August
Segurança

Visão Geral de Segurança e Privacidade

A August é uma plataforma de IA de nível empresarial construída especificamente para escritórios de advocacia e departamentos jurídicos internos, com segurança e confidencialidade integradas em cada camada da arquitetura.

Central de Confiança August

Certificações e atestados de segurança de nível empresarial.
Residência de dadosTreinamento zeroCriptografia de ponta a ponta

ISO 27001:2022 SOC 2 Tipo II Verificado pela CASA TLS 1.2+ AES-256 SSO + MFA

Recurso de Segurança

Status

Treinamento zero sobre dados do cliente

✅ Verificado

Criptografia de ponta a ponta

✅ Verificado

Arquitetura de locatário único (single-tenant)

✅ Verificado

Fixação de residência de dados

✅ Verificado

Barreiras éticas / Isolamento de casos

✅ Verificado

SLA de 99,9% de disponibilidade

✅ Verificado

Certificações Independentes

A August mantém as certificações de segurança mais rigorosas para o trabalho jurídico:

  • Certificação ISO 27001:2022 — Um Sistema de Gestão de Segurança da Informação (ISMS) completo em todas as operações da August.

  • SOC 2 Tipo II — Auditoria independente com opinião sem ressalvas e zero exceções.

  • Verificado pela CASA — Verificação de Segurança, Confiança, Garantia e Risco (STAR) da Cloud Security Alliance.

  • Testes de Penetração Anuais — Testes de caixa preta e caixa cinza com remediação rápida.

Isolamento de Dados e Confidencialidade

A August usa uma arquitetura de locatário único e siloda que mantém os dados de cada escritório completamente separados:

  • Locatário Privado por Cliente — O isolamento de computação, armazenamento e rede significa que as informações de um escritório nunca se misturam com o ambiente de outro.

  • Silagem de Perfil de Usuário — Dentro de um escritório ou organização, os perfis de usuário são totalmente isolados uns dos outros, a menos que os usuários compartilhem proativamente chats ou resultados, ou criem um espaço de trabalho compartilhado (Projetos).

  • Sem Visibilidade dos Dados do Usuário — A August não tem visibilidade sobre as entradas, uploads ou resultados do usuário.

  • Fixação de Residência de Dados — Os dados são fixados na região geográfica selecionada e aplicados no nível da infraestrutura.

Barreiras Éticas e Isolamento de Casos

O isolamento se estende dentro do seu escritório. O recurso de Personas da August impõe barreiras rígidas em nível de cliente e caso com controles de acesso baseados em funções. Os dados são segregados não apenas entre locatários, mas entre casos dentro de sua própria organização. Um sócio não pode ver os comandos (prompts), uploads ou resultados de outro sócio, a menos que o conteúdo seja explicitamente compartilhado ou colocado em um espaço de trabalho de Projeto compartilhado.

Treinamento Zero sobre Seus Dados

Seu produto de trabalho jurídico nunca é usado para melhorar modelos de IA:

  • Documentos, comandos, resultados, metadados e dados derivados nunca são usados para treinamento de modelos, ajuste fino, análise ou melhoria de produtos.

  • A August possui acordos contratuais com cada um dos modelos de linguagem utilizados (incluindo Llama, Anthropic e OpenAI) para não treinar ou reter entradas, uploads ou resultados do usuário.

  • Os provedores de modelos de base processam dados de forma efêmera — eles não armazenam, registram, revisam ou reutilizam seu conteúdo.

  • Isso protege o sigilo advogado-cliente e as proteções de produto de trabalho.

Criptografia e Gerenciamento de Chaves

Todos os dados são protegidos com criptografia de nível empresarial:

  • Criptografia em Trânsito — TLS 1.2+ para todos os dados que circulam entre seu dispositivo e a August.

  • Criptografia em Repouso — Criptografia AES-256 para todos os documentos armazenados, registros de banco de dados e backups.

  • Proteção de Chaves — Todas as chaves de criptografia são protegidas por Módulos de Segurança de Hardware (HSMs).

  • Rotação Anual de Chaves — As chaves de criptografia são rotacionadas em um cronograma anual definido.

  • Gateway Seguro Agnóstico de Modelo — Aplicação de políticas, controles de roteamento e auditabilidade total em todas as interações com modelos de IA.

Segurança do Modelo de IA

A August protege as interações do modelo de IA em cada camada:

  • Zero Retenção pelo Provedor do Modelo — Os provedores de modelos de base não retêm seus dados após o processamento.

