Segurança · Confiança

Self-hosted por conceção. Os seus dados nunca saem da sua infraestrutura.

A Olivares AI governa o acesso aos agentes de IA na sua infraestrutura, por isso foi construída para ser segura à partida. Corre dentro da sua própria infraestrutura, observa em modo só de leitura e regista o mapa de acessos — não os dados que circulam através dele. Esta página é como o provamos, com honestidade.

Tratamento de dados

Aquilo em que tocamos, e aquilo que nunca sai

A garantia de privacidade mais forte é arquitetural, não um certificado: como a Olivares AI é self-hosted, os dados sensíveis permanecem no seu perímetro e nós nunca os vemos.

Corre na sua infraestrutura

Self-hosted nos seus próprios hosts, clusters ou clouds — o próprio control plane pode correr totalmente air-gapped, registando o seu mapa de acessos sem qualquer saída dos seus dados. Os agentes que governa continuam a alcançar as APIs que invocam, como um fornecedor de modelos alojado; apenas os modelos self-hostable correm totalmente offline. Self-hosted significa que os seus dados não saem do seu ambiente.

Relações de acesso, não payloads

Regista relações de acesso — que agente pode alcançar que recurso, leitura versus leitura/escrita — não os corpos das consultas, os payloads ou os segredos que circulam através deles. Aquilo que não armazenamos, não o podemos divulgar.

Segredos e PII ocultados

As entradas que possam transportar segredos ou dados pessoais são ocultadas e analisadas em busca de segredos antes de qualquer coisa ser escrita. Mais detalhe é algo em que um operador tem de optar conscientemente.

Observação só de leitura

O coletor observa; nunca escreve nas suas bases de dados e nunca modifica os seus hosts. Lê identidades, como o nome de um papel ou de uma aplicação — não os valores das credenciais. Não é um analisador de tráfego de dados.

Sem telemetria para casa

Seguro por predefinição significa nenhum phone-home: a telemetria do fornecedor está desativada a menos que a ative explicitamente. Nada sobre o seu património é enviado para nós.

Você controla a retenção

A retenção e a purga são configuráveis e, em implementações air-gapped, nada sai jamais, ponto final.

Divulgação de vulnerabilidades

Reportar um problema de segurança

Acolhemos a divulgação coordenada e agimos de boa-fé com os investigadores que fazem o mesmo. As descobertas no próprio modelo de segurança são explicitamente bem-vindas.

Comunique em privado para

security@olivares.ai

Por favor, não abra uma issue, um pull request ou uma discussão pública para uma suspeita de vulnerabilidade. O PGP está disponível mediante pedido antes de enviar detalhes.

Política completa Política de divulgação de vulnerabilidades (SECURITY.md) Contacto legível por máquina /.well-known/security.txt (RFC 9116)

O que esperar

Confirmação de receção no prazo de 3 dias úteis
Avaliação inicial no prazo de 10 dias úteis
Divulgação coordenada até 90 dias, mais cedo se uma correção for lançada

Por favor, não envie

Sem segredos, credenciais ou tokens reais (oculte-os), sem dados pessoais de clientes ou de terceiros nem dumps de produção, e sem exploração ativa de sistemas que não lhe pertencem. Descreva o impacto sensível em vez de o anexar — combinaremos um canal seguro.

A Olivares AI está em pré-lançamento. Ainda não existem versões etiquetadas suportadas; as correções de segurança são aplicadas apenas ao ramo main.

Subcontratantes

Quem mais trata dados

Este sítio web não utiliza subcontratantes de analítica, publicidade ou rastreio. É um sítio estático com tipos de letra self-hosted, uma Content-Security-Policy estrita de mesma origem e sem cookies. É servido através de uma rede de distribuição de conteúdos, que trata apenas os metadados de ligação necessários para entregar a página — não recolhemos dados pessoais quando navega.

Quanto ao produto em si: como a Olivares AI é self-hosted na sua própria infraestrutura, não há subcontratante do lado do fornecedor para os seus dados. Permanecem no seu perímetro e nós não os vemos. Qualquer futura oferta gerida publicaria a sua própria lista de subcontratantes; nenhuma é oferecida hoje.

