Acordo de Processamento de Dados (DPA)

Última atualização: 29 de maio de 2026

1. Partes

Este Acordo de Processamento de Dados (\"DPA\") é celebrado entre:

  • Costplus OÜ, uma sociedade registada na Estónia, com sede em Pärnu mnt 139b, 11317 Tallinn, Estónia, número de registo comercial 16936614 (\"Responsável pelo Tratamento\", \"nós\", \"nos\", ou \"Cost+\"); e
  • o comerciante que instalou a aplicação Shopify Cost+ Checkout, ou que de outro modo se integrou com o serviço Cost+ Checkout, ao aceitar os nossos Termos de Serviço em https://costplus.io/shopify-app-terms.html (\"Responsável pelo Tratamento\", \"Comerciante\", ou \"você\"),

cada um uma \"Parte\" e em conjunto as \"Partes\".

Este DPA faz parte dos Termos de Serviço entre as Partes e está sujeito aos mesmos. Em caso de conflito entre este DPA e os Termos de Serviço relativamente ao tratamento de Dados Pessoais, o presente DPA prevalece.

2. Definições

Salvo definição em contrário, os termos com inicial maiúscula têm os significados que lhes são atribuídos pelo Regulamento (UE) 2016/679 (o \"RGPD\"). Para efeitos de clareza:

  • \"Dados Pessoais\" tem o significado do Artigo 4.º, n.º 1, do RGPD.
  • \"Tratamento\" tem o significado do Artigo 4.º, n.º 2, do RGPD.
  • \"Titular dos Dados\" designa um cliente ou utilizador final Shopify cujos Dados Pessoais são tratados no âmbito deste DPA.
  • \"Subcontratante\" designa qualquer terceiro contratado pelo Responsável pelo Tratamento para tratar Dados Pessoais em nome do Responsável pelo Tratamento.
  • \"Serviços\" designa o serviço Cost+ Checkout (a aplicação Shopify, as APIs associadas e as páginas de checkout alojadas) prestado pelo Subcontratante ao Responsável pelo Tratamento ao abrigo dos Termos de Serviço.

3. Objeto, natureza, finalidade e duração do tratamento

3.1 Objeto

O Subcontratante trata Dados Pessoais sobre os clientes do Responsável pelo Tratamento com vista à prestação dos Serviços. O Cost+ Checkout é uma ferramenta de orquestração de funil que encaminha os compradores que chegam a partir de pontos de entrada controlados pelo Comerciante (por exemplo, campanhas de e-mail, páginas de destino, anúncios em redes sociais ou ligações diretas à loja Shopify) através de uma experiência de checkout uniforme, criando a encomenda correspondente na loja Shopify do Comerciante após o pagamento.

3.2 Natureza e finalidade do tratamento

O Subcontratante trata Dados Pessoais para as seguintes finalidades:

  • Recolha de informações de contacto e de envio do comprador durante o checkout;
  • Cálculo dos impostos e taxas de envio aplicáveis através dos próprios serviços de cálculo de impostos e envio da Shopify;
  • Criação da encomenda Shopify correspondente após o comprador concluir o pagamento;
  • Processamento de pagamentos através da infraestrutura de pagamentos do Cost+ ou do fornecedor de pagamentos configurado pelo Comerciante;
  • Reflexo de reembolsos, cancelamentos e eventos de expedição iniciados pelo Comerciante no seu painel de administração Shopify na configuração do Cost+ Checkout do Comerciante;
  • Resposta a pedidos de titulares de dados encaminhados pela Shopify através dos webhooks RGPD padrão (customers/data_request, customers/redact, shop/redact);
  • Fornecimento de análises para o comerciante derivadas de dados de sessão agregados e pseudonimizados.

3.3 Duração

O Subcontratante trata Dados Pessoais durante a vigência dos Serviços e conserva esses dados pelos períodos indicados na Secção 9 abaixo.

