Segurança e Transparência

Na IAPAI, acreditamos que segurança começa com honestidade. Esta página descreve como operamos, quais tecnologias utilizamos, e quais são os limites e responsabilidades no uso da plataforma.

O Que Fazemos Hoje

Segurança em Trânsito

  • Todas as comunicações são protegidas por TLS (HTTPS)
  • Conexões não criptografadas são automaticamente redirecionadas

Controle de Acesso

  • Senhas armazenadas com hash (não reversível)
  • Sessões com expiração automática
  • Aplicamos controles para restringir acesso aos dados do próprio usuário

Logs e Registros

  • Mantemos registros de acesso para segurança, suporte e investigação
  • Logs utilizados para investigar incidentes quando necessário

Backups

  • Backups periódicos do banco de dados (conforme rotina interna)
  • Backups armazenados separadamente da infraestrutura principal

O Que Utilizamos (Suboperadores e Infraestrutura)

Transparência é fundamental. Abaixo estão os principais provedores e tecnologias que utilizamos:

Provedores de Inteligência Artificial (LLMs)

Utilizamos provedores de LLMs com servidores localizados no Brasil ou Europa, conforme determina a LGPD. Por questões estratégicas, não divulgamos publicamente quais provedores específicos são utilizados.

Podemos adicionar novos provedores no futuro, e esta página será atualizada.

Observações importantes:

  • • Documentos e textos enviados à plataforma podem ser processados por provedores externos
  • • Cada provedor possui suas próprias políticas de retenção e segurança
  • • Somente trabalhamos com LLMs que garantem a menor retenção de dados possível, sempre focando na "zero retenção"

Infraestrutura e Hospedagem

ProvedorServiçoLocalização
InfraestruturaServidores e hospedagemBrasil
SupabaseBanco de dados e autenticaçãoBrasil/Europa
StripeProcessamento de pagamentosBrasil

Como Tratamos Seus Dados

Upload de Documentos

  1. Você envia um documento (PDF, imagem, texto)
  2. O conteúdo é enviado a um ou mais provedores de IA para análise
  3. A resposta é retornada e exibida na plataforma
  4. O documento original fica armazenado por no máximo 24h

Anonimização (em evolução)

Estamos desenvolvendo funcionalidades de anonimização interna para reduzir a exposição de dados sensíveis antes do envio aos provedores de IA. No entanto:

  • Esta funcionalidade ainda está em implementação — no momento, não é uma garantia de anonimização completa
  • Pode falhar, especialmente em documentos escaneados (PDF de imagem/OCR)
  • Não substitui a responsabilidade do usuário de não enviar dados sigilosos

Retenção de Dados Pessoais – cadastro

  • Conversas e histórico: Mantidos enquanto sua conta estiver ativa
  • Documentos enviados: Podem permanecer armazenados para referência e continuidade do serviço
  • Após exclusão de conta: Dados são removidos em prazo razoável, exceto quando necessário por obrigação legal

Mantemos dados pelo tempo necessário para a finalidade do serviço.

Como Solicitar Exclusão

Envie e-mail para atendimento@pai.ia.br com o assunto "Solicitação de Exclusão de Dados". Priorizaremos sua solicitação e responderemos assim que possível.

Política de Retenção de Dados

Mantemos diferentes tipos de dados por períodos distintos, conforme sua finalidade e requisitos de conformidade:

Tipo de LogRetenção MínimaDescrição
Audit Logs≥ 180 diasAções administrativas e de negócio (CRUD, exportações, alterações)
Security Events≥ 180 diasAutenticação, tentativas de acesso, bloqueios, anomalias
Application Logs30–90 diasDebug e observabilidade, conforme necessidade operacional

Descarte e Exceções

Após o período mínimo de retenção, os dados podem ser descartados conforme nossa política de descarte. Podemos reter dados por períodos adicionais quando exigido por obrigação legal, regulatória ou ordem judicial (legal hold).

Backups

Backups seguem política própria de expurgo e podem reter dados por janelas técnicas limitadas, separadas da retenção primária.

Minimização de PII

Dados pessoais sensíveis (PII) em logs são minimizados e mascarados sempre que tecnicamente viável. Evitamos registrar conteúdo sensível em logs de observabilidade.

Política de Controle de Acesso

Implementamos controles de acesso baseados em função (RBAC) com segregação rigorosa de dados e privilégios:

👤 Usuário

Acesso apenas aos próprios dados (conversas, documentos, perfil). Isolamento garantido por Row Level Security (RLS).

🔧 Administrador

Acesso restrito a funções administrativas e logs necessários. Todas as ações são registradas em trilha de auditoria.

📋 Auditor (futuro)

Acesso somente leitura a logs de auditoria e segurança, com segregação de funções.

Princípios de Governança

  • Privilégio mínimo (least privilege): cada usuário tem apenas as permissões necessárias
  • Segregação de funções: quem opera não audita a si mesmo
  • MFA obrigatório para perfis privilegiados (admin, auditor)
  • Trilha de auditoria: todas as ações administrativas são registradas (quem/quando/o quê)

Implementação Técnica

  • • RLS (Row Level Security) garante isolamento por linha no banco de dados
  • • Operações privilegiadas usam credenciais de serviço com escopo controlado
  • • Acesso administrativo é autenticado e autorizado via sistema de roles

Riscos e Limites — Leia Com Atenção

⚠️ Não Envie Dados Sob Segredo de Justiça

A IAPAI utiliza provedores externos de IA para processar documentos. Não envie documentos que estejam sob segredo de justiça, sigilo legal, ou que contenham dados pessoais sensíveis de terceiros sem ter base legal e autorização para fazê-lo.

Mesmo com funcionalidades de anonimização em desenvolvimento, estas podem falhar. A responsabilidade pelo conteúdo enviado é do usuário.

Responsabilidade do Usuário

  • • Você é responsável pelo conteúdo que envia à plataforma
  • • Você deve ter base legal para tratar os dados pessoais contidos nos documentos enviados
  • • A IAPAI atua como operadora de dados; você (ou sua organização) atua como controlador

Limitações Técnicas Atuais

  • • Não temos controle sobre o que você escolhe enviar à plataforma
  • • Funcionalidades de anonimização automática estão em evolução e podem falhar
  • • Não podemos garantir que provedores externos não retenham dados temporariamente para seus próprios fins operacionais

IA Não Substitui Profissional

  • • Respostas geradas pela IA podem conter erros, omissões ou "alucinações"
  • • Toda informação deve ser verificada por um profissional qualificado
  • • A responsabilidade pelas decisões tomadas com base nas respostas da IA é do usuário

Contato

Canal único para privacidade, segurança e atendimento. Canais dedicados estão em criação.

E-mail: atendimento@pai.ia.br

WhatsApp: (85) 98537-8463

Envidaremos esforços para responder solicitações de privacidade e segurança com prioridade. Incidentes de segurança serão investigados e tratados com prioridade.

Nota sobre Regulamentações

A IAPAI busca operar em conformidade com a legislação brasileira, incluindo a Lei Geral de Proteção de Dados (LGPD). Também acompanhamos orientações da OAB, CNJ e Governo Federal sobre uso de IA no contexto jurídico.

Para dúvidas sobre como exercer seus direitos previstos na LGPD, entre em contato pelo e-mail atendimento@pai.ia.br.