Azure
Regiões Azure disponíveis: Brazil South (São Paulo), Brazil Southeast (Rio de Janeiro), West Europe (Amsterdã), North Europe (Dublin), Germany West Central (Frankfurt). Azure OpenAI para processamento LLM. DPA da Microsoft.
Residência de Dados e LGPD/RGPD
Todos os dados permanecem na infraestrutura do cliente. Sem fluxos de dados a terceiros.
Onde dados são processados e quem tem acesso é determinado pela infraestrutura. Azure, GCP, AWS, Vercel + Supabase, Self-Hosted ou Híbrido - todos com regiões no Brasil e na UE. O cliente escolhe o que precisa.
Princípio Fundamental
AI Agents processam dados críticos de negócio: dados de pessoal, dados financeiros, dados contratuais. A questão de onde esses dados são processados e quem tem acesso não é negociável. O Decision Layer decompõe cada processo em etapas de decisão e define para cada etapa se o ser humano, um conjunto de regras ou a IA decide - incluindo a questão de quais dados podem ser processados.
A arquitetura da Gosign se baseia em um princípio: todos os dados permanecem na infraestrutura do cliente. A Gosign não opera nuvem própria, não armazena dados de clientes e não tem acesso permanente a sistemas de produção. A arquitetura de governança completa garante que todo processamento de dados seja documentado e rastreável.
Opções de Implantação
Cada provedor oferece regiões no Brasil e na UE. O cliente escolhe a região conforme seus requisitos regulatórios - LGPD (PT: RGPD), localização dos usuários e políticas internas. Nem todas as opções são necessárias: a maioria dos projetos começa com um único provedor e uma única região. A arquitetura permite expandir para outras regiões ou provedores sem alterar a lógica de negócio.
GCP
Regiões GCP disponíveis: southamerica-east1 (São Paulo), europe-west1 (Bélgica), europe-west3 (Frankfurt), europe-west4 (Países Baixos). Vertex AI para processamento LLM. DPA do Google.
AWS
Regiões AWS disponíveis: sa-east-1 (São Paulo), eu-central-1 (Frankfurt), eu-west-1 (Irlanda), eu-west-3 (Paris). Amazon Bedrock para hosting de LLM (Claude, Llama, Mistral). Amazon EKS para orquestração de contêineres, Aurora PostgreSQL. DPA da AWS.
Vercel + Supabase
Vercel para frontend e edge functions. Supabase para banco de dados (PostgreSQL), auth e storage - com região sa-east-1 (São Paulo) ou UE disponível. Opção leve sem infraestrutura Kubernetes própria. Serviços managed com data residency no Brasil ou na UE.
Self-Hosted
Datacenter próprio ou servidores próprios. Modelos open-source: Llama, Mistral, DeepSeek - operados localmente. Nenhum dado sai da rede corporativa. Controle total sobre hardware, software e rede.
Híbrido
Combinação de provedores e regiões. Exemplo: Self-Hosted para dados sensíveis de RH, Azure São Paulo para processamento de documentos, Supabase UE para operações em Portugal. A arquitetura suporta diferentes opções de implantação por agente.
Medidas Técnicas de Proteção de Dados
Row-Level Security (RLS)
Isolamento de inquilinos é aplicado a nível de banco de dados - não a nível de aplicação. Uma consulta SQL só pode acessar fisicamente os registros para os quais o contexto de execução está autorizado. A separação não pode ser contornada por lógica de aplicação.
Criptografia
- Em repouso: Todos os dados são armazenados criptografados (AES-256)
- Em trânsito: Todas as transferências de dados via TLS 1.3
- Gestão de chaves: Chaves próprias do cliente (Bring Your Own Key) ou gerenciadas pela plataforma
Controle de Acesso
- RBAC (Role-Based Access Control) em todos os níveis
- Sem credenciais compartilhadas, sem conta de serviço com acesso total
- Acessos são registrados e rastreáveis no Audit Trail
- Gosign sem acesso permanente a dados de produção
Exclusão de Dados
- Conceito de exclusão segundo LGPD (PT: RGPD) Art. 16 / RGPD Art. 17
- Períodos de retenção configuráveis por tipo de dado
- Exclusão abrange todas as cópias - banco de dados, Audit Trail, backups (após expiração da retenção de backup)
- Protocolos de exclusão documentados no Audit Trail
Proteção de Dados Específica para LLM
LLMs na Nuvem (Azure OpenAI, Vertex AI, Amazon Bedrock)
Quando LLMs na nuvem são utilizados, os dados a serem processados são enviados ao serviço LLM. Medidas: dados não são usados para treinamento (compromisso da Microsoft/Google), DPA/SCCs com o respectivo provedor, minimização de dados. A anonimização de PII garante que dados pessoais sejam removidos antes do processamento pelo LLM.
