Saltar para o conteúdo

Segurança · Confiança

Verifique , não confie.

Cada versão pública é distribuída assinada, atestada e com um inventário de componentes de software — pode verificar a proveniência e a integridade com ferramentas públicas em vez de confiar em nós. A pipeline está construída e é exercitada em CI hoje; as suas evidências tornam-se públicas com a primeira versão.

Cadeia de fornecimento

O que acompanha cada versão

A pipeline de versões gera estes artefactos automaticamente. Ainda não existe nenhuma versão pública — os itens marcados "primeira versão" tornam-se verificáveis no momento em que a primeira versão etiquetada for publicada; o security.txt já está ativo hoje.

Primeira versão

SLSA Build Level 3

Cada binário de versão é construído pelo GitHub Actions com atestação de proveniência SLSA via slsa-github-generator. A atestação prova que o binário foi construído a partir do código-fonte confirmado, num ambiente de compilação reforçado, sem intervenção manual.

Como funciona a verificação
Primeira versão

Assinaturas cosign sem chave

Os artefactos de versão são assinados com Sigstore cosign (modo sem chave via Fulcio + Rekor). Pode verificar as assinaturas sem que distribuamos uma chave pública — o registo de transparência é a raiz de confiança.

Guia de verificação
Primeira versão

Inventário de componentes de software

Cada versão inclui SBOM nos formatos CycloneDX e SPDX, com a lista de cada dependência com versão e licença. Legível por máquina, auditável.

Como verificar o SBOM
Primeira versão

Avisos OpenVEX

As vulnerabilidades conhecidas e a sua aplicabilidade a cada versão são publicadas como documentos OpenVEX. As declarações VEX distinguem entre "afetado", "não afetado" e "em investigação".

Como os avisos são verificados
Ativo

security.txt (RFC 9116)

Uma política de divulgação de vulnerabilidades legível por máquina em /.well-known/security.txt, conforme a RFC 9116. Inclui contacto, ligação para a política e data de expiração.

Ver security.txt

Arquitetura

Segurança por conceção

Negação por defeito

O estado desconhecido é negado, não permitido. Cada decisão de política usa negação por defeito — um motor que não consegue alcançar o seu armazém de políticas recusa todos os pedidos em vez de falhar em aberto.

Auditoria só de anexação

O registo de auditoria é só de anexação com encadeamento criptográfico. Os eventos não podem ser modificados ou eliminados silenciosamente — a adulteração quebra a cadeia e é detetável.

Sem chamadas externas

O motor funciona inteiramente no seu ambiente. A verificação de licença é offline (verificação de assinatura Ed25519). Sem telemetria, sem chamadas de rede obrigatórias, sem servidor de ativação.

Mínimo privilégio

RBAC e ABAC baseados em Cedar com concessões limitadas. Funções personalizadas, tetos de delegação e acesso de emergência com duplo controlo. O conjunto de permissões por defeito está vazio.

Conformidade

Estado de conformidade

Publicamos o que está ativo, o que está construído à espera da primeira versão pública e o que ainda não foi iniciado. Não reivindicamos certificações que não obtivemos.

Ativo hoje

  • RFC 9116 security.txt

    Política de divulgação de vulnerabilidades legível por máquina, ativa em /.well-known/security.txt.

Construído — público com a primeira versão

  • SLSA Build Level 3

    Atestação de proveniência via slsa-github-generator — construída e exercitada em CI; publica-se com cada versão etiquetada.

  • SBOM (CycloneDX + SPDX)

    Inventário de componentes de software gerado para cada build de versão.

  • Assinaturas cosign sem chave

    Assinatura de artefactos baseada em Sigstore via Fulcio + Rekor.

  • Avisos OpenVEX

    Declarações de aplicabilidade de vulnerabilidades por versão.

Planeado

  • SOC 2 Type II

    Planeado. Necessário para a cloud gerida, não para auto-alojamento.

  • ISO 27001

    Planeado. Cronologia não comprometida.

