Blog Lançamentos Problemas Documentos Download Status Looking Glass Falar com Vendas
Rede Resiliência Recuperação Segurança Cofre Imutável Auditoria com evidência de adulteração Preços
Desenvolvedores
Visão geral do desenvolvedorCLI, SDKs, webhooks InfraestruturaDocker, K8s, Terraform, CI/CD. Agentes de IAClaude Code, Codex, Cursor, Hermes, OpenClaw. Ferramentas MSPDatto, NinjaOne, ConnectWise, N-able. Extensão de navegadorPreenchimento automático, login baseado em dispositivo, gerador Aplicativos móveisiOS e Android nativos Claude CodeTokens com âmbito limitado CodexIntegração OpenAI CursorModo agente Hermes AgentAgente Hermes da Nous Research OpenClawResolvedor de agente ImportarDe qualquer gerenciador de senhas
Recursos
Blog Lançamentos Problemas Documentos Download Status Looking Glass Falar com Vendas
Soluções
Consumidor SMB Enterprise MSP
Idioma
🇺🇸 English 🇮🇩 Bahasa Indonesia 🇩🇰 Dansk 🇩🇪 Deutsch 🇪🇸 Español 🇫🇷 Français 🇮🇹 Italiano 🇳🇱 Nederlands 🇳🇴 Norsk 🇵🇱 Polski 🇧🇷 Português 🇫🇮 Suomi 🇸🇪 Svenska 🇻🇳 Tiếng Việt 🇹🇷 Türkçe 🇷🇺 Русский 🇺🇦 Українська 🇮🇳 हिन्दी 🇹🇭 ไทย 🇨🇳 中文 🇯🇵 日本語 🇰🇷 한국어
Entrar Obtenha gratuitamente para sempre Comece

Jurídico

Acordo de Processamento de Dados

Cláusulas contratuais padrão para conformidade com o GDPR e o FADP suíço. Aplica-se automaticamente a todas as assinaturas pagas.

Última atualização: 25 de maio de 2026

01
Definitions

"Controlador" significa a pessoa natural que cria e possui os dados dentro do seu cofre Clavitor. Você é sempre o Controlador das suas próprias credenciais e dados pessoais.

"Processador" significa Clavitor.ai, a entidade que fornece infraestrutura de hospedagem, orquestração de criptografia e serviços de armazenamento de dados em nome do Controlador.

"Titular dos Dados" significa a pessoa natural cujos dados pessoais são processados — esta pode ser você (o Controlador) ou outras pessoas cujos dados você armazena no seu cofre (membros da família, funcionários, clientes).

"Dados Pessoais" significa qualquer informação relacionada a uma pessoa natural identificada ou identificável armazenada no seu cofre, incluindo, mas não se limitando a: credenciais, senhas, chaves de API, dados de cartão de pagamento, documentos de identidade e informações de contato.

"Processamento" significa qualquer operação realizada em Dados Pessoais, incluindo coleta, armazenamento, criptografia, transmissão, backup e exclusão.

02
Processing details
ItemDetalhe
Objeto do contratoHospedagem de cofre de credenciais criptografado e serviços relacionados
DuraçãoPelo prazo da sua assinatura, mais um período de carência de 30 dias somente leitura após o cancelamento. Os dados do cofre são excluídos após o período de carência. Backups de conformidade são destruídos 30 dias após a exclusão. Exclusão imediata disponível mediante solicitação.
Natureza e finalidadeArmazenamento de dados criptografados; orquestração de autenticação; backup e recuperação de desastres; suporte técnico (com limitações de conhecimento zero)
Tipo de Dados PessoaisCredenciais do usuário, tokens de autenticação, dados de cartão de pagamento, documentos de identidade, notas seguras, sementes TOTP, metadados
Categorias de Titulares de DadosControlador (titular da conta) e terceiros cujos dados o Controlador opta por armazenar
03
Obligations of the Processor

3.1 Processar apenas mediante instruções documentadas. A Clavitor processa Dados Pessoais apenas para fornecer o serviço de cofre conforme descrito em nossos Termos de Serviço. Não usamos dados para nossos próprios fins, não treinamos modelos de IA, não extraímos insights nem monetizamos além das taxas de assinatura.

3.2 Garantir a confidencialidade. Todo o pessoal da Clavitor com acesso potencial à infraestrutura está vinculado por acordos de confidencialidade. O acesso é concedido pelo princípio do menor privilégio e registrado.

3.3 Implementar medidas de segurança. Implementamos:

  • Criptografia de ponta a ponta: Dados criptografados em repouso e em trânsito
  • Criptografia em camadas (L2/L3): Campos de identidade criptografados com chaves derivadas do seu dispositivo (WebAuthn PRF) — não descriptografáveis por nós
  • Arquitetura de conhecimento zero: Não podemos descriptografar o conteúdo do cofre; apenas metadados (IDs de entrada, tipos, timestamps) são legíveis
  • Autenticação baseada em dispositivo (WebAuthn): Nenhuma senha armazenada no lado do servidor
  • Distribuição geográfica: 21 Pontos de Presença (POPs) com replicação criptografada
  • Resposta a incidentes: Monitoramento 24/7, alertas automatizados, procedimentos documentados de violação

3.4 Transparência de subprocessadores. Usamos apenas os subprocessadores listados em nossa Lista de Subprocessadores. Notificamos os assinantes 30 dias antes de adicionar qualquer novo subprocessador.

