Última atualização: 3 de maio de 2026
Esta página reúne, em um único lugar, os dados públicos sobre a conformidade regulatória da Hierk: privacidade e proteção de dados, anti-corrupção, anti-lavagem de dinheiro, sanções internacionais, segurança da informação, acessibilidade e direito do consumidor.
É um sumário operacional, com pontos de contato e links para os documentos detalhados. Não substitui os Termos de Uso, os Avisos de Privacidade nem a Declaração de Regulamentações de Proteção de Dados — apenas oferece uma visão consolidada da postura da Hierk em compliance.
Aviso importante. A Hierk encontra-se em fase de pré-lançamento. Este documento descreve o programa de compliance em design e implementação, com controles operacionais já definidos (criptografia, RBAC, logging, plano de resposta a incidentes, DPO/EU Rep designados) e auditorias formais externas (SOC 2, ISO 27001, pentests por terceiros) previstas no roadmap conforme amadurecimento da plataforma. Sempre que um item ainda esteja em estágio de design ou em preparação para auditoria formal, isso é declarado de forma transparente no respectivo capítulo.
A Hierk está estruturada para cumprir, com base em programa de privacy by design e privacy by default, a Lei Geral de Proteção de Dados Pessoais brasileira (LGPD, Lei 13.709/2018), o Regulamento Geral de Proteção de Dados da União Europeia (GDPR, Reg. 2016/679), o UK GDPR pós-Brexit, a California Consumer Privacy Act (CCPA, com alterações da CPRA 2023), e demais leis estaduais norte-americanas em vigor (VCDPA, CPA, CTDPA, UCPA, TDPSA, OCPA, MTCDPA, ICDPA, TIPA, INCDPA, DPDPA, NHPA, MODPA, MCDPA, RIDTPPA, NDPA, NJDPA). Para LATAM, observa LFPDPPP (México), Ley 25.326 (Argentina), Ley 21.719 (Chile, vigência integral 1/12/2026) e Ley 1581/2012 (Colômbia). Para APAC, PIPL (China), PIPA (Coreia), APPI (Japão), PDPA (Singapura, Tailândia), DPDP Act (Índia), Privacy Act 1988 (Austrália), PDPO (Hong Kong) e PDPA (Taiwan). Detalhamento completo em /seguranca/lgpd e nos Avisos de Privacidade segmentados. Como empresa pré-launch, a Hierk privilegia conformidade documental e operacional desde o desenho — auditorias formais e certificações externas estão previstas no roadmap.
Encarregado de Proteção de Dados (DPO/DPC) designado: Sr. Joao Marcus Ferreira do Carmo, Co-Founder e CPTO da Hierk, em conformidade com o art. 41 da LGPD e o art. 37 do GDPR. O Sr. Francisco, residente legal em Portugal, foi também designado por mandato escrito como Representante da Hierk na União Europeia (art. 27 GDPR), atuando como ponto de contato local para titulares e Autoridades Supervisoras dos Estados-Membros UE/EEE. Canal direto: dpo@hierk.com. A Hierk atua simultaneamente como controladora (nos serviços oferecidos diretamente ao usuário final) e como operadora/processador (em contratos B2B com cláusulas DPA padronizadas).
Transferências para fora do EEE/UK ocorrem com salvaguardas do Capítulo V do GDPR (decisões de adequação, Cláusulas Contratuais-Tipo 2021/914, IDTA UK + Addendum, BCRs ou EU-US Data Privacy Framework), com Transfer Impact Assessment (TIA) pós-Schrems II. Para China, uso do China Standard Contract (CAC SCC, vigência 1/06/2023). Cópias das salvaguardas disponíveis sob solicitação a dpo@hierk.com.
A Hierk observa a Lei 12.846/2013 (Lei Anticorrupção brasileira), o Decreto 11.129/2022 (regulamentação), o U.S. Foreign Corrupt Practices Act (FCPA), o UK Bribery Act 2010 e demais leis anticorrupção das jurisdições onde opera. Mantém Código de Conduta e diretrizes internas inspirados no Decreto 8.420/2015 e nas melhores práticas do CGU. A formalização de um Programa de Integridade nos moldes plenos do Decreto 8.420/2015 (com auditoria independente, canal externo de denúncias certificado e treinamento estruturado em ciclos anuais auditados) está prevista no roadmap conforme crescimento do quadro de colaboradores e da operação.
Código de Conduta interno aplicável a colaboradores, prestadores e parceiros de negócio, com vedação expressa de oferta, promessa ou autorização de pagamento indevido a agente público, partido político, candidato ou pessoa privada. Treinamento de integridade no onboarding e revisão anual obrigatória são parte do programa em implementação.
Due diligence anticorrupção é parte do processo de KYB (seção 4) e da contratação de fornecedores relevantes. Resultado registrado e revisado periodicamente.
