Declaração de Segurança
AENVO (Portugal)
Última atualização: 12/12/2025
1 Objetivo e âmbito
Esta Declaração descreve os controlos de segurança da Aenvo Natural Interaction Lda., aplicáveis ao website, às aplicações, às APIs e aos modelos de IA ("Serviços"). O objetivo é proteger a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas, em conformidade com o RGPD e as boas práticas do setor.
2 Princípios de segurança
Adotamos uma abordagem de defesa em profundidade, pautada pelos princípios de privacidade desde a conceção (Privacy by Design), segurança desde a conceção (Security by Design), minimização de dados, princípio do menor privilégio e estrita separação de ambientes (desenvolvimento, teste e produção).
3 Gestão de acessos e identidade
Implementamos Controlo de Acesso Baseado em Função (RBAC) para garantir que colaboradores e sistemas tenham acesso apenas à informação necessária. A autenticação multifator (MFA) é obrigatória para todas as contas administrativas. Realizamos gestão rigorosa de tokens e chaves, com revisão periódica de permissões e segregação de funções críticas.
4 Encriptação
Todos os dados são protegidos por encriptação forte. Em trânsito, utilizamos TLS 1.2 ou superior. Em repouso, os dados são encriptados utilizando a norma AES-256. A gestão de chaves inclui rotação regular e o armazenamento seguro de segredos em cofres digitais (vaults).
5 Segurança de rede
A nossa infraestrutura utiliza segmentação de rede e listas de controlo de acesso rigorosas. Implementamos firewalls de próxima geração, Web Application Firewalls (WAF) e proteção contra ataques DDoS (DDoS mitigation). Quando aplicável a clientes Enterprise, suportamos integração com redes privadas (VPC peering) e regras de restrição de IP.
6 Registos, auditoria e monitorização
Mantemos logs detalhados de segurança e aplicação para auditoria e resolução de problemas, com uma retenção operacional típica de até 30 dias. Utilizamos sistemas de Deteção de Intrusão e SIEM para análise em tempo real. Alertas automáticos e playbooks de resposta são acionados em caso de anomalias.
7 Gestão de vulnerabilidades e testes
Realizamos análises de vulnerabilidade semanais e aplicamos correções e patching de forma contínua. Testes de intrusão (Pentests) são realizados regularmente por entidades terceiras independentes. Mantemos um programa de divulgação responsável de vulnerabilidades.
8 Ciclo de desenvolvimento seguro (SSDLC)
A segurança é parte integrante do nosso ciclo de desenvolvimento. Realizamos revisões de arquitetura, modelagem de ameaças (threat modeling), QA de segurança e revisão de código por pares. Todas as dependências de software são monitorizadas automaticamente, e mantemos uma política estrita de versões e rollback.
9 Segurança específica de IA
Dada a natureza dos nossos serviços de IA Conversacional, implementamos medidas adicionais:
- Segregação de Dados: Isolamento lógico rigoroso entre dados de diferentes clientes e datasets de treino.
- Controlo de Treino: Opções claras de "opt-out/opt-in" para o uso de dados no refinamento de modelos.
- Proteção do Modelo: Mitigação contra "prompt injection" e filtros de conteúdo para prevenir saídas tóxicas ou inseguras.
- Anti-Spoofing de Voz: Mecanismos de deteção de vivacidade para prevenir fraudes em autenticação biométrica por voz.
- Sanitização de Dados (PII): Capacidade de redigir ou mascarar automaticamente dados sensíveis antes do processamento pelos LLMs.
- Monitorização: Acompanhamento contínuo de "drift" e qualidade do modelo.
10 Gestão de incidentes
Possuímos um processo formal de resposta a incidentes com classificação de severidade e tempos alvo definidos para contenção e remediação. Comprometemo-nos a comunicar aos clientes e às autoridades competentes (CNPD) em caso de violação de dados, conforme exigido por lei. Após cada incidente, realizamos análises pós-mortem para implementação de ações corretivas.
11 Continuidade de negócio e recuperação (BCP/DR)
Garantimos a resiliência dos serviços através de backups cifrados e testes de restauração periódicos. Temos definidos objetivos de tempo de recuperação (RTO) e ponto de recuperação (RPO). Realizamos exercícios de cenários de falha e utilizamos redundância geográfica para mitigar interrupções.
12 Subcontratantes e infraestrutura física
Estabelecemos parcerias apenas com fornecedores de infraestrutura (como Google Cloud e AWS) que mantêm certificações de segurança de topo (p. ex., SOC 2, ISO 27001) e garantem segurança física rigorosa dos data centers. Todos os subprocessadores estão sujeitos a Acordos de Processamento de Dados (DPA) e avaliações de risco.
13 Formação e sensibilização
Todos os colaboradores da AENVO realizam formação anual obrigatória em segurança e privacidade. Conduzimos simulações de phishing e mantemos políticas internas de uso aceitável para garantir uma cultura de segurança proativa.
14 Contacto de segurança
Para reporte de vulnerabilidades, incidentes ou questões de segurança, contacte security@aenvo.ai. Para dúvidas sobre privacidade de dados, utilize privacy@aenvo.ai.