Enterprise

O modelo de segurança enterprise do Ciao

Cargas de trabalho isoladas, alterações testadas continuamente e resultados de segurança confirmados contra a aplicação ao vivo — documentados num dossiê de segurança que os seus revisores podem ler sob NDA.

O modelo de segurança enterprise do Ciao combina infraestrutura isolada por projeto com testes de segurança contínuos: análise estática, verificação de dependências, sondagens de controlo de acesso e vulnerabilidades confirmadas contra a aplicação ao vivo antes de serem sinalizadas. Ao contrário das ferramentas de IA para programar que se ficam pela geração de código, o Ciao trata a segurança como parte do ciclo de entrega — com relatórios SOC 2 Type II disponíveis sob NDA e um dossiê de segurança disponível a pedido.

Ideal paraRevisão de CISO e arquitetura de segurançaAvaliação de risco de fornecedorDue diligence prévia às compras

Publicado 2026-07-03 · Última atualização 2026-07-03

Porque é que o modelo de segurança importa mais com a IA no ciclo

O desenvolvimento assistido por IA muda as perguntas a que uma revisão de segurança tem de responder. O volume de código aumenta, a frequência de alterações aumenta, e uma nova classe de fornecedor — o fornecedor de modelos — entra no seu diagrama de fluxo de dados. Uma plataforma que gera software de produção tem de lhe mostrar claramente três coisas: onde correm as cargas de trabalho e como são isoladas, como as alterações são testadas antes e depois de serem lançadas, e o que acontece ao código e aos dados que passam pelo sistema.

A maioria das ferramentas desta categoria responde com uma lista de funcionalidades. Um CISO precisa de provas: uma auditoria independente, um conjunto de documentos que a equipa possa rever sob NDA, e controlos que possa observar a funcionar durante uma avaliação. O modelo de segurança do Ciao está construído para ser inspecionado, não apenas descrito.

Esta página resume o modelo — isolamento, encriptação, testes contínuos e sondagens de segurança ao vivo — e indica exatamente como verificar cada parte. Nada aqui deve ser aceite por confiança; cada afirmação corresponde a um documento que pode pedir ou a um controlo que pode ver em funcionamento.

O que o Ciao fornece

Cada item abaixo remete para um controlo que pode verificar durante a revisão.

  • Infraestrutura isolada — Os projetos correm em Kubernetes em pods isolados, com hibernação e despertar e suporte multirregião — infraestrutura concebida para escalar sem esbater as fronteiras de carga de trabalho entre clientes ou projetos.
  • Análise estática e de dependências — O engenheiro de Segurança do Ciao executa análise estática e verificação de dependências como parte do ciclo de entrega, para que tanto o código gerado como o escrito por humanos sejam verificados antes da publicação.
  • Sondagens de controlo de acesso — A Segurança sonda as regras de acesso contra a aplicação em execução em vez de apenas ler o código, testando aquilo a que um atacante conseguiria realmente chegar.
  • Resultados confirmados ao vivo — As vulnerabilidades são confirmadas contra a app ao vivo antes de serem sinalizadas, para que a sua equipa reveja exposição real em vez de ruído de scanner.
  • Visibilidade de publicação segura — Um painel de publicação segura mostra se um projeto está pronto a lançar, alimentado por análises, sondagens e resultados confirmados.
  • Identidade e acesso — SSO via SAML e OIDC, MFA opcional e controlo de acesso baseado em funções em workspaces e projetos.
  • Auditabilidade — Um registo de auditoria apenas de acréscimo regista pedidos, merges, deploys e ações administrativas.
  • Tratamento de dados pelos modelos — O código do cliente não é usado para treinar modelos, e a inferência decorre sob contratos de modelo com retenção zero.

Como os testes de segurança funcionam na prática

  1. 1. Construir isoladamente

    Cada projeto constrói e corre no seu próprio pod isolado, para que uma alteração num projeto não consiga chegar ao runtime de outro projeto.

  2. 2. Analisar

    A análise estática e a verificação de dependências correm sobre a base de código, detetando padrões de vulnerabilidade conhecidos e pacotes vulneráveis antes de serem lançados.

  3. 3. Sondar

    As sondagens de controlo de acesso testam a aplicação em execução — endpoints, funções, acesso a dados — da mesma forma que uma parte externa o faria.

  4. 4. Confirmar

    Os resultados são confirmados contra a app ao vivo antes de serem sinalizados, o que mantém a fila curta e credível para os humanos que a triam.

