Pular para o conteúdo principal

Subprocessadores

Este documento lista os serviços de terceiros ("subprocessadores") que podem receber, processar ou armazenar dados pessoais de usuários finais — incluindo conteúdo de mensagens do WhatsApp, números de telefone, campos de perfil de contatos, dados de localização e mídia — como parte da operação da plataforma Turn.

Ele tem como objetivo apoiar as obrigações de proteção de dados e privacidade sob qualquer regime aplicável.

Um subprocessador aparece aqui se dados de usuários finais — ou dados deles derivados, como diagnósticos de erro contendo contexto de mensagens, ou payloads de requisições terminados na borda — podem chegar a um serviço operado fora da nossa própria infraestrutura.

Quando um fornecedor oferece escolha de região, a coluna Local de processamento descreve as opções de residência disponíveis, em vez de um único local fixo. A coluna Salvaguardas e certificações contém o link para a página pública de confiança ou conformidade de cada fornecedor, para referência.

Como esta página está organizada

Duas seções principais, divididas por quem detém a relação com o fornecedor:

  • Subprocessadores gerenciados pela Turn. A Turn detém a conta e o contrato com o fornecedor, celebra um DPA com o fornecedor, lista o fornecedor na lista de subprocessadores voltada aos clientes da Turn, e a Turn é a entidade que precisa obter o consentimento do usuário final (ou outra base legal sob o Art. 6 do GDPR) para o roteamento de dados pessoais por meio desses fornecedores, por meio dos termos e do aviso de privacidade da Turn voltados aos clientes.
  • Subprocessadores gerenciados pelos clientes (BYO). O cliente fornece as credenciais, o conjunto de dados ou o destino por conta própria; a Turn apenas escreve em / lê de onde o cliente apontar. O cliente assina o DPA diretamente com o fornecedor e é responsável por obter o consentimento do usuário final (ou outra base legal) para o roteamento de dados pessoais por meio daquele fornecedor. Esses fornecedores não aparecem na lista de subprocessadores voltada aos clientes da Turn — eles são documentados aqui por transparência e para deixar claro qual superfície do produto origina o fluxo de dados.

Convenções das colunas

  • Local de processamento. Onde o fornecedor processa e armazena os dados e quais opções de residência de dados ele oferece. Para fornecedores configurados pelo cliente (BYO), isso é determinado pelo endpoint ou destino que o cliente aponta para a Turn.
  • Salvaguardas e certificações. As certificações de segurança e salvaguardas de transferência do fornecedor, com um link para a página pública de confiança ou conformidade do fornecedor, para referência.
  • Coluna Obrigatório. Sim significa que o subprocessador é utilizado para todos os clientes no escopo desta seção (para fornecedores gerenciados pela Turn, todos os clientes da Turn; para fornecedores BYO, todos os clientes que ativaram o recurso). Não significa que o subprocessador só é utilizado quando um recurso, credencial ou integração adicional é configurado.
  • Coluna Finalidade. Nomeia o papel do fornecedor e o(s) recurso(s) da Turn que ele suporta, para que fique claro qual superfície do produto deixa de funcionar se o fornecedor for removido.

Fora do escopo

A infraestrutura auto-hospedada que roda nos nossos próprios clusters (bancos de dados, caches, índices de busca e ferramentas internas de monitoramento e observabilidade) não é listada como subprocessador — apenas as variantes gerenciadas/em nuvem e os endpoints SaaS externos são.


Subprocessadores gerenciados pela Turn

Estes são os fornecedores com os quais a Turn contrata diretamente. É prática da Turn, sempre que possível, celebrar um acordo de processamento de dados (DPA) com o fornecedor. Adicionar, remover ou alterar materialmente um fornecedor nesta seção é um evento notificável sob o nosso DPA com clientes.