  • Teste de penetração independente

    Planeado. Será publicado quando concluído.

Preparação por framework

Postura de conformidade

O produto mapeia capacidades para 25 catálogos de frameworks de conformidade. Abaixo está a postura de preparação para os frameworks mais solicitados por compradores enterprise. Cada item é um mapeamento de preparação — não uma certificação.

Preparação mapeada

ISO/IEC 27001:2022

Mapeamento dos controlos do Anexo A com ponteiros de evidência. Não certificado.

Preparação mapeada

ISO/IEC 42001:2023

Mapeamento de preparação AIMS — o produto gera as evidências que um AIMS requer. Não certificado.

Preparação mapeada

SOC 2 Type II

Mapeamento dos Trust Services Criteria (Security / Common Criteria). Não atestado.

Preparação mapeada

EU AI Act

Modelo de documentação técnica do Anexo IV. O produto é tooling de governança, não um sistema do Anexo III.

Preparação mapeada

CSA STAR / AICM

Autoavaliações CAIQ v4 e AI-CAIQ (AICM v1.0) preparadas. Não submetidas ao STAR Registry.

Preparação mapeada

GDPR

Runbook RTBF com crypto-shred, atestação de residência, retenção e retenção legal. Self-hosted: o cliente é responsável e subcontratante.

Preparação mapeada

NIST AI RMF 1.0

Mapeamento de subcategorias incluindo o Perfil de IA Generativa (AI 600-1).

Parcial

DORA

Exportação da vista de risco ICT; o gerador do Registo de Informação é um add-on enterprise.

Preparação mapeada

Diretiva NIS 2

Mapeamento de obrigações com postura de cadeia de fornecimento ICT e evidência de notificação de incidentes.

Pacote de confiança

Documentos de due-diligence

O pacote de confiança está publicado no repositório do código-fonte. Os compradores enterprise podem solicitar o pacote completo — incluindo questionários pré-preenchidos e o guia de avaliação — via enterprise@olivares.ai.

Os ficheiros disponíveis são instantâneos Markdown públicos com proveniência da fonte. Os itens sem uma fonte partilhável continuam disponíveis mediante pedido.

Questionário

Autoavaliação CAIQ v4

CSA Cloud Controls Matrix v4 — 17 domínios com ponteiros de evidência.

Transferir (Markdown)
Questionário

Autoavaliação AI-CAIQ / AICM

CSA AI Controls Matrix v1.0 — 18 domínios incluindo Model Security.

Transferir (Markdown)
Questionário

Banco de respostas a questionários de segurança

33 respostas pré-verificadas alinhadas com SIG 2026, CSA AI-CAIQ e questionários comuns de compradores.

Transferir (Markdown)
Arquitetura

Arquitetura de referência

Arquitetura orientada ao comprador: três zonas de confiança, topologias de implantação, HA/DR, dimensionamento.

Transferir (Markdown)
Avaliação

Guia de avaliação

Prova de valor em 10 dias úteis — critérios pass/fail contra o binário real.

Transferir (Markdown)
Comercial

Matriz de funcionalidades

Comparação completa Community (AGPL) vs Enterprise — todos os 26 add-ons.

Transferir (Markdown)
Segurança

Guia de robustecimento

Verificação do modelo de ameaças com evidência file:line — pronto para pentest.

Disponível mediante pedido
Acessibilidade

VPAT

Voluntary Product Accessibility Template para a consola de administração.

Transferir (Markdown)

Tratamento de dados

Subcontratantes

A Olivares AI é software auto-alojado. O produto funciona inteiramente na sua infraestrutura — os dados nunca saem do seu perímetro. Não existem subcontratantes de dados de clientes. Os fornecedores de LLM são os seus fornecedores, não os nossos; o produto inventaria-os para a sua gestão de riscos de terceiros.

Se uma oferta de cloud gerida for introduzida, os subcontratantes serão listados aqui antes de qualquer tratamento de dados começar.

