Segurança
Como protegemos o dado.
Segurança é requisito de projeto, não um recurso à parte. Esta página resume as práticas que o produto implementa hoje. A base legal e os prazos de retenção estão na Política de Privacidade.
Versão 2.0 · atualizado em 11 de julho de 2026
Criptografia
- Criptografia em trânsito (TLS) em todas as comunicações, com HSTS ligado.
- Criptografia em repouso gerida pelo Google Cloud, padrão do provedor em todos os serviços que armazenam dados.
Autorização no servidor
- Identidade verificada a cada requisição. O backend valida o token de autenticação antes de qualquer acesso a dado. Sem token válido, a resposta é negada.
- Papéis no servidor. Permissões administrativas vêm de papel atribuído no servidor, nunca do cliente.
- Dono checado sempre. Toda leitura e mutação de conversa confere o dono no servidor, e a resposta para conversa alheia é o mesmo 404 de conversa inexistente.
- Limites de uso. O endpoint do agente tem limite de taxa por usuário e tetos de tamanho de mensagem, contra abuso e custo descontrolado.
Registro de decisões de acesso
Toda decisão de autorização (permitida ou negada) vira um evento estruturado em log: quem, quando, qual recurso e o motivo da negação. Os registros seguem a retenção padrão do Google Cloud Logging.
Isolamento por conta
Conversas e dados ficam associados à conta de cada usuário, e o servidor confere essa associação em todo acesso. Não há mistura de dados entre contas.
Dados e modelos de IA
A inferência roda no Google Vertex AI. O conteúdo enviado para inferência não é usado pelo Google para treinar modelos, conforme os termos do Vertex AI. A região de processamento é definida por modelo no código de cada produto, e os modelos de chat atuais usam o endpoint global do Vertex AI, sem fixação de região.
Incidentes de segurança
Em caso de incidente envolvendo dados pessoais sob nossa responsabilidade, comunicaremos o titular afetado e a ANPD em prazo razoável, conforme o art. 48 da LGPD. A comunicação incluirá a natureza do incidente, os dados afetados, as medidas técnicas e administrativas em curso e os riscos envolvidos.
Contato
Para reportar um problema de segurança ou tratar de proteção de dados, fale com o encarregado de dados em dpa@levver.ai.