Operadora de mensagens

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
WhatsApp Business / Cloud APIMeta Platforms, Inc.Todas as mensagens recebidas e enviadas, mídia, números de telefone de serviço, nomes de perfil do WhatsApp, IDs do WhatsApp, confirmações de entrega/leituraEnviar e receber mensagens do WhatsApp — a caixa de entrada conversacional principal, cada etapa de envio/recebimento de jornadas e toda a entrega de modelos de mensagemProcessamento padrão nos data centers da Meta (EUA), criptografado em repouso. Residência em repouso na UE disponível via Cloud API Local Storage; as mensagens ainda são descriptografadas e processadas pela infraestrutura da Meta em trânsito/em uso. Transferências sob os Meta Hosting Terms + o WhatsApp Business Data Transfer AddendumISO/IEC 27001; SOC 2 Type II; SOC 3; GDPR/LGPD — central de conformidade da MetaSim
Meta Graph APIMeta Platforms, Inc.Metadados da WhatsApp Business Account, dados de provisionamento de números de telefoneGestão de WABA e cadastro incorporado (embedded signup) — o fluxo de onboarding de números e as telas de configuração de WABA no console do operadorIgual ao acima (data centers da Meta, EUA; residência em repouso na UE via Local Storage)ISO/IEC 27001; SOC 2 Type II; SOC 3; GDPR/LGPD — central de conformidade da MetaSim
SudonumSudonum (Pty) LtdMetadados dos números de telefone de serviço que a Turn provisiona para seus clientes (os números nos quais esses clientes operam) — não os números de telefone de contatos de usuários finais. A Sudonum detém apenas esses metadados de números de serviço e dados de provisionamentoProvisionamento de números de telefone de serviço para regiões selecionadas — fornece os números de serviço/comerciais oferecidos aos clientes da Turn durante o fluxo de onboarding de números quando a região solicitada é atendida pela SudonumSediada na África do Sul (Stellenbosch); transferências internacionais feitas apenas sob salvaguardas contratuais conforme sua política de privacidadeDeclara conformidade com a POPIA e o GDPR e o uso de medidas de segurança técnicas e organizacionais apropriadas — política de privacidade da SudonumSim

Fornecedores de IA / ML

O único fornecedor de IA com o qual a própria Turn contrata é a Modal Labs, que hospeda o endpoint MedGemma com ajuste fino da Turn. Todos os demais fornecedores de IA disponíveis na plataforma (OpenAI, Anthropic, Google Gemini, DeepInfra, endpoints Chat-Completions fornecidos pelo cliente) são bring-your-own — veja Fornecedores de IA / ML configurados pelo cliente.

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
Modal Labs (MedGemma hospedado pela Turn)Modal Labs, Inc.Texto de mensagens, histórico de conversasHospedagem do endpoint MedGemma com ajuste fino da Turn — um piloto limitado, opt-in, para clientes selecionados, controlado por feature flag; não é uma oferta padrão. Fornecido pela Turn sem credencial do clienteRoda em nuvem pública; seleção de região por workload disponível (por exemplo, fixação em data centers da UE) nos planos Team/Enterprise. Sem garantia de exclusividade UE em toda a contaSOC 2 Type II; HIPAA (BAA, Enterprise); PCI via Stripe. Sem ISO 27001 publicada — central de confiança da ModalNão

Rastreamento de erros e observabilidade

Exceções de frontend (navegador) também são capturadas pelo PostHog — veja Análise de produto.

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
Sentry (backend + navegador)Functional Software, Inc.Stack traces de exceções e breadcrumbs; dados pessoais (trechos de mensagens, IDs de contatos, identificadores em URLs) são removidos antes de os eventos serem enviados ao SentryRastreamento de erros — backend (API da Turn, motor de jornadas, workers) e o aplicativo web do operadorRegião de dados dos EUA (hospedado no Google Cloud). Dados pessoais são removidos dos eventos antes de saírem da infraestrutura da TurnISO/IEC 27001; SOC 2 Type II; atestado HIPAA; EU-US/UK/Swiss Data Privacy Framework; DPA GDPR — central de confiança do SentrySim

Análise de produto

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
PostHogPostHog Inc.Interações do operador (usuário da organização) no aplicativo web e eventos de exceção de frontend (stack traces de erros); não inclui conteúdo de usuários finais do WhatsAppAnálise de produto para o console do operador — adoção de recursos, funis e uso em nível de sessão no aplicativo web da Turn — além de rastreamento de erros de frontend (eventos de exceção do navegador)Região selecionada pelo cliente: PostHog Cloud EU (AWS Frankfurt / eu-central-1) ou PostHog Cloud US (região AWS nos EUA), instâncias totalmente independentesSOC 2 Type II; HIPAA (BAA); GDPR; CCPA; teste de intrusão anual. ISO 27001 não publicada — central de confiança do PostHogSim

