Enterprise
Feito para passar pela régua de compras.
A Zenovay foi projetada desde o primeiro dia para estar pronta para o GDPR. O pacote de confiança abaixo traz cada documento que suas equipes de segurança e jurídico costumam pedir — sem reunião comercial.
Pacote de confiança
Cada documento que suas equipes de compras, segurança e jurídico costumam pedir — público e disponível para download.
Acordo de Processamento de Dados (DPA)
Contrato conforme o artigo 28 do GDPR cobrindo escopo, duração, subprocessamento, transferências e direitos de auditoria.
Ler o DPALista de subprocessadores
Subprocessadores atuais e opcionais, com localização, mecanismo de transferência (DPF / SCC) e finalidade principal.
Ver subprocessadoresPolítica de privacidade
Como os dados de visitantes são coletados, usados, retidos e excluídos — incluindo o modelo do tracker sem cookies.
Ler a política de privacidadeResumo de segurança
Criptografia, controle de acesso, logs de auditoria com IPs em hash, notificação de incidentes e certificações dos nossos subprocessadores.
Ler o resumo de segurançaPolítica de uso aceitável
O que você pode e não pode rodar na Zenovay — útil para sua revisão de segurança e avaliação de riscos.
Ler a política de uso aceitávelPágina de status ao vivo
Disponibilidade em tempo real, histórico de incidentes e estado dos componentes de cada serviço da Zenovay.
Abrir status.zenovay.comComo a Zenovay foi construída
Uma visão arquitetural curta para os revisores de segurança e engenharia.
A Zenovay roda globalmente em Cloudflare Workers, com o banco PostgreSQL principal hospedado no Supabase em eu-central-1 (Frankfurt). Todos os eventos de analytics passam por endpoints de borda com latência abaixo de 100 ms.
A Stripe processa todos os pagamentos — dados de PAN nunca passam pela infraestrutura da Zenovay. As obrigações de PCI DSS Nível 1 ficam com a Stripe.
E-mails transacionais e operacionais são entregues pelo Resend. Funcionalidades de IA (insights, analytics em linguagem natural) chamam a OpenAI por meio do Cloudflare AI Gateway, restritas a recursos opt-in.
O tracker sem cookies usa identificadores de visitante na memória com escopo de janela, além de hashes SHA-256 com sal diário para deduplicação. Sem cookies, sem localStorage, sem fingerprinting. Logs de auditoria armazenam apenas hashes de IP com sal — IPs em texto puro nunca são persistidos.
Transferências internacionais para subprocessadores sediados nos EUA (Stripe, Resend, OpenAI) são regidas pelo Data Privacy Framework UE-EUA quando o destinatário é certificado no DPF, mais as Cláusulas Contratuais Padrão de 2021 (Módulo 2) quando as SCC se aplicam. O mecanismo completo está documentado no nosso DPA.
Retenção de dados por plano
A retenção é por plano. Logs de auditoria (rastro administrativo) são mantidos por 24 meses em todos os planos e expurgados diariamente.
| Plano | Retenção de analytics | Logs de auditoria |
|---|---|---|
| Free | 1 ano | 24 meses |
| Pro | 2 anos | 24 meses |
| Scale | 4 anos | 24 meses |
| Enterprise | Personalizada (4 anos por padrão) | 24 meses |
Certificações dos subprocessadores
A Zenovay é projetada para conformidade com o GDPR e trabalha com provedores de infraestrutura certificados em segurança. Abaixo estão as certificações detidas pelos subprocessadores que tratam dados de clientes da Zenovay — não são certificações da própria Zenovay.
