Adendo de Processamento de Dados da Kinsta Inc.

Atualizado em: 25 de setembro de 2025

1. Introdução e Escopo

1. Este Adendo de Processamento de Dados (“DPA“) é um adendo aos Termos de Serviço (“Termos“) ou ao Acordo Principal de Serviços (“MSA“), conforme aplicável, e faz parte do Acordo. Todas as disposições do Acordo, inclusive as limitações de responsabilidade, aplicam-se a este DPA e são incorporadas a ele. No entanto, se houver um conflito direto entre as disposições deste DPA e quaisquer disposições dos Termos ou do MSA, as disposições deste DPA prevalecerão.
2. Atualizações do DPA. Podemos fazer alterações neste DPA a qualquer momento, a nosso critério exclusivo. Você será notificado de quaisquer alterações materiais a este DPA por e-mail ao Proprietário da Empresa ou por meio da publicação de um aviso de tais alterações na Plataforma. O uso continuado de nossos Serviços por você por mais de 30 dias após a transmissão de nossa notificação constituirá sua aceitação de nossas alterações a este DPA. Caso não concorde com quaisquer alterações neste DPA, você poderá rescindir sua Conta e o Contrato de acordo com o Contrato.

2. Definições

Os termos em letras maiúsculas que não estiverem definidos neste DPA terão o significado fornecido em outras partes do Acordo. Além disso, os termos definidos a seguir se aplicam exclusivamente a este DPA.

1. “Controlador”, “Empresa”, “Processador”, “Provedor de Serviços”, “Titular dos Dados” (que inclui “Consumidor”), “Processamento”, “Dados Pessoais” (que inclui “Informações Pessoais”) e “Vender” (que inclui “Compartilhar”, conforme definido pela CCPA) e variações similares desses termos, terão os significados atribuídos pelas Leis de Proteção de Dados aplicáveis.
2. “Dados Pessoais do Cliente” significa quaisquer Dados Pessoais que sejam transmitidos, armazenados ou de outra forma Processados por ou através dos Aplicativos do Cliente em conexão com a prestação dos Serviços pela Kinsta.
3. “Violação de Dados Pessoais” significa qualquer destruição, perda, alteração, divulgação ou acesso acidental ou não autorizado a quaisquer Dados Pessoais do Cliente, mas excluindo tentativas ou atividades malsucedidas que não comprometam a segurança ou a integridade dos Dados Pessoais do Cliente, incluindo, entre outros, tentativas de login, pings, varreduras de portas (port scans), ataques de negação de serviço (DDoS) e outros ataques de rede a firewalls ou sistemas conectados em rede.
4. “Subprocessador” significa um processador terceirizado contratado pela Kinsta que pode processar os Dados Pessoais do Cliente com a finalidade de fornecer os Serviços.
5. “Leis de Proteção de Dados da UE” significa o Regulamento Geral de Proteção de Dados da UE 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (“GDPR“), conforme implementado e complementado pela legislação nacional de cada Estado Membro, a Lei de Proteção de Dados do Reino Unido de 2018 e o GDPR do Reino Unido, e a Lei de Proteção de Dados da Suíça, todas em suas versões atualizadas, alteradas ou substituídas periodicamente.
6. “Leis de Proteção de Dados dos EUA” significam a Lei de Privacidade do Consumidor da Califórnia (conforme alterada pela Lei de Direitos de Privacidade da Califórnia) (coletivamente, a “CCPA“), a Lei de Privacidade do Colorado, a Lei de Privacidade de Dados de Connecticut, a Lei de Privacidade de Dados Pessoais de Delaware, a Lei de Proteção de Dados do Consumidor de Indiana, a Lei de Proteção de Dados do Consumidor de Iowa, a Lei de Proteção de Dados do Consumidor de Kentucky, a Lei de Privacidade de Dados On-line de Maryland, a Lei de Privacidade de Dados do Consumidor de Minnesota, a Lei de Privacidade de Dados do Consumidor de Montana, a Lei de Privacidade de Dados de Nebraska, a Lei de Privacidade de New Hampshire, a Lei de Privacidade de Dados de Nova Jersey, a Lei de Privacidade do Consumidor de Oregon, a Lei de Transparência de Dados e Proteção de Privacidade de Rhode Island, a Lei de Proteção de Informações do Tennessee, a Lei de Privacidade e Segurança de Dados do Texas, a Lei de Privacidade do Consumidor de Utah e a Lei de Proteção de Dados do Consumidor da Virgínia, todas conforme alteradas, substituídas ou atualizadas de tempos em tempos.
7. “Leis de Proteção de Dados” significam as leis e regulamentos que regem a privacidade, integridade e segurança dos Dados Pessoais, incluindo as Leis de Proteção de Dados da UE e as Leis de Proteção de Dados dos EUA, na medida em que tais leis e regulamentos se aplicam ao Processamento dos Dados Pessoais do Cliente pela Kinsta.
8. “Transferência Internacional” significa uma exportação de
   1. dados pessoais do Cliente,
   2. regida por qualquer uma das Leis de Proteção de Dados da UE,
   3. para um terceiro país fora do Espaço Econômico Europeu (“EEE”), Reino Unido (“UK”) ou Suíça,
   4. que não seja designado pela Comissão Europeia, pelo Reino Unido ou pela Suíça como garantidor de um nível adequado de proteção.
9. “SCCs” significa as cláusulas contratuais padrão, conforme adotadas pela Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho.
10. “Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados para as Cláusulas Contratuais Padrão da Comissão da UE emitido pelo Gabinete do Comissário de Informações do Reino Unido, VERSÃO B1.0, em vigor em 21 de março de 2022.