Armazenamento em nuvem e infraestrutura

A Turn roda na Amazon Web Services ou no Google Cloud Platform. Cada ambiente de cliente é provisionado em uma das duas nuvens, e a aplicação provisionada é idêntica em ambas — os mesmos workloads, os mesmos dados e a mesma finalidade. As nuvens diferem apenas nos serviços primitivos subjacentes que oferecem: por exemplo, o armazenamento de objetos é o Amazon S3 na AWS e o Cloud Storage no GCP, e cada nuvem tem seus próprios serviços de banco de dados, cache e gestão de segredos e chaves. As duas linhas abaixo, portanto, compartilham as mesmas categorias de dados e finalidade, e diferem apenas nos nomes dos serviços, opções de região e certificações.

Duas observações específicas do GCP: um projeto compartilhado de ferramentas e plano de controle no GCP (incluindo o Secret Manager) é utilizado em todos os ambientes independentemente da nuvem do cluster, de modo que o Google é subprocessador mesmo para ambientes hospedados na AWS; e as integrações Google de apps Lua (Sheets, Vision, Healthcare) só são utilizadas quando um cliente instala um app Lua que as usa.

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
Amazon Web Services (EKS, S3, RDS PostgreSQL, ElastiCache Redis, KMS, CloudWatch/CloudTrail, redes VPC, Backup)Amazon Web Services, Inc.Todo o tráfego de workloads, dados criptografados em repouso (banco de dados, cache, armazenamento de objetos), logs e métricas dos workloads da Turn; mídia do WhatsApp recebida/enviada (imagens, áudio, documentos) e exportações em massa mantidas no armazenamento de objetosComputação, rede, banco de dados, cache, gestão de segredos/chaves e armazenamento de objetos subjacentes para todos os workloads da Turn — a caixa de entrada conversacional, o motor de jornadas, a API REST, os workers e os anexos de mídia e exportações que esses workloads leem e escrevemGlobal, com regiões na UE incluindo Europa (Bélgica, eu-west-1) e a AWS European Sovereign Cloud (Alemanha, GA jan 2026). Região selecionada por implantaçãoISO/IEC 27001, 27017, 27018, 27701; SOC 1/2/3; PCI DSS Level 1; elegível para HIPAA; FedRAMP; C5 alemão; EU-US Data Privacy Framework; GDPR (DPA + SCCs) — programas de conformidade da AWSSomente ambientes hospedados na AWS
Google Cloud Platform (GKE, Cloud Storage, Cloud SQL PostgreSQL, Memorystore Redis, Secret Manager, Cloud Logging/Monitoring, VPC/Cloud NAT, APIs Sheets/Vision/Healthcare)Google LLCTodo o tráfego de workloads, dados criptografados em repouso (banco de dados, cache, armazenamento de objetos), logs e métricas dos workloads da Turn; mídia do WhatsApp recebida/enviada (imagens, áudio, documentos) e exportações em massa mantidas no armazenamento de objetosComputação, rede, banco de dados, cache, gestão de segredos/chaves e armazenamento de objetos subjacentes para todos os workloads da Turn — a caixa de entrada conversacional, o motor de jornadas, a API REST, os workers e os anexos de mídia e exportações que esses workloads leem e escrevemConfigurável por região; europe-west1 fica em St. Ghislain, Bélgica, com cinco regiões na UE disponíveis e Assured Workloads para aplicação de residência de dados na UEISO/IEC 27001:2022, 27017, 27018, 27701; SOC 1/2/3; PCI DSS; FedRAMP; HIPAA; EU-US/Swiss DPF + extensão UK; GDPR (Cloud DPA + SCCs) — central de confiança do Google CloudSim

