1. Propósito e escopo
1.1. O que esta Política cobre
Esta Política de Segurança da Informação descreve, em sua versão pública, as medidas técnicas e organizacionais que a WLabs adota para proteger os dados pessoais tratados na operação das plataformas WBudget e WPages, em conformidade com o dever de segurança do Art. 46 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — "LGPD").
A Política integra a camada de transparência da WLabs e relaciona-se diretamente com dois outros documentos: o regime de segurança técnica e organizacional previsto no Adendo de Tratamento de Dados Pessoais (DPA — Data Processing Agreement, adendo que disciplina o tratamento de dados pessoais entre a WLabs e o Cliente) e a Política de Privacidade. Em caso de divergência quanto a obrigações contratuais de proteção de dados, prevalece o regime do DPA.
1.2. Versão pública e versão interna
Esta é a versão pública e consultável da Política. A WLabs mantém, adicionalmente, documentação interna de segurança mais detalhada — de caráter operacional e não publicada, por descrever controles cuja divulgação ampla não seria compatível com a própria segurança da informação e com a confidencialidade devida aos demais Clientes.
A documentação interna não é, em si, disponibilizada a terceiros. No contexto do regime de auditoria previsto no DPA e mediante solicitação fundamentada — em especial em contratação corporativa —, a WLabs pode, a seu critério razoável, fornecer descrição adicional das medidas de segurança, cabendo a ela definir o conteúdo, a forma e a extensão do que é compartilhado, sempre sob obrigação de confidencialidade (NDA — Non-Disclosure Agreement, acordo de confidencialidade) e preservadas as informações dos demais Clientes e os segredos de negócio da WLabs e de seus subprocessadores.
1.3. A quem se aplica
As medidas aqui descritas aplicam-se ao tratamento de dados pessoais realizado pela WLabs na condição de Operadora, por conta dos seus Clientes (Controladores), e ao tratamento dos dados que a WLabs realiza na condição de Controladora, conforme delimitado na Política de Privacidade.
2. Princípios de segurança
2.1. Confidencialidade, integridade e disponibilidade
A segurança da informação na WLabs orienta-se por três princípios: confidencialidade (o dado é acessível apenas a quem tem autorização e necessidade), integridade (o dado é protegido contra alteração indevida) e disponibilidade (o dado e os serviços permanecem acessíveis a quem de direito).
2.2. Segurança como obrigação legal
A WLabs trata a segurança da informação como obrigação legal, e não como mera boa prática. O Art. 46 da LGPD impõe a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. As boas práticas e a governança observam o disposto no Art. 47 da LGPD.
3. Onde os dados ficam
3.1. Armazenamento no Brasil
Os dados em produção e em backup da WLabs ficam armazenados integralmente no Brasil. A aplicação e o banco de dados operam na Amazon Web Services (AWS), região sa-east-1 (São Paulo), com réplica síncrona Multi-AZ (Multi Availability Zone — réplica em múltiplas zonas de disponibilidade) em zona secundária da própria região São Paulo. Os snapshots automáticos são mantidos em armazenamento de objetos dentro da mesma região, e a WLabs mantém redundância adicional de backup integralmente em território brasileiro.
Em nenhuma dessas cópias os dados produtivos saem do território brasileiro no fluxo normal da operação.
3.2. Transferências internacionais
A operação de funcionalidades específicas depende de integração com serviços globais, o que caracteriza transferência internacional de dados pessoais nos termos do Capítulo V da LGPD (Arts. 33 a 36) e da Resolução CD/ANPD nº 19/2024. A relação atualizada dos fornecedores envolvidos, com indicação de região de tratamento e de transferência internacional, consta da Lista de Subprocessadores publicada pela WLabs, à qual esta Política remete.
4. Medidas técnicas
A WLabs implementa, no mínimo, as seguintes medidas técnicas:
Criptografia em trânsito: TLS 1.2+ (Transport Layer Security — protocolo padrão de criptografia para comunicação na internet, sucessor do SSL) em todas as comunicações das plataformas.
Criptografia em repouso: aplicada ao banco de dados, aos snapshots e às cópias de backup.
Isolamento multi-tenant: arquitetura em que múltiplos Clientes compartilham a mesma instância da aplicação com separação lógica dos dados, de modo que os dados de um Cliente não sejam acessíveis por outro — por schema dedicado (compartimento próprio no banco de dados) ou por identificador filtrante obrigatório aplicado por procedure (rotina de banco de dados que filtra os dados por Cliente).
Controle de acesso por menor privilégio: os acessos internos da WLabs seguem o princípio do menor privilégio, de modo que cada pessoa acessa apenas o necessário à sua função.
Autenticação multifator (MFA — Multi-Factor Authentication): exigida para acessos administrativos a sistemas internos críticos.
Monitoramento contínuo: coleta de métricas e logs operacionais (Amazon CloudWatch) e captura de exceções e rastros de erro de aplicação (Sentry), com procedimento de resposta a alertas críticos.