  • Traga Sua Própria Chave (BYOK) — Para certos provedores de modelos (incluindo Anthropic via AWS Bedrock), você pode usar suas próprias chaves de criptografia para controle adicional.

  • Gateway Seguro — Todas as interações do modelo passam por um gateway seguro com aplicação de políticas, controles de roteamento e auditabilidade total.

Controles de Acesso e Identidade

A August integra-se com sistemas de identidade empresarial:

  • SSO com MFA — Logon único via SAML, OIDC e OAuth2 com autenticação multifator obrigatória.

  • Integração SCIM — Provisionamento e desprovisionamento automatizado de usuários.

  • Controles de Acesso Baseados em Funções (RBAC) — Permissões granulares baseadas nas funções dos usuários.

  • Barreiras Éticas — Controles de acesso em nível de caso via Personas para impor limites de conflitos e confidencialidade.

  • Revisões de Acesso Trimestrais — Auditorias regulares de permissões de acesso.

Trilhas de Auditoria

Trilhas de auditoria abrangentes registram toda a atividade do sistema: ações do usuário, resultados da IA, acesso a documentos e alterações administrativas. Cada ação é atribuível a um usuário específico. A retenção é configurável de 1 a 10 anos, com logs protegidos contra adulteração.

Controles de Acesso Interno

A August mantém controles rigorosos sobre o acesso de funcionários aos sistemas de produção:

  • Nenhum Dado do Cliente em Dispositivos de Funcionários — Documentos de clientes nunca são armazenados em estações de trabalho de funcionários.

  • Acesso de Menor Privilégio e Just-In-Time — O acesso aos dados de produção é limitado a um conjunto definido de engenheiros em uma base de menor privilégio e just-in-time. Cada evento de acesso é registrado e revisado.

  • Sem Funções de Serviço com Privilégios de Administrador — Nenhuma função de serviço possui privilégios de administrador.

  • Credenciais de Curta Duração — O acesso à produção requer SSO, MFA e credenciais de curta duração. Sem tokens persistentes.

  • Fluxos de Trabalho de Engenharia Usam Dados Anonimizados — O acesso a dados reais requer aprovação explícita.

  • Segurança de Endpoint — Todos os laptops fornecidos pela empresa executam MDM, EDR com atualizações diárias de assinatura e criptografia de disco total.

Subprocessadores

Cada subprocessador está contratualmente vinculado a restrições de uso de dados, incluindo a proibição de usar dados de clientes para treinamento.

O diagrama a seguir ilustra a arquitetura para a implantação hospedada da August, mostrando como os dados do cliente fluem pela infraestrutura:

Diagrama da Arquitetura Hospedada da August mostrando o fluxo de dados e a infraestrutura para a opção de implantação hospedada

Subprocessador

Função

Treinamento de Dados

Amazon Web Services

Infraestrutura e hospedagem

Proibido

Anthropic (via AWS Bedrock)

Provedor de modelo de base (BYOK)

Proibido

OpenAI LLC

Provedor de modelo de base

Proibido

Microsoft Corporation

Estrutura de integração do Office

Proibido

Google Cloud Platform

Serviços de computação

Proibido

Weaviate

Armazenamento vetorial

Proibido

Supabase

Solução SQL

Proibido

Reducto

Provedor de OCR

Proibido

Os clientes recebem aviso prévio de 30 dias antes que um novo subprocessador comece a processar dados do cliente. Cópias de cláusulas contratuais específicas estão disponíveis sob NDA.

SLA e Compromissos de Serviço

A August fornece compromissos de nível de serviço de classe empresarial:

  • 99,9% de Disponibilidade Mensal — Compromisso de alta disponibilidade para a plataforma.

  • Resposta a Problemas Críticos em 30 Minutos — Resposta rápida para problemas de gravidade crítica.

  • Remediação de CVE Crítica em 7 Dias — Vulnerabilidades de segurança abordadas em 7 dias para CVEs críticas.

Operações de Segurança

A August mantém operações de segurança robustas:

  • Práticas de SDLC Seguro — Segurança integrada ao ciclo de vida de desenvolvimento de software.

  • Monitoramento Contínuo — Detecção e resposta a ameaças em tempo real.

  • Resposta a Incidentes e BCDR — Planos testados para resposta a incidentes e continuidade de negócios/recuperação de desastres.

Segurança de Integrações

A August integra-se às suas ferramentas existentes mantendo os padrões de segurança:

  • Suplementos para Microsoft Word e Outlook — Trabalhe perfeitamente no Word, Outlook e SharePoint/OneDrive com preservação total de contexto.

  • SharePoint — Integração total com o SharePoint para gestão de documentos empresariais.