E-mail, push e notificações operacionais

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
MandrillMailchimp / IntuitEndereço de e-mail do destinatário e conteúdo da mensagem — apenas endereços de e-mail de clientes da Turn (operadores), nunca contatos de usuários finaisEntrega de e-mails transacionais aos clientes da Turn — convites de operadores, redefinições de senha e e-mails de cobrançaData centers nos EUA. Sem residência exclusiva na UE para o Mandrill; transferências UE-EUA sob SCCs / Data Privacy FrameworkSOC 2 Type II; ISO/IEC 27001; PCI; GDPR (Data Privacy Framework + SCCs) — segurança do MailchimpSim
Firebase Cloud MessagingGoogle LLCEndpoints de assinatura de push do navegador e payloads de notificação criptografados (criptografia de payload do Web Push — o relay não consegue ler o conteúdo da notificação)Relay de push operado pelo fornecedor para notificações push do navegador do operador — alertas de novas mensagens e de handover no aplicativo web em navegadores da família ChromeInfraestrutura global do Google; sem residência configurável para o FCM. Transferências sob SCCs + Data Privacy FrameworkISO/IEC 27001; SOC 1; SOC 2; GDPR; EU-US/Swiss DPF + extensão UK (escopo do FCM — observação: 27017/27018 aplicam-se a outros serviços do Firebase, não ao FCM) — privacidade do FirebaseSim
Apple APNs / Mozilla autopush (relays de web push)Apple Inc., Mozilla FoundationEndpoints de assinatura de push e payloads de notificação criptografados (criptografia de payload do Web Push — o relay não consegue ler o conteúdo da notificação)Relays de push operados pelos fornecedores para notificações push do navegador do operador — mesmo papel do Firebase Cloud Messaging acima; qual relay é utilizado é determinado pelo navegador do operador (Safari → APNs, Firefox → autopush)Infraestrutura global hospedada pela Apple / Mozilla; sem residência na UE documentada. O push do Firefox desktop roda na infraestrutura autopush da própria Mozilla (a ponte FCM/APNs aplica-se apenas ao Firefox móvel)Apple APNs: ISO/IEC 27001 e 27018 (APNs no escopo); sem SOC 2 — certificações da Apple. Mozilla: sem certificações formais; alinhada ao GDPR — privacidade da MozillaSim
Slack (incoming webhooks + Bot API)Slack Technologies, LLCAlertas operacionais internos; podem incluir identificadores de organização/contato em mensagens de handover ou alertaAlertas internos da plataforma, além do bloco de handover do operador em jornadas (workspace de destino fornecido pelo cliente; o cliente de API e o DPA com o Slack são da Turn)Data Residency disponível para regiões definidas, incluindo a UE (dados criptografados em repouso). Transferências sob DPA + SCCsISO/IEC 27001:2022, 27017, 27018, 27701, 42001; SOC 2 Type II; SOC 3; FedRAMP Moderate; HIPAA; GDPR; CCPA; CSA STAR — conformidade do SlackSim

Cobrança

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
Paddle BillingPaddle.com Market Ltd.Dados de contato do operador/cobrança, dados de assinatura e faturaGestão de assinaturas e merchant of record — as páginas de cobrança e assinatura no console do operadorRoda na AWS. Sem residência na UE selecionável pelo cliente documentada; transferências sob DPA / SCCsSOC 2 Type II; PCI DSS (SAQ A); GDPR. ISO 27001 não certificada (sem certificado publicado) — central de confiança da PaddleSim
Paddle Retain (ProfitWell)Paddle.com Market Ltd.Endereço de e-mail do operador, identificadores de assinatura, interações do fluxo de cancelamento — apenas dados de operadores, nunca contatos de usuários finaisAnálise de retenção de assinaturas e o fluxo de cancelamento no console do operador — o SDK ProfitWell/Retain carregado no aplicativo webParte da Paddle; roda na mesma infraestrutura do Paddle Billing (AWS). Sem residência na UE selecionável pelo cliente documentada; transferências sob DPA / SCCsCoberto pelas salvaguardas da Paddle: SOC 2 Type II; PCI DSS (SAQ A); GDPR — central de confiança da PaddleSim

