Criptografia em trânsito
Ativo
TLS 1.2+ obrigatório em toda API e superfície web. Tráfego em texto claro não é aceito.
Painel público dos controles que a Data Riders publica e mantém ativos para o GISTM.ai e demais agentes. Cada controle aqui listado é auditável sob demanda mediante NDA. Responsabilidade humana primeiro; a IA apoia decisões — não as substitui.
Última revisão: 2026‑04‑27 · Próxima revisão prevista: 2026‑10‑27 · Versão do painel: G40 · Os controles abaixo refletem o que está publicado e em produção; evidências (logs CloudTrail, configurações IAM, contratos com subprocessadores) ficam disponíveis sob NDA via solicitação de DPA.
TLS 1.2+ obrigatório em toda API e superfície web. Tráfego em texto claro não é aceito.
SaaS gerenciado: criptografia em repouso gerenciada pela plataforma. AWS privado: SSE‑KMS com chaves CMK controladas pelo cliente (KMS rotation opcional). Object Lock disponível como configuração opcional para buckets de evidências auditáveis.
Documentos enviados são mantidos por até 30 dias apenas para troubleshooting; após isso, excluídos. Apenas metadados limitados são preservados.
Seus documentos não são usados para treinar modelos de fundação — nem os nossos, nem os dos provedores. Distinguimos: (i) treino do modelo de fundação (vedado, conforme contratos com Bedrock, OpenAI Enterprise/ZDR e Anthropic) e (ii) melhoria contínua no tenant do cliente via feedback humano (somente quando contratualmente autorizado e isolado por workspace). Veja Art. 6 — Provedores de modelo.
SAML SSO, provisionamento SCIM e RBAC disponíveis em planos Enterprise do nosso SaaS gerenciado e em todos os deployments AWS privados. Em planos Starter/Pro do SaaS, autenticação é por e‑mail+senha com MFA obrigatório.
Autenticação multifator obrigatória para contas humanas; tokens bearer de escopo limitado para chamadas máquina-a-máquina.
Papéis IAM rígidos com mínimo privilégio, credenciais de curta duração e log de auditoria em cada pipeline.
Integração Microsoft Graph app-only com escopo Sites.Selected — acesso granular e revogável, nunca tenant-wide.
O deployment AWS privado roda dentro de uma VPC controlada pelo cliente, com subnets privadas e networking privado entre serviços.
AWS WAF + Shield opcionais na borda para filtragem em L7 e mitigação DDoS em endpoints expostos.
GISTM.ai como SaaS puro gerenciado, ou em uma conta AWS privada pertencente ao cliente. O modelo de soberania é escolha sua.
CloudTrail, GuardDuty, AWS Config, Security Hub, Macie e Inspector — logging contínuo, detecção de anomalias e alertas de má configuração.
Playbooks de baseline cobrindo detecção, contenção (rotação de chaves, revogação de grants), recuperação e notificação transparente ao cliente.
Logs de auditoria append‑only em CloudTrail e nos pipelines da aplicação; armazenamento imutável via Object Lock (opcional) em deployments AWS privados. Lista pública de subprocessadores e Data Processing Addendum (DPA) disponíveis em /pt-br/subprocessadores/ e mediante solicitação.
People‑first: entregas formais ao cliente (relatórios, pareceres, gap‑analyses, planos de ação) e incidentes de segurança têm um responsável humano nomeado que revisa e assina antes da publicação. Saídas conversacionais do widget e iterações exploratórias dentro dos agentes não exigem assinatura — são marcadas como apoio à decisão e não como parecer técnico.
✅ disponível · ⚠️ depende de plano/configuração · ❌ indisponível neste modo. On‑premises é avaliado caso a caso e exige stack de IA do cliente (vLLM, Bedrock VPC endpoint ou Azure OpenAI).
Retentões podem ser encurtadas por contrato. Veja também Política de Privacidade e Subprocessadores.
Bedrock não usa prompts ou respostas para treinar modelos de fundação nem da AWS nem dos provedores hospedados. Logs do cliente ficam na conta AWS do cliente. Recomendado para clientes regulados. Política: aws.amazon.com/bedrock/security-compliance.
API e Enterprise: zero‑data‑retention (ZDR) disponível; sem treino do modelo com dados do cliente. Sem ZDR, retenção de até 30 dias para detecção de abuso. Política: openai.com/policies/api-data-usage-policies.
API comercial Anthropic: não treina modelos com inputs/outputs a menos que o cliente opt‑in. Política: anthropic.com/legal/commercial-terms.
Quando o cliente autoriza por contrato, feedback humano (correções, ratings) é usado para refinar prompts, regras de RAG e few‑shot examples isolados ao workspace do cliente. Isso não é treino do modelo de fundação — é configuração do agente. O cliente pode revogar e exportar a qualquer momento.
Benchmarks de indústria publicados pela Data Riders são construídos exclusivamente a partir de (a) dados públicos agregados e anonimizados (relatórios públicos GISTM/TSM/Copper Mark, dados ANM, ICMM, IRMA) e/ou (b) dados do cliente expressamente autorizados por contrato, sempre anonimizados a nível de site antes da agregação. Não usamos dados de um cliente para gerar benchmarks consumidos por outro sem autorização escrita. Veja Termos de Uso, §6 — Uso secundário de dados.
Toda entrega respeita o escopo contratado. Não-conformidades objetivas são corrigidas sem custo adicional.
Ler documento completoTolerância zero a violência, assédio e abuso — prevenção, escuta ativa e canais seguros de denúncia.
Ler documento completoPadrões rígidos anticorrupção alinhados a TSM e The Copper Mark, com revisão e certificação periódicas.
Ler documento completoRegras transparentes para brindes, hospitalidade e interação com agentes públicos — integridade acima da conveniência.
Ler documento completoDiversidade, equidade, inclusão e lente de sustentabilidade em cada engajamento.
Ler documento completoUm único Código que governa como trabalhamos com clientes, comunidades e uns com os outros — revisado e treinado periodicamente.
Ler documento completoEsta página. Segurança, privacidade e governança de IA, responsabilidade humana em primeiro lugar e proteção que sobrevive a auditorias.
Ler documento completo