ContaClara
ContaClara · 14 min de leitura

Soberania de dado em SaaS telecom: 5 camadas que destravam o veto da TI

Soberania de dado é mais que "EU-DE" no rodapé. Hospedagem Hetzner, RLS Postgres, TLS, subprocessador e DPA público: 5 camadas para Diego TI passar o fornecedor.

Sumário do artigo · 9 seções
TL;DR

Diego TI bate na porta da Compras com 4 perguntas técnicas LGPD antes de aprovar qualquer SaaS B2B: onde o dado é hospedado, como é isolado entre clientes, como é criptografado, e qual a cadeia de subprocessador. Esse post crava as 5 camadas que separam SaaS com soberania declarada de SaaS com "EU-DE no rodapé". Hospedagem Hetzner Falkenstein/DE com jurisdição GDPR equivalente, isolamento Postgres com RLS multi-tenant, TLS in-transit + backup criptografado at-rest, cadeia rastreável de 4 subprocessadores, governança com DPA público em /seguranca + email DPO ativo. Diego compara, aprova ou veta — sem ambiguidade.

Em 30% dos deals B2B SaaS mid-market, o veto técnico do gerente de TI mata a contratação. Não por preço, não por feature, não por demo — por documentação de segurança e LGPD insuficiente. Diego (persona TI que aprova ou veta tecnicamente) chega na reunião com 4 perguntas:

  1. Onde o dado é hospedado e processado?
  2. Como o dado é isolado entre clientes (multi-tenant)?
  3. Como o dado é criptografado em trânsito e em repouso?
  4. Qual a cadeia completa de subprocessador e como ela é auditável?

Fornecedor que responde com link público em 1 reunião passa. Fornecedor que pede “envie a DPA pra gente analisar e voltamos em 30-60 dias” entra na fila de procrastinação.

Este post não substitui assessoria jurídica especializada em LGPD — ele documenta a arquitetura de segurança e a cadeia de subprocessador da ContaClara conforme operada na infraestrutura real, com base em LGPD art. 5, 39, 42 e 48 verbatim. Para parecer jurídico vinculante sobre tratamento de dado em contexto específico, consultar advogado da empresa.

Esse post crava as 5 camadas que separam SaaS com soberania de dado declarada e auditável de SaaS com “EU-DE no rodapé sem prova”. Pensado para Diego TI que precisa de documento técnico para subir ao CISO ou ao Compliance da empresa contratante.

Por que 5 camadas e não 1 selo

LGPD art. 39 obriga o Operador a seguir instruções do Controlador. LGPD art. 42 estabelece responsabilização solidária entre Operador e Controlador em caso de incidente. Isso significa que a empresa contratante (Controlador) responde solidariamente por qualquer falha do SaaS contratado (Operador) que vaze dado pessoal.

Logo: a Compras pode até comprar SaaS com “EU-DE no rodapé”, mas se o dado vaza, é o nome da empresa contratante que aparece na imprensa. Diego TI sabe disso. Daí a exigência de documentação técnica pesada — não é burocracia, é defesa institucional.

As 5 camadas abaixo cobrem o que basta para Diego aprovar ou vetar com confiança baseada em evidência, não em ato de fé.

Camada 1 — Hospedagem com jurisdição declarada

O que define soberania: o servidor físico onde o dado é processado e armazenado precisa estar em jurisdição com regime legal de proteção de dado equivalente ou superior à LGPD brasileira.

Como ContaClara opera: infraestrutura primária em Hetzner Falkenstein (Alemanha). Hetzner é provedor europeu Tier-3 com certificação ISO 27001, datacenter no estado alemão da Saxônia (jurisdição BDSG — Bundesdatenschutzgesetz — equivalente GDPR).

Por que Alemanha e não cloud brasileiro:

  • Jurisdição soberana documentada: servidor sob BDSG/GDPR não está sob jurisdição extraterritorial dos EUA (relevante quando empresa contratante quer separar provedor de cloud da matriz US)
  • GDPR equivalência LGPD: ANPD em decisões públicas reconhece GDPR como sistema de proteção equivalente para transferência internacional (LGPD art. 33)
  • Custos previsíveis: sem cobrança variável de egress ou tráfego (relevante em SaaS que processa volumes grandes de fatura mensal)
  • Trade-off honesto: Hetzner exige operação própria de DevOps; AWS/Azure no Brasil resolvem latência com serviços gerenciados, mas a matriz operacional permanece US

O que Diego pode auditar:

  • IP público da infraestrutura ContaClara registra geolocalização Falkenstein/DE (verificável em qualquer ferramenta whois)
  • Datacenter Hetzner Falkenstein 1-2 tem certificação ISO 27001 publicada
  • ContaClara não opera presença em jurisdição que viole soberania declarada

Disclaimer: equivalência GDPR/LGPD é decisão da ANPD em casos concretos. Empresa contratante pode exigir parecer jurídico próprio antes de aceitar transferência internacional. ContaClara fornece DPA padrão que documenta o regime jurídico aplicável.