Serviços do fornecedor

O nosso sítio web, licenciamento e comunicações funcionam sobre:

Cloudflare

Ativo

Alojamento do sítio, DNS e proteção contra bots.

Resend

Desde o lançamento

Email transacional e entrega da newsletter.

Polar

Desde a disponibilidade comercial

Merchant of record para licenças comerciais.

GitHub

Ativo

Alojamento do código-fonte e comunidade.

Não utilizamos fornecedores de analítica do lado do cliente nem executamos analítica no navegador.

Verifique por si mesmo

Não confie na nossa palavra

A partir da primeira versão pública, cada afirmação sobre artefactos nesta página é verificável com ferramentas públicas — o script incluído percorre as assinaturas, as atestações e a integridade do SBOM. Descarregue primeiro os artefactos; nunca canalize um instalador para um shell.

# Distribuído com a primeira versão pública — descarregue os artefactos
# da versão e execute o verificador incluído a partir desse diretório:
scripts/verify-release.sh                              # sem chave (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # air-gapped, sem rede

O script verifica as assinaturas cosign, a proveniência SLSA e as atestações SBOM e OpenVEX. A cadeia completa de comandos manuais está documentada no guia "Verificar uma versão" da documentação.

Avaliação enterprise

Implante o ambiente de demonstração em cinco minutos e depois execute a prova de valor completa em 10 dias úteis. O guia de avaliação inclui critérios pass/fail contra o binário real — sem slides, sem sandbox, sem ambiente de demo diferente da produção.

Perguntas de confiança

Têm SOC 2 ou ISO 27001?

Ainda não. O SOC 2 Type II está planeado para o nível de cloud gerida. Somos honestos sobre a nossa postura: a pipeline de cadeia de fornecimento (SLSA L3, SBOM, cosign, OpenVEX) está construída, e as suas evidências publicam-se com a primeira versão pública.

O produto teve um teste de penetração?

Ainda não. Um teste de penetração independente está planeado e será publicado quando concluído.

Como verifico que uma versão é autêntica?

Quando a primeira versão pública for publicada: execute o script de verificação incluído (scripts/verify-release.sh) ou verifique manualmente com cosign — cada versão transporta atestação de proveniência SLSA e assinaturas cosign, sem necessidade de confiar em nós. Até lá não existe nenhum artefacto público para verificar, e esta página di-lo em vez de fingir o contrário.

Onde são armazenados os meus dados?

A Olivares AI é auto-alojada — os seus dados permanecem na sua própria infraestrutura. O fornecedor nunca vê, armazena ou processa os seus dados. A cloud gerida (quando disponível) oferecerá compromissos de residência de dados.

Está disponível um DPA?

O DPA está em revisão jurídica. Está disponível mediante pedido através de enterprise@olivares.ai antes de qualquer relação que envolva o tratamento de dados pessoais.

Que frameworks de conformidade o produto suporta?

O produto mapeia 25 catálogos de frameworks incluindo EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM e leis estaduais de IA dos EUA. Cada framework é dados com evidência por controlo — não uma afirmação de certificação.

Como avalio o produto?

Compile a partir do código-fonte, inicie o ambiente de demonstração em cinco minutos e siga o guia de avaliação de 10 dias. Cada critério é pass/fail contra o binário real. Contacte enterprise@olivares.ai para uma licença de avaliação enterprise que desbloqueia os 26 add-ons durante o POV.

Qual é a diferença entre Community e Enterprise?

O build AGPL é a plataforma completa — nada é removido. Enterprise adiciona 26 capacidades de mitigação de risco e operação em escala (multi-IdP, firewall de conteúdo, retenção WORM, registo DORA, e mais) mais uma exceção legal ao copyleft AGPL e suporte com SLA. A matriz completa de funcionalidades está no pacote de confiança.

A segurança começa pela transparência

Cada versão pública é distribuída assinada, atestada e documentada — verifique a integridade por si mesmo. As evidências são públicas a partir da primeira versão.