CRM e sucesso do cliente

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
HubSpotHubSpot, Inc.Dados de contato e da empresa do operador, metadados de WABA, métricas de usoCRM e acompanhamento de onboarding — funil de cadastro, estado de onboarding de WABA e fluxos de gestão de contasData centers regionais da AWS: EUA, UE (Frankfurt), Canadá, Austrália. Residência na UE selecionável para novos clientes desde julho de 2021SOC 2 Type II; SOC 3; EU Cloud Code of Conduct (GDPR); atestado HIPAA. A HubSpot não é ela própria certificada ISO 27001 — isso é herdado da AWS — segurança da HubSpotSim
PlainPlain Systems Ltd.Conteúdo de tickets de suporte e dados da empresa do operadorSuporte ao cliente — o fluxo de ajuda e tickets de suporte voltado ao operadorApenas AWS eu-west-2 (Londres) — residência UE/Reino Unido em região única por padrãoSOC 2 Type II; alinhado ao GDPR / UK DPA + DPA. ISO 27001 não publicada — segurança da PlainSim

Rede de borda, DNS e acesso zero-trust

A Cloudflare fica na frente dos hostnames públicos da Turn como provedora de DNS autoritativo e, onde o proxy está habilitado, como proxy reverso de terminação TLS — esta é a borda obrigatória, sempre ativa, na frente do tráfego voltado aos clientes. Separadamente, o Cloudflare Zero Trust Access e os Cloudflare Tunnels protegem o acesso de estações de trabalho de desenvolvedores e operadores a ferramentas internas de administração e desenvolvimento; esses ficam fora do caminho de dados de usuários finais e não são necessários para a plataforma atender os clientes.

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
Cloudflare DNS + borda com proxyCloudflare, Inc.Corpos de requisições e respostas HTTP(S) com terminação TLS (que, para hostnames com proxy, podem incluir payloads de webhooks do WhatsApp e tráfego de API do operador), metadados de requisições, endereços IP de clientesDNS autoritativo, terminação TLS, proteção contra DDoS e cache de borda — todos os hostnames públicos da Turn (o aplicativo web do operador, a API REST voltada aos clientes, o ingresso de webhooks de jornadas)Rede anycast global. O EU Data Localization Suite / Regional Services confina a descriptografia e o processamento de camada 7 a data centers da UE com ISO 27001 quando habilitadoISO/IEC 27001:2022, 27018, 27701; SOC 2 Type II; PCI DSS Level 1; GDPR — central de confiança da CloudflareSim
Cloudflare Zero Trust AccessCloudflare, Inc.Identidade de desenvolvedores/operadores (e-mail, claims do provedor de identidade), cookies de sessão, metadados de requisições para hostnames com acesso restritoSSO / proxy com reconhecimento de identidade para acesso de estações de trabalho de desenvolvedores e operadores a ferramentas internas de administração e desenvolvimento — fora do caminho de dados de usuários finaisRede anycast global; EU Data Localization Suite disponívelISO/IEC 27001:2022, 27018, 27701; SOC 2 Type II; PCI DSS Level 1; GDPR — central de confiança da CloudflareNão
Cloudflare Tunnels (cloudflared)Cloudflare, Inc.Tráfego com terminação TLS entre estações de trabalho de desenvolvedores/operadores e ferramentas internas roteado pelo túnelTúnel seguro somente de saída para acesso de estações de trabalho de desenvolvedores e operadores a ferramentas internas de administração e desenvolvimento — substitui balanceadores de carga públicos para esses serviços internos; fora do caminho de dados de usuários finaisRede anycast global; EU Data Localization Suite disponívelISO/IEC 27001:2022, 27018, 27701; SOC 2 Type II; PCI DSS Level 1; GDPR — central de confiança da CloudflareNão

