Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Acordo de Processamento de Dados

Versão 3.0 · Última atualização: 9 de maio de 2026 · Com efeito imediato

1. Partes

Este Acordo de Processamento de Dados ("DPA") é celebrado entre o Cliente ("Responsável pelo Tratamento") e a YARDtwin Ltd, registada na Irlanda ("Subcontratante"), coletivamente designadas "Partes". Este DPA faz parte integrante dos Termos de Serviço do YARDtwin e está sujeito aos mesmos Termos de Serviço.

2. Âmbito e Finalidade

O Subcontratante trata dados pessoais em nome do Responsável pelo Tratamento exclusivamente para efeitos de prestação da plataforma de gestão de pátio YARDtwin: agendamento de docas, operações de portaria, visualização de gémeo digital do pátio, gestão de transportadoras e motoristas, registo de auditoria conforme GMP, análises e integrações. O tratamento é realizado durante o período de subscrição do Responsável pelo Tratamento e qualquer período de retenção exigido pela Secção 11.

3. Categorias de Titulares de Dados

  • Colaboradores e administradores do Responsável pelo Tratamento (utilizadores nomeados da plataforma)
  • Motoristas e pessoal logístico com entrada registada nas portarias do Responsável pelo Tratamento
  • Representantes de transportadoras e contactos de expedição
  • Pessoal de segurança de portaria e operadores de armazém

4. Tipos de Dados Pessoais

  • Dados de identidade: nomes, endereços de e-mail, números de telefone, cargo/função, nome e morada da empresa
  • Dados de autenticação: palavras-passe com hash bcrypt (12 rondas), tokens de acesso e atualização JWT, marcas temporais de sessão, endereços IP, identificadores SSO (Google, Microsoft)
  • Dados operacionais: agendamentos, alocações de docas, movimentos de reboques, registos de inspeção, documentos, atribuições de tarefas, matrículas de veículos
  • Dados de motoristas: números de carta de condução, imagens de carta de condução, imagens faciais opcionais para verificação biométrica na portaria (dados de categoria especial, Art. 9 GDPR — tratados apenas quando o Responsável pelo Tratamento tiver ativado a verificação biométrica na portaria e obtido consentimento explícito no momento da recolha)
  • Dados de auditoria: ações de utilizadores, marcas temporais, endereços IP, strings de user-agent, diferenças de valores antigos/novos, registos com flag GMP

5. Obrigações do Subcontratante

  • Tratar dados pessoais apenas com base em instruções documentadas do Responsável pelo Tratamento (a interface da plataforma e a API constituem instruções documentadas)
  • Assegurar que as pessoas autorizadas a tratar dados estão vinculadas por acordos de confidencialidade
  • Implementar medidas de segurança técnicas e organizativas adequadas (Art. 32) — ver Secção 7
  • Não envolver sub-processadores sem autorização prévia por escrito; fornecer aviso prévio de 30 dias para qualquer novo sub-processador (direito de oposição)
  • Auxiliar o Responsável pelo Tratamento nos pedidos dos titulares de dados (Art. 15–22) através dos endpoints DSAR descritos na Secção 9
  • Notificar o Responsável pelo Tratamento sobre violações de dados pessoais sem demora injustificada e no prazo de 72 horas (Secção 8)
  • Eliminar ou devolver todos os dados pessoais após a cessação dos serviços (Secção 11)
  • Disponibilizar todas as informações necessárias para demonstrar conformidade e apoiar auditorias (Secção 12)

6. Subprocessadores

O Processador recorre atualmente aos seguintes subprocessadores, cada um atuando ao abrigo de um Acordo de Processamento de Dados e (quando aplicável) das Cláusulas Contratuais Padrão 2021:

Sub-ProcessadorFinalidadeLocalizaçãoSalvaguardas
Microsoft AzureAlojamento (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)EEA — Suécia Central + Noruega LesteDPA dos Serviços Online Microsoft + SCCs da UE, ISO 27001, SOC 2 Type II, ISO 27018, Fronteira de Dados da UE
StripeFaturação de subscrições e processamento de pagamentos (nenhum número de cartão armazenado pelo YARDtwin)Stripe Irlanda (EEA), algum suporte nos EUADPA da Stripe + SCCs da UE + PCI DSS Nível 1
ResendEmail transacional (boas-vindas, lembretes de período de teste, respostas a DSAR, alertas de violação)EUA (Delaware)DPA da Resend + SCCs da UE (verificação de medidas suplementares FISA 702 em curso — ver Política GDPR 11.6)
Google Cloud VisionOCR de cartas de condução (apenas quando o Responsável pelo Tratamento ativa a verificação de licença na portaria)Regiões da UEDPA do Google Cloud + SCCs da UE, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Tokens de identidade de autenticação única para utilizadores que optam por SSOEEA (Microsoft Entra ID) / Global (Google Workspace)DPAs da Microsoft / Google Cloud
AnthropicAPI Claude para assistente de IA integrado no produto + análise de texto OCR de licençasEUA (Califórnia)DPA da Anthropic + declaração de retenção zero + SCCs da UE (verificação de medidas suplementares FISA 702 em curso)

Os clientes são notificados com pelo menos 30 dias de antecedência antes da adição de qualquer novo subprocessador, com direito a objetar e rescindir sem penalização.

7. Medidas de Segurança (Art. 32)

  • Encriptação em trânsito: TLS 1.2+ em todos os endpoints; certificados geridos pelo Microsoft Azure (DigiCert)
  • Encriptação em repouso: Encriptação transparente de dados do Azure Postgres Flexible Server; encriptação do Azure Blob Storage
  • Encriptação ao nível do campo: AES-256-GCM para dados biométricos (imagens de carta de condução, imagens de assinatura), chaves armazenadas no Azure Key Vault
  • Hashing de palavras-passe: bcrypt, 12 rondas
  • Autenticação: Tokens de acesso JWT (validade de 1 hora) + tokens de atualização (validade de 7 dias, rotação por utilização); SSO via Google e Microsoft para equivalente a MFA
  • Isolamento de tenant: aplicado em todas as rotas API, testado por regressão com auditoria de 25 vetores entre tenants em cada versão
  • Controlo de acesso baseado em funções: seis funções (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), middleware de privilégio mínimo
  • Firewall de Aplicação Web: Azure Front Door + WAF gerido (OWASP Core Rule Set, proteção contra bots, L7 DDoS)
  • Limitação de taxa: limites por rota, mais restritivos nos endpoints de autenticação; rastreamento de tentativas em memória e persistido
  • Registo de auditoria: apenas de acréscimo na camada de aplicação, retenção de 6 anos, entradas relevantes para GMP sinalizadas separadamente, pseudonimizadas (não eliminadas) em caso de apagamento ao abrigo do Art. 17 nos termos do Art. 17(3)(b)
  • Monitorização contínua: Azure Application Insights, alerta de deriva de esquema (janela de 15 minutos), sonda /health/db-write ponto a ponto, worker de deteção de anomalias para violações (picos de falhas de login, ataques multi-IP, logins com mudança de país, taxa de erros 5xx)
  • Cadeia de fornecimento de software: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP em cada PR. Segredos: Azure Key Vault acedido via identidade gerida do App Service; nenhum segredo em código, ficheiros env ou imagens de contentor

8. Notificação de Violação de Dados Pessoais

O Subcontratante notificará o Responsável pelo Tratamento sem demora injustificada e o mais tardar 72 horas após tomar conhecimento de uma violação de dados pessoais que afete os dados do Responsável (Art. 33). A notificação incluirá a natureza da violação, as categorias e o número aproximado de titulares de dados afetados, as consequências prováveis, as medidas tomadas ou propostas, e a referência no registo de violações. As anomalias detetadas são encaminhadas para o Azure Monitor Action Group yardtwin-breach-actions; os incidentes confirmados são registados na tabela do registo de violações com uma contagem decrescente de 72 horas para a DPC.

