Segurança

A segurança dos seus dados é nossa prioridade. Na Kiraa, implementamos múltiplas camadas de proteção para garantir que suas informações e as de seus clientes estejam sempre seguras.

Nossa abordagem de segurança abrange pessoas, processos e tecnologia, seguindo as melhores práticas da indústria e buscando conformidade com os principais padrões internacionais.

Utilizamos criptografia de ponta para proteger seus dados em todas as etapas:

2.1 Dados em Trânsito

• TLS 1.3: Todas as comunicações entre você e nossos servidores são criptografadas usando TLS 1.3, o protocolo mais recente e seguro
• HSTS: HTTP Strict Transport Security habilitado em todos os domínios para prevenir ataques de downgrade
• Certificados: Certificados SSL/TLS gerenciados e renovados automaticamente
• Perfect Forward Secrecy: Proteção adicional que garante que chaves comprometidas não afetam comunicações passadas

2.2 Dados em Repouso

• AES-256: Todos os dados armazenados são criptografados usando AES-256, padrão adotado por governos e instituições financeiras
• Gerenciamento de chaves: Chaves de criptografia gerenciadas pelos nossos provedores de infraestrutura com controles de acesso rigorosos
• Backups criptografados: Cópias de segurança são criptografadas

Por sermos uma plataforma de agentes de voz, implementamos medidas específicas para proteger dados de áudio:

3.1 Proteção de Chamadas

• Criptografia de mídia: Áudio de chamadas é transmitido usando SRTP (Secure Real-time Transport Protocol)
• Criptografia de sinalização: Protocolos SIP protegidos com TLS
• Sem armazenamento não autorizado: Gravações só são armazenadas quando explicitamente habilitadas pelo cliente

3.2 Gravações e Transcrições

• Criptografia AES-256: Todas as gravações de áudio são criptografadas antes do armazenamento
• Acesso controlado: Apenas o proprietário da conta pode acessar gravações
• Retenção configurável: Você controla por quanto tempo as gravações são mantidas (padrão: 90 dias)
• Exclusão segura: Gravações são excluídas de forma irrecuperável após o período de retenção

3.3 Processamento de Voz

• Processamento em memória: Áudio para transcrição e síntese é processado em memória, sem persistência desnecessária
• Isolamento: Cada chamada é processada em ambiente isolado
• Sem uso para treinamento: Seus dados de voz não são utilizados para treinar modelos de IA sem consentimento explícito

Implementamos proteções específicas contra riscos associados ao uso de IA:

4.1 Proteção contra Ataques

• Guardrails de conteúdo: Sistema de regras e análise por IA que monitora configurações de agentes e outputs para detectar e bloquear conteúdo potencialmente malicioso ou inadequado
• Monitoramento de uso: Análise contínua de padrões de uso para detectar tentativas de contornar as diretrizes de segurança dos modelos
• Isolamento de dados: Proteções contra tentativas de extrair informações do sistema ou de outros usuários

4.2 Controles de Output

• Filtros de conteúdo: Verificação de outputs para bloquear conteúdo inapropriado, ilegal ou perigoso
• Rate limiting: Limites de requisições para prevenir abuso
• Logging de interações: Registro de interações para auditoria e investigação quando necessário

4.3 Detecção de Uso Malicioso

• Análise de intenção: Sistemas de IA que analisam configurações de agentes para detectar uso para fraudes ou golpes
• Padrões de golpe: Banco de dados atualizado de padrões conhecidos de fraude
• Alerta e revisão: Alertas automáticos são revisados por equipe humana antes de ações

Nossa infraestrutura utiliza provedores reconhecidos e práticas de segurança adequadas:

• Provedores de infraestrutura: Utilizamos provedores como Supabase e RunPod, que mantêm certificações e controles de segurança próprios em seus data centers
• Segurança de rede: Segmentação de rede com isolamento entre serviços internos e exposição controlada via proxy reverso
• Rate limiting: Limites de requisições implementados em múltiplas camadas para prevenir abuso
• Hardening de containers: Sistemas de arquivos somente leitura, capabilities reduzidas, limites de recursos e isolamento de processos
• Certificados TLS: Gerenciados e renovados automaticamente via Let's Encrypt

