Novo

EDDI v6 foi lançado! Começar

Começar

Privacidade global e conformidade regulatória

O EDDI oferece conformidade integrada para RGPD, CCPA, EU AI Act, HIPAA, PIPEDA, LGPD, APPI, POPIA, PDPA PDPA da Malásia, PIPL e mais — com exclusão em cascata de dados, trilhas de auditoria criptográficas e uma API unificada.

Começar → Ver no GitHub ↗
Privacidade global e conformidade regulatória

Conformidade por arquitetura

Indústrias regulamentadas não podem adicionar conformidade aos sistemas de IA após o fato. O EDDI incorpora os fundamentos técnicos para a conformidade regulatória global diretamente na arquitetura da plataforma — trilhas de auditoria imutáveis, exclusão em cascata de dados, restrições de processamento, integridade criptográfica e controle de acesso baseado em funções são capacidades fundamentais, não complementos. Uma API unificada cobre os direitos dos titulares de dados para cada jurisdição.

Frameworks de governança de IA

À medida que governos em todo o mundo introduzem legislação específica sobre IA, as organizações precisam de plataformas que forneçam transparência, rastreabilidade e supervisão humana desde o primeiro dia. A arquitetura do EDDI aborda os requisitos técnicos fundamentais dos principais frameworks de governança de IA.

EU AI Act — União Europeia

O EU AI Act (Regulamento 2024/1689) é a primeira lei abrangente do mundo sobre IA. O EDDI fornece os fundamentos técnicos para conformidade com seus requisitos de sistemas de IA de alto risco:

  • Trilhas de auditoria imutáveis — Cada operação registrada com integridade criptográfica HMAC-SHA256 (Art. 12 — Manutenção de registros)
  • Transparência de decisões — O rastreamento completo do pipeline mostra como as decisões de IA foram tomadas (Art. 13 — Transparência)
  • Supervisão humana — A interface de gestão permite revisão humana, intervenção e parada de emergência (Art. 14 — Supervisão humana)
  • Classificação de riscos — A arquitetura suporta requisitos de sistemas de IA de alto risco com controles configuráveis (Art. 9 — Gestão de riscos)
  • Reprodutibilidade — Configuração como código permite reprodução exata do comportamento da IA para auditorias regulatórias (Art. 17 — Gestão da qualidade)
  • Governança de dados — OIDC/Keycloak RBAC, gestão de segredos baseada em cofre, registro de entrada/saída (Art. 10 — Governança de dados)

NIST AI Risk Management Framework — Estados Unidos

O NIST AI RMF (AI 100-1) fornece um framework voluntário para gestão de riscos de IA. A arquitetura do EDDI fornece capacidades técnicas que apoiam organizações na busca pelo alinhamento com o NIST AI RMF:

  • Govern — Funções RBAC (eddi-admin, eddi-editor, eddi-viewer), registro de auditoria imutável e fluxos de dados documentados
  • Map — Rastreamento de pipeline e registro de conversas permitem identificação abrangente de riscos de IA
  • Measure — Métricas Prometheus, rastreamento de tokens/custos e análises de uso por agente
  • Manage — API de restrição de processamento, supervisão humana via interface Manager e políticas de retenção configuráveis

ISO/IEC 42001 — Sistemas de gestão de IA

ISO/IEC 42001:2023 estabelece requisitos para um Sistema de Gestão de IA (AIMS). O EDDI fornece capacidades técnicas que apoiam organizações na busca pela certificação ISO 42001:

  • Políticas de IA documentadas — Configuração como código significa que todo o comportamento do agente é definido em JSON auditável
  • Avaliação de riscos — Trilhas de auditoria capturam históricos completos de decisões para avaliação de riscos
  • Controles operacionais — RBAC, gestão de segredos baseada em cofre e restrições de processamento fornecem governança operacional
  • Monitoramento de desempenho — Métricas Prometheus, dashboards Grafana e telemetria CQRS permitem avaliação contínua

Regulamentos de privacidade de dados

O EDDI fornece endpoints unificados de direitos dos titulares de dados que satisfazem os requisitos técnicos de cada grande regulamento de privacidade. Uma API cobre exclusão em cascata, exportação completa de dados e restrição de processamento — independentemente da jurisdição.