9. Direitos dos Titulares de Dados

O Subcontratante disponibiliza ao Responsável pelo Tratamento os seguintes endpoints para cumprimento dos direitos dos titulares de dados no prazo de 30 dias previsto no Art. 12.º(3):

  • POST /api/v1/dsar/export/by-email — exportação legível por máquina abrangendo o Art. 15.º (acesso) e o Art. 20.º (portabilidade)
  • POST /api/v1/dsar/erase/by-email — pseudonimização em todas as tabelas de PII, com retenção do registo de auditoria preservada nos termos do Art. 17.º(3)(b)
  • Portal de pedidos de autoatendimento em /data-request

10. Transferências Internacionais

Os dados operacionais são armazenados no Espaço Económico Europeu (Microsoft Azure, Sweden Central + Norway East). As transferências subsequentes para subcontratantes fora do EEE (Resend, Anthropic) são regidas pelas Cláusulas Contratuais-Tipo 2021, com Avaliações de Impacto das Transferências documentadas. A Stripe contrata através da Stripe Ireland (EEE como sede principal).

11. Duração, Rescisão e Devolução de Dados

Este DPA permanece em vigor durante a vigência do contrato de serviço. Após a rescisão:

  • O Responsável pelo Tratamento poderá exportar todos os seus dados num prazo de 30 dias através das funções de exportação do produto ou mediante solicitação
  • Após 30 dias, o Subcontratante eliminará todos os dados pessoais operacionais do Responsável pelo Tratamento
  • Os registos de auditoria são conservados durante 6 anos após o evento em formato pseudonimizado, conforme exigido pelo 21 CFR Part 11 / EU GMP Annex 11 (prevalência da obrigação legal nos termos do Art. 17.º(3)(b))
  • As cópias de segurança são eliminadas no prazo de 7 dias após a eliminação operacional, em conformidade com a janela de recuperação pontual

12. Direitos de Auditoria

O Subcontratante disponibilizará ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento do Art. 28.º do GDPR. Os clientes poderão solicitar: cópias das certificações de segurança e relatórios de auditoria relevantes (quando disponíveis), o registo atualizado de subcontratantes, o relatório mais recente de testes de regressão de isolamento de inquilinos, o resumo mais recente do teste de intrusão externo (quando emitido, ver Política GDPR 11.1), e respostas a um questionário de segurança de fornecedor. Auditorias presenciais ou remotas razoáveis poderão ser agendadas com um mínimo de 30 dias de antecedência, realizadas pelo Responsável pelo Tratamento ou por terceiro independente vinculado por confidencialidade. O Subcontratante dará prioridade aos relatórios ISO 27001 / SOC 2 Type II como evidência substituta após a obtenção dessas certificações.

13. Responsabilidade e Lei Aplicável

A responsabilidade ao abrigo deste DPA está sujeita às limitações estabelecidas nos Termos de Serviço do YARDtwin Termos de Serviço. Este DPA é regido pelas leis da Irlanda e pelo Regulamento Geral de Proteção de Dados da UE (GDPR). Quaisquer litígios ficam sujeitos à jurisdição exclusiva dos tribunais da Irlanda.

14. Contacto

Para questões sobre este DPA, para solicitar uma cópia contra-assinada ou para exercer qualquer um dos direitos acima referidos, contacte admin@yardtwin.com ou o Encarregado de Proteção de Dados em dpo@yardtwin.com. Está a ser contratado um DPO externo fracionado (Política GDPR 11.2); até à sua nomeação, os e-mails enviados para dpo@yardtwin.com são encaminhados para admin@yardtwin.com.

Ao aceitar, o Cliente compromete-se a ficar vinculado por este Acordo de Processamento de Dados v3.0 na qualidade de Responsável pelo Tratamento de Dados.

Olá! Comece o seu teste gratuito em 2 minutos — eu ajudo-o a configurar tudo!