3. Funções, Obrigações Gerais e Disposições da CCPA

1. O Cliente é o Controlador e a Empresa, enquanto a Kinsta atua como Processadora e Provedora de Serviços em relação aos Dados Pessoais do Cliente. A Kinsta somente processará os Dados Pessoais do Cliente com a finalidade de prestar os Serviços, de acordo com as instruções documentadas do Cliente, que incluem as disposições do Acordo, salvo se o processamento for exigido para o cumprimento de quaisquer Leis de Proteção de Dados. A Kinsta informará o Cliente caso suas instruções violem as Leis de Proteção de Dados. A natureza, a finalidade e a duração do Processamento estão definidas no Anexo I das SCCs.
2. A Kinsta certifica, compreende e concorda que não deverá
   1. Vender os Dados Pessoais do Cliente,
   2. reter, usar ou divulgar os Dados Pessoais do Cliente para qualquer finalidade (incluindo qualquer finalidade comercial) que não seja a finalidade específica de prestar os Serviços nos termos do Acordo, a menos que expressamente permitido pelas Leis de Proteção de Dados dos EUA aplicáveis, ou
   3. reter, usar ou divulgar os Dados Pessoais do Cliente fora da relação comercial direta entre o Cliente e a Kinsta, a menos que expressamente permitido pelas Leis de Proteção de Dados dos EUA aplicáveis.
3. A Kinsta informará o Cliente caso determine que não poderá mais cumprir suas obrigações nos termos das Leis de Proteção de Dados dos EUA aplicáveis.
4. O Cliente e a Kinsta deverão cumprir as Leis de Proteção de Dados. O Cliente deverá obter todas as autorizações, consentimentos, liberações ou permissões necessárias, e fornecer todos os avisos de privacidade necessários, com relação aos Dados Pessoais do Cliente. Para evitar dúvidas, salvo disposição em contrário neste DPA, o Cliente será o único responsável pela exatidão, qualidade e legalidade de todos os Dados Pessoais do Cliente e pelas bases sobre as quais eles são coletados do Titular dos Dados.

4. Segurança e Avaliações de Impacto

1. A Kinsta deverá garantir que seu pessoal esteja sujeito a obrigações vinculantes de confidencialidade com relação aos Dados Pessoais do Cliente.
2. Levando em consideração o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades dos Titulares dos Dados, a Kinsta deverá implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança proporcional ao risco, incluindo as medidas estabelecidas no Anexo II das SCCs. Mediante a assinatura de um acordo de confidencialidade e não divulgação por escrito, o Cliente poderá solicitar e revisar a documentação atual de governança de segurança da informação da Kinsta, disponível em https://trust.kinsta.com/ (“Documentação de Segurança“).
3. Levando em conta a natureza do Processamento e as informações disponíveis para a Kinsta, esta assistirá o Cliente no cumprimento de suas obrigações previstas nas Leis de Proteção de Dados, relacionadas à segurança, avaliações de impacto e consultas com autoridades ou órgãos reguladores de supervisão.