Plantão e resposta a incidentes

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
PagerDutyPagerDuty, Inc.Payloads de alertas — podem incluir identificadores de cluster, slugs de organizações, contagens de erros e (incidentalmente) fragmentos de identificadores de mensagens incorporados em anotações de alertasRoteamento de plantão, escalonamento de incidentes e entrega de runbooks — plantão dos operadores da plataforma para quedas de cluster, picos de taxa de erro, anomalias de custo de cobrança e falhas de verificação de disponibilidadeRegiões de serviço nos EUA e na UE; UE hospedada na AWS Frankfurt (eu-central-1) e Irlanda (eu-west-1). Alguns tipos de dados (logs, cobrança, suporte, análises, Global User Profiles) são processados fora da região escolhidaISO/IEC 27001; SOC 2 Type II; FedRAMP (Low); PCI DSS; GDPR (DPA + SCCs) — segurança do PagerDutySim

Autenticação de operadores

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
Google SSO (Sign in with Google)Google LLCEndereço de e-mail do operador, nome, perfil Google, tokens OAuth de acesso/atualizaçãoProvedor de identidade SSO público — a opção "Entrar com o Google" no aplicativo web da Turn. Apenas identidade do operador — não dados de usuários finais do WhatsAppInfraestrutura global do Google; opções de residência de dados na UE disponíveisISO/IEC 27001:2022, 27017, 27018, 27701; SOC 1/2/3; EU-US/Swiss DPF + extensão UK; GDPR — central de confiança do Google CloudNão
Microsoft Entra ID (Azure AD)Microsoft CorporationEndereço de e-mail do operador, nome, tokens OAuth de atualização/acesso, identificador de tenantProvedor de identidade SSO público — a opção "Entrar com a Microsoft" no aplicativo web da Turn. Apenas identidade do operador — não dados de usuários finais do WhatsAppServiço global; o EU Data Boundary (declarado concluído em fev 2025) armazena e processa dados de clientes da UE dentro da UE. O comportamento de residência varia conforme a geografia do tenantISO/IEC 27001, 27017, 27018, 27701; SOC 1/2/3; FedRAMP High; CSA STAR; HIPAA; GDPR — Microsoft Trust CenterNão
Facebook Login (Sign in with Facebook)Meta Platforms, Inc.Endereço de e-mail do operador, nome, perfil do Facebook, tokens OAuth de acessoProvedor de identidade SSO público — a opção "Entrar com o Facebook" no aplicativo web da Turn. Apenas identidade do operador — não dados de usuários finais do WhatsAppData centers da Meta (EUA); transferências sob SCCs / Data Privacy FrameworkISO/IEC 27001; SOC 2 Type II; SOC 3; GDPR — central de conformidade da MetaNão

Subprocessadores gerenciados pelos clientes (BYO)

Estes são fornecedores que o próprio cliente escolhe trazer. O cliente fornece as credenciais, o conjunto de dados ou a URL de destino por meio de uma configuração por organização, e a Turn simplesmente envia ou busca dados no que o cliente configurou.

Para cada entrada nesta seção:

  • O cliente é responsável pelo DPA que rege esses fornecedores.
  • O cliente é responsável por obter o consentimento do usuário final (ou outra base legal do Art. 6 do GDPR) para o roteamento de dados pessoais por meio daquele fornecedor — o aviso de privacidade e o DPA da Turn voltados aos clientes não cobrem fornecedores BYO.
  • O fornecedor não é listado no inventário de subprocessadores voltado aos clientes da Turn. Adicionar, remover ou alterar um fornecedor BYO nesta página não aciona uma notificação de DPA aos clientes.

As colunas Local de processamento e Salvaguardas e certificações abaixo descrevem a postura do próprio fornecedor quando ele é um serviço fixo e nomeado (os fornecedores de IA); para destinos totalmente escolhidos pelo cliente (webhooks, chamadas HTTP de apps Lua, endpoints Chat-Completions genéricos, o projeto BigQuery do próprio cliente), o local e as salvaguardas são o que o cliente configurar.

Fornecedores de IA / ML configurados pelo cliente

As chaves de API (e, para o caso do chat-completions genérico, a URL do endpoint) ficam armazenadas por organização, criptografadas em repouso, e são selecionadas em cada Assistente. A superfície de produto consumidora em todos os casos é a camada de AI Agent / Assistentes e o bloco de IA de jornadas (geração de texto, classificação, transcrição, TTS) — além, para o Gemini especificamente, do agente de IA de chamadas de voz do WhatsApp.

