Detecção de ameaças em tempo real, firewall de LLM, criptografia em repouso e resposta automatizada a incidentes — integrados em cada requisição.
6 detectores paralelos monitoram picos de volume, força bruta, anomalias geográficas, anomalias de custo, ameaças de firewall e troca de modelo. Contadores Redis rastreiam padrões com overhead sub-milissegundo. Alertas aparecem no dashboard em segundos.
Defesa em duas camadas: safety-tuned LLM via BackendRouter detecta ataques de injeção localmente. LLM Firewall adiciona segurança de conteúdo baseada em intenção. Nossos benchmarks mostram que o firewall torna as requisições 8,6% mais rápidas que chamadas diretas.
Chaves de provider criptografadas com XChaCha20-Poly1305 (nonces de 192 bits). API keys são hasheadas com SHA-256 — nunca armazenamos a original. Descriptografia acontece apenas em runtime ao encaminhar para o provider.
Cada requisição é geolocalizada usando MaxMind GeoLite2. Novos países disparam alertas instantâneos. Rastreie de onde suas API keys estão sendo usadas e detecte credenciais roubadas de regiões inesperadas.
Limites por IP anônimo, por organização autenticada e por chave — todos aplicados com janelas deslizantes atômicas no Redis. Escale horizontalmente sem perder consistência.
Emails, CPFs, SSNs, cartões de crédito, telefones, API keys e bearer tokens são automaticamente removidos dos logs. Executa de forma assíncrona — zero impacto na latência das requisições.
Cada requisição passa por múltiplas camadas de segurança antes de chegar ao provedor de IA.
A versão curta de uma matriz longa. A versão completa fica disponível sob NDA — peça e enviamos no mesmo dia.
| Proteção de dados | |
| Criptografia em repouso | AES-256-GCM. Chaves por workspace. BYOK disponível no Enterprise. |
| Criptografia em trânsito | Apenas TLS 1.3. HSTS + OCSP stapling. mTLS para data plane self-hosted. |
| Modo zero-retenção | Prompts e respostas nunca gravados em armazenamento durável. Apenas métricas agregadas são retidas. |
| Redação de PII | Detectores nativos para nomes, endereços, cartões, CPF/SSN, PHI. A redação acontece antes do modelo ver o prompt. |
| SLA de remoção | Dados do workspace totalmente apagados em até 30 dias após o término do contrato. Verificável sob pedido. |
| Identidade & acesso | |
| SSO | SAML 2.0, OIDC. Suportados: Okta, Azure AD, Google Workspace, JumpCloud, OneLogin, IdP customizado. |
| Provisionamento | SCIM 2.0. Criação just-in-time, sincronização de papéis por grupo, desprovisionamento automático. |
| RBAC | Quatro papéis nativos mais papéis customizados. Escopados por rota, ambiente e chave. |
| API keys | Rotacionáveis, escopadas e auditáveis. Tokens de sessão curtos (1h) para auth interativa. |
| Segurança operacional | |
| Background check | Todos os colaboradores. Acesso a produção restrito a uma rotação on-call nominal com 2FA por hardware key. |
| Pentest | Pentest externo anual. Red team interno trimestral. Relatórios disponíveis sob NDA. |
| Gestão de vulnerabilidades | Snyk + GitHub Advanced Security em todo PR. CVSS ≥ 7.0 corrigido em 72h. |
| Resposta a incidentes | On-call 24/7. SLA de reconhecimento de 15 min em P1. Postmortems publicados para o cliente em 7 dias. |
| Compliance & auditoria | |
| SOC 2 Type II | Relatório atual pela Prescient Assurance. Próxima janela de auditoria fecha em maio/2026. |
| ISO 27001:2022 | Certificado pela Schellman, emitido em 2025-09. |
| GDPR & residência de dados | Dados da UE podem ficar em região exclusivamente europeia. Modelo de DPA incluso em todo contrato Team. |
| HIPAA | Business Associate Agreement disponível no Enterprise. PHI trafegado apenas por provedores aprovados. |
| Logs de auditoria | Imutáveis e encadeados criptograficamente. Exportáveis para S3, Splunk, Datadog ou qualquer SIEM. |
Pegue o que precisa. Documentos sob NDA são enviados automaticamente após assinatura eletrônica; o restante é público.
Todos os planos incluem segurança completa. Comece grátis.