Segurança · Governança · LGPD

IA com governança humana,
não promessa de marketing.

Camadas de defesa, isolamento total por empresa, controle de acesso (RBAC) com quatro papéis e aprovação humana obrigatória em ações críticas. Tudo logado para auditoria.

ARQUITETURA DE SEGURANÇA
Anti-injeção
Mensagens externas são isoladas e filtradas antes de chegar ao agente.
Validação de entrada
Toda ação do agente é validada contra um schema antes de executar.
Ações pendentes
Ações críticas exigem confirmação humana antes de sair.
Validação de saída
Confere a magnitude de cada ação antes de concluí-la.
Controle de acesso
Quatro papéis (owner, admin, gestor, member) e isolamento total por empresa.
Registro de auditoria
Toda mutação registrada com IP, user-agent e timestamp.
DETALHE TÉCNICO

Implementação ponto a ponto

Criptografia em trânsito
HTTPS forçado via HSTS preload (max-age 1 ano, includeSubDomains)
Criptografia em repouso
AES-256 no banco de dados gerenciado
Tokens de webhook
Comparados com timingSafeEqual (proteção contra timing attacks)
Anti-replay
Janela de timestamp de 5 minutos + chave UNIQUE de idempotência
Isolamento de tenants
Isolamento total por empresa + controle de acesso por papel (RBAC)
Storage de arquivos
Armazenamento seguro com URLs assinadas e expiração
Treinamento com dados
Não usamos dados do cliente. Modelos sob política empresarial; inputs não treinam modelos
Headers de segurança
CSP estrito, X-Frame-Options DENY, Permissions-Policy bloqueando câmera/mic/geo
HONESTIDADE

O que ainda não temos

Acreditamos que cliente esperto pergunta o que falta. Aqui está:

Certificações formais
SOC 2 e ISO 27001 ainda não emitidas. Em planejamento.
Cache de IA
Hoje toda solicitação consulta o modelo em tempo real. O roadmap inclui camada de cache.
Multi-cloud
Hoje rodamos em nuvem única. A arquitetura já é portável.