  • Google Drive — Acesse e importe documentos diretamente do Google Drive.

  • Dropbox — Conecte seu Dropbox para sincronização e acesso de documentos (em breve).

Todas as integrações seguem os mesmos padrões de criptografia e controle de acesso.

O Que Isso Significa para Sua Prática

Quando você usa a August para trabalho jurídico:

  • Os documentos e informações privilegiadas do seu cliente permanecem isolados e protegidos.

  • Nada que você envia, gera ou discute é usado para treinar modelos de IA.

  • Você controla quem dentro da sua organização pode acessar espaços de trabalho compartilhados.

  • A August não pode ver seu produto de trabalho jurídico.

  • Barreiras éticas em nível de caso protegem a confidencialidade dentro do seu escritório.

Para perguntas sobre certificações de segurança, acordos de processamento de dados, documentação de subprocessadores ou documentação de conformidade, entre em contato com sua equipe de conta August ou visite o centro de documentação jurídica.

FAQ de Segurança

Perguntas comuns sobre a postura de segurança, certificações e práticas de manuseio de dados da August.

Certificações

O que é ISO 27001?

A ISO 27001 é um padrão internacional para sistemas de gestão de segurança da informação (ISMS). Ela fornece uma abordagem sistemática para gerenciar informações confidenciais por meio de avaliação de riscos, controles de segurança e melhoria contínua. As organizações que alcançam a certificação ISO 27001 demonstraram que seguem as melhores práticas do setor para proteger dados.

O que é SOC 2 Tipo II?

O SOC 2 Tipo II é uma estrutura de auditoria independente que avalia os controles de segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade de uma organização ao longo de um período (geralmente de 6 a 12 meses). Os relatórios do Tipo II verificam se os controles não apenas existem, mas operam de forma eficaz na prática. A auditoria SOC 2 Tipo II da August resultou em uma opinião sem ressalvas com zero exceções.

O que é a verificação CASA?

A verificação STAR da CASA (Cloud Security Alliance) demonstra conformidade com os requisitos de segurança, confiança, garantia e risco da Cloud Security Alliance. Ela fornece validação de terceiros sobre as práticas de segurança em nuvem e transparência sobre a postura de segurança.

O que os clientes podem assumir com base nestas certificações?

Os clientes podem ter confiança de que a August adota uma abordagem proativa e estruturada para a segurança da informação. A certificação ISO 27001 valida um sistema abrangente de gestão de segurança em todas as operações. O SOC 2 Tipo II confirma que os controles de segurança operam de forma eficaz ao longo do tempo. Juntas, essas certificações demonstram um compromisso contínuo com a proteção dos dados dos clientes por meio de auditorias de vigilância anuais e processos de melhoria contínua.

Como a August mantém suas certificações ao longo do tempo?

A August mantém as certificações por meio de equipes de segurança internas, auditorias internas regulares, auditorias de vigilância anuais por organismos de certificação terceirizados credenciados e auditorias de recertificação em cronogramas definidos. Os controles de segurança são continuamente monitorados e aprimorados com base nos resultados das auditorias e na evolução do cenário de ameaças.

Manuseio de Dados

A August é de locatário único ou multilocatário?

A August utiliza uma arquitetura de locatário único e isolada. Cada cliente recebe seu próprio locatário privado com isolamento de computação, armazenamento e rede. Os dados do seu escritório nunca se misturam com o ambiente de outro escritório. Isso é diferente de sistemas multilocatários (multi-tenant), onde os dados dos clientes compartilham a infraestrutura e são apenas separados logicamente.

A August pode ver meu produto de trabalho jurídico?

Não. A August não tem visibilidade sobre as entradas, uploads ou resultados do usuário. Seus documentos, comandos e resultados de IA permanecem privados para o seu escritório. Isso protege o sigilo advogado-cliente e as proteções de produto de trabalho.

Meus dados serão usados para treinar modelos de IA?

Não. Documentos, comandos, resultados, metadados e dados derivados nunca são usados para treinamento de modelos, ajuste fino, análise ou melhoria de produtos. A August mantém acordos contratuais com todos os provedores de modelos de base (incluindo Anthropic, Llama e OpenAI) proibindo o treinamento ou a retenção de conteúdo do usuário. Os provedores de modelos processam dados de forma efêmera e não armazenam, registram, revisam ou reutilizam seu conteúdo.

Onde meus dados são armazenados?