RGPD — União Europeia / EEE

O Regulamento Geral sobre a Proteção de Dados (UE 2016/679) é o padrão ouro para privacidade de dados. O EDDI implementa os direitos dos titulares de dados do RGPD como endpoints API de primeira classe apoiados por operações em cascata em todos os 5 armazéns de dados:

  • Direito ao apagamento (Art. 17)DELETE /admin/gdpr/{userId} opera em cascata sobre memórias do usuário, conversas, mapeamentos de conversas gerenciadas, registros de banco de dados (pseudonimizados SHA-256) e registro de auditoria (pseudonimizado SHA-256)
  • Direito de acesso / Portabilidade (Art. 15/20)GET /admin/gdpr/{userId}/export retorna todos os dados como JSON estruturado
  • Direito à limitação (Art. 18)POST /admin/gdpr/{userId}/restrict congela o processamento preservando os dados
  • Registro sem PII — Operações RGPD registram pseudônimos SHA-256, nunca IDs de usuário brutos
  • Retenção configurável — Políticas de retenção por categoria para conversas (365 dias padrão), memórias de usuário (manual) e entradas de auditoria (indefinido para EU AI Act)
  • Ferramentas MCPdelete_user_data e export_user_data permitem workflows de conformidade orquestrados por IA

CCPA / CPRA — Califórnia, Estados Unidos

O California Consumer Privacy Act e o California Privacy Rights Act concedem aos consumidores direitos de conhecimento, exclusão e recusa. O EDDI satisfaz os requisitos técnicos do CCPA através de sua API compatível com RGPD:

  • Direito de saber (§1798.100) — O endpoint de exportação RGPD fornece todas as informações pessoais em formato estruturado
  • Direito de excluir (§1798.105) — O endpoint de apagamento RGPD fornece exclusão em cascata em todos os armazéns de dados
  • Não vender (§1798.120) — O EDDI arquiteturalmente não pode vender informações pessoais — é infraestrutura middleware que processa dados exclusivamente em nome do implantador

PIPEDA — Canadá

A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (2000, alterada em 2023) rege o processamento comercial de dados através de 10 Princípios de Informação Justa:

  • Responsabilidade — Registro de auditoria imutável assinado HMAC rastreia todas as operações
  • Limitação de coleta — O janelamento consciente de tokens limita os dados enviados aos LLMs; a retenção configurável exclui automaticamente conversas antigas
  • Limitação de uso/divulgação — Os dados são usados apenas para interações de agentes configuradas; a trilha de auditoria registra cada invocação LLM
  • Salvaguardas — Criptografia envelope AES-256-GCM (Secrets Vault), integridade de auditoria HMAC-SHA256, Keycloak OIDC, RBAC
  • Acesso individual — A exportação completa de dados via API REST retorna todas as memórias, conversas e mapeamentos como JSON
  • Contestação da conformidade — Exclusão em cascata em todos os 5 armazéns de dados; trilha de auditoria pseudonimizada para obrigações legais de retenção

LGPD — Brasil

A Lei Geral de Proteção de Dados do Brasil (2018, efetiva em 2020) concede amplos direitos aos titulares de dados. O EDDI cobre todos os direitos do Artigo 18 com capacidades técnicas integradas:

  • Acesso aos dados (Art. 18, II) — Exportação completa de dados em JSON
  • Correção (Art. 18, III) — Memórias de usuário atualizáveis via PUT /usermemorystore/memories
  • Anonimização/Exclusão (Art. 18, IV) — Exclusão em cascata com pseudonimização SHA-256 de registros de auditoria
  • Portabilidade de dados (Art. 18, V) — Exportação JSON legível por máquina inclui todos os dados do usuário
  • Exclusão de dados desnecessários (Art. 18, VI) — Políticas de retenção configuráveis com limpeza automática
  • Revogação do consentimento (Art. 18, IX) — Endpoints de fim de conversa e exclusão em cascata fornecem o mecanismo técnico

APPI — Japão

A Lei de Proteção de Informações Pessoais do Japão (2003, significativamente alterada em 2022) é uma das leis de proteção de dados mais maduras da Ásia. O EDDI fornece:

  • Medidas de segurança (Art. 23) — Criptografia vault AES-256-GCM, integridade de auditoria HMAC-SHA256, Keycloak OIDC, RBAC, proteção SSRF
  • Divulgação aos titulares de dados (Art. 33) — Exportação completa de dados via API REST
  • Correção e exclusão (Art. 34-35) — Atualizações de memória para correção; exclusão em cascata para apagamento
  • Informações pseudonimizadas (emenda 2022) — O apagamento RGPD usa pseudonimização SHA-256, satisfazendo a categoria de informações pseudonimizadas da APPI
  • Documentação de transferência transfronteiriça (Art. 28) — Fluxos de dados de provedores LLM documentados; a trilha de auditoria registra qual modelo/provedor processou cada turno

