Skip to main content

Privacidade de dados

O evalmind foi concebido para permitir o uso corporativo da inteligência artificial com controles compatíveis com ambientes empresariais que demandam segurança, rastreabilidade e conformidade no tratamento de informações pessoais, confidenciais e estratégicas.

A plataforma adota uma abordagem estruturada para proteger dados em todas as etapas do ciclo de uso: autenticação, acesso, processamento, armazenamento, compartilhamento, auditoria e integração com serviços externos. Para os administradores, isso significa maior capacidade de governança sobre quem acessa o quê, como os dados são utilizados e quais mecanismos estão disponíveis para mitigar riscos de exposição indevida.

Coleta controlada e finalidade definida

O evalmind utiliza dados necessários para viabilizar autenticação, identificação do usuário, operação da conta, comunicação e uso dos serviços de IA. Entre os dados que podem ser tratados estão nome, e-mail, identificadores corporativos e registros técnicos indispensáveis à segurança da plataforma.

Em ambiente empresarial, esse tratamento ocorre com finalidade definida, evitando o uso indiscriminado de informações. Dados de autenticação, registros de acesso, logs operacionais e eventos relacionados ao uso da plataforma são mantidos para suportar segurança, auditoria, rastreabilidade e administração do ambiente. Isso oferece ao administrador visibilidade sobre o uso da solução e apoio à investigação de incidentes, revisão de conformidade e governança interna.

Armazenamento seguro e proteção da informação

Os dados são armazenados de forma segura em banco de dados, backups e logs de sistema, em infraestrutura com padrões elevados de proteção. As comunicações entre usuário, navegador, plataforma e provedores integrados são realizadas por canais seguros, protegendo a confidencialidade e a integridade das informações em trânsito.

Além disso:

  • Senhas não são armazenadas em texto legível;
  • Credenciais e segredos operacionais exigem armazenamento seguro;
  • Informações sensíveis trafegam com criptografia;
  • Versões obsoletas de protocolos de segurança são bloqueadas quando aplicável;
  • Medidas físicas, lógicas e administrativas são aplicadas conforme a natureza e a sensibilidade dos dados.

Para administradores, isso representa uma base importante para adoção corporativa da plataforma, especialmente em setores regulados ou que lidam com dados críticos, como saúde, jurídico, financeiro e operações empresariais sensíveis.


Controle de acesso e segregação por perfil

A privacidade em ambiente corporativo depende diretamente de políticas adequadas de acesso. O evalmind implementa segmentação de permissões por perfil, permitindo que o administrador distribua acesso conforme responsabilidade e necessidade operacional.

A plataforma contempla diferentes níveis de atuação, como:
  • Administrador Global, com controle completo sobre configurações globais, segurança, políticas e empresas;
  • Administrador de Empresa, com gestão da organização, usuários, bibliotecas, assistentes e recursos da própria empresa;
  • Auditor Empresarial, com acesso apenas a metadados das conversas, sem acesso ao conteúdo textual;
  • Usuário Comum, com acesso restrito aos recursos liberados para sua função.

Essa estrutura ajuda a aplicar o princípio do menor privilégio, reduzindo exposição desnecessária de dados e limitando operações críticas a perfis autorizados. Caso um usuário tente acessar áreas fora de sua permissão, o sistema bloqueia automaticamente a tentativa.

Para o administrador, isso significa maior segurança na delegação de funções e melhor aderência a políticas internas de confidencialidade e segregação de responsabilidades.

Autenticação robusta e proteção do acesso

O sistema oferece suporte a múltiplos métodos de autenticação, incluindo Azure AD, Google, LDAP via EVALCryptoCube e o próprio EVALCryptoCube. A plataforma também suporta autenticação multifator (MFA), ampliando a proteção contra acessos indevidos.

Em termos práticos, isso permite que empresas:
  • Integrem a plataforma às identidades corporativas já existentes;
  • Apliquem políticas centralizadas de autenticação;
  • Reforcem a segurança com MFA;
  • Reduzam riscos relacionados ao uso de credenciais fracas ou comprometidas;
  • Mantenham consistência com a arquitetura de segurança já adotada pela organização.

Contas inativas podem ter o acesso bloqueado, e a gestão de autenticação pode ser alinhada às exigências do ambiente corporativo. Para administradores, isso oferece um ponto importante de controle preventivo e reduz a superfície de ataque relacionada ao acesso à plataforma.

Logs, auditoria e rastreabilidade

Um dos elementos mais relevantes para administradores é a capacidade de auditar o uso da plataforma. Neste aspecto, a plataforma mantém registros operacionais e logs que permitem acompanhar ações realizadas no ambiente, incluindo autenticações, alterações de configuração, interações com modelos, gerenciamento de documentos e atividades relacionadas a assistentes e bibliotecas.

Esses registros fortalecem a governança ao permitir:

  • Rastrear acessos e alterações;
  • Apoiar auditorias internas e externas;
  • Identificar comportamentos anômalos;
  • Investigar incidentes de segurança;
  • Verificar aderência a políticas corporativas;
  • Monitorar uso de recursos e fluxos de informação.