Camada 2 — Isolamento multi-tenant com Row Level Security

O que define isolamento: em SaaS multi-tenant (múltiplos clientes no mesmo banco), o dado de cada cliente precisa estar isolado de forma que erro de aplicação, bug ou tentativa de ataque não exponha dado cruzado entre clientes.

Como ContaClara opera: PostgreSQL gerenciado pela Supabase com Row Level Security (RLS) aplicado em toda tabela que contém dado de cliente.

Como funciona o RLS na prática:

  1. Cada usuário autentica e recebe token JWT com claim “cliente_id = X”
  2. Toda query (SELECT, INSERT, UPDATE, DELETE) é submetida ao filtro RLS automaticamente
  3. Política cravada no Postgres: “USING (cliente_id = current_setting(‘app.current_cliente_id’))”
  4. Resultado: nenhuma query consegue retornar linha que não pertence ao cliente X — mesmo que a aplicação tenha bug

Por que isso é defesa redundante:

  • Se aplicação tem bug de filtro (esquece WHERE cliente_id = X), RLS ainda protege
  • Se aplicação é comprometida com SQL injection que não atinge a camada de autenticação, RLS ainda protege
  • Se desenvolvedor por engano roda query sem filtro, RLS ainda protege

O que Diego pode auditar:

  • DPA ContaClara documenta RLS como mecanismo principal de isolamento
  • Documentação pública em /seguranca cita o padrão técnico aplicado
  • Testes de isolamento são executados continuamente no pipeline de CI/CD

Diferencial: RLS é nativo do PostgreSQL (não plugin externo). Não depende de fornecedor terceiro de “tenant isolation”. Padrão da indústria para SaaS B2B multi-tenant LGPD-ready.

Camada 3 — Criptografia in-transit e at-rest

O que define proteção criptográfica:

  • Em trânsito (in-transit): todo dado trafegando entre cliente/aplicação/banco usa canal criptografado
  • Em repouso (at-rest): dado armazenado em disco e backup é criptografado mesmo se o disco físico for fisicamente acessado

Como ContaClara opera:

In-transit:

  • TLS 1.3 obrigatório em toda conexão pública
  • Certificado válido renovado automaticamente (Let’s Encrypt via Traefik)
  • HSTS habilitado (browser força HTTPS)
  • Conexão app → banco usa TLS também (não plain text mesmo na rede interna)

At-rest:

  • Disco do banco Postgres criptografado no nível de provedor (Supabase + Hetzner)
  • Backup pg_dump criptografado antes de envio para storage externo
  • Senha de banco rotacionada com checklist documentado (auditoria S11 cravada)

O que Diego pode auditar:

  • Ferramenta pública como SSL Labs (ssllabs.com/ssltest) confere grau de criptografia em trânsito do domínio app.usecontaclara.com.br em tempo real
  • DPA documenta criptografia at-rest e ciclo de rotação de chave
  • Em caso de auditoria formal, ContaClara fornece evidência adicional sob NDA

Camada 4 — Cadeia de subprocessador rastreável

O que LGPD exige: art. 39 obriga o Operador (ContaClara) a seguir instruções do Controlador (cliente). Art. 42 estabelece responsabilização solidária. Logo, qualquer subcontratado (subprocessador) que o Operador usa para processar dado pessoal precisa ser declarado, autorizado e auditável.

Como ContaClara documenta a cadeia:

#SubprocessadorFunçãoJurisdição
1Hetzner Online GmbHHospedagem servidor primárioAlemanha (DE)
2Supabase Inc.PostgreSQL gerenciado + AuthEUA (com sub-hospedagem AWS)
3Modal Labs Inc.Processamento serverless de parser legadoEUA
4MailerSendEmail transacional (apenas cadastro/notificação)UE/EUA

Lista atualizada e mantida pública em usecontaclara.com.br/seguranca. Toda inclusão ou substituição de subprocessador é notificada aos clientes ativos com 30 dias de antecedência (cláusula padrão no DPA).

