Forlex Logo
Central de recursos
Recursos

Checklist de segurança para IA jurídica

Compare proteção de dados, acessos, governança de IA e prontidão para compras.

Checklist de segurança

Perguntas para avaliar uma plataforma de IA jurídica

A revisão de segurança para IA jurídica não é apenas sobre infraestrutura. A plataforma pode processar documentos privilegiados, registros confidenciais de clientes, dados sensíveis de negócio, prompts, resultados, citações, decisões de fluxo, assinaturas e contexto de auditoria.

Use este checklist para estruturar a revisão de segurança, privacidade, compras e governança de IA.

1. Classificação e entrada de dados

Pergunte:

  • Quais categorias de dados de cliente podem entrar na plataforma?
  • A plataforma suporta diferentes classes de dados por organização, ambiente de trabalho, matéria, equipe ou função?
  • Como documentos, prompts, resultados, referências de fontes, assinaturas, comentários e registros de auditoria são tratados?
  • Há fluxos que devem ser proibidos ou restritos por sensibilidade de dados?
  • Como a plataforma ajuda equipes a manter dados sensíveis no ambiente de trabalho correto?

Evidências a solicitar:

  • Resumo de fluxo de dados.
  • Política de tratamento de dados.
  • Documentação de retenção e exclusão.
  • Política de acesso de suporte.
  • Pacote de segurança ou resposta a questionário.

2. Isolamento de tenant e controles de acesso

Neste checklist, tenant se refere ao ambiente isolado da organização.

Pergunte:

  • Como os dados de clientes são separados por tenant?
  • Como equipes, funções, ambientes de trabalho, matérias e registros recebem permissões?
  • A plataforma suporta SSO/SAML, MFA, RBAC e controles administrativos?
  • O acesso pode ser delimitado por fluxo ou recurso?
  • Como desprovisionamento e ciclo de vida de usuários são tratados?
  • Como ações administrativas privilegiadas são registradas?

Boas respostas mostram separação clara entre identidade, função, ambiente de trabalho, matéria, documento e acesso administrativo.

3. Limites de modelo e provedor de IA

Pergunte:

  • Quais provedores de IA ou caminhos de modelo podem ser usados?
  • Como escolhas de provedor são governadas por ambiente, plano, fluxo ou requisito do cliente?
  • Quais termos contratuais sustentam declarações de não treinamento ou uso de dados?
  • Prompts, conclusões, fontes recuperadas, embeddings, logs ou dados derivados são usados para treinar modelos gerais?
  • Como indisponibilidades, mudanças de modelo ou mudanças de roteamento são governadas?
  • Detalhes de modelo/provedor são expostos a usuários finais ou apenas geridos internamente?

Evidências a solicitar:

  • Resumo de governança de IA.
  • Explicação de tratamento de dados por modelo/provedor.
  • Linguagem contratual de não treinamento ou equivalente aprovado.
  • Lista de subprocessadores.
  • Processo de gestão de mudanças para roteamento de IA.

4. Revisão humana e responsabilidade profissional

Pergunte:

  • Quais fluxos exigem revisão humana antes de o resultado se tornar final?
  • Pontos de revisão podem ser configurados por fluxo, função, tipo de dado ou nível de risco?
  • Revisores veem fontes, limitações, incerteza ou contexto relevante para confiança?
  • Revisores podem rejeitar, sobrescrever ou escalar trabalho assistido por IA?
  • Como a identidade do revisor é preservada no registro?

Revisores de segurança e compliance devem tratar revisão humana como controle, não como mensagem de marketing.

5. Fundamentação em fontes e controles de evidência

Pergunte:

  • Quando a plataforma cita fontes ou mostra evidência recuperada?
  • Quando ela indica claramente que um resultado não está baseado em fontes?
  • Equipes podem restringir fluxos a políticas, modelos, documentos ou fontes jurídicas aprovadas?
  • Como fontes desatualizadas, conflitantes ou ausentes são tratadas?
  • Citações, trechos de fonte ou referências de conhecimento são preservados no registro quando apropriado?

Sinais de alerta:

  • Afirmações amplas de "sempre preciso".
  • Nenhuma distinção entre resultados baseados e não baseados em fontes.
  • Nenhum caminho de escalonamento para incerteza.
  • Nenhuma forma de ver quais fontes influenciaram o resultado.

6. Logs de auditoria e registros

Pergunte:

  • Quais eventos de usuário, administrador, fluxo, IA e documento são registrados?
  • Logs mostram responsável, fonte, revisão, aprovação, assinatura e contexto de registro?
  • Logs são exportáveis para segurança, compliance ou incidentes?
  • Qual é o período de retenção?
  • Logs são protegidos contra alteração ou exclusão não autorizada?
  • Como acesso de suporte e ações administrativas são registrados?