4. Tipos de Dados Pessoais e categorias de Titulares dos Dados

4.1 Tipos de Dados Pessoais

  • Nome próprio e apelido;
  • Endereço de e-mail;
  • Número de telefone (quando fornecido);
  • Morada de envio (rua, cidade, código postal, país, segunda linha de morada opcional, província/estado);
  • Morada de faturação (mesmos campos);
  • Detalhes da encomenda, incluindo itens, identificadores de produto, quantidades, preços, códigos de desconto aplicados, total da encomenda, moeda e estado de expedição;
  • Metadados relacionados com o pagamento (token ou referência do método de pagamento, identificadores de autorização e captura) — note-se que os números de conta primários completos (PAN) nunca entram nos sistemas do Subcontratante; são tokenizados pela infraestrutura de pagamentos conforme com PCI-DSS do Cost+ ou pelo fornecedor de pagamentos configurado pelo Comerciante.

4.2 Categorias de Titulares dos Dados

  • Os clientes (compradores) do Responsável pelo Tratamento que concluem o checkout através do Cost+ Checkout.

5. Obrigações do Subcontratante

O Subcontratante deverá:

5.1 Instruções documentadas

Tratar Dados Pessoais apenas com base nas instruções documentadas do Responsável pelo Tratamento, inclusive no que respeita a transferências de Dados Pessoais para um país terceiro ou organização internacional, salvo se obrigado a fazê-lo por lei da União ou de um Estado-Membro à qual o Subcontratante esteja sujeito. Nesse caso, o Subcontratante informará o Responsável pelo Tratamento desse requisito legal antes do tratamento, a menos que essa lei proíba tal informação com fundamento em motivos de interesse público relevantes. As Partes acordam que os Termos de Serviço, este DPA e a utilização dos Serviços pelo Responsável pelo Tratamento através das opções de configuração padrão constituem instruções documentadas na aceção do Artigo 28.º, n.º 3, alínea a), do RGPD.

5.2 Confidencialidade

Garantir que as pessoas autorizadas a tratar os Dados Pessoais se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

5.3 Medidas de segurança

Implementar medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, conforme exigido pelo Artigo 32.º do RGPD. Um resumo dessas medidas consta do Anexo 1. O Responsável pelo Tratamento reconhece que o Anexo 1 pode ser atualizado periodicamente para refletir melhorias na postura de segurança do Subcontratante, e que qualquer atualização não resultará numa redução material do nível de segurança.

5.4 Subcontratantes

Contratar Subcontratantes apenas nos termos da Secção 7 abaixo.

5.5 Assistência no exercício dos direitos dos Titulares dos Dados

Tendo em conta a natureza do tratamento, assistir o Responsável pelo Tratamento através de medidas técnicas e organizativas adequadas, na medida do possível, para o cumprimento da obrigação do Responsável pelo Tratamento de responder a pedidos de exercício dos direitos dos Titulares dos Dados ao abrigo do Capítulo III do RGPD.

5.6 Assistência nas outras obrigações do Responsável pelo Tratamento

Assistir o Responsável pelo Tratamento no cumprimento das obrigações previstas nos Artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e as informações disponíveis para o Subcontratante.

5.7 Devolução ou eliminação no fim dos Serviços

À escolha do Responsável pelo Tratamento, eliminar ou devolver todos os Dados Pessoais ao Responsável pelo Tratamento após o fim da prestação dos Serviços relacionados com o tratamento, e eliminar as cópias existentes, salvo se a lei da União ou de um Estado-Membro exigir a conservação dos Dados Pessoais. O Subcontratante eliminará os Dados Pessoais no prazo de 90 dias após o fim dos Serviços, exceto quando a conservação por período mais longo seja exigida pela Secção 9.

5.8 Registos de tratamento

Manter um registo escrito de todas as categorias de atividades de tratamento realizadas em nome do Responsável pelo Tratamento, conforme exigido pelo Artigo 30.º, n.º 2, do RGPD.

