Início / Compromissos / 7. Central de Confiança
Camada 4 · Tecnologia & dados
Compromisso 07 de 07

Central de Confiança

Controles publicados de cibersegurança de IA e privacidade para o GISTM.ai e demais produtos Data Riders. TLS 1.2+; AWS SSE‑KMS com chaves controladas pelo cliente em deployments AWS privados; retenção de documentos de 30 dias; sem treino do modelo de fundação com dados do cliente; SSO corporativo (SAML/SCIM/RBAC) em planos Enterprise; opções com VPC privada e Object Lock; monitoramento contínuo e resposta a incidentes documentada.

Controles publicados ativos · Painel público

Art. 1 Resumo executivo

O GISTM.ai é um assistente de IA para governança de rejeitos construído e operado pela Data Riders. Nossos compromissos de segurança e privacidade aplicam-se ao GISTM.ai e a todos os produtos Data Riders. Suportamos dois padrões de implantação — SaaS gerenciado (com controles corporativos) e deployment privado em AWS (com chaves KMS controladas pelo cliente, isolamento de VPC e controles IAM).

Promessas centrais

TLS 1.2+ em todas as superfícies expostas · AWS SSE‑KMS com CMKs controladas pelo cliente em AWS privado · Retenção de documentos de 30 dias · Sem treino do modelo de fundação com dados do cliente (Bedrock, OpenAI Enterprise/ZDR, Anthropic) · SSO corporativo (SAML/SCIM/RBAC) em planos Enterprise · Opções com VPC privada e Object Lock · Monitoramento contínuo · Resposta a incidentes documentada.

Art. 2 Opções de deployment

SaaS gerenciado

SAML SSO, provisionamento SCIM, RBAC e auditoria de logs em planos Enterprise. Trust center do provedor SaaS subjacente disponível sob NDA mediante solicitação.

Deployment privado AWS

Conta AWS do cliente: chaves KMS CMK controladas pelo cliente, VPC dedicada, IAM com mínimo privilégio, S3 Object Lock opcional. Bedrock como provedor de modelo padrão.

On‑premises (sob avaliação técnica)

Caso a caso, com a stack de IA do cliente (vLLM, Bedrock via VPC endpoint ou Azure OpenAI). Exige escopo de discovery e depende da infraestrutura disponível.

Veja a matriz controle a controle na Central de Confiança.

Art. 3 Tratamento de dados

  • Documentos carregados são retidos por até 30 dias, salvo se contratualmente encurtado ou estendido.
  • Metadados anonimizados podem ser mantidos além dos 30 dias para analytics agregado, quotas e billing — nunca incluem conteúdo do documento.
  • Documentos não são usados para treinar o modelo de fundação; melhoria contínua dentro do tenant (correções e prompts) é opt‑in contratual e isolada ao workspace do cliente.
  • Fontes de ingestão suportadas: upload do cliente; opcional SharePoint via permissões app‑only do Graph com escopo Sites.Selected.
  • Processamento via inferência LLM com armazenamento em S3 ou backends do SaaS gerenciado.
  • Tabela completa de ciclo de vida (arquivo, texto, chunks, embeddings, prompts, respostas, logs, backups, metadados): /pt-br/seguranca-privacidade/#data-lifecycle.

Art. 4 Criptografia

  • Em trânsito: TLS 1.2+ para todo tráfego de cliente, serviço e inter-serviços.
  • Em repouso: AWS SSE-KMS com chaves gerenciadas pelo cliente (CMKs) em deployments privados.
  • Isolamento por tenant e IAM de menor privilégio em todas as operações de chave.

Art. 5 Identidade & acesso

  • SaaS: SAML SSO, provisionamento SCIM e RBAC.
  • Privado: AWS IAM, políticas baseadas em menor privilégio e opcional intermediação de identidade gerenciada pelo cliente.
  • Todo acesso é auditado por log e revisável sob demanda.

Art. 6 Provedores de modelo

Modelos subjacentes podem ser servidos por Amazon Bedrock (preferido para clientes sensíveis — sem treino), OpenAI (Enterprise/ZDR ou retenção de 30 dias para detecção de abuso) e Anthropic (sem treino por padrão). Políticas oficiais: Bedrock, OpenAI, Anthropic. Escolhemos padrões de deployment que impedem que dados do cliente sejam usados para treinar modelos de fundação.

Art. 7 Monitoramento

  • CloudTrail, GuardDuty, AWS Config, Security Hub, Macie, WAF e Shield implantados quando aplicável.
  • Agregação contínua de logs com alertas para padrões anômalos de acesso.
  • Revisão trimestral de regras, alertas e cobertura.

Art. 8 Resposta a incidentes

  1. Detectar Alertas automatizados do monitoramento e relatos humanos são triados em fila central.
  2. Conter Revogação de credenciais, isolamento de sistemas afetados e interrupção de ameaças ativas.
  3. Avaliar Determinar escopo, impacto de dados e causa-raiz com CloudTrail e logs de aplicação.
  4. Notificar Clientes afetados são notificados dentro do SLA contratado (tipicamente 72 horas para violações confirmadas).
  5. Remediar Aplicar correções, rotacionar chaves, restaurar serviços e verificar ausência de acesso residual.
  6. Aprender Revisão pós-incidente com lições documentadas e ações corretivas.

Art. 9 Retenção & exclusão

  • Retenção padrão: 30 dias para documentos; metadados retidos conforme política de analytics.
  • Exclusão sob demanda: suportada por contrato; confirmada por escrito ao término.
  • Devolução/exclusão ao fim do engajamento segue o contrato e pode ser auditada.

Art. 10 Subprocessadores

Subprocessadores‑chave incluem AWS (compute, storage, networking), nosso provedor de plataforma SaaS gerenciada e os provedores de modelo listados acima. Lista pública completa em /pt-br/subprocessadores/; mudanças são anunciadas com antecedência conforme o DPA.

Art. 11 Mapeamento de conformidade

  • Alinhamento com LGPD para tratamento de dados pessoais.
  • Alinhamento com GDPR para dados europeus, quando aplicável.
  • Arquitetura e controles adequados para preparação ISO 27001 e SOC 2 — certificações buscadas sob demanda.

Art. 12 Contato & painel público

Para dúvidas, incidentes ou divulgação de vulnerabilidades escreva para [email protected] com o assunto "Segurança". Explore o painel público em Central de Confiança →. Documentos relacionados: Política de Privacidade · Cookies · Termos de Uso · Subprocessadores.

Emitido: 20/05/2025
Última revisão: 2026-04-20
Elaboradores: Fernando Damasio & Johan du Toit
Data Riders Consultoria e Educação LTDA · CNPJ 29.742.713/0001-02