POPIA — África do Sul

A Lei de Proteção de Informações Pessoais da África do Sul (2013, efetiva em 2021) estabelece 8 condições de processamento de dados. O EDDI fornece capacidades técnicas integradas para cada condição:

  • Responsabilidade (Condição 1) — Registro de auditoria assinado HMAC, fluxos de dados documentados, código open-source Apache 2.0
  • Limitação de processamento (Condição 2) — Janelamento consciente de tokens, retenção configurável, encerramento automático de conversas inativas
  • Qualidade da informação (Condição 5) — Estado de conversa com timestamp e versionado; memórias de usuário atualizáveis via API REST
  • Salvaguardas de segurança (Condição 7) — Criptografia AES-256-GCM, integridade HMAC, Keycloak OIDC, RBAC, proteção SSRF
  • Participação do titular de dados (Condição 8) — Endpoints completos de exportação de dados e exclusão em cascata

PDPA — Singapura e Tailândia

As Leis de Proteção de Dados Pessoais de Singapura (2012, alterada em 2021) e Tailândia (2019, efetiva em 2022) são os frameworks de privacidade mais maduros do sudeste asiático. O EDDI cobre as obrigações técnicas de ambas as jurisdições:

  • Obrigação de acesso — Exportação completa de dados via API REST e ferramentas MCP
  • Obrigação de correção — Memórias de usuário atualizáveis via API REST
  • Obrigação de proteção — Criptografia AES-256-GCM, integridade de auditoria HMAC, Keycloak OIDC, RBAC
  • Limitação de retenção — Limpeza automática configurável com timeout de conversas inativas
  • Notificação de violação de dados — Modelo de runbook de resposta a incidentes incluído na documentação do EDDI

PDPA — Malásia

A Lei de Proteção de Dados Pessoais da Malásia de 2010 (Lei 709, alterada em 2024) rege o processamento comercial de dados pessoais através de 7 princípios de proteção de dados. O EDDI fornece os controles técnicos para apoiar a conformidade do implantador:

  • Princípio Geral (§6) — Políticas de retenção configuráveis e endpoint de restrição de processamento suportam processamento baseado em consentimento e limitado por finalidade
  • Princípio de Segurança (§9) — Criptografia de cofre AES-256-GCM, integridade de auditoria HMAC-SHA256, Keycloak OIDC, RBAC, proteção SSRF
  • Princípio de Retenção (§10) — Retenção configurável por categoria com limpeza automática; encerramento automático de conversas inativas
  • Princípio de Integridade dos Dados (§11) — Estado de conversa versionado com carimbo de data/hora; memórias de utilizador atualizáveis via REST API
  • Princípio de Acesso (§12) — Exportação completa dos dados via GET /admin/gdpr/{userId}/export retorna todos os dados do utilizador como JSON estruturado
  • Transferências Transfronteiriças (§129) — A arquitetura autoalojada permite que os implantadores controlem a residência dos dados; trilha de auditoria documenta todos os fluxos de dados dos fornecedores LLM

PIPL — China

A Lei de Proteção de Informações Pessoais da China (2021) é uma das leis de proteção de dados mais abrangentes do mundo, regendo o processamento de informações pessoais de indivíduos na China. O EDDI fornece a infraestrutura técnica para implantações em conformidade com o PIPL:

  • Processamento Lícito (Art. 13) — O comportamento de agente orientado por configuração garante que o processamento permaneça dentro dos propósitos definidos; a API de restrição de processamento congela a atividade sob demanda
  • Direitos Individuais (Art. 44–49) — Endpoints de exportação completa de dados, exclusão em cascata e restrição de processamento cobrem os direitos de conhecer, copiar, corrigir, excluir e restringir
  • Segurança dos Dados (Art. 51) — Criptografia de cofre AES-256-GCM, integridade de auditoria HMAC-SHA256, Keycloak OIDC, RBAC, zero eval()
  • Transferências Transfronteiriças (Art. 38–39) — A arquitetura autoalojada permite a implantação local na China; trilha de auditoria documenta todos os fluxos de dados externos para avaliações de segurança
  • Tomada de Decisão Automatizada (Art. 24) — Trilhas de auditoria imutáveis com rastreabilidade completa do pipeline fornecem transparência na tomada de decisão de IA; supervisão humana via interface de gestão
  • Retenção de Dados (Art. 19) — Políticas de retenção configuráveis com limpeza automática impõem períodos de armazenamento mínimos necessários