Segurança no processamento de pagamentos: o processamento de dados de cartão é integralmente terceirizado a gateways de pagamento certificados (Stripe e Pagar.me), sem trânsito ou armazenamento do número do cartão (PAN — Primary Account Number, número primário do cartão) na infraestrutura da WLabs. Esse arranjo enquadra a WLabs no nível PCI-DSS SAQ A (Payment Card Industry Data Security Standard — conjunto de normas de segurança para processamento de cartões; Self-Assessment Questionnaire A — nível aplicável a quem terceiriza integralmente o processamento).
5. Medidas organizacionais
A WLabs adota, no mínimo, as seguintes medidas organizacionais:
Confidencialidade do pessoal: o pessoal com acesso autorizado a dados pessoais — incluindo colaboradores e prestadores de serviço — está submetido a obrigação contratual de confidencialidade, formalizada em termo de sigilo específico. A obrigação subsiste após o término do vínculo da pessoa com a WLabs, pelo prazo necessário à proteção dos dados pessoais e em conformidade com a lei.
Gestão de acessos: a WLabs mantém controle do pessoal autorizado a acessar dados pessoais e revoga o acesso de forma tempestiva ao término do vínculo ou quando deixa de existir necessidade funcional.
Avaliação de subprocessadores: cada subprocessador é submetido a avaliação prévia de adequação às obrigações de proteção de dados antes de passar a tratar dados pessoais por conta da WLabs.
6. Continuidade e backup
A WLabs adota medidas de continuidade e de recuperação para preservar a disponibilidade dos dados:
Alta disponibilidade: réplica síncrona Multi-AZ em zona secundária da própria região São Paulo, com failover (comutação automática para a zona secundária em caso de falha da primária) preservando a continuidade operacional sem que os dados saiam do território brasileiro.
Snapshots automáticos: cópias periódicas do banco de dados, mantidas dentro da mesma região brasileira.
Backup adicional: cópias de backup redundantes mantidas em território brasileiro, com criptografia em repouso, destinadas exclusivamente à recuperação em cenário de catástrofe ampla na infraestrutura em nuvem.
Os dados são tratados enquanto durar o contrato. Após o término, observa-se um período para a exportação final pelo Cliente, seguido da eliminação progressiva nas cópias de backup conforme suas janelas de retenção, nos termos do regime de retenção e eliminação previsto no DPA e descrito na Política de Privacidade.
7. Resposta a incidentes
A WLabs mantém procedimentos internos de detecção, classificação e resposta a incidentes de segurança envolvendo dados pessoais.
Confirmado um incidente, a WLabs comunica o Cliente em prazo razoável a contar da confirmação, em tempo hábil para que o Cliente cumpra os seus próprios deveres de comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, com o conteúdo mínimo exigido pela Resolução CD/ANPD nº 15/2024. A WLabs coopera com o Cliente no atendimento aos titulares afetados e às autoridades e adota as medidas de mitigação cabíveis.
O regime detalhado de resposta a incidentes — prazos de notificação, conteúdo da comunicação e repartição de responsabilidades — consta do DPA e da Política de Privacidade.
8. Subprocessadores
A WLabs utiliza subprocessadores (fornecedores terceiros que tratam dados pessoais por conta da WLabs) na operação das plataformas. A relação atualizada desses fornecedores — com categoria, país-sede, região de tratamento, finalidade e indicação de transferência internacional — consta da Lista de Subprocessadores publicada pela WLabs.
A inclusão de novo subprocessador observa o regime de notificação prévia e de objeção fundamentada previsto no DPA e resumido na própria Lista.
9. Atualização desta Política
A WLabs revisa periodicamente o conjunto de medidas técnicas e organizacionais, podendo atualizá-lo em função da evolução tecnológica, de eventuais incidentes, de mudanças regulatórias ou da expansão das funcionalidades. As atualizações não reduzem materialmente o nível de proteção aqui descrito.
A WLabs adota medidas de segurança alinhadas a boas práticas de mercado para SaaS B2B (Software as a Service — software fornecido como serviço pela internet; B2B — Business to Business, comercializado entre empresas). A documentação de conformidade disponível ao Cliente, incluindo eventuais relatórios de auditoria independente que a WLabs venha a manter, é fornecida conforme o regime de auditoria previsto no DPA.
10. Canal de contato
Dúvidas sobre esta Política ou sobre o tratamento de dados pessoais pela WLabs podem ser dirigidas ao Encarregado de Dados (DPO — Data Protection Officer, responsável pelo canal de comunicação com titulares e com a ANPD): Bruno Filardi — [email protected]. Canais alternativos: [email protected] e [email protected].
11. Vigência e versionamento
Esta Política é identificada por versão no formato ANO.SEQUENCIAL; a versão vigente é a 2026.01. A cada revisão, a WLabs publica nova versão, com identificação da data e do conteúdo da alteração; as versões anteriores são mantidas para consulta.
Esta Política entra em vigor na data de sua publicação e permanece vigente até a publicação de versão posterior.
Versão 2026.01.