POL.09 · Minuta v1.0
Política de Uso Responsável de Inteligência Artificial
Responsável: Time de Engenharia e Segurança da Informação · Classificação: Interna / Confidencial
Informação Confidencial. Este documento é de propriedade da Hubii e contém informações proprietárias, confidenciais ou restritas à divulgação. A divulgação, reprodução ou uso total ou parcial deste documento por terceiros não autorizados, sem consentimento prévio, é estritamente proibido.
1. Objetivo
Estabelecer diretrizes para o uso responsável de ferramentas de Inteligência Artificial ("IA") generativa pelos Usuários da Hubii, de forma a viabilizar ganhos de produtividade sem comprometer a confidencialidade, integridade e disponibilidade das informações da Hubii e de seus Clientes, em conformidade com a POL.01 - Política de Segurança da Informação, a POL.05 - Política de Privacidade de Dados e a POL.08 - Política de Desenvolvimento Seguro.
2. Abrangência
Esta Política aplica-se a todos os Usuários, conforme definidos na POL.01 (colaboradores, estagiários, prestadores de serviço, temporários e demais pessoas autorizadas a acessar informações e recursos tecnológicos da Hubii e/ou de seus Clientes), no uso de qualquer Ferramenta de IA Homologada para atividades relacionadas ao trabalho, independentemente da área ou senioridade.
3. Papéis e Responsabilidades
3.1. Responsabilidades dos Usuários
- Classificar a informação antes de utilizá-la em qualquer Ferramenta de IA Homologada, conforme os critérios da seção 5;
- Utilizar exclusivamente Ferramentas de IA Homologadas (seção 4), e apenas por meio de contas corporativas;
- Relatar prontamente ao Time de Segurança da Informação qualquer uso indevido, suspeita de vazamento ou dúvida sobre o tratamento de um dado (seção 12);
- Responder pelo uso e pelas informações inseridas em Ferramentas de IA sob sua responsabilidade, nos mesmos termos da seção 3.1 da POL.01.
3.2. Responsabilidades dos Gestores
- Assegurar que os times sob sua gestão conheçam e cumpram esta Política;
- Identificar necessidades de uso de IA em suas áreas e encaminhá-las ao processo de homologação (seção 9);
- Advertir formalmente e relatar ao Time de Segurança da Informação eventuais violações, nos termos da seção 3.2 da POL.01.
3.3. Responsabilidades do Time de Segurança da Informação
- Homologar e revisar periodicamente as Ferramentas de IA autorizadas;
- Investigar incidentes envolvendo Ferramentas de IA, conforme a POL.04 - Plano de Resposta a Incidentes;
- Conduzir auditorias de conformidade a esta Política (seção 13).
3.4. Responsabilidades do DPO
- Avaliar, em conjunto com o Time de Segurança da Informação, se o uso de uma Ferramenta de IA em operações com Dados Pessoais requer Relatório de Impacto à Proteção de Dados Pessoais (RIPD), conforme a seção 4.4 da POL.05;
- Ser o canal de escalonamento para dúvidas envolvendo Dados Pessoais e Dados Pessoais Sensíveis no contexto de uso de IA.
3.5. Responsabilidades do Time de Engenharia
- Validar tecnicamente novas Ferramentas de IA de apoio ao desenvolvimento de software antes de sua homologação;
- Garantir que o uso de Ferramentas de IA no ciclo de desenvolvimento observe os controles da POL.08 (revisão de código, SAST, gestão de segredos, entre outros).
4. Ferramentas de IA Homologadas
Atualmente, as seguintes Ferramentas de IA estão homologadas para uso corporativo na Hubii:
| Ferramenta | Uso principal | Público |
| Claude (Anthropic) | Escrita, análise e estruturação de dados, resumo de documentos, apoio a decisões operacionais | Todos os Usuários |
| Cursor | Desenvolvimento de software (geração e refatoração de código assistida por IA) | Time de Engenharia |
O uso de qualquer outra ferramenta de IA generativa para atividades de trabalho — incluindo versões gratuitas ou pessoais de ferramentas já homologadas — não é permitido sem passar pelo processo da seção 9. O uso deve ocorrer exclusivamente por meio de contas corporativas, nunca em contas pessoais.