5.9 Auditorias

Disponibilizar ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento do Artigo 28.º do RGPD, e permitir e contribuir para auditorias, incluindo inspeções, realizadas pelo Responsável pelo Tratamento ou por outro auditor por ele mandatado. O Responsável pelo Tratamento suportará os custos de tais auditorias que excedam o fornecimento das informações padrão já disponíveis ao Responsável pelo Tratamento através dos Serviços. O Responsável pelo Tratamento deverá comunicar com antecedência razoável (pelo menos 30 dias), realizar auditorias durante o horário normal de trabalho e não perturbar as operações do Subcontratante.

6. Obrigações do Responsável pelo Tratamento

O Responsável pelo Tratamento garante que:

  • Estabeleceu uma base jurídica válida ao abrigo do Artigo 6.º do RGPD (e, quando aplicável, do Artigo 9.º do RGPD) para todos os Dados Pessoais que disponibiliza ao Subcontratante através dos Serviços;
  • Prestou todas as informações de transparência exigidas aos Titulares dos Dados ao abrigo dos Artigos 13.º e 14.º do RGPD, incluindo o facto de o Cost+ Checkout ser utilizado para tratar dados de checkout e de encomendas;
  • Configurou corretamente o Cost+ Checkout (incluindo regras de fluxo, países permitidos, métodos de pagamento e quaisquer scripts ou blocos personalizados) de forma a que os Serviços tratem apenas os Dados Pessoais necessários para as finalidades lícitas do Comerciante;
  • Responderá aos pedidos dos Titulares dos Dados encaminhados pelo Subcontratante dentro dos prazos exigidos por lei.

7. Subcontratantes

7.1 Autorização geral

O Responsável pelo Tratamento concede autorização geral ao Subcontratante para contratar Subcontratantes para a execução dos Serviços. Uma lista dos Subcontratantes atualmente autorizados consta do Anexo 2 e é atualizada periodicamente.

7.2 Aviso de alterações

O Subcontratante informará o Responsável pelo Tratamento de quaisquer alterações previstas à lista de Subcontratantes (adição ou substituição) com pelo menos 30 dias de antecedência, dando ao Responsável pelo Tratamento a oportunidade de se opor com fundamentos razoáveis. Se o Responsável pelo Tratamento se opuser e as Partes não chegarem a acordo num prazo de 30 dias, o Responsável pelo Tratamento poderá rescindir a parte afetada dos Serviços por conveniência.

7.3 Obrigações de transferência

O Subcontratante imporá a cada Subcontratante, por via contratual, as mesmas obrigações de proteção de dados estabelecidas neste DPA, mantendo-se plenamente responsável perante o Responsável pelo Tratamento pelo cumprimento das obrigações de cada Subcontratante.

8. Transferências internacionais de dados

8.1 Alojamento principal

O Subcontratante aloja os Serviços na União Europeia e trata os Dados Pessoais principalmente dentro da UE/EEE. Alguns Subcontratantes autorizados (por exemplo, certos parceiros de aquisição de pagamentos) estão localizados fora do EEE; nesses casos, o Subcontratante assegura que a transferência está protegida por uma decisão de adequação ou por Cláusulas Contratuais-Tipo, conforme previsto na Secção 8.2, e identifica os Subcontratantes relevantes no Anexo 2.

8.2 Transferências para Subcontratantes

Quando um Subcontratante estiver localizado fora da UE/EEE, o Subcontratante assegura que as transferências são cobertas por uma decisão de adequação ao abrigo do Artigo 45.º do RGPD, ou por Cláusulas Contratuais-Tipo adotadas pela Comissão Europeia (Módulo 2: responsável pelo tratamento para subcontratante ou Módulo 3: subcontratante para subcontratante, conforme adequado), ou por outro mecanismo de transferência válido ao abrigo do Capítulo V do RGPD.

8.3 Transferências ulteriores

A Shopify atua como responsável pelo tratamento independente relativamente aos dados de clientes que o Responsável pelo Tratamento introduziu na sua loja Shopify. A receção de tais dados da Shopify pelo Subcontratante, e a devolução de dados de encomendas criados pela Shopify à Shopify, são abrangidas pelos próprios termos de proteção de dados da Shopify com o Comerciante e não constituem transferências ulteriores ao abrigo deste DPA.