A Hierk cumpre a Lei 9.613/1998 (lavagem de dinheiro e financiamento ao terrorismo), as recomendações do GAFI/FATF, a Circular BACEN 3.978/2020 (no que aplicável a fornecedores SaaS que processam pagamentos via PSP), e a regulação da COAF (Conselho de Controle de Atividades Financeiras).
A Hierk não custodia recursos financeiros diretamente do usuário final. Todo o processamento de pagamentos é realizado via processadores externos certificados (Stripe, e similares), com PCI-DSS Level 1, KYC do pagador no PSP, e monitoramento transacional pelos próprios PSPs. A Hierk recebe apenas tokens de pagamento — número de cartão completo nunca é coletado nem armazenado.
Empresas usuárias passam por verificação proporcional ao risco e ao volume contratado, abrangendo: (i) confirmação de existência e regularidade da pessoa jurídica perante Receita Federal e Junta Comercial competente (ou identificador fiscal e órgão equivalente em outras jurisdições); (ii) identificação dos beneficiários finais (UBO) com participação igual ou superior a 25%, conforme Instrução Normativa RFB 2.119/2022; (iii) screening em listas de sanções (OFAC SDN, UE consolidada, ONU, HM Treasury) e de Pessoas Politicamente Expostas (PEP); (iv) consulta complementar a CEIS, CNEP e demais cadastros públicos brasileiros de empresas inidôneas e suspensas; (v) avaliação de risco reputacional e setorial.
Empresas com volume contratado superior a R$ 500.000,00/ano ou em setores de alto risco passam por reanálise anual obrigatória. Demais usuárias empresariais passam por reanálise event-driven: alteração societária, mudança de país de operação, aparição em listas restritivas.
OFAC (EUA), Sanções Consolidadas da União Europeia, Conselho de Segurança das Nações Unidas, HM Treasury (Reino Unido) e COAF/BACEN (Brasil). Detalhamento integral em /legal/sancoes.
A Hierk não opera em, nem permite acesso à Plataforma a partir de, jurisdições integralmente embargadas pelos EUA: Cuba, Irã, Coreia do Norte, Síria, Crimea/regiões ocupadas. Tentativas de acesso são bloqueadas e reportadas conforme exigência regulatória.
A Hierk desenvolve um Programa de Segurança da Informação inspirado nos critérios do SOC 2 Type II (controles em design e implementação progressiva, com auditoria formal por terceiro independente prevista no roadmap), na ISO/IEC 27001 (gestão de segurança), na ISO/IEC 27701 (gestão de privacidade), e nas melhores práticas NIST CSF e CIS Controls.
Criptografia em trânsito (TLS 1.3) e em repouso (AES-256); controles de acesso por papel (RBAC) com MFA e princípio do menor privilégio; gestão de vulnerabilidades com escaneamento automatizado contínuo (Snyk/Dependabot ou equivalente) e pentests anuais por terceiros independentes (a serem iniciados conforme amadurecimento da plataforma); plano de resposta a incidentes formalmente documentado, com SLA de notificação às Autoridades Supervisoras: 72 horas para a autoridade competente sob GDPR (art. 33), 3 dias úteis para a ANPD sob Instrução Normativa 4/2023, e prazo equivalente para outras Autoridades Supervisoras conforme jurisdição; comunicação aos titulares afetados quando aplicável (GDPR art. 34; LGPD art. 48); backups testados periodicamente; segregação de ambientes de produção, homologação e desenvolvimento. Monitoramento contínuo dos sistemas via AWS CloudWatch, com alertas automatizados em tempo real para padrões anômalos. SOC 24x7 dedicado está previsto no roadmap conforme escala de operação.
Lista atualizada de subprocessadores em /legal/dpa, com notificação prévia de 30 dias para qualquer adição relevante (GDPR art. 28(2)).
A Plataforma é desenhada e desenvolvida com aderência às Web Content Accessibility Guidelines (WCAG) 2.1 nível AA, com testes automatizados integrados ao pipeline de desenvolvimento e revisões periódicas internas. Auditoria de acessibilidade externa por terceiro independente está prevista no roadmap, em prazo razoável após o lançamento. Compromisso adicional de aderência à Lei Brasileira de Inclusão (Lei 13.146/2015), ao Americans with Disabilities Act (ADA), e ao European Accessibility Act (Diretiva (UE) 2019/882, com produção de efeitos a partir de 28/06/2025).
Declaração completa em /legal/acessibilidade — funcionalidades implementadas, limitações conhecidas e canal para reportar barreiras.
Aderência ao Código de Defesa do Consumidor (Lei 8.078/1990), Lei 14.181/2021 (superendividamento), Decreto 7.962/2013 (e-commerce), Decreto 11.034/2022 (SAC) e Marco Civil da Internet (Lei 12.965/2014). As políticas, fluxos de atendimento e prazos legais estão integrados ao desenho operacional da Plataforma.