Tratamento de dados

Acordo de Tratamento de Dados (Art. 28.º do RGPD)

Um Acordo de Tratamento de Dados está disponível mediante pedido para aprovisionamento empresarial. Como a Olivares AI é self-hosted, na maioria das implementações você permanece o responsável pelo tratamento e o subcontratante dos seus próprios dados dentro da sua própria infraestrutura; ainda assim, é possível celebrar um DPA para formalizar as responsabilidades de uma relação comercial.

Solicitar um DPA

Postura de conformidade

Honestos sobre onde estamos

A Olivares AI está em pré-lançamento e não está certificada ao abrigo da SOC 2, da ISO/IEC 27001, do Regulamento da IA da UE ou de qualquer outro referencial, e nenhuma auditoria está em curso. Concebemos o produto para mapear os controlos que esses referenciais examinam — registo de auditoria, controlo de acesso, integridade, cifragem e gestão de alterações — para que esteja pronto a ser auditado quando chegar a altura. A certificação formal (por exemplo, SOC 2 Type 2) é um passo posterior que a arquitetura foi construída para permitir; não condiciona o primeiro lançamento.

Referenciais para os quais concebemos

SOC 2 / ISO 27001

Objetivos de controlo para os quais concebemos — não certificados, no roteiro.
Regulamento da IA da UE

Concebido para apoiar as suas expectativas de controlo e documentação.
CSA MAESTRO

Uma metodologia de modelação de ameaças com a qual comparamos — não uma norma certificável.
Ameaças agênticas OWASP

Mapeado face à lista de ameaças agênticas e de mitigação.
Orientações CISA / NIST

Orientações, não uma norma certificável — conceção-orientada, sem alegação de conformidade.

Sempre que descrevemos alinhamento com referenciais externos, trata-se de um mapeamento técnico, não de uma certificação — e, para normas que ainda não são finais, é um sinal de conceção-orientada sem qualquer alegação de conformidade.

Integridade do build

Os lançamentos são assinados criptograficamente, incluem um inventário de componentes de software (SBOM) e transportam a proveniência do build.
Um único binário estático, seguro em termos de memória, em imagens de contentor mínimas e endurecidas.
Dependências mínimas e fixadas — sem scripts de instalação que executem código não verificado.
A análise de dependências e de segredos valida cada alteração na CI.

Estas garantias entram em vigor no primeiro lançamento etiquetado; o projeto está hoje em pré-alfa.

Objetivos de remediação

Crítica 7 dias
Alta 14 dias
Média 30 dias
Baixa próximo lançamento agendado

A nossa cadência de remediação comprometida, em vigor no primeiro lançamento etiquetado. As vulnerabilidades ativamente exploradas são tratadas como críticas.

Questões de confiança

Para onde vão os meus dados?

Na edição self-hosted, os seus dados permanecem dentro da sua própria infraestrutura; a Olivares AI não os recebe. O produto regista o mapa de acessos — não os payloads, os segredos ou os dados pessoais que circulam através dele.

Estão certificados pela SOC 2 ou pela ISO 27001?

Ainda não. O produto foi concebido para mapear os objetivos de controlo da SOC 2 e da ISO 27001, de modo a estar pronto a ser auditado, mas a certificação formal está no roteiro e não foi obtida. Não alegaremos uma certificação que não detemos.

Como comunico uma vulnerabilidade de segurança?

Envie um e-mail em privado para security@olivares.ai — por favor, não abra uma issue pública. A nossa política completa está no SECURITY.md, ligado a partir de /.well-known/security.txt (RFC 9116). Reconhecemos a receção no prazo de três dias úteis.

Oferecem um DPA?

Sim, um Acordo de Tratamento de Dados ao abrigo do Artigo 28.º do RGPD está disponível mediante pedido para aprovisionamento empresarial. Contacte enterprise@olivares.ai.

Questões da sua equipa de segurança ou de aprovisionamento?

Comunique uma vulnerabilidade ao nosso contacto de segurança, ou entre em contacto para aprovisionamento, um DPA ou uma revisão de segurança.

Comunicar uma vulnerabilidade Contactar aprovisionamento