Acordo de Tratamento de Dados

Este Acordo de Tratamento de Dados (DPA) faz parte das nossas condições gerais e aplica-se automaticamente assim que tu, enquanto cliente B2B, contratas um serviço em que tratamos dados pessoais dos teus utilizadores finais em teu nome (RGPD art. 28). Não precisas de o assinar à parte — aceitar as condições = aceitar este DPA.

1. Partes e papéis

Responsável pelo tratamento: tu, o cliente (o "Cliente").

Subcontratante: InternalHost (empresário em nome individual Xaviero Kajafas, KvK neerlandês 90174720).

A InternalHost trata dados pessoais apenas seguindo as instruções do Cliente e somente na medida necessária para prestar os serviços acordados (hosting, armazenamento, correio, rede).

2. Objeto e duração

• Objeto: tratamento de dados pessoais no contexto dos serviços de infraestrutura TI que prestamos.
• Natureza do tratamento: armazenamento, transmissão (dentro da nossa infraestrutura), backup — não fazemos tratamento ativo do conteúdo dos utilizadores finais.
• Finalidade: disponibilizar os serviços TI acordados.
• Categorias de titulares dos dados: as que o Cliente determinar. Nós não temos visibilidade (não andamos a olhar para as tuas bases de dados).
• Tipos de dados pessoais: os que o Cliente determinar. Categorias especiais (saúde, religião, etc.) são permitidas desde que o Cliente adote medidas técnicas e organizativas adequadas.
• Duração: enquanto vigorar o contrato principal, mais um período de recuperação de 14 dias após a cessação.

3. Medidas de segurança

A InternalHost adota pelo menos as seguintes medidas técnicas e organizativas:

• Cifragem em trânsito: TLS 1.2+ em todos os endpoints públicos, WireGuard para a mesh interna.
• Cifragem em repouso: LUKS em todos os volumes de armazenamento. A cifragem ao nível do Cliente é da sua responsabilidade.
• Controlo de acesso: SSH apenas com chaves ed25519, MFA obrigatório para acesso de admin, princípio do mínimo privilégio.
• Registo: os acessos à infraestrutura são registados (90 dias).
• Cópias de segurança: snapshots cifrados diários dos volumes de cliente, retenção 7d/4s/12m (do nosso lado — o backup ao nível da aplicação é da responsabilidade do Cliente).
• Segurança física: o Qupra DC tem acesso com pessoal 24/7, certificação ISO 27001 + 9001, acesso biométrico + mantrap.
• Atualizações de software: patches de segurança em 7 dias após o release, os críticos em 24 horas.
• Monitorização: CrowdSec + fail2ban em todos os serviços expostos.

Um resumo atualizado das medidas técnicas está disponível mediante pedido em [email protected].

4. Subcontratantes

Usamos os seguintes subcontratantes. Todos na UE. Notificamos qualquer alteração com pelo menos 30 dias de antecedência, para que o Cliente possa opor-se.

5. Transferências fora da UE

Não transferimos dados pessoais para países fora da UE/EEE, exceto quando a Cloudflare, enquanto CDN, encaminha inevitavelmente por PoPs fora da UE em caso de DDoS. Nesse caso, aplicam-se as Cláusulas Contratuais Tipo entre a Cloudflare e nós.

6. Procedimento em caso de violação de dados

Em caso de violação de dados pessoais que afete o Cliente, notificamos o Cliente em 24 horas a contar da descoberta (para o email registado) com:

• Natureza da violação
• Categorias e número aproximado de afetados
• Consequências prováveis
• Medidas adotadas ou propostas

O Cliente decide se é necessário notificar a Autoridade de Proteção de Dados. Apoiamos no que for preciso.

7. Cessação e devolução de dados

Após a cessação do contrato principal:

• O Cliente tem 14 dias para descarregar todos os dados (via SSH/SFTP ou pedido de exportação).
• Depois disso, todos os dados pessoais são eliminados de forma permanente, exceto quando se aplique retenção legal (fiscalidade neerlandesa: faturas 7 anos).
• Mediante pedido fornecemos um certificado de destruição por escrito.

Para contratos específicos (grande B2B, saúde, setor financeiro) podemos assinar um DPA personalizado. Escreve para [email protected].