Para equipes reguladas, auditabilidade faz parte da superfície do produto. Deve ser fácil explicá-la durante compras.

7. Criptografia, infraestrutura e certificações

Pergunte:

  • Dados são criptografados em trânsito e em repouso?
  • Quais regiões de hospedagem, provedores de nuvem ou modelos de implantação se aplicam?
  • Como backups são protegidos?
  • Quais processos de disponibilidade, monitoramento e resposta a incidentes existem?
  • Como vulnerabilidades são rastreadas e corrigidas?
  • Há processo de continuidade de negócios e recuperação de desastre?
  • Quais frameworks de privacidade são plenamente suportados, como GDPR, LGPD e CCPA?
  • Quais certificações de segurança são mantidas ou estão em preparação formal, como SOC 2 ou ISO 27001, e fornecedores centrais de infraestrutura e autenticação possuem SOC 2?

Evidências a solicitar:

  • Resumo de arquitetura de segurança.
  • Resumo de resposta a incidentes.
  • Postura de backup e recuperação.
  • Resumo de teste de intrusão ou materiais de assurance atuais quando disponíveis.
  • Certificados atuais ou documentação formal de prontidão/preparação, incluindo certificações herdadas de subprocessadores como AWS.
  • Postura de conformidade com privacidade (GDPR, LGPD, CCPA).

8. Retenção, exclusão e portabilidade

Pergunte:

  • Por quanto tempo documentos, prompts, resultados, logs, assinaturas e registros de cofre são retidos?
  • A retenção pode ser configurada por organização ou fluxo?
  • Quais opções de exclusão existem durante e após o contrato?
  • Como backups são tratados após exclusão?
  • Registros podem ser exportados no encerramento?
  • O que acontece com dados derivados, embeddings ou material em cache?

Jurídico, segurança e compras devem verificar a resposta em política e contrato antes da assinatura.

9. Subprocessadores e acesso de suporte

Pergunte:

  • Quais subprocessadores podem processar dados de clientes?
  • Quais mudanças geram aviso ao cliente?
  • Como acesso de suporte é aprovado, delimitado, registrado e revogado?
  • O acesso de suporte pode ser limitado a metadados ou sessões controladas quando apropriado?
  • Equipes de suporte são treinadas para dados jurídicos e regulados sensíveis?

Evidências a solicitar:

  • Lista atual de subprocessadores.
  • Processo de acesso de suporte.
  • Caminho de DPA.
  • Pacote de segurança.

10. Prontidão para compras

Antes da revisão jurídica ou de compras, reúna:

  • Visão geral de segurança ou pacote de segurança.
  • Caminho do acordo de processamento de dados.
  • Lista de subprocessadores.
  • Política de privacidade.
  • Resumo de resposta a incidentes.
  • Resumo de retenção e exclusão.
  • Resumo de governança de IA.
  • Materiais de acessibilidade ou compliance se exigidos.
  • Resposta a questionário de segurança.
  • Caminho de contato nomeado para segurança ou compras.

11. Registro mínimo de revisão

Mantenha um registro de decisão com:

  • Data da revisão.
  • Contatos do fornecedor.
  • Escopo de produto e implantação.
  • Categorias de dados no escopo.
  • Documentos de segurança recebidos.
  • Riscos abertos e mitigações.
  • Cláusulas contratuais que exigem revisão.
  • Controles de implantação necessários.
  • Data de renovação ou reavaliação.

12. Perguntas de segurança para a Forlex

Leve estas perguntas para uma conversa de segurança ou compras:

  • Quais controles estão disponíveis para nosso plano e escopo de implantação?
  • Como contexto de organização, equipes, funções, matérias e ambientes de trabalho são separados?
  • Que evidência sustenta declarações de não treinamento, retenção, acesso de suporte e subprocessadores?
  • Quais eventos de fluxo e decisões de revisão podem ser preservados para auditoria?
  • Quais materiais do pacote de segurança estão disponíveis antes da revisão contratual?
  • Quais integrações exigem escopo adicional de segurança?
  • Quais decisões de implantação afetam a postura de risco?

13. Condições de parada e escalonamento

Escale antes da compra se:

  • O fornecedor não consegue explicar uso de dados para prompts, resultados, logs, embeddings ou dados derivados.
  • Ninguém responde por segurança ou DPA.
  • Declarações de não treinamento não são sustentadas por contrato.
  • Acesso de suporte é amplo, informal ou sem registro.
  • Revisão humana é prometida, mas não aparece no comportamento do fluxo.
  • Logs de auditoria não cobrem os eventos de fluxo necessários.
  • Obrigações de retenção e exclusão são pouco claras.

A revisão de segurança deve reduzir ambiguidade antes da assinatura, não descobri-la durante a implantação.

Revisado em maio de 2026

Escolha o próximo passo conforme o estágio da avaliação.

Agendar demonstraçãoSolicitar pacote de segurança