5. Violação de Dados Pessoais

1. Levando em conta a natureza do Processamento e as informações disponíveis para a Kinsta, esta assistirá o Cliente no cumprimento de suas obrigações previstas nas Leis de Proteção de Dados em relação a uma Violação de Dados Pessoais.
2. Se descobrirmos uma Violação de Dados Pessoais, a Kinsta deverá, sem atrasos indevidos, notificar por escrito o Cliente sobre a Violação de Dados Pessoais.
3. Essa notificação deverá incluir, na medida do possível e atualizada à medida que informações adicionais se tornarem razoavelmente disponíveis:
   1. As datas e horários da Violação de Dados Pessoais,
   2. os fatos básicos que fundamentam a descoberta da Violação de Dados Pessoais ou a decisão de iniciar uma investigação sobre uma suspeita de Violação de Dados Pessoais, conforme aplicável,
   3. uma descrição dos Dados Pessoais do Cliente envolvidos na Violação de Dados Pessoais, seja de forma específica ou por referência às categorias de dados afetadas; e
   4. as medidas planejadas ou em andamento para remediar ou mitigar a vulnerabilidade que deu origem à Violação de Dados Pessoais.

6. Solicitações de Titulares de Dados

1. Levando em consideração a natureza do Processamento, a Kinsta deverá auxiliar o Cliente por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação do Cliente de responder às solicitações de exercício dos direitos do Titular dos Dados nos termos das Leis de Proteção de Dados.
2. A Kinsta notificará prontamente o Cliente se receber uma solicitação de um Titular de Dados para exercer seus direitos em relação aos Dados Pessoais do Cliente, salvo se for legalmente proibida de fazê-lo pela legislação aplicável. A Kinsta não tomará nenhuma medida de forma independente em resposta a uma solicitação de um Titular de Dados sem a instrução prévia por escrito do Cliente, exceto conforme exigido pela legislação aplicável.

7. Transferências Internacionais

1. O Cliente pode escolher as regiões de data center onde seus Aplicativos do Cliente serão hospedados. Independentemente da região do data center escolhida, certos aspectos dos Serviços podem exigir Transferências Internacionais. O Cliente autoriza essas Transferências Internacionais de Dados Pessoais do Cliente exclusivamente para a finalidade de prestação dos Serviços. As Transferências Internacionais estão sujeitas ao Módulo Dois (Controlador para Processador) das SCCs. Para Transferências Internacionais a partir da Suíça, as partes concordam que todas as adaptações e emendas exigidas pelo Comissário Federal Suíço de Proteção de Dados e Informação (FDPIC) são incorporadas às SCCs (as “Emendas Suíças”). Para Transferências Internacionais a partir do Reino Unido, as partes concordam com o uso do Adendo do Reino Unido. As informações da Tabela do Adendo do Reino Unido são as seguintes: Tabela 1: Consulte o Anexo I das SCCs abaixo; Tabela 2: Consulte a Seção 7.b abaixo; Tabela 3: Consulte os Anexos I e II das SCCs abaixo; a lista de Subprocessadores da Kinsta está localizada aqui: https://kinsta.com/legal/subprocessors/; Tabela 4: O importador e o exportador podem encerrar o Adendo do Reino Unido conforme estabelecido na Seção 19 do mesmo.
2. Com relação às disposições opcionais das SCCs, das Emendas Suíças e do Adendo do Reino Unido, as partes concordam com o seguinte:
   1. As partes concordam com a Cláusula 7.
   2. As partes escolhem a OPÇÃO 2 na Cláusula 9(a).
   3. As partes não concordam com as disposições opcionais da Cláusula 11(a).
   4. As partes escolhem a OPÇÃO 1 na Cláusula 17 e o Estado Membro será a Irlanda, o Reino Unido ou a Suíça, conforme aplicável.
   5. As partes concordam que o Estado-Membro na Cláusula 18(b) será a Irlanda, o Reino Unido ou a Suíça, conforme aplicável.
3. As SCCs, as Emendas Suíças e o Adendo do Reino Unido, conforme aplicável, são incorporados por referência a este DPA para quaisquer Transferências Internacionais. A aceitação do acordo pelas partes servirá como sua respectiva concordância em cumprir as SCCs relevantes, as Emendas Suíças e o Adendo do Reino Unido relevantes em relação a quaisquer Transferências Internacionais.

8. Subprocessadores

1. O Cliente autoriza a Kinsta a contratar os Subprocessadores listados em https://kinsta.com/legal/subprocessors/ (a “Lista de Subprocessadores“). Antes de adicionar ou substituir qualquer Subprocessador, a Kinsta notificará o Cliente por escrito sobre tais alterações. A ausência de objeção por escrito do Cliente a um novo Subprocessador dentro de 14 dias após a notificação da Kinsta constitui autorização do Cliente para o novo Subprocessador. A Kinsta se reserva o direito de utilizar imediatamente um novo Subprocessador com a finalidade limitada de proteger os Serviços ou os Aplicativos do Cliente.
2. SeSe a Kinsta determinar, a seu exclusivo critério, que não pode acomodar razoavelmente a objeção do Cliente a um Subprocessador, a Kinsta poderá, mediante notificação, permitir que o Cliente rescisão o Acordo de acordo com as disposições de rescisão nele previstas, sendo esta a única e exclusiva medida cabível ao Cliente.
3. A Kinsta deverá impor aos seus Subprocessadores obrigações equivalentes às estabelecidas neste DPA, por meio de contrato escrito. A Kinsta responderá ao Cliente pelo cumprimento, por parte dos Subprocessadores, de suas obrigações de proteção de dados em relação aos Dados Pessoais do Cliente.

