Hubii
Trilha de IA

Trilha de IA · Módulo 2 de 3 · Segurança

Se vazasse, doeria?
Então não cola.

Essa é a regra de ouro do uso de IA na Hubii, em uma frase. O verificador ao lado aplica ela no seu caso, antes de você colar algo hoje.

Verificador rápido — antes de colar isso na IA

Marque o que se aplica ao seu caso.
01Classificação

O que pode ir para a IA

Vale para Claude, Cursor ou qualquer outra ferramenta homologada.

Texto público, documentação, conteúdo de marketingPode
Processo interno, código nosso sem dado de ClientePode
Planilha, contrato ou dado de ClienteSó anonimizado
CPF, dado de saúde, dado pessoal sensível de qualquer pessoaNunca
Senha, chave de API, token, string de conexãoNunca
02Exemplos

Exemplos do dia a dia

Analisar atrasos de entrega de um Cliente

Evite"Aqui está a planilha completa de entregas da [Nome do Cliente], me diz onde estão os atrasos."
Prefira"Aqui está uma planilha com Cliente renomeado para 'Cliente A' e datas mantidas — me ajuda a identificar padrões de atraso?"

Debugar um erro em produção

Evite"Esse endpoint está com erro, aqui está o log completo com tokens e payload do usuário."
Prefira"Erro 500 nesse endpoint, log com campos sensíveis trocados por [REDACTED] — me ajuda a entender a causa?"

Escrever um e-mail para Cliente

Tranquilo"Me ajuda a escrever um e-mail explicando um atraso na entrega, tom profissional e empático." — sem dado sensível envolvido.
03Cursor

Se você usa Cursor

  • Código sugerido pela IA passa pela mesma revisão de Pull Request de sempre — a IA não pula etapa de revisão nem de segurança.
  • .env, certificados, chaves e fixtures com dado de Cliente ficam fora da indexação (.cursorignore).
  • Nunca cole string de conexão, token ou senha real no chat "só para debugar" — use um valor fake com o mesmo formato.
  • Repositório de Cliente só entra no Cursor se o contrato permitir uso de IA no desenvolvimento — na dúvida, pergunte ao gestor antes de indexar.
  • Dado real de produção não entra em ambiente de dev/teste nem em prompt — use dado sintético.
04Incidente

Se algo der errado

Colou um dado sensível por engano? Aja assim, sem enrolação:

  1. Avise seu gestor e o time de Segurança da Informação: [email protected]
  2. Se envolveu dado pessoal (de Cliente, colaborador ou qualquer pessoa física), avise também o DPO: [email protected]
  3. Não tente "consertar sozinho" apagando a conversa — o time precisa saber para avaliar o risco real.

Ninguém é punido por reportar rápido. A demora em avisar é que cria problema maior.

05Dúvidas

Perguntas rápidas

Posso usar o ChatGPT ou outra IA que não seja Claude/Cursor?

Não, para atividades de trabalho. Só ferramentas homologadas. Se outra ferramenta seria útil, peça a homologação ao time de Segurança da Informação.

Posso usar minha conta pessoal do Claude no trabalho?

Não. Sempre a conta corporativa — é isso que garante as proteções contratuais de dados.

E se eu não tiver certeza se o dado é sensível?

Trate como sensível. Anonimize ou pergunte antes.

Posso pedir para a IA escrever código de um projeto de Cliente?

Só se o contrato desse Cliente permitir uso de IA no desenvolvimento. Confirme com seu gestor.

Quer o porquê por trás das regras?

Este guia é o resumo prático. A versão completa, com papéis, responsabilidades e o que acontece em auditoria, está na POL.09 — Política de Uso Responsável de IA.

Já domina isso no automático? O Módulo 3 aborda janela de contexto, subagentes e automação.

A trilha completa