Modelos Self-Hosted (Llama, Mistral, DeepSeek)
Com modelos self-hosted, nenhum dado sai da infraestrutura do cliente. O modelo roda localmente, o processamento ocorre em hardware próprio. Compromisso: modelos self-hosted geralmente são menos potentes que os modelos proprietários mais recentes. Mais sobre estratégias de hosting no artigo Hosting de IA: EU SaaS, data center europeu ou Self-Hosted?
Sem Treinamento com Dados do Cliente
AI Agents da Gosign não são treinados com dados do cliente. Sem fine-tuning, sem re-treinamento e sem aprendizado descontrolado a partir de dados de produção.
Mapeamento LGPD (PT: RGPD) e RGPD
A LGPD brasileira e o RGPD europeu exigem medidas técnicas específicas. Cada componente arquitetônico atende a ambos os marcos regulatórios. Detalhes no contexto do EU AI Act.
| Área | LGPD (Brasil) | RGPD (Portugal/UE) | Solução Gosign |
|---|---|---|---|
| Minimização de dados | Art. 6, III LGPD | Art. 5 RGPD | Somente dados necessários são processados |
| Base legal | Art. 7 LGPD | Art. 6 RGPD | Processamento por contrato (Art. 7, V) ou interesse legítimo |
| Exclusão de dados | Art. 16 LGPD | Art. 17 RGPD | Conceito de exclusão com períodos configuráveis |
| Privacy by Design | Art. 46 LGPD | Art. 25 RGPD | RLS, criptografia, RBAC como componentes arquitetônicos |
| Processamento por terceiros | Art. 39 LGPD | Art. 28 RGPD | DPA entre cliente e Gosign, DPA com provedor cloud |
| Registro de operações | Art. 37 LGPD | Art. 30 RGPD | Audit Trail documenta todas as operações |
| Segurança | Art. 46 LGPD | Art. 32 RGPD | Criptografia, controle de acesso, revisão regular |
| Notificação de incidentes | Art. 48 LGPD | Art. 33/34 RGPD | Processo de resposta a incidentes, Audit Trail para análise forense |
Esta página descreve medidas arquitetônicas técnicas para proteção de dados e residência de dados. A avaliação legal e a declaração de conformidade com LGPD/RGPD são responsabilidade do controlador (o cliente) e seus encarregados de proteção de dados. A Gosign fornece a infraestrutura técnica. A responsabilidade legal cabe ao operador.
Aprofundamento no Agent Briefing
Nossa série de artigos para executivos que implementam agentes de IA na empresa.
Perguntas frequentes sobre Residência de Dados
Os dados saem do Brasil?
Com implantação no Brasil (Azure São Paulo, GCP São Paulo, AWS São Paulo, Supabase São Paulo ou Self-Hosted no Brasil), todos os dados permanecem em território brasileiro. Para empresas com operações na UE, existem regiões UE em todos os provedores. Com Self-Hosted, os dados permanecem no datacenter do cliente. A escolha é sempre do cliente.
Que dados são enviados a provedores de LLM?
Com LLMs na nuvem, documentos processados são enviados ao serviço LLM. Com modelos self-hosted (Llama, Mistral), nenhum dado sai da rede do cliente.
Como é implementado o isolamento de inquilinos?
Row-Level Security a nível de banco de dados. Cada inquilino, cada entidade, cada departamento é tecnicamente separado. Um agente só pode acessar os dados para os quais está autorizado.
Fale conosco sobre seus requisitos de residência de dados.
Azure, GCP, AWS, Self-Hosted ou Híbrido - Brasil ou UE. Configuramos a infraestrutura segundo seus requisitos.
Agendar reunião