Sub-processadores
Terceiros que tratam dados pessoais em nome da Já Fatura, na condição de operadores (Art. 39 da LGPD).
Última atualização · 29 de maio de 2026
Mantemos esta lista pública e atualizada. Alterações materiais (inclusão de novo sub-processador que trate dados pessoais sensíveis) são comunicadas aos clientes com antecedência mínima de 30 dias.
| Sub-processador | Finalidade | País | Salvaguardas |
|---|---|---|---|
| Microsoft Azure (West US 3) | Hospedagem da infraestrutura, banco SQL Server, blob storage. | EUA | Cláusulas Contratuais Padrão (CCP) + DPA Microsoft + criptografia em repouso. |
| WorkOS | Autenticação federada (SSO, magic link) e gestão de organizações. | EUA | CCP + DPA WorkOS + SOC 2 Type II. |
| Gotenberg (self-hosted) | Renderização de PDFs (DANFE, DANFSe) a partir de HTML. | Brasil (Azure West US 3) | Container isolado, sem persistência de dados. |
| SEFAZ estaduais / Prefeituras / Receita Federal | Transmissão e autorização de documentos fiscais (imposição legal). | Brasil | Base legal: obrigação legal (LGPD Art. 7º, II). |
| Mailpit (dev) | Captura de emails transacionais em ambiente de desenvolvimento. Não usado em produção. | Local (Azure West US 3) | Apenas em ambiente de homologação interna. |
| Stripe(planejado) | Processamento de pagamentos e cobrança recorrente. | EUA | CCP + DPA Stripe + PCI-DSS Level 1. |
| SendGrid (Twilio)(planejado) | Email transacional em produção (convites, alertas fiscais). | EUA | CCP + DPA Twilio. |
Quer ser notificado sobre alterações? Escreva pro DPO.