  5. 5. Bloquear

    Os smoke gates do QA correm antes da publicação, e o Guardrails aplica políticas em linguagem simples com revisão humana registada para alterações arriscadas.

  6. 6. Monitorizar

    Depois da publicação, as verificações de produção do QA continuam a correr, e o Doctor — um SRE de IA apenas de leitura — sonda a app ao vivo, o DNS e o CDN para diagnosticar problemas cedo.

Isolamento e encriptação

O isolamento de cargas de trabalho é estrutural: Kubernetes com pods isolados por projeto, não um runtime partilhado com separação lógica acrescentada depois. A encriptação em trânsito e em repouso é prática padrão na plataforma, e os detalhes que importam a um revisor — protocolos, gestão de chaves, âmbito — estão documentados no dossiê de segurança em vez de comprimidos numa frase de marketing aqui. Se a sua revisão precisar dos detalhes, peça o dossiê e leia a resposta real.

As equipas que precisam de uma fronteira mais rígida podem implementar na sua própria conta AWS, Azure ou GCP ou numa VPC privada; o on-premise está disponível sob termos separados. Nessas posturas, a aplicação e os seus dados correm dentro de infraestrutura que já controla e monitoriza.

Verificação: como confirmar cada afirmação desta página

Os relatórios SOC 2 Type II estão disponíveis sob NDA — o relato independente e auditado de como estes controlos operam ao longo do tempo. O dossiê de segurança, disponível a pedido através da página de contacto, cobre arquitetura, isolamento, encriptação e tratamento de dados com o detalhe que um revisor exige. E porque os controlos de segurança fazem parte do produto, pode vê-los a funcionar: peça uma demonstração ao vivo da análise, das sondagens de controlo de acesso e da vista de publicação segura durante a sua avaliação. Os programas de desenvolvimento sérios começam em 10.000 USD por ano; o âmbito e a postura são acordados com a equipa enterprise.

Controlo a controlo: o que o Ciao fornece e como verificar

ControloO que o Ciao forneceComo verificar
Isolamento de cargas de trabalhoKubernetes com pods isolados por projetoDetalhe de arquitetura no dossiê de segurança
Deteção de vulnerabilidadesAnálise estática, verificação de dependências, sondagens de controlo de acessoDemonstração ao vivo do painel de Segurança
Qualidade dos resultadosVulnerabilidades confirmadas contra a app ao vivo antes de serem sinalizadasRevisão de um resultado de ponta a ponta numa demonstração
Identidade e acessoSSO via SAML e OIDC, MFA opcional, RBACDemonstração de configuração com o seu IdP
Tratamento de dados pelos modelosSem treino sobre código do cliente; contratos de modelo com retenção zeroTermos contratuais durante as compras
Auditoria independenteSOC 2 Type IIRelatório sob NDA, pedido através de /contact

Perguntas frequentes

Fazem testes de penetração?

Os detalhes do programa de testes pertencem ao dossiê de segurança, disponível a pedido sob NDA, em vez de resumidos em texto de marketing. Independentemente de qualquer exercício pontual, a plataforma analisa continuamente o código e as dependências e sonda os controlos de acesso contra a aplicação ao vivo.

O nosso código ou dados são usados para treinar modelos?

Não. O código do cliente não é usado para treinar modelos, e a inferência decorre sob contratos de modelo com retenção zero. O texto contratual faz parte do conjunto de documentos que a sua equipa jurídica revê durante as compras.

Podemos correr o Ciao dentro da nossa própria fronteira de segurança?

Sim. Pode implementar na sua própria conta AWS, Azure ou GCP ou numa VPC privada, e o on-premise está disponível sob termos separados. Fale com a equipa enterprise sobre que postura se adequa à sua revisão.

Como evitam que alterações geradas por IA introduzam vulnerabilidades?

Toda a alteração passa pelo mesmo ciclo: análise estática, verificação de dependências e sondagens de controlo de acesso, com resultados confirmados contra a app ao vivo antes de serem sinalizados. O Guardrails aplica políticas em linguagem simples e regista a revisão humana, para que as alterações arriscadas sejam revistas por pessoas e o registo de auditoria mostre quem aprovou o quê.

Qual é a vossa dependência de um único fornecedor de modelos?

O Ciao usa um sistema de modelos multi-fornecedor com fallback, o que reduz a dependência de qualquer fornecedor de modelo único. Os termos dos fornecedores de modelos, incluindo a retenção zero, fazem parte da revisão contratual durante as compras.

Páginas relacionadas

Obtenha o pacote de segurança.

Modelo de Segurança e Testes Enterprise | Ciao