Cloudflare
Computação de borda, KV, R2, CDN, Pages, AI Gateway
SOC 2 Type II, ISO 27001, ISO 27018
Supabase
Banco PostgreSQL principal (eu-central-1, Frankfurt)
SOC 2 Type II
Stripe
Processamento de pagamentos, faturamento, assinaturas
PCI DSS Nível 1 (dados PAN nunca passam pela Zenovay)
Transferências internacionais
Subprocessadores sediados nos EUA (Stripe, Resend, OpenAI)
DPF UE-EUA + Cláusulas Contratuais Padrão 2021 (Módulo 2)
A Zenovay em si não é certificada SOC 2 / ISO 27001 / HIPAA / PCI DSS. Apoiamo-nos na postura auditada dos subprocessadores acima e operamos sob nossos próprios controles internos descritos no DPA e no resumo de segurança.
FAQ para compradores
As perguntas que compradores enterprise mais nos fazem. Se a sua não estiver aqui, fale com vendas.
O banco principal é Supabase PostgreSQL em eu-central-1 (Frankfurt) desde 24 de abril de 2026. O Cloudflare R2 (capturas de heatmap) está configurado com preferência de localização de dados na UE. Os Cloudflare Workers rodam na rede global de borda com latência abaixo de 100 ms.
Os dados de analytics dos clientes ficam na UE. Um pequeno número de subprocessadores está sediado nos EUA (Stripe, Resend, OpenAI via Cloudflare AI Gateway); transferências para essas partes são regidas pelo DPF UE-EUA quando o destinatário é certificado no DPF, mais as Cláusulas Contratuais Padrão de 2021 (Módulo 2) quando as SCC se aplicam. Detalhes completos no DPA.
Cascata do artigo 17 do GDPR: a exclusão da conta limpa o Supabase (tabelas de analytics e registros de autenticação), cancela cliente e assinatura na Stripe, esvazia o Cloudflare KV (sessões, chaves de segurança, contadores de rate limit, cota de MCP), remove os objetos do Cloudflare R2 (capturas de heatmap dos sites próprios) e envia um e-mail de confirmação localizado pelo Resend.
Sim. O endpoint de exportação de dados pessoais conforme o artigo 20 do GDPR (/api/account/data-export) está disponível em todos os planos, inclusive Free. Ele retorna perfil, metadados de sites, vínculos de equipe e o próprio rastro de auditoria em formato legível por máquina.
GPC é respeitado de ponta a ponta. O cliente verifica navigator.globalPrivacyControl no carregamento e troca o banner de consentimento para somente essenciais. O servidor lê Sec-GPC: 1 nas requisições; quando presente, o enriquecimento comportamental (identificação B2B, profiling) é pulado e a linha do visitante recebe gpc_opted_out.
Quando data-cookieless está ativo, o tracker usa identificadores de visitante na memória com escopo de janela, que somem ao descarregar a página. Para deduplicação, o servidor calcula um hash SHA-256 com sal diário a partir de (sub-rede de IP + User-Agent). Sem cookies, sem localStorage, sem fingerprinting. Logs de auditoria armazenam apenas o hash de IP com sal — IPs em texto puro nunca são persistidos.
Logs de auditoria (rastro administrativo de todos os clientes) são mantidos por 24 meses e expurgados diariamente por um job agendado. Eventos de analytics seguem a retenção por plano da tabela acima (Free 1 ano, Pro 2 anos, Scale 4 anos, Enterprise personalizada).
No Enterprise, sim. O padrão é 4 anos e podemos configurar janelas mais curtas ou mais longas mediante solicitação, sujeito a obrigações legais e de conformidade. Free, Pro e Scale usam os padrões publicados.
Sim. Single sign-on está disponível nos planos Scale e Enterprise. Conexões SAML Enterprise suportam provisionamento de usuários no estilo SCIM e sincronização de vínculos de equipe.
Clientes Enterprise recebem um SLA personalizado cobrindo disponibilidade, tempo de resposta e comunicação de incidentes. A página de status pública (status.zenovay.com) mostra disponibilidade em tempo real e histórico de incidentes para todos os planos.
Pronto para informar seu time de segurança?
Fale com vendas para SSO, retenção personalizada, DPA assinado e um pacote de segurança pronto para compras.