Trust Center
Confiança verificável, não apenas declarada.
Tudo que um time de procurement, DPO ou jurídico corporativo precisa para avaliar a LexAI: matriz de controles, subprocessadores, retenção, resposta a incidentes, roadmap de certificações e o questionário de segurança padrão, em uma página.
Matriz de controles
Isolamento
Multi-tenant com isolamento lógico por tenant em nível de banco
Criptografia
TLS 1.3 em trânsito · AES-256-GCM em repouso (Vault)
Acesso
MFA, SSO e RBAC granular por papel (sócio/associado/estagiário)
Auditoria
Trilha imutável de auditoria, exportável em CSV
Governança de IA
Aprovação humana obrigatória antes de ação irreversível
Qualidade
Trust score + validação de citações + negative evidence
Dados
Não-uso de dados de clientes para treinar modelos de terceiros
Privacidade
DPA sob solicitação · direitos LGPD no produto
Certificação
SOC 2 Type II
Certificação
ISO/IEC 27001
Chaves
BYOK / KMS gerenciado pelo cliente
Subprocessadores
Anthropic (Claude)
Modelo de linguagem primário (worker)
EUA · zero data retention
Google (Gemini)
Modelo de fallback
EUA / global
Vercel
Hospedagem da aplicação e funções
Global (edge)
Supabase / Postgres
Banco de dados gerenciado
América do Sul (sa-east-1)
Resend
Envio de email transacional
EUA
Provedor de assinatura (D4Sign)
Assinatura eletrônica ICP-Brasil
Brasil
Lista mantida atualizada; alterações materiais são comunicadas aos clientes com DPA ativo.
Dados: residência, retenção e legal hold
Residência
Banco de dados gerenciado na região América do Sul (sa-east-1). Hospedagem de aplicação em edge global.
Retenção & exclusão
Janela de retenção configurável por tenant. Exclusão sob solicitação dentro de prazo definido em contrato/DPA.
Legal hold
Preservação sob obrigação legal: suspende a exclusão automática para casos específicos sem quebrar a trilha de auditoria.
Exportação de logs de auditoria: disponível no produto em CSV (Configurações → Auditoria), restrita à permissão EXPORT_AUDIT_LOG para que o sign-off fique sob alçada de sócio.
Resposta a incidentes
Processo alinhado ao Regulamento de Comunicação de Incidente de Segurança da ANPD (Resolução 15/2024): detecção, contenção, avaliação de risco aos titulares, notificação e registro, com SLA interno de comunicação e trilha auditável de cada etapa. Tabletop exercises periódicos validam o fluxo.
Questionário de segurança padrão
Respostas curtas às perguntas mais frequentes de procurement. Para o questionário completo (CAIQ / VSA) e o DPA, fale com a equipe.
Os dados de um escritório podem vazar para outro?
Não. O isolamento é por tenant em nível de banco: toda query é escopada por tenantId, e não por filtro de aplicação.
Os dados dos clientes são usados para treinar modelos?
Não. Não treinamos modelos próprios nem de terceiros com conteúdo de clientes. O provedor primário opera com zero data retention.
Como é feita a criptografia?
TLS 1.3 em trânsito. Documentos do Vault são cifrados em repouso com AES-256-GCM, com chave derivada por tenant.
Existe trilha de auditoria? É exportável?
Sim. Toda ação sensível gera um registro imutável de auditoria, exportável em CSV (permissão EXPORT_AUDIT_LOG, sob alçada de sócio).
A IA pode tomar ações irreversíveis sozinha?
Não. Geração, protocolo e envios passam por approval gate humano. Nenhuma ação externa ocorre sem assinatura humana.
Como tratam exclusão e retenção de dados?
Retenção configurável por tenant; exclusão sob solicitação dentro de janela definida; legal hold disponível para casos com obrigação de preservação.
Há plano de resposta a incidentes?
Sim, alinhado ao Regulamento de Comunicação de Incidente da ANPD (Resolução 15/2024): detecção, contenção, notificação e registro com SLA interno.
Possuem SOC 2 / ISO 27001?
Em preparação (roadmap). O baseline técnico já implementa os controles correspondentes; o relatório formal é o próximo passo.
Avaliando a LexAI para o seu time?
Enviamos DPA, questionário completo e damos acesso a uma sessão técnica de segurança.
Falar com a equipe de segurançaAcesso criptografado e auditável