O que Diego pode auditar:

  • Cada subprocessador tem URL pública, política de privacidade própria e DPA disponível ou referenciável
  • Cadeia é fechada — ContaClara não usa “subprocessador oculto” não declarado
  • Cliente que tenha restrição específica (ex.: “não pode passar por subprocessador US”) pode discutir customização contratual antes de assinar

Diferencial competitivo cravado: entre 17 concorrentes mid-market BR mapeados, 16 não publicam essa cadeia ativamente. Diego que pergunta tem que perseguir por e-mail. Em ContaClara, pergunta vira link de 1 minuto.

Camada 5 — Governança documental pública

O que importa: Diego não quer “vamos enviar a documentação após assinatura”. Quer documento público AGORA, antes de aprovar o vendor.

Como ContaClara opera:

A página usecontaclara.com.br/seguranca consolida:

  • DPA padrão (Data Processing Agreement) disponível para download — cláusulas LGPD art. 39 cobertas, regime jurídico declarado, política de retenção, política de eliminação de dado
  • Arquitetura técnica descrita em texto e diagrama (camadas 1-4 acima)
  • Cadeia de subprocessador atualizada com URL e jurisdição (camada 4)
  • Política de retenção e eliminação de dado (12 meses padrão para histórico, eliminação sob solicitação cliente)
  • Roadmap de certificações declarado: SOC2 Type II para Q4/2027, ISO 27001 para 2028
  • Email DPO ativo: dpo@usecontaclara.com.br para qualquer questionamento técnico ou jurídico

Por que isso destrava 30% dos deals:

  • Diego TI lê em 1 sessão de 30-45 minutos e decide aprovar ou questionar pontos específicos
  • Não há ciclo de “envia DPA → analisa 30 dias → questiona → revisa → reenviar” — tudo é base pública discutível
  • Empresa contratante com Compliance interno pode subir os documentos diretamente para análise

Comparativo categorial NÃO-nominal: entre concorrentes mid-market BR observados, dois padrões dominam — (a) DPA disponível apenas após assinatura de NDA preliminar, (b) cadeia de subprocessador não publicada. ContaClara opta pelo padrão público — leitura técnica pesada acessível pré-assinatura. Para Diego, isso reduz ciclo de aprovação de 30-60 dias para 1-2 reuniões.

Tabela síntese — 5 camadas

#CamadaMecanismo cravadoAuditável por Diego
1HospedagemHetzner Falkenstein DEIP whois + ISO 27001 datacenter
2IsolamentoPostgres RLS multi-tenant via SupabaseDPA + documentação técnica /seguranca
3CriptografiaTLS 1.3 in-transit + AES at-restSSL Labs report + DPA
4Subprocessador4 declarados públicos com 30d notificação/seguranca + URLs
5GovernançaDPA público + DPO + roadmap SOC2 declarado/seguranca + email DPO

Limitações honestas — o que ContaClara ainda NÃO tem

Operação ContaClara é honesta sobre maturidade — Diego que detecta omissão perde confiança.

Certificações pendentes (não ainda obtidas):

  • SOC2 Type II: roadmap declarado para Q4/2027 (não há prazo definido cravado, é declaração pública de intenção)
  • ISO 27001: roadmap para 2028 (idem)

O que isso significa: ContaClara cumpre boas práticas equivalentes (camadas 1-5 acima), mas não possui o selo de auditoria externa SOC2 Type II ainda. Empresa contratante que tenha exigência contratual de SOC2 Type II vigente precisa avaliar se aceita “roadmap declarado” ou se exige selo presente. Para empresas em fase de pré-auditoria ou com exigência crescente, vale combinar prazo de revisão contratual quando a certificação estiver concluída.

Cofre de segredo formalizado: atualmente, a operação de segredos da ContaClara usa Coolify UI + ambiente local com regra cravada de rotação após incidente. Vault formal (1Password ou Bitwarden) está em avaliação para implantação. Documentação atualizada em /seguranca.

Transparência operacional: ContaClara opera comunicação proativa em caso de incidente — Resolução CD/ANPD 15/2024 cravada em 72 horas da confirmação. Cliente é informado primeiro, antes de qualquer divulgação pública.