No caso de compartilhamento com administradores corporativos, o histórico de ação pode incluir informações como login/logout, configurações atualizadas, uso de modelos, IP de origem, agente do usuário e registros relativos ao uso de inteligência artificial. Isso amplia a capacidade de supervisão sem comprometer a lógica de controle por perfil.


Proteção de conversas e dados sensíveis

A privacidade dos dados não depende apenas de armazenamento seguro, mas também da capacidade de controlar o conteúdo trafegado nas interações.

Esses mecanismos ajudam a reduzir riscos associados a:

  • Envio indevido de dados pessoais;
  • Exposição de identificadores como CPF e CNPJ;
  • Compartilhamento de informações confidenciais em conversas;
  • Uso inadequado da plataforma por usuários internos;
  • Violações de políticas de segurança e privacidade.

Esse tipo de proteção é especialmente relevante em empresas que desejam usar IA com segurança sem abrir mão do controle sobre dados internos. Para administradores, isso representa uma camada adicional de mitigação de risco e apoio à conformidade regulatória.

Privacidade no uso de documentos, bibliotecas e RAG

O uso de documentos corporativos em interações com IA exige controles claros de privacidade. Na platafroma, os documentos podem ser organizados em bibliotecas com regras de compartilhamento e acesso, permitindo que a empresa defina quem pode visualizar, editar, utilizar e compartilhar arquivos.

Esses documentos podem ser utilizados em conversas enriquecidas por RAG, permitindo que os modelos respondam com base em conteúdo interno autorizado. Isso é particularmente importante em ambiente empresarial, pois reduz a dependência de conhecimento genérico do modelo e favorece respostas contextualizadas com base em fontes controladas.

Benefícios Relevantes:
  • Centralização de documentos em ambiente corporativo controlado;
  • Limitação de acesso conforme usuário ou grupo;
  • Rastreabilidade sobre uso e alterações;
  • Menor necessidade de copiar e colar informações sensíveis diretamente em prompts;
  • Apoio ao uso seguro da IA com base em conteúdo autorizado.

A plataforma também registra histórico de interações e alterações em documentos, reforçando auditabilidade e controle operacional.

Compartilhamento com terceiros e uso de provedores externos

O evalmind não comercializa dados pessoais. O compartilhamento de informações ocorre apenas quando necessário para viabilizar serviços específicos, como autenticação, envio de comunicações operacionais, processamento por provedores de IA ou outros serviços integrados à operação da plataforma.

Para administradores, é importante observar que:
  • O compartilhamento com terceiros ocorre com finalidade definida;
  • Provedores envolvidos atuam como processadores de dados no contexto do serviço;
  • Integrações com APIs externas de IA e autenticação são registradas para fins de operação, log e auditoria;
  • Algumas informações podem ser transferidas para fora do Brasil, conforme o tipo de serviço utilizado, localização de data centers, backup ou uso de provedores externos.

Em ambientes empresariais mais exigentes, a funcionalidade BYOK (Bring Your Own Key) reforça esse controle ao permitir que a empresa utilize suas próprias chaves de API nos provedores de IA suportados.

Isso oferece vantagens importantes para administradores:

  • Maior controle sobre custos e consumo;
  • Visibilidade direta sobre uso no provedor contratado;
  • Aderência a políticas internas de compliance;
  • Flexibilidade para usar contratos, limites e credenciais próprios;
  • Separação mais clara entre a governança da empresa e as credenciais padrão do sistema.

Além disso, as chaves são armazenadas de forma criptografada, e recomenda-se rotação periódica, acesso restrito a administradores e monitoramento contínuo do uso.


Retenção de dados e direitos do usuário

Os dados da conta permanecem mantidos enquanto necessários para a operação do serviço, salvo solicitação de exclusão, observadas as retenções exigidas por obrigação legal, auditoria, prestação do serviço ou segurança operacional. Mesmo após exclusão de conta, determinados dados podem precisar ser preservados, como registros essenciais de nome, e-mail ou documentos vinculados à prestação do serviço.

O usuário possui direitos relacionados ao tratamento de seus dados, como acesso, retificação e solicitação de informações adicionais. Em ambiente empresarial, esses direitos convivem com exigências legítimas de retenção para segurança, rastreabilidade e conformidade.

Para administradores, isso exige uma atuação coordenada entre tecnologia, segurança da informação, jurídico/compliance e governança de dados, especialmente em contextos regulados pela LGPD.

Privacidade como elemento de governança corporativa

No evalmind, privacidade não deve ser entendida apenas como um requisito jurídico, mas como parte da arquitetura de confiança do produto. Em um ambiente empresarial, isso se traduz na combinação de:

  • Autenticação forte;
  • Segregação de acesso por perfil;
  • Criptografia e proteção de dados em trânsito e em armazenamento;
  • Logs e trilhas de auditoria;
  • Controle sobre documentos e bibliotecas;
  • Monitoramento de interações;
  • Uso seguro de provedores externos;
  • Políticas de retenção e conformidade;
  • Governança sobre integrações e credenciais.
info

Para os administradores, essa abordagem oferece um ambiente mais seguro para adoção de IA em escala, permitindo explorar produtividade e automação sem perder visibilidade, controle e capacidade de resposta diante de riscos operacionais e regulatórios.