Nossos Princípios Operacionais
A IA jurídica está na interseção de três regimes rigorosos de privacidade: sigilo profissional entre advogado e cliente, normas de responsabilidade profissional e legislação moderna de proteção de dados. Projetamos cada parte da nossa plataforma — o site público, o AI Suite, o Sovereign Suite e nossos engajamentos de consultoria — para honrar todos os três. Publicamos o que fazemos, certificamos o que afirmamos e informamos quando estamos trabalhando em direção a uma meta, em vez de já tê-la alcançado.
Como Protegemos Seus Dados
Criptografia
Em trânsito: TLS 1.3 para todo o tráfego cliente/servidor.
Em repouso: AES-256 para todos os dados armazenados, incluindo histórico de conversas, envios e documentos carregados.
Em nível de campo: Campos sensíveis (tokens de autenticação, chaves de API) criptografados na camada de aplicação, além da criptografia de armazenamento.
Residência de Dados
O SaaS hospedado da Lawra opera no Google Cloud (Firebase) com capacidade multi-região para clientes que exigem residência específica. As implantações do Sovereign Suite rodam dentro da sua infraestrutura — sua residência, seu perímetro.
Controles de Acesso
Acesso baseado em funções com registro de auditoria em cada ação administrativa. Identidades gerenciadas pelo cliente suportadas. O Sovereign Suite se integra ao SSO existente do escritório e aos sistemas de barreira informacional.
Trilhas de Auditoria
Cada prompt, cada saída de IA, cada documento citado — registrado com usuário, matéria e timestamp. Procedimentos de descoberta, consultas da OAB e investigações internas não devem exigir implantação retroativa de visibilidade. Os logs são retidos conforme a política do cliente e podem ser exportados sob demanda.
Preservação do Sigilo Profissional
Isolamento de dados por matéria: documentos e conversas de uma matéria nunca entram em prompts de outra. O trabalho protegido pelo sigilo profissional é sinalizado e segregado. As divulgações de uso de IA são configuráveis por jurisdição.
Resposta a Incidentes
Procedimentos definidos de resposta a incidentes com funções nomeadas, modelos de comunicação e compromissos de notificação ao cliente. Exercícios trimestrais de simulação. Testes de penetração em cadência anual, com resumos disponíveis sob NDA.
Certificações e Conformidade
Onde estamos hoje, onde vamos chegar e um cronograma transparente. Não reivindicamos certificações que não possuímos.
| Norma | Status | Observações |
|---|---|---|
| SOC 2 Type II | 🟡 Em andamento (previsão T4 2026) | Auditoria de controles internos em andamento com uma das Big Four. Relatório Tipo I previsto para meados de 2026; Tipo II em seguida. |
| ISO 27001 | 🟡 Roadmap (previsão 2027) | Documentação do sistema de gestão de segurança da informação em desenvolvimento. Fase de implementação planejada em paralelo ao SOC 2. |
| ISO 42001 | 🟡 Roadmap (previsão 2027) | Norma de Sistema de Gestão de IA (SGAI). A Lawra está entre os pioneiros que acompanham esta certificação emergente. |
| GDPR | 🟢 Conforme | Contratos de Processamento de Dados disponíveis. Titulares de dados da UE podem exercer seus direitos via privacy@lawra.io. Registros de processamento mantidos. |
| LGPD | 🟢 Conforme | Fundamental para clientes brasileiros e da América Latina em geral. DPO designado. Fluxo de atendimento a solicitações de titulares operacional. |
| HIPAA | 🟡 Disponível sob consulta (somente Sovereign Suite) | BAA disponível para clientes de saúde que implantam o Sovereign Suite em ambientes compatíveis com HIPAA. |
Provedores de Modelos de IA — Nossa Postura
O AI Suite hospedado da Lawra utiliza o Google Firebase AI (Gemini 2.5 Flash) para as ferramentas voltadas ao público. Selecionamos essa configuração especificamente porque os termos do Firebase AI do Google incluem um compromisso contratual de que os dados dos clientes não são usados para treinar os modelos de fundação do Google.
Para implantações do Sovereign Suite, você traz suas próprias chaves de API para o provedor de modelos de sua confiança — Anthropic Claude (nível enterprise com compromissos de não treinamento), OpenAI (enterprise com ZDR), Google Gemini, ou modelos de pesos abertos rodando inteiramente em sua rede (Llama, Mistral, Qwen, DeepSeek, Gemma) na sua própria infraestrutura de GPU.
Não vendemos, alugamos nem reutilizamos nenhum dado que passe pela Lawra. Não temos um pipeline interno de treinamento de modelos que utilize dados de clientes. Todos os modelos utilizados são de terceiros ou de pesos abertos, com termos contratuais específicos do provedor disponíveis para revisão sob consulta.
Dúvidas, Solicitações de Auditoria ou Divulgações
Para questionários de segurança, solicitações de auditoria, termos específicos para o cliente ou divulgação de vulnerabilidades, entre em contato com security@lawra.io. Os engajamentos do Sovereign Suite incluem revisão de segurança como parte do escopo padrão. Respondemos a todos os questionários de segurança enterprise em até cinco dias úteis.
Comentários
Carregando comentários...