Os dados são armazenados na região geográfica selecionada e fixados no nível da infraestrutura por meio da fixação de residência de dados. Isso garante que seus dados permaneçam na jurisdição escolhida, apoiando a conformidade com os requisitos regionais de proteção de dados. A August oferece suporte para opções de implantação nos EUA e na UE.

Por quanto tempo os dados são retidos?

A retenção da trilha de auditoria é configurável de 1 a 10 anos para atender aos requisitos de conformidade da sua organização. Os dados do cliente permanecem até que você os exclua. Os provedores de modelos de base não retêm seus dados após o processamento.

Controles de Segurança

Como meus dados são criptografados?

Todos os dados são protegidos com criptografia de nível empresarial:

  • Em trânsito: TLS 1.2 ou superior para todos os dados que circulam entre seu dispositivo e a August.

  • Em repouso: Criptografia AES-256 para todos os documentos armazenados, registros de banco de dados e backups.

  • Gerenciamento de chaves: Todas as chaves de criptografia são protegidas por Módulos de Segurança de Hardware (HSMs) e rotacionadas anualmente.

Quais controles de acesso estão em vigor?

A August integra-se com sistemas de identidade empresarial para um controle de acesso robusto:

  • SSO com MFA: Logon único via SAML, OIDC e OAuth2 com autenticação multifator obrigatória.

  • Integração SCIM: Provisionamento e desprovisionamento automatizado de usuários.

  • Controles de Acesso Baseados em Funções: Permissões granulares baseadas nas funções dos usuários.

  • Barreiras Éticas: Controles de acesso em nível de caso para impor limites de conflitos e confidencialidade.

  • Revisões de Acesso Trimestrais: Auditorias regulares de permissões de acesso.

O que são barreiras éticas e isolamento de casos?

Barreiras éticas são controles de acesso em nível de caso aplicados por meio do recurso de Personas da August. Os dados são segregados não apenas entre locatários (escritórios), mas entre casos dentro de sua própria organização. Um sócio não pode ver os comandos, uploads ou resultados de outro sócio, a menos que o conteúdo seja explicitamente compartilhado ou colocado em um espaço de trabalho de Projeto compartilhado. Isso protege contra conflitos de interesse e mantém a confidencialidade do cliente.

Os funcionários da August podem acessar meus dados?

Não. Documentos de clientes nunca são armazenados em estações de trabalho de funcionários. O acesso aos dados de produção é limitado a um conjunto definido de engenheiros em uma base de menor privilégio e just-in-time. Cada evento de acesso é registrado e revisado. Os fluxos de trabalho de engenharia usam dados anonimizados, e o acesso a dados reais requer aprovação explícita.

Conformidade e Empresa

Posso usar minhas próprias chaves de criptografia?

Sim. Para certos provedores de modelos, incluindo Anthropic via AWS Bedrock, você pode usar o Traga Sua Própria Chave (BYOK) para manter o controle adicional sobre as chaves de criptografia para interações de modelos de IA.

Qual é o compromisso de disponibilidade da August?

A August se compromete com 99,9% de disponibilidade mensal como parte do SLA empresarial. Problemas críticos recebem um tempo de resposta de 30 minutos, e vulnerabilidades críticas de segurança (CVEs) são abordadas em até 7 dias.

Como faço para relatar uma vulnerabilidade de segurança?

Se você descobrir uma vulnerabilidade de segurança, relate-a por meio de divulgação responsável entrando em contato com sua equipe de conta August. A August mantém planos de resposta a incidentes e continuidade de negócios/recuperação de desastres com monitoramento contínuo para detecção e resposta a ameaças.

Onde posso encontrar mais documentação de segurança?

Baixe o Whitepaper de Segurança oficial da August (v1.1, maio de 2026) e a documentação de casos de clientes:

Para acordos de processamento de dados, documentação de subprocessadores ou questões de conformidade, entre em contato com sua equipe de conta August ou visite o centro de documentação jurídica.

Whitepaper de Segurança

Baixe o Whitepaper de Segurança oficial da August (v1.1, maio de 2026) para detalhes abrangentes sobre a arquitetura de segurança, certificações, proteção de dados e compromissos de conformidade da August:

Whitepaper de Segurança da August

Documentação de segurança completa cobrindo certificações (SOC 2 Tipo II, ISO 27001:2022, CASA), arquitetura de locatário único, criptografia, controles de acesso, segurança de modelos de IA, opções de residência de dados e conformidade:

Baixar Whitepaper de Segurança da August (PDF)

August para Casos de Clientes

Visão geral de segurança para o manuseio de casos de clientes e confidencialidade:

Baixar August para Casos de Clientes (PDF)

Isso foi útil?