Implementamos controles para garantir que apenas pessoas autorizadas acessem dados:

• Autenticação multifator (MFA): Disponível para todas as contas via TOTP, recomendado para administradores
• RBAC: Controle de acesso baseado em funções (administrador e membro) com permissões granulares por funcionalidade
• Row Level Security: Isolamento de dados por organização no nível do banco de dados
• Sessões seguras: Autenticação via JWT com validação de chaves públicas (JWKS)
• API keys seguras: Chaves de API armazenadas como hash SHA-256, com escopo limitado à organização

7.1 Monitoramento

• Métricas e dashboards: Monitoramento de infraestrutura e aplicações via Prometheus e Grafana
• Rastreamento distribuído: Tracing de requisições via OpenTelemetry para diagnóstico e investigação
• Alertas automatizados: Notificações configuradas para eventos anômalos e falhas de serviço
• Logs centralizados: Registro estruturado de eventos para auditoria e investigação

7.2 Resposta a Incidentes

• Procedimentos definidos: Processos para identificação, contenção, erradicação e recuperação de incidentes
• Post-mortem: Análise após incidentes significativos com lições aprendidas

7.3 Notificação de Incidentes

• Notificar você em até 72 horas após a confirmação do incidente
• Fornecer informações sobre a natureza do incidente e dados potencialmente afetados
• Comunicar as medidas tomadas para contenção e remediação
• Notificar as autoridades competentes conforme exigido por lei (ANPD, autoridades GDPR)

Para mais detalhes sobre notificações de incidentes, consulte nossa página LGPD e GDPR.

• Backups: Realizamos backups periódicos do banco de dados e configurações críticas
• Recuperação: Procedimentos documentados para restauração de serviços em caso de falha
• Infraestrutura como código: Configurações de infraestrutura versionadas para recriação rápida do ambiente

• Revisão de código: Code review obrigatório para todas as alterações, com foco em segurança
• Análise de dependências: Monitoramento de vulnerabilidades em bibliotecas de terceiros
• Testes de segurança: Buscamos realizar avaliações de segurança periódicas para identificar e corrigir vulnerabilidades

Trabalhamos continuamente para atender aos mais altos padrões de segurança e privacidade:

10.1 Conformidade Atual

• LGPD: Lei Geral de Proteção de Dados (Brasil) - Conforme
• GDPR: General Data Protection Regulation (UE) - Conforme
• Marco Civil da Internet: Lei nº 12.965/2014 (Brasil) - Conforme

10.2 Certificações em Andamento

• SOC 2 Type II: Auditoria de controles de segurança e disponibilidade - Em andamento (previsão: Q3 2026)

10.3 Certificações Planejadas

• ISO 27001: Sistema de gestão de segurança da informação - Planejado para 2027

Nossos provedores de infraestrutura (como Supabase e RunPod) mantêm certificações e controles de segurança próprios em seus data centers.

Nossa abordagem de segurança vai além da tecnologia:

• Segregação de ambientes: Separação entre desenvolvimento e produção
• Princípio do menor privilégio: Acesso apenas ao necessário para cada função
• Gestão de incidentes: Procedimentos definidos para resposta a incidentes de segurança
• Revisão de acessos: Revisão periódica de permissões e acessos

Valorizamos a comunidade de segurança e incentivamos a divulgação responsável de vulnerabilidades. Se você encontrou uma vulnerabilidade em nossos sistemas:

• Não acesse ou modifique dados de outros usuários
• Não realize ataques de negação de serviço
• Reporte a vulnerabilidade de forma privada antes de divulgação pública
• Dê-nos tempo razoável para corrigir antes de divulgação (geralmente 90 dias)

Oferecemos reconhecimento e recompensas (a critério da Kiraa) para reportes válidos de vulnerabilidades. Não tomaremos ação legal contra pesquisadores que agirem de boa-fé.

Para dúvidas sobre segurança ou reportar vulnerabilidades:

• E-mail de segurança: security@kiraa.com.br
• E-mail do DPO: dpo@kiraa.com.br
• Página de contato: kiraa.com.br/contact

Nossa equipe de segurança está disponível para responder suas perguntas sobre nossas práticas de segurança, auxiliar com auditorias de clientes e fornecer documentação adicional quando necessário.