Jurisdições adicionais

UK GDPR (Reino Unido) — Reflete substancialmente o RGPD da UE; os endpoints RGPD do EDDI satisfazem todos os direitos do UK GDPR. Supervisão ICO.PIPA (Coreia do Sul) — Requisitos estritos de consentimento, DPO obrigatório, notificação de violação em 72 horas. O EDDI fornece a infraestrutura técnica de auditoria e apagamento.DPDPA (Índia, 2023) — Framework baseado em consentimento com restrições transfronteiriças. Os endpoints de exportação e apagamento do EDDI satisfazem os requisitos do DPDPA.Privacy Act + APPs (Austrália) — 13 Princípios Australianos de Privacidade. A trilha de auditoria e a exportação de dados do EDDI cobrem as obrigações técnicas.Leis estaduais tipo CCPA (Virginia VCDPA, Colorado CPA, Connecticut CTDPA, etc.) — A API compatível com RGPD/CCPA satisfaz todas as leis estaduais emergentes de privacidade nos EUA.

Conformidade específica da indústria

HIPAA — Saúde nos Estados Unidos

O HIPAA estabelece salvaguardas para Informações de Saúde Protegidas (PHI). O EDDI fornece a infraestrutura técnica para implantações de IA em conformidade com HIPAA:

  • Controles de acesso (§164.312(a)) — Keycloak OIDC com acesso baseado em funções (eddi-admin, eddi-editor, eddi-viewer)
  • Controles de auditoria (§164.312(b)) — Registro de auditoria imutável assinado HMAC registra cada operação com timestamps, IDs de usuário e resultados
  • Controles de integridade (§164.312(c)) — Detecção de adulteração HMAC-SHA256 em todas as entradas de auditoria
  • Segurança de transmissão (§164.312(e)) — TLS para trânsito; AES-256-GCM para segredos em repouso via Secrets Vault
  • Descarte de dados (§164.310(d)(2)(i)) — O endpoint de exclusão em cascata RGPD remove permanentemente PHI de todos os armazéns de dados
  • Modelo BAA — Modelo de Business Associate Agreement incluído na documentação do EDDI para implantações em saúde

Preparação SOC 2

SOC 2 Type II avalia sistemas contra os Trust Services Criteria. A arquitetura do EDDI fornece controles técnicos que apoiam organizações na busca pela atestação SOC 2:

  • Segurança — Autenticação OIDC/Keycloak, RBAC, Secrets Vault (AES-256-GCM), zero eval(), proteção contra path traversal, validação de URL
  • Disponibilidade — Escalamento horizontal via NATS JetStream, suporte dual de banco de dados (MongoDB/PostgreSQL), implantação nativa Kubernetes
  • Integridade de processamento — Registro de auditoria imutável assinado HMAC com verificação de integridade criptográfica por operação
  • Confidencialidade — O filtro de redação de segredos remove chaves API e referências de cofre das entradas de auditoria; registro sem PII com pseudônimos SHA-256
  • Privacidade — API completa de direitos dos titulares de dados (apagamento, exportação, restrição), retenção configurável, controles de restrição de processamento

Uma API para conformidade global

Cada regulamento de privacidade listado acima é atendido pela mesma API REST unificada e as mesmas ferramentas MCP. Seja respondendo a uma solicitação de apagamento RGPD na Alemanha, uma solicitação de exclusão CCPA na Califórnia ou uma solicitação de acesso PDPA em Singapura — os mesmos endpoints lidam com tudo:

DELETE /admin/gdpr/{userId} — Exclusão em cascata em 5 armazéns de dados (memórias de usuário, conversas, mapeamentos gerenciados, registros, entradas de auditoria)
GET /admin/gdpr/{userId}/export — Exportação completa de dados do usuário como JSON estruturado
POST /admin/gdpr/{userId}/restrict — Congelar processamento preservando dados para resolução de disputas
MCP: delete_user_data — Exclusão em cascata orquestrada por IA (requer confirmação explícita)
MCP: export_user_data — Exportação de dados orquestrada por IA para workflows DSAR automatizados

Construído para indústrias regulamentadas em todo o mundo

Saúde, serviços financeiros, governo, manufatura e outros setores regulamentados podem implantar o EDDI com confiança. A plataforma fornece a transparência, auditabilidade e mecanismos de controle exigidos por mais de 15 frameworks regulatórios — do EU AI Act e RGPD na Europa ao HIPAA nos Estados Unidos, PIPEDA no Canadá, LGPD no Brasil, APPI no Japão, POPIA na África do Sul e PDPA no sudeste asiático. Conformidade não é uma reflexão tardia — é uma fundação arquitetônica.

Começar → Ver no GitHub ↗