9. Conservação e eliminação

O Subcontratante conserva os Dados Pessoais pelos seguintes períodos:

  • Dados de sessão ativa (sessões de checkout em curso que não foram concluídas): eliminados 30 dias após a expiração da sessão;
  • Dados de encomendas concluídas (sessões que resultaram numa encomenda Shopify): conservados durante 7 anos para satisfazer os requisitos de conservação fiscais e contabilísticos da Estónia e da maioria das jurisdições da UE, sendo depois eliminados;
  • Tokens de pagamento e registos de autorização: conservados pelo período de conservação do método de pagamento subjacente (tipicamente 7 anos);
  • Dados de registo (registos de pedidos, registos de entrega de webhooks): conservados durante 90 dias, sendo depois eliminados;
  • Registos de auditoria / eventos de segurança: conservados durante 1 ano.

Após a cessação dos Serviços, o Subcontratante eliminará ou devolverá os Dados Pessoais conforme previsto na Secção 5.7 acima, sujeito aos períodos de conservação exigidos pela legislação aplicável.

10. Notificação de violação de dados

O Subcontratante notificará o Responsável pelo Tratamento sem demora injustificada, e em qualquer caso no prazo de 48 horas, após tomar conhecimento de uma violação de Dados Pessoais que afete os dados do Responsável pelo Tratamento. A notificação conterá pelo menos as informações exigidas pelo Artigo 33.º, n.º 3, do RGPD na medida em que estejam disponíveis, sendo atualizada à medida que informações adicionais se tornarem conhecidas.

11. Responsabilidade

A responsabilidade das Partes ao abrigo deste DPA está sujeita às disposições de responsabilidade dos Termos de Serviço, exceto que qualquer limitação de responsabilidade nos Termos de Serviço não exclui nem limita a responsabilidade por qualquer matéria relativamente à qual tal exclusão ou limitação seria ilícita ao abrigo da legislação de proteção de dados aplicável.

12. Lei aplicável e jurisdição

Este DPA é regido pela lei estónia, sem atender às suas regras de conflito de leis. As Partes submetem-se à jurisdição exclusiva dos tribunais do Condado de Harju, Estónia, para qualquer litígio decorrente ou relacionado com este DPA, sem prejuízo de quaisquer disposições legais imperativas em matéria de jurisdição sobre litígios de consumidores ou de titulares de dados.

13. Vigência e cessação

Este DPA entra em vigor na data em que o Responsável pelo Tratamento instala ou utiliza os Serviços pela primeira vez e cessa automaticamente com a cessação dos Termos de Serviço. As cláusulas que, pela sua natureza, devam sobreviver à cessação (incluindo as Secções 5.7, 9, 10 e 12) manter-se-ão em vigor.

14. Acordo integral

Este DPA, em conjunto com os Termos de Serviço em https://costplus.io/shopify-app-terms.html e a Política de Privacidade em https://costplus.io/privacy-policy.html, constitui o acordo integral entre as Partes relativamente ao objeto do mesmo e substitui todos os entendimentos anteriores.

Anexo 1 — Medidas técnicas e organizativas

O Subcontratante implementa as seguintes medidas técnicas e organizativas para proteger os Dados Pessoais:

Encriptação

  • Todos os dados em trânsito são encriptados com TLS 1.2 ou superior, com certificados geridos através do Let's Encrypt e rotação automática.
  • Os tokens de acesso à API da Shopify e as credenciais de fornecedores de pagamentos terceiros são encriptados em repouso com AES-256-GCM, com chaves ao nível da aplicação geridas através do HashiCorp Vault Transit ou de um sistema de gestão de chaves equivalente.
  • As cópias de segurança da base de dados são encriptadas antes da transferência para armazenamento externo.

Controlo de acesso

  • O acesso aos sistemas de produção está restrito a um conjunto definido de pessoal autorizado com contas individualmente identificáveis, autenticação por chave SSH para acesso ao servidor e autenticação multifator com suporte de hardware ou TOTP para interfaces administrativas.
  • As palavras-passe dos comerciantes ao nível da aplicação são tratadas com hash usando Argon2id com parâmetros de uso intensivo de memória.
  • O acesso a Dados Pessoais é registado e conservado em conformidade com a Secção 9 do DPA.