9. Auditoria e Inspeção

1. Mediante assinatura de um acordo de confidencialidade e não divulgação, o Cliente poderá solicitar e revisar a Documentação de Segurança da Kinsta e quaisquer outras informações razoavelmente necessárias para demonstrar conformidade com as obrigações estabelecidas neste DPA.
2. O Cliente poderá realizar uma auditoria somente se preocupações específicas de conformidade permanecerem sem solução após a análise da Documentação de Segurança. Qualquer auditoria deverá ser (i) condicionada a uma notificação por escrito com antecedência razoável, não inferior a 30 (trinta) dias, à Kinsta; (ii) estar sujeita a um acordo de confidencialidade e não divulgação e a um plano de auditoria detalhado, revisado e aprovado previamente pela Kinsta; (iii) ser limitada a uma vez a cada doze (12) meses; (iv) ocorrer às custas exclusivas do Cliente; e (v) ser realizada na presença virtual ou física de um representante da Kinsta, sem prejudicar de forma desarrazoada as operações comerciais da empresa.

10. Exclusão ou Devolução de Dados Pessoais do Cliente

Após a rescisão adequada do Acordo e mediante solicitação escrita do Cliente, a Kinsta deverá adotar medidas razoáveis para excluir os Dados Pessoais do Cliente ou devolvê-los, juntamente com suas cópias, ao Cliente, sujeito às leis aplicáveis ou a outras obrigações da Kinsta que exijam a manutenção continuada desses Dados Pessoais.

SCCs Anexo I

A. LISTA DAS PARTES

Exportador de Dados:

Nome: A entidade identificada como o Cliente.

Endereço: O endereço do Cliente registrado na Plataforma ou conforme especificado de outra forma no Acordo.

Nome, cargo e dados de contato: Os dados de contato do Proprietário da Empresa associados à Conta do Cliente, ou conforme especificado no Acordo.

Atividades relacionadas aos dados transferidos de acordo com as Cláusulas: Operação dos Aplicativos do Cliente Assinatura e data: As partes concordam que a aceitação ou execução do Acordo, conforme aplicável, constituirá a execução destas CSCs por ambas as partes.

Função: Controlador

Importador de dados:

Nome: Kinsta Inc.

Endereço: 8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, EUA

Nome do contato, cargo e detalhes de contato: Equipe de Privacidade de Dados da Kinsta [email protected] ou por correio no endereço acima.

Atividades relacionadas aos dados transferidos de acordo com as Cláusulas: Prestação dos Serviços

Assinatura e data: As partes concordam que a aceitação ou execução do Acordo, conforme aplicável, constituirá a execução destas CSCs por ambas as partes.

Função: Processadora

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos
Quaisquer terceiros que possam visitar, usar ou acessar os Aplicativos do Cliente, ou cujos dados pessoais sejam transmitidos, armazenados ou de outra forma processados por meio dos Aplicativos do Cliente pelo Cliente, incluindo, por exemplo: funcionários e outros funcionários, clientes (incluindo seus funcionários), visitantes do site ou usuários finais, fornecedores (incluindo seus funcionários), familiares e associados dos indivíduos acima, consultores, assessores e outros especialistas profissionais, acionistas, membros ou apoiadores, estudantes e alunos.

Categorias de dados pessoais transferidos
Quaisquer categorias permitidas pelo Cliente para serem transmitidas, armazenadas ou de outra forma processadas por meio dos Aplicativos do Cliente. Tais categorias podem incluir, por exemplo, informações de contato, detalhes de emprego, informações financeiras, detalhes de educação e treinamento, identificadores por uma autoridade pública, família, estilo de vida e circunstâncias sociais.

Dados confidenciais transferidos (se aplicável) e restrições aplicadas
O Cliente pode permitir que dados confidenciais sejam transmitidos, armazenados ou processados de outra forma por meio dos Aplicativos do Cliente. As restrições e proteções especificadas no Anexo II se aplicam a essas categorias de dados pessoais (se houver). O Cliente será responsável por informar a Kinsta sobre as categorias específicas de dados confidenciais transferidos e quaisquer restrições adicionais aplicadas.