Quando Diego precisa mais do que documento público

Para empresa contratante com requisito de auditoria de fornecedor presencial ou exigência contratual extraordinária, ContaClara responde a:

  • Questionário de segurança customizado (SIG, CAIQ adaptados): equipe ContaClara responde em até 10 dias úteis
  • Sessão técnica com gerente de conta: vídeo-chamada de 60 minutos cobrindo dúvidas específicas
  • Acesso pré-assinatura sob NDA a documentos detalhados (procedimentos internos, scripts de backup, política de incidente)

Solicitação por dpo@usecontaclara.com.br com indicação do escopo solicitado.

Pricing público em usecontaclara.com.br/#precos — calculadora mostra a faixa antes de cadastrar. A demo pública da MERCEARIA TEM DE TUDO LTDA está navegável sem cadastro para Diego avaliar UX técnica antes de exigir documentação adicional.


ContaClara é o painel claro de telecom corporativo. Consolidamos, organizamos e governamos cada linha, cada CNPJ, cada real da fatura — multi-operadora, multi-filial, sem virar madrugada no Excel. Conheça a demo pública ou calcule seu preço.

DPO: dpo@usecontaclara.com.br

Perguntas frequentes

O que conta como soberania de dado em SaaS B2B BR?

Soberania de dado é a combinação de 3 fatores verificáveis: jurisdição clara onde o dado é hospedado e processado (preferencialmente Brasil ou país GDPR equivalente como Alemanha), arquitetura técnica que isola o dado entre clientes (no caso multi-tenant, Row Level Security ou tenant separado por schema), e governança documental pública que rastreia toda a cadeia de subprocessador (operador → subprocessador → eventual subcontratado). "EU-DE" sozinho no rodapé não é soberania — é declaração de intenção sem evidência técnica.

Por que Hetzner Falkenstein/Alemanha em vez de cloud AWS/Azure brasileiro?

Hetzner Falkenstein/DE oferece jurisdição alemã (BDSG) e GDPR — equivalência LGPD reconhecida pela ANPD em decisões públicas sobre transferência internacional. Custos previsíveis (sem surpresa de tráfego ou egress), datacenter Tier-3 com certificação ISO 27001, e separação clara entre serviços (compute, storage, network) sem lock-in de plataforma. AWS/Azure no Brasil resolvem latência, mas mantêm controle final da matriz US — relevante para empresa que precisa de jurisdição soberana documentada. Trade-off: Hetzner exige operação própria (DevOps), AWS oferece serviços gerenciados.

Como funciona Row Level Security multi-tenant em Postgres?

RLS é mecanismo nativo do Postgres que filtra registros automaticamente conforme o contexto do usuário autenticado. Em SaaS multi-tenant, cada query traz contexto "cliente_id = X" e a política RLS rejeita qualquer linha que não pertença ao cliente X. O isolamento é no nível do banco — frontend nunca precisa filtrar manualmente. Se a aplicação tem bug, RLS ainda protege; se a aplicação é comprometida com SQL injection limitada, RLS ainda protege. É camada redundante de isolamento que zera risco de vazamento cruzado entre clientes.

O que faz parte da cadeia de subprocessador e por que importa?

LGPD art. 39 obriga o Operador (a empresa SaaS) a seguir instruções do Controlador (a empresa cliente) — incluindo declarar a cadeia de subcontratação. Cada serviço que o SaaS usa para processar dado pessoal vira subprocessador: hospedagem (Hetzner), banco de dados gerenciado (Supabase), processamento serverless (Modal), CDN, email transacional (MailerSend). A cadeia precisa ser pública e rastreável porque LGPD art. 42 estabelece responsabilização solidária — se um subprocessador vaza dado, Controlador e Operador respondem juntos.

Como a ContaClara documenta tudo isso publicamente?

A página /seguranca em usecontaclara.com.br traz DPA padrão (Data Processing Agreement) para download, lista detalhada da arquitetura (Hetzner Falkenstein, Postgres RLS via Supabase, parser e processamento, backup criptografado), cadeia de subprocessador com URL de cada um, política de retenção e eliminação de dado, e roadmap de certificações (SOC2 Type II declarado para Q4/2027). Email DPO ativo em dpo@usecontaclara.com.br para qualquer questionamento técnico ou jurídico antes da contratação. Diego TI pode auditar e aprovar/vetar com base em documento público — sem ciclo de "envia DPA pra gente analisar" que enterra deal por 30-60 dias.