Diretiva 2011/83/UE e Diretiva 2019/770 (UE), Consumer Contracts Regulations 2013 (UK), CCPA/CPRA (Cal. Civ. Code §1798.100+), Shine the Light Law (Cal. Civ. Code §1798.83, lei distinta do CCPA, em vigor desde 2005), CalOPPA (Bus. & Prof. Code §22575), Lei 24.240 (Argentina), LFPC (México), Lei 19.496 (Chile), Lei 1.480/2011 (Colômbia), 전자상거래법 (Coreia), e demais leis locais aplicáveis. Adendos regionais embutidos automaticamente nos Termos de Uso conforme IP do usuário.
Aderência à Consolidação das Leis do Trabalho (CLT), Lei 13.467/2017 (Reforma Trabalhista), Lei 14.442/2022 (teletrabalho), Lei 13.709/2018 (LGPD aplicada a dados de candidatos e colaboradores), e Norma Regulamentadora 17 (ergonomia em teletrabalho). As políticas internas para colaboradores e prestadores são desenhadas com base nesses marcos. Por encontrar-se em fase pré-launch, o quadro de pessoal é enxuto — programas formais de RH, treinamento estruturado em ciclos auditáveis e canais externos certificados serão expandidos conforme o crescimento da equipe.
Para colaboradores em outras jurisdições, observa-se a legislação local trabalhista vigente, incluindo regimes europeus (Diretiva (UE) 2019/1152 sobre condições de trabalho transparentes), regimes norte-americanos (FLSA + leis estaduais), e regimes APAC. Detalhamento em Aviso de Privacidade — Colaboradores em /legal/privacidade-colaboradores.
A Hierk disponibiliza, mediante NDA e solicitação fundamentada de empresa enterprise, os seguintes relatórios: SOC 2 Type II (após primeira auditoria formal), ISO 27001 e ISO 27701 (quando emitidos), relatórios de pentests anuais sumarizados, Transfer Impact Assessment (TIA) padrão para transferências internacionais, e Relatório de Transparência anual público (em /legal/transparencia). Solicitações: dpo@hierk.com com o assunto "Compliance, relatório".
Publicação anual em /legal/transparencia, com dados agregados sobre pedidos governamentais, moderação de conteúdo, uso de inteligência artificial, incidentes de segurança, reclamações e screening de sanções. Não inclui dados que possam identificar usuários ou comprometer investigações em andamento.
A Hierk acompanha o roadmap de vigência do Regulamento (UE) 2024/1689 (AI Act): art. 5 (práticas proibidas — ex. exploração de vulnerabilidades de menores, manipulação subliminar, social scoring) com vigência em 2/02/2025; obrigações para General Purpose AI (GPAI) com vigência em 2/08/2025; obrigações para sistemas de high-risk e demais com vigência em 2/08/2026. A Hierk realiza Fundamental Rights Impact Assessment (FRIA, art. 27) para qualquer funcionalidade que se enquadre como high-risk no Anexo III, incluindo screening de candidatos (Anexo III §4(a)).
Funcionalidades de IA são identificadas ao usuário (art. 50); decisões automatizadas com efeitos significativos contam com supervisão humana (art. 14) e direito de intervenção, contestação e revisão (art. 22(3) GDPR). Conteúdo gerado por IA é rotulado como tal.
Suspeitas de violação de qualquer dos compromissos descritos neste documento, incluindo corrupção, fraude, lavagem de dinheiro, violação de sanções, discriminação, assédio ou qualquer ilícito civil ou penal, podem ser reportadas em sigilo a help@hierk.com com o assunto "Compliance, denúncia confidencial", ou pelo canal de Reclamação em /legal/reclamacao.
A Hierk segue os princípios da Diretiva (UE) 2019/1937 (whistleblower) e veda qualquer retaliação contra denunciantes de boa-fé. Identidade preservada salvo determinação judicial expressa.
Esta Central de Compliance é revisada minimamente a cada 12 meses, ou imediatamente após qualquer alteração legislativa ou regulatória relevante nas jurisdições onde a Hierk opera. A data da última atualização consta no topo deste documento.
Versões anteriores deste documento ficam arquivadas e podem ser consultadas mediante solicitação a dpo@hierk.com com o assunto "Compliance, versões anteriores".
Para questões de compliance e proteção de dados: dpo@hierk.com. Para reclamações formais ou denúncias confidenciais: help@hierk.com. Para questões jurídicas e propriedade intelectual: software@hierk.com. Reclamações de consumidor podem também ser dirigidas ao PROCON local, ao consumidor.gov.br, à ANPD, ou às autoridades de proteção de dados de cada jurisdição (ICO, CNIL, AEPD, BfDI, California Privacy Protection Agency — CPPA — e California Attorney General com competência concorrente sob Cal. Civ. Code §1798.199.10, e demais).