Declaração de Segurança
AENVO (Portugal)
Última atualização: 12/12/2025
1 Objetivo e escopo
Esta Declaração descreve os controles de segurança da Aenvo Natural Interaction Lda., aplicáveis ao site, aos aplicativos, às APIs e aos modelos de IA ("Serviços"). O objetivo é proteger a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas, em conformidade com a LGPD (Brasil), o RGPD (Europa) e as melhores práticas do setor.
2 Princípios de segurança
Adotamos uma abordagem de defesa em profundidade, pautada pelos princípios de privacidade desde a concepção (Privacy by Design), segurança desde a concepção (Security by Design), minimização de dados, princípio do menor privilégio e rigorosa separação de ambientes (desenvolvimento, teste e produção).
3 Gestão de acessos e identidade
Implementamos Controle de Acesso Baseado em Funções (RBAC) para garantir que colaboradores e sistemas tenham acesso apenas às informações necessárias. A autenticação multifator (MFA) é obrigatória para todas as contas administrativas. Realizamos gestão rigorosa de tokens e chaves, com revisão periódica de permissões e segregação de funções críticas.
4 Criptografia
Todos os dados são protegidos por criptografia forte. Em trânsito, utilizamos TLS 1.2 ou superior. Em repouso, os dados são criptografados utilizando o padrão AES-256. A gestão de chaves inclui rotação regular e o armazenamento seguro de segredos em cofres digitais (vaults).
5 Segurança de rede
Nossa infraestrutura utiliza segmentação de rede e listas de controle de acesso rigorosas. Implementamos firewalls de próxima geração, Web Application Firewalls (WAF) e proteção contra ataques DDoS (DDoS mitigation). Quando aplicável a clientes Enterprise, suportamos integração com redes privadas (VPC peering) e regras de restrição de IP.
6 Registros, auditoria e monitoramento
Mantemos logs detalhados de segurança e aplicação para auditoria e solução de problemas, com uma retenção operacional típica de até 30 dias. Utilizamos sistemas de Detecção de Intrusão e SIEM para análise em tempo real. Alertas automáticos e playbooks de resposta são acionados em caso de anomalias.
7 Gestão de vulnerabilidades e testes
Realizamos análises de vulnerabilidade semanais e aplicamos correções e patching de forma contínua. Testes de intrusão (Pentests) são realizados regularmente por empresas terceirizadas independentes. Mantemos um programa de divulgação responsável de vulnerabilidades.
8 Ciclo de desenvolvimento seguro (SSDLC)
A segurança é parte integrante do nosso ciclo de desenvolvimento. Realizamos revisões de arquitetura, modelagem de ameaças (threat modeling), QA de segurança e revisão de código por pares. Todas as dependências de software são monitoradas automaticamente, e mantemos uma política estrita de versões e rollback.
9 Segurança específica de IA
Dada a natureza dos nossos serviços de IA Conversacional, implementamos medidas adicionais:
- Segregação de Dados: Isolamento lógico rigoroso entre dados de diferentes clientes e datasets de treinamento.
- Controle de Treinamento: Opções claras de "opt-out/opt-in" para o uso de dados no refinamento de modelos.
- Proteção do Modelo: Mitigação contra "prompt injection" e filtros de conteúdo para prevenir respostas tóxicas ou inseguras.
- Anti-Spoofing de Voz: Mecanismos de prova de vida (liveness) para prevenir fraudes em autenticação biométrica por voz.
- Sanitização de Dados (PII): Capacidade de ocultar ou mascarar automaticamente dados sensíveis antes do processamento pelos LLMs.
- Monitoramento: Acompanhamento contínuo de "drift" e qualidade do modelo.
10 Gestão de incidentes
Temos um processo formal de resposta a incidentes com classificação de severidade e tempos alvo definidos para contenção e remediação. Comprometemo-nos a comunicar aos clientes e às autoridades competentes (ANPD no Brasil e CNPD em Portugal) em caso de violação de dados, conforme exigido por lei. Após cada incidente, realizamos análises post-mortem para a implementação de ações corretivas.
11 Continuidade de negócios e recuperação (BCP/DR)
Garantimos a resiliência dos serviços através de backups criptografados e testes de restauração periódicos. Temos definidos objetivos de tempo de recuperação (RTO) e ponto de recuperação (RPO). Realizamos exercícios de cenários de falha e utilizamos redundância geográfica para mitigar interrupções.
12 Operadores e infraestrutura física
Estabelecemos parcerias apenas com fornecedores de infraestrutura (como Google Cloud e AWS) que mantêm certificações de segurança de topo (p. ex., SOC 2, ISO 27001) e garantem segurança física rigorosa de seus data centers. Todos os suboperadores estão sujeitos a Acordos de Processamento de Dados (DPA) e avaliações de risco.
13 Treinamento e conscientização
Todos os colaboradores da AENVO realizam treinamento anual obrigatório em segurança e privacidade. Conduzimos simulações de phishing e mantemos políticas internas de uso aceitável para garantir uma cultura de segurança proativa.
14 Contato de segurança
Para notificação de vulnerabilidades, incidentes ou questões de segurança, entre em contato através de security@aenvo.ai. Para dúvidas sobre privacidade de dados, utilize privacy@aenvo.ai.