§ Setor · SaaS B2B brasileiro

SaaS B2B: controlador, operador, sub-operador.

SaaS B2B brasileiro tem estrutura de papéis LGPD mais complexa que e-commerce: você é operador dos seus clientes (controlam dados de usuários finais) e controlador dos próprios colaboradores + leads. LGPD · Art. 39 impõe contrato específico entre controlador e operador (DPA · Data Processing Agreement).

Papéis LGPD em SaaS.

A LGPD define 3 papéis relevantes pra SaaS B2B:

Controlador · Art. 5º VI

Quem decide sobre o tratamento. Seu cliente é controlador dos dados de usuários finais. Você é controlador dos próprios leads + colaboradores CLT.

Operador · Art. 5º VII

Quem executa tratamento em nome do controlador. Seu SaaS é operador quando processa dados de usuários finais do cliente. Art. 39 exige DPA assinado.

Sub-operador

Terceiro contratado pelo operador (AWS, Stripe, Resend). ANPD não define termo formalmente · contratos devem cobrir Art. 39 em cascata.

DPA · Data Processing Agreement.

O DPA é contrato entre controlador e operador que formaliza o tratamento. Exigido pelo Art. 39 LGPD em qualquer relação controlador-operador. Elementos mínimos obrigatórios:

  • Objeto + duração · quais dados + por quanto tempo
  • Finalidades específicas · não vaga "execução do serviço"
  • Obrigações + responsabilidades · RACI entre partes
  • Medidas técnicas · TLS, criptografia at-rest, MFA admin, logging
  • Sub-operadores autorizados · lista com country + DPA upstream
  • Transferência internacional · base Art. 33 se dados saem do BR
  • Cooperação com titular · operador atende pedidos Art. 18 via controlador
  • Comunicação de incidentes · SLA pra avisar controlador (tipicamente 24-72h)
  • Right to Audit · cliente enterprise pode auditar anualmente
  • Término + retorno/eliminação · dados devolvidos ou deletados pós-contrato

SOC 2 Type II em vendas enterprise.

Cliente enterprise US/UK/DE praticamente sempre exige SOC 2 Type II em due diligence. É attestation emitida por auditor CPA (AICPA US) sobre 5 Trust Services Criteria (Security, Availability, Processing Integrity, Confidentiality, Privacy). Type II cobre 6-12 meses de observação · prova que controles operaram · não só existiram no papel.

Alternativas aceitas conforme vertical: ISO 27001:2022 (global), HITRUST (saúde US), CSA STAR (cloud). A Indícia gera evidência técnica auditável (findings com SHA-256 + Merkle tree) que pode ser apresentada a auditor SOC 2/ISO durante a coleta de controles · auditor credenciado é responsável pelo attestation final.

Vendor assessment automatizado.

Cliente enterprise envia planilhas de vendor assessment com 80-200 perguntas cobrindo LGPD + SOC 2 + ISO + privacidade. Respostas manuais consomem 20-40h por cliente. Indícia pré-preenche assessment extraindo evidência do radar contínuo:

  • Scan frequency + última execução + trend de 90 dias
  • Findings por severity CVSS + tempo médio de fechamento (MTTR)
  • Stack + versões + SBOM CycloneDX (Enterprise)
  • Política de incidentes + SLA ANPD (Res. 15/2024)
  • DPA template assinado + lista de sub-operadores
Perguntas que estão no ar

SaaS B2B · dúvidas frequentes.

Meu SaaS é controlador ou operador?
Geralmente operador pros dados de usuários finais do cliente (eles decidem finalidades). Controlador pros seus próprios leads e colaboradores. Um SaaS pode ser ambos ao mesmo tempo · papéis por conjunto de dados.
DPA é obrigatório mesmo pra cliente pequeno?
Sim. Art. 39 LGPD não tem limite mínimo. Empresa de 5 pessoas que usa seu SaaS e processa dados de clientes = relação operador-controlador · DPA exigido. Template padrão resolve sem advogado.
Sub-operador pode ser fora do Brasil?
Sim, desde que haja base legal pra transferência internacional (Art. 33). AWS em Virginia = OK se tem DPA com cláusulas padrão + adesão a ANPD. Tenha inventário de sub-operadores + países.
Cliente pediu SOC 2, posso substituir por ISO 27001?
Às vezes. Cliente US geralmente aceita só SOC 2. Cliente EU prefere ISO 27001. Em dúvida, mantenha ambos na roadmap · custo adicional ~30% sobre um só. Software de compliance (Drata, Vanta) mapeia controles cross-framework.
Right to Audit é caro pra atender?
Na prática é raramente exercido. Cliente enterprise negocia cláusula padrão mas quase nunca aciona. Custo real: manter documentação atualizada + trilha de compliance. Se for exercido, ~40-80h de preparação.
Indícia atende vendor assessment?
Parcialmente. Preenche seções técnicas (scan frequency, MTTR, stack, findings) a partir de dados reais do radar. Seções contratuais (DPA, SOC 2, operacional) ficam com jurídico do cliente · fornecemos templates.
§ Leituras relacionadas

Leituras relacionadas.

§ CLUSTER DPO Art. 41 Encarregado obrigatório em SaaS B2B com tratamento em escala. § CLUSTER ROPA Art. 37 Registro de operações · coluna crítica pra operador. § CLUSTER ISO 27001 vs NIST Framework + certificação · escolha por mercado-alvo.