Pular para o conteúdo principal
consultor.app
§segurançaSegurança

Seus dados ficam seus. Sem exceções.

Isolamento por design, criptografia de ponta a ponta, logs imutáveis e contrato no-train com cada provedor de IA. Não é marketing — é arquitetura.

O compromisso que não negocia.

Suas metodologias, seus clientes, suas conversas, seus relatórios — são seus. Nunca usados para treinar modelos de terceiros. Nunca compartilhados entre workspaces. Nunca acessados pelo nosso time sem autorização formal registrada em log auditável. Se você sair, leva tudo. Nossas cópias são destruídas em até 30 dias após o cancelamento.

Controles técnicos

Workspace isolado por design.

Row Level Security no Postgres garante que cada workspace é uma ilha. Não existe query que retorne dados de outro tenant — o isolamento está na camada de banco, não na aplicação. Mesmo um bug no código não atravessa essa fronteira.

Criptografia em trânsito e em repouso.

TLS 1.3 em todas as conexões, sem fallback pra versões anteriores. Dados em repouso criptografados com AES-256. Chaves gerenciadas pela AWS KMS com rotação automática trimestral. Backups diários criptografados armazenados em região separada.

Controle de acesso granular.

RBAC com quatro papéis distintos: owner, admin, consultor e colaborador — cada um com escopo de permissão documentado. SSO via SAML 2.0 disponível no Enterprise. MFA obrigatório para administradores. Sessões com expiração configurável e revogação imediata.

Logs imutáveis e auditáveis.

Toda ação crítica é registrada com hash encadeado — qualquer adulteração é matematicamente detectável. Logs retidos por 90 dias no plano Consultor, período negociável no Enterprise. Exportáveis em formato estruturado sob demanda.

Modelos de IA não treinam nos seus dados.

Suas metodologias, conversas com clientes e base de conhecimento nunca alimentam o treinamento de modelos de terceiros. Isso não é política interna — é cláusula contratual com OpenAI e Anthropic, auditável e vinculante.

Resposta a incidentes em 24h.

SLA de notificação: 24 horas após confirmação de qualquer exposição de dados. Playbooks de resposta documentados e testados trimestralmente com simulações reais. Comunicação formal por e-mail com descrição do incidente, escopo e medidas tomadas.

Compliance e certificações

SOC 2 Type II

Auditoria em andamento com Prescient Assurance. Conclusão prevista Q4 2026.

Em progresso

LGPD

Aderência total à Lei Geral de Proteção de Dados brasileira. DPO designado.

Compliant

GDPR

Aderência ao regulamento europeu. Data Processing Agreement disponível.

Compliant

ISO 27001

Iniciamos a jornada em janeiro de 2026. Conclusão prevista 2027.

Preparação

Residência de dados

Workspaces no plano Consultor são hospedados em AWS us-east-1 (Virgínia) e sa-east-1 (São Paulo), com replicação cross-region para resiliência. Enterprise tem opção de região dedicada: us-east-1, sa-east-1, eu-west-1 (Irlanda) ou eu-central-1 (Frankfurt) — definida em contrato para atender requisitos de soberania de dados.

Programa de divulgação responsável

Encontrou uma vulnerabilidade? Queremos saber antes de qualquer outra pessoa. Reporte com detalhes técnicos para security@consultor.app. Respondemos em até 48 horas com confirmação de recebimento e prazo de resolução.

Pedimos que não divulgue publicamente antes de coordenar conosco. Pesquisadores que seguem esse processo recebem crédito público quando a correção é publicada. Não há programa de recompensa financeira no momento.

Precisa de Security Questionnaire, SOC 2 letter, DPA ou revisão pela sua equipe de InfoSec?

Falar com a segurançaAviso LGPD

Atualizado em abril de 2026