A frequência da transferência
Contínua

Natureza do processamento
Processamento em conexão com a prestação dos Serviços, incluindo a hospedagem dos Aplicativos do Cliente e o suporte relacionado.

Finalidade(s) da transferência de dados e processamento posterior
Prestação dos serviços

O período pelo qual os dados pessoais serão retidos
De acordo com o DPA, Seção 10

Para transferências para (sub)processadores, especificar o assunto, a natureza e a duração do processamento:

O assunto, a natureza e a duração do processamento pelos subprocessadores estão definidos nesta Seção B do Anexo I.

C. AUTORIDADE DE CONTROLE COMPETENTE

Identificação da autoridade de controle competente de acordo com a Cláusula 13:
Irlanda

SCCs Anexo II

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS.

ORGANIZAÇÃO DE GOVERNANÇA E SEGURANÇA

• Mantemos políticas de segurança da informação que restringem o processamento de Dados Pessoais do Cliente pelos membros da equipe apenas ao necessário para a prestação dos Serviços.
• Todos os membros da equipe assinam acordos com cláusulas de confidencialidade antes de obter acesso a quaisquer Dados Pessoais do Cliente.
• Contamos com uma equipe de Segurança dedicada e em tempo integral.
• Um grupo de supervisão de segurança inclui membros das equipes de Engenharia, Operações, Jurídico e Executiva.
• Todos os membros da equipe recebem treinamento sobre privacidade de dados e nossas políticas internas.

CRIPTOGRAFIA DE DADOS

• Todos os Dados Pessoais do Cliente transferidos pela Kinsta são criptografados em trânsito.
• Todos os Dados Pessoais do Cliente armazenados em data centers (incluindo todos os Aplicativos do Cliente e logs de acesso) são criptografados em repouso.
• A Kinsta oferece certificados SSL gratuitos e permite que os Clientes forcem conexões HTTPS para criptografar todo o tráfego dos Aplicativos do Cliente em trânsito.

GERENCIAMENTO DE IDENTIDADE E ACESSO

• As políticas e práticas de gerenciamento de identidade e acesso seguem o princípio de menor privilégio e controle de acesso baseado em função (RBAC).
• Quando aplicável, a autenticação de dois fatores (2FA) é habilitada em todas as contas da Plataforma que tenham acesso a Dados Pessoais do Cliente.
• O acesso root a contêineres e servidores é feito exclusivamente por meio de chave privada única, e os membros da equipe recebem apenas o nível mínimo de acesso necessário para cumprir suas funções.
• O acesso root é possível apenas por pontos de acesso de rede dedicados, distintos dos pontos de acesso regulares.

INFRAESTRUTURA E SEGURANÇA FÍSICA

• Controles de acesso físico são implementados por nossos subprocessadores de centros de dados para limitar o acesso ao hardware nos centros de dados.
• Nossos provedores de centros de dados passaram por várias auditorias de segurança e possuem certificações, incluindo SOC 2 Tipo II e ISO 27001.

SEGURANÇA DE REDE E PERÍMETRO

• O Web Application Firewall (WAF) e a proteção contra DDoS estão integrados aos Serviços.
• A Kinsta limita as conexões não HTTP apenas a protocolos seguros (SSH, SFTP).
• Os aplicativos do cliente são protegidos por um firewall personalizado gerenciado pela equipe de engenharia da Kinsta.

MINIMIZAÇÃO DE DADOS

• A Kinsta faz esforços razoáveis para processar, transferir e reter apenas a quantidade e o tipo de dados necessários para a prestação dos Serviços.

BACKUP, PORTABILIDADE, RETENÇÃO E EXCLUSÃO

• São criadas várias formas de backups regulares. Os Clientes podem baixar facilmente backups para transferi-los para outros provedores de hospedagem (portabilidade) ou armazená-los em outros serviços.
• Os Clientes podem iniciar a exclusão de seus Aplicativos do Cliente diretamente na Plataforma. Após o encerramento dos Serviços, a Kinsta faz esforços razoáveis para excluir todos os Dados Pessoais do Cliente dentro de 45 dias.

GERENCIAMENTO DE PATCHES E CONFIGURAÇÕES

• Os pacotes e softwares de servidor são mantidos atualizados pela equipe de Engenharia. Atualizações de segurança são aplicadas prontamente para garantir a integridade e proteção contínua dos sistemas.

Versões anteriores