiliará o Cliente a atender requisições de titulares em prazo compatível com o art. 19 da LGPD. Solicitações recebidas diretamente pela ZARK serão encaminhadas ao Cliente em até 5 dias úteis.

6. Notificação de incidentes (LGPD art. 48)

Em caso de incidente de segurança envolvendo dados pessoais, ZARK notificará o Cliente em até 72 horas da ciência, com: (a) descrição da natureza do incidente; (b) categorias e quantidade de titulares afetados; (c) medidas técnicas adotadas; (d) riscos relacionados; (e) canal para esclarecimentos. ZARK auxiliará o Cliente nas comunicações exigidas perante a ANPD.

7. Auditoria

Mediante aviso prévio de 30 dias, o Cliente pode auditar o cumprimento deste DPA uma vez ao ano, em horário comercial, sem prejuízo da operação e observada a confidencialidade. ZARK pode satisfazer obrigações de auditoria fornecendo relatórios técnicos vigentes (SOC 2 / ISO 27001 quando disponíveis) e respondendo questionários de segurança.

8. Confidencialidade

ZARK garantirá que pessoas autorizadas a tratar dados pessoais do Cliente assumam compromisso de confidencialidade ou estejam sob obrigação legal equivalente.

9. Devolução e eliminação

No encerramento dos serviços, dados pessoais sob tratamento como operador serão devolvidos em formato CSV/JSON ou eliminados em até 90 dias, exceto quando retenção for exigida por lei (5 anos para dados financeiros conforme Lei 9.613/1998 e normas BCB).

10. Vigência e alteração

Este DPA vigora enquanto durar a relação comercial entre as partes e prevalece sobre qualquer disposição conflitante dos Termos de Uso quanto a tratamento de dados pessoais. Alterações materiais serão comunicadas por email com 30 dias de antecedência.

11. Lei aplicável

Este DPA é regido pela legislação brasileira, em especial a LGPD (Lei 13.709/2018), com foro eleito conforme Termos de Uso.

Para assinatura formal: juridico@zarkpay.com · DPO: dpo@zarkpay.com

1. Partes e papéis (LGPD art. 5º VI e VII)

Para os dados do próprio Cliente (cadastro, KYC do beneficiário, credenciais de acesso), ZARK atua como controladora — esses tratamentos são regidos pela Política de Privacidade.

3. Sub-processadores autorizados

O Cliente autoriza expressamente os seguintes sub-processadores:

WOOVI/OpenPix (CNPJ 33.522.539/0001-39) — Instituição de Pagamento autorizada pelo BCB; processamento Pix, subcontas, MED. Localização: Brasil.

Supabase Inc. — banco de dados Postgres e Storage. Localização: AWS sa-east-1, São Paulo/Brasil.

Provedor de email transacional (Resend ou equivalente) — envio de notificações operacionais.

Cloudflare — CDN, mitigação DDoS e DNS, com edge nodes no Brasil.

4. Medidas técnicas e organizacionais (LGPD art. 46-47)

Criptografia em trânsito (TLS 1.3); senhas com hash bcrypt/argon2

Postgres Row-Level Security garantindo isolamento entre Clientes

Audit log imutável via constraint triggers Postgres em ledger e payment_events

Autenticação 2FA TOTP disponível para administradores

API keys com escopos restritos (princípio do menor privilégio)

Rate limiting e proteção CSRF em endpoints públicos

Backups diários com retenção mínima de 30 dias

Resposta a incidentes alinhada à Resolução CMN 4.893/2021

Rotação periódica de credenciais e webhooks signing secrets

6. Notificação de incidentes (LGPD art. 48)

7. Auditoria