Segurança
como padrão.
Criptografia de nível bancário. Aplicativos móveis bloqueados em nossos servidores. Controles de acesso rígidos. Registros de auditoria completos. Revisões de segurança independentes planejadas anualmente. Não porque vendemos para empresas – porque todo cliente merece.
A versão curta.
Dez controles, em linguagem simples. A versão mais longa está disponível mediante solicitação para parceiros sob NDA.
Como o AI é tratado.
A camada específica do AI da nossa postura de segurança. Esses são os controles que mais importam à medida que os produtos AI amadurecem.
Seus dados permanecem seus
Não treinamos modelos básicos em seus dados. Não revendemos nem expomos a outros inquilinos.
Contexto por locatário
A recuperação e as incorporações têm escopo por locatário. Não há vazamento entre inquilinos por design.
Humano no circuito onde é importante
Decisões de alto risco (arquivamentos, pagamentos, ações voltadas para o cliente) recebem uma fila de aprovação. O AI nunca atua unilateralmente em trabalhos irreversíveis.
Protetores de injeção imediatos
As entradas são filtradas para padrões de injeção conhecidos. Os prompts sensíveis do sistema não são influenciados pelo usuário.
Observabilidade
Cada ação AI é registrada com entrada, saída, versão do modelo e o revisor humano (se houver).
Interruptor desligado
Os recursos AI podem ser desabilitados por locatário ou por recurso sem interromper o restante do produto.
Relatando uma vulnerabilidade.
Se você encontrar um problema de segurança, informe-nos antes de contar a qualquer outra pessoa. Somos pequenos o suficiente para responder rapidamente.
Escreva para security@xwits.dev. Chave PGP disponível mediante solicitação.
Reconhecemos todos os relatórios dentro de um dia útil. Para vulnerabilidades confirmadas, compartilharemos um cronograma para uma correção e creditaremos a você pela resolução (se desejar).
Ainda não temos um programa formal de recompensas por bugs, mas agradeceremos com algo apropriado quando o relatório merecer.
Fale conosco sob NDA.
A documentação mais longa de segurança e conformidade — incluindo topologia de rede, lista de subprocessadores e resumo do pen-test — está disponível para parceiros sob NDA.