Infraestrutura

  • Os Serviços são alojados em centros de dados Tier-III ou equivalentes situados na União Europeia.
  • Separação lógica entre ambientes de teste e de produção; nenhum dado de produção é utilizado em ambientes de desenvolvimento ou teste.
  • Aplicação regular de patches a sistemas operativos, ambientes de execução e dependências de terceiros.

Pessoal

  • O pessoal com acesso a Dados Pessoais está vinculado por obrigações escritas de confidencialidade que sobrevivem à cessação do seu vínculo.
  • Formação de integração e formação periódica de sensibilização para a segurança para todo o pessoal com acesso a Dados Pessoais ou à infraestrutura de produção.

Resposta a incidentes

  • Procedimento documentado de resposta a incidentes de segurança que abrange deteção, contenção, investigação, notificação (incluindo ao Responsável pelo Tratamento no prazo de 48 horas nos termos da Secção 10) e revisão pós-incidente.
  • Revisão trimestral dos procedimentos de resposta a incidentes e das informações de contacto.

Prevenção de perda de dados

  • Controlos de acesso ao nível da aplicação limitados a comerciantes individuais e sessões individuais; nenhum comerciante pode aceder aos dados de outro comerciante através da API.
  • Registo de auditoria de todos os acessos a Dados Pessoais, conservado conforme a Secção 9.
  • Testes regulares de restauro de cópias de segurança encriptadas.

Desenvolvimento seguro

  • Código-fonte alojado num repositório privado com revisão obrigatória de todas as alterações antes da integração.
  • Análise automatizada de dependências e atualizações regulares de bibliotecas de terceiros.
  • Testes de penetração pelo menos uma vez por ano após os Serviços atingirem disponibilidade geral.

Anexo 2 — Sub-processadores Autorizados

À data da última atualização deste DPA, os seguintes Sub-processadores estão autorizados a tratar Dados Pessoais em nome do Responsável:

SubcontratanteFinalidadeLocalizaçãoMecanismo de transferência
OVH SASAlojamento de infraestrutura cloud (computação, armazenamento, rede) e cópias de segurança encriptadas fora do localFrança (UE)Intra-EEA
SMTP2GOEmails transacionais e de notificaçãoEUIntra-EEA
Infraestrutura de pagamentos Cost+ (Costplus OÜ)Tokenização de pagamentos, autorização, captura, reembolsoEUIntra-EEA
Ginger PaymentsGateway de pagamento / encaminhamento de transaçõesPaíses Baixos (UE)Intra-EEA
FinteqHubGateway de pagamento / orquestraçãoChipre e Lituânia (UE)Intra-EEA
ComplyPayFornecedor de Banking-as-a-Service (BaaS)Dinamarca (UE)Intra-EEA
RapydAdquirência / processamento de pagamentosUE / Reino UnidoIntra-EEA; transferências para o Reino Unido ao abrigo da decisão de adequação UE–RU
SHIFT4Adquirência / processamento de pagamentosUE / Reino UnidoIntra-EEA; transferências para o Reino Unido ao abrigo da decisão de adequação UE–RU
ElavonAdquirência / processamento de pagamentosUE / Reino UnidoIntra-EEA; transferências para o Reino Unido ao abrigo da decisão de adequação UE–RU
ClearhausAdquirência / processamento de pagamentosDinamarca (UE)Intra-EEA
PayneticsAdquirência de pagamentos / emissão de moeda eletrónicaBulgária (UE)Intra-EEA
DiditVerificação de identidade, conformidade KYB / KYC / AMLEstados Unidos / Espanha (UE)Cláusulas Contratuais Padrão (Art. 46.º RGPD)

O Processador manterá uma versão atualizada desta lista em https://costplus.io/dpa/sub-processors e notificará o Responsável de quaisquer adições ou substituições em conformidade com a Secção 7.2 deste DPA.

Fim do Acordo de Processamento de Dados.