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
OpenAI API (Responses, Chat, Whisper, TTS)OpenAI, L.L.C.Texto de mensagens, histórico de conversas, valores de campos de contato, áudio de vozInferência LLM, conversão de fala em texto e texto em fala para o AI Agent / Assistentes e o bloco de IA de jornadasEUA por padrão; clientes business podem selecionar residência de dados em repouso (EUA, Europa, Reino Unido e outras) e processamento de dados EUA/Europa em endpoints suportados. Dados de API não são usados para treinar modelos por padrãoSOC 2 Type II; ISO/IEC 27001:2022, 27017, 27018, 27701; CSA STAR; HIPAA (BAA); GDPR — portal de confiança da OpenAINão
Anthropic API (Claude)Anthropic PBCTexto de mensagens, histórico de conversas, valores de campos de contatoInferência LLM para o AI Agent / Assistentes e o bloco de IA de jornadasSediada nos EUA; opções de residência de dados disponíveis na Claude API. Dados comerciais/de API não são usados para treinamento sem opt-inSOC 2 Type I e II; ISO/IEC 27001:2022; ISO/IEC 42001:2023; HIPAA (BAA); GDPR — central de confiança da AnthropicNão
Google Gemini APIGoogle LLCTexto de mensagens, histórico de conversas, imagens, áudio em tempo real (chamadas)Inferência LLM e multimodal para o AI Agent / Assistentes e o bloco de IA de jornadas, além do agente de IA de chamadas de voz do WhatsAppRegiões do Google Cloud; região governada pelo endpoint / perfil de inferência. Dados de API do nível pago não são usados para treinamentoISO/IEC 27001:2022, 27017, 27018, 27701; SOC 1/2/3; HIPAA; EU-US/Swiss DPF + extensão UK; GDPR (Cloud DPA + SCCs) — central de confiança do Google CloudNão
DeepInfra (Llama e outros)DeepInfra Inc.Texto de mensagens, histórico de conversasInferência LLM para modelos de pesos abertos no AI Agent / Assistentes e no bloco de IA de jornadasApenas EUA — infraestrutura de inferência própria em data centers nos EUA; sem residência na UE. Payloads de requisição/resposta não são registrados nem usados para treinamentoSOC 2; ISO/IEC 27001 (obtida em 2025); medidas GDPR e HIPAA — central de confiança da DeepInfraNão
Endpoint Chat-Completions configurado pelo clienteVariaO que quer que a jornada passe ao blocoLLM bring-your-own para o AI Agent / Assistentes e o bloco de IA de jornadasDeterminado pelo endpoint configurado pelo clienteDeterminado pelo endpoint configurado pelo clienteNão

Exportação para data warehouse controlado pelo cliente

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
Google BigQueryGoogle LLCCorpos de mensagens, campos de contato, logs de conversas, referências de anexos, eventos de análiseExportação para data warehouse voltada ao cliente — a integração de exportação para o BigQuery transmite as mensagens e contatos de uma organização para um dataset no projeto GCP do cliente, usando credenciais fornecidas pelo clienteO próprio projeto e região GCP do clienteAs certificações do Google Cloud aplicam-se à plataforma subjacente (ISO/IEC 27001:2022, 27017, 27018, 27701; SOC 1/2/3; GDPR) — central de confiança do Google CloudNão

Integrações de saída controladas pelo cliente

Estas não têm um fornecedor fixo — o destino é escolhido pela organização que opera a jornada.

ServiçoFornecedorDados processadosFinalidadeLocal de processamentoSalvaguardas e certificaçõesObrigatório
Destinos do bloco de webhookConfigurado pelo clienteQualquer contexto de jornada que o cliente escolha enviarWebhooks de saída de jornadas — o bloco Webhook no construtor de jornadasDeterminado pela URL de destino escolhida pelo clienteDeterminado pelo destino escolhido pelo clienteNão
Chamadas HTTP de apps LuaConfigurado pelo clienteQuaisquer dados que o app instalado escolha enviarIntegrações personalizadas via motor de Apps — chamadas HTTP feitas por um app Lua instaladoDeterminado pelo destino escolhido pelo clienteDeterminado pelo destino escolhido pelo clienteNão