3.5 Auxiliar com os direitos do Titular dos Dados. Mediante sua solicitação, ajudaremos você a responder às solicitações de Titulares de Dados que exercem direitos sob GDPR/FADP (acesso, retificação, exclusão, portabilidade, restrição, objeção). Nota: Devido à arquitetura de criptografia, não podemos acessar ou modificar o conteúdo criptografado do cofre; a assistência é limitada a operações em nível de conta.

"registros de auditoria" ✓ (glossary term used correctly)

3.7 Excluir ou retornar dados. Após o término da assinatura, seus cofres se tornam somente leitura por 30 dias. Após 30 dias, os dados do cofre são permanentemente excluídos. Backups de conformidade são destruídos 30 dias após a exclusão. Para contas suspensas por falta de pagamento, os dados são excluídos 30 dias após a suspensão e os backups são rotacionados 60 dias após isso. A exclusão imediata está disponível mediante solicitação a qualquer momento. Os dados não podem ser retornados em forma decifrada (nós não temos as chaves). Detalhes completos em nossos Termos de Serviço.

3.8 Auditoria e inspeção. Mediante aviso prévio por escrito de 30 dias, você pode auditar nossa conformidade com este DPA. As auditorias são realizadas em nossa sede em Zurique ou virtualmente. Fornecemos a documentação relevante; o acesso direto à infraestrutura requer aprovação de segurança.

3.9 Notificar sobre violações. Notificamos você em até 24 horas após a descoberta de qualquer violação que afete seus Dados Pessoais. Nunca atrasaremos a notificação para investigação ou revisão legal.

3.10 Documentar atividades de processamento. Mantemos registros de atividades de processamento e disponibilizamos resumos mediante solicitação.

04
Obligations of the Controller

Você garante que:

  • Você tem base legal para processar Dados Pessoais em seu cofre
  • Você forneceu avisos de privacidade apropriados aos Titulares de Dados cujos dados você armazena
  • Você não armazenará dados em violação às leis aplicáveis
  • Você nos notificará prontamente sobre quaisquer solicitações de Titulares de Dados ou investigações regulatórias
05
Data location and transfer

Os dados do seu cofre são armazenados criptografados no Ponto de Presença (POP) geograficamente mais próximo do seu padrão de acesso. POPs primários e de backup estão em regiões diferentes para resiliência. A lista completa de 21 POPs com cidades, provedores e certificações de conformidade é mantida em nosso banco de dados de POPs.

Os provedores de infraestrutura usados para POPs incluem: Amazon Web Services (17 POPs, provedor principal para a maioria das regiões), ISHosting (Istambul, Almaty, Bogotá) e HostAfrica (Lagos). As operações da sede em Zurique (faturamento, administrativo) usam Hostkey.

Todos os POPs estão em:

  • Jurisdições com decisões de adequação (UE, EEE, Suíça, Reino Unido, Canadá, etc.)
  • Vinculados por Cláusulas Contratuais Padrão (SCCs) onde não há decisão de adequação

Devido à nossa arquitetura de criptografia (conhecimento zero), mesmo os dados armazenados em jurisdições não adequadas são tecnicamente protegidos. Não podemos descriptografá-los; nem as autoridades locais. A resolução de DNS é tratada pela Cloudflare; nenhum dado do cofre passa pela rede deles.

06
Encryption and technical measures

Nenhum dado é descriptografável por nós em repouso. O arquivo do cofre é criptografado e a chave de criptografia não é armazenada no servidor. Quando um agente ou usuário se conecta, ele carrega a chave L1 consigo — tecnicamente poderíamos interceptá-la em trânsito (embora não o façamos, e o TLS impeça terceiros de fazê-lo). Mesmo com L1, apenas metadados são visíveis. Campos de credenciais e identidade permanecem selados.

  • "Com L1, títulos..." ✓ no "decifrar" here
  • L2 (Campos de credenciais): Senhas, chaves de API, sementes TOTP, tokens OAuth — criptografados por campo com uma chave de 16 bytes que nunca existe no servidor. L2 é mantido apenas pelo navegador do usuário e seus agentes registrados. Não podemos descriptografar campos de credenciais, e nenhum processo do lado do servidor tem acesso a L2.
  • L3 (Campos de identidade): Cartões de crédito, CVV, números de passaporte, SSNs, códigos de recuperação — criptografados com uma chave de 32 bytes de pura entropia aleatória, gerada na criação do cofre. O usuário não conhece esta chave. Nós não a temos. L3 nunca existe em nenhum servidor. É protegido encapsulando-o com a saída de 32 bytes da PRF da sua chave de hardware (impressão digital, rosto ou chave de segurança via WebAuthn PRF). Sem o dispositivo físico, L3 não pode ser desembrulhado. Matematicamente, não podemos descriptografar campos de identidade, e não podemos ser obrigados a produzir uma chave que não temos.
07
Contact

Para consultas relacionadas ao DPA:

Encarregado de Proteção de Dados (DPO) Clavitor LLC c/o Johan Jongsma

privacy@clavitor.ai
08
Effective date and changes

Este DPA é efetivo a partir da data de início da sua assinatura e permanece em vigor até o término. Alterações são notificadas com 30 dias de antecedência. O uso contínuo constitui aceitação.

Última atualização: 25 de maio de 2026 · Versão 1.1