5. Classificação da Informação e Regras de Uso
Esta Política adota a mesma classificação definida na seção 13 da POL.01: Pública, Interna, Confidencial e Restrita. Conforme a POL.01, os Dados de Clientes são sempre classificados como Confidenciais e Restritos, recebendo tratamento especial de proteção à confidencialidade.
| Classificação | Pode ser inserido em Ferramenta de IA? | Como |
| Pública | Sim | Sem restrições |
| Interna | Sim, com bom senso | Evitar detalhes estratégicos sensíveis do negócio |
| Confidencial | Somente anonimizado ou mascarado | Remover identificação do Cliente, valores reais e identificadores únicos antes do uso |
| Restrita (inclui todo Dado de Cliente e qualquer Dado Pessoal, conforme POL.05) | Não, exceto Dado Pessoal simples estritamente necessário e anonimizado | Dado Pessoal Sensível (POL.05, seção 5) nunca deve ser inserido, em nenhuma hipótese |
Regra prática: se a informação, ao vazar, geraria obrigação de notificação a um Cliente, à ANPD (conforme POL.05) ou violação contratual, ela não deve ser inserida em nenhuma Ferramenta de IA sem anonimização prévia e sem aprovação do Gestor e do DPO.
6. Diretrizes por Perfil
6.1. Desenvolvedores (Cursor)
O uso do Cursor não substitui nenhum controle previsto na POL.08. Em especial:
- Código gerado por IA segue o mesmo fluxo de revisão de Pull Request da seção 4.3 da POL.08 (mínimo de dois revisores, incluindo um membro do Time de Segurança da Informação para mudanças críticas) e passa pelas mesmas ferramentas de SAST;
- Segredos, credenciais e strings de conexão nunca devem ser inseridos no chat do Cursor ou de qualquer Ferramenta de IA — permanecem exclusivamente no vault de segredos definido na seção 4.5 da POL.08 (GCP Secret Manager, Keeper Secrets Manager ou HashiCorp Vault);
- Repositórios ou trechos de código de Clientes só podem ser processados por Ferramentas de IA se o contrato com o Cliente permitir expressamente o uso de ferramentas de terceiros no desenvolvimento; na dúvida, consultar o Gestor e o Jurídico antes de indexar o repositório;
- Conforme a seção 4.5 da POL.08, é proibido usar dados reais e sensíveis em ambientes de desenvolvimento e teste — o mesmo vale para exemplos usados em prompts: utilizar sempre dados sintéticos ou anonimizados;
- Configurar exclusões de indexação (ex.:
.cursorignore) para arquivos de configuração, .env, certificados e fixtures de teste com dados de Cliente.
6.2. Usuários de Negócio e Operações (Claude)
- Antes de inserir uma planilha, e-mail, print de tela ou documento no Claude, verificar se há Dado Pessoal, identificação de Cliente ou valor contratual real — em caso positivo, anonimizar antes (ex.: substituir nomes por "Cliente A", valores por faixas);
- É permitido pedir à ferramenta para estruturar, resumir ou analisar dados já anonimizados;
- Não é permitido inserir bases de dados completas de operação de um Cliente para "pedir uma análise geral" sem anonimização prévia;
- Prints de tela de sistemas de Clientes devem ter dados identificáveis cobertos antes do envio.
7. Configurações Técnicas Obrigatórias
- Uso exclusivo de contas corporativas, com SSO e autenticação multifator, conforme os padrões da seção 11 da POL.01;
- Ativação, quando disponível no plano contratado, de configurações de retenção mínima de dados e de não utilização do conteúdo para treinamento dos modelos dos fornecedores — a confirmar junto ao contrato/DPA vigente com cada fornecedor;
- Provisionamento e revogação de acesso às Ferramentas de IA seguem o mesmo fluxo de revisão de acessos (a cada 6 meses) e revogação imediata no desligamento, previstos nas seções 5 e 6 da POL.01.
8. Proibições Explícitas
Independentemente da classificação da informação, é sempre proibido:
- Inserir Dado Pessoal Sensível (conforme definição da POL.05) em qualquer Ferramenta de IA;
- Compartilhar credenciais, chaves de API, tokens ou certificados com qualquer Ferramenta de IA;
- Utilizar dado de um Cliente como contexto ou exemplo em trabalho para outro Cliente;
- Utilizar Ferramentas de IA não homologadas para qualquer informação classificada como Interna ou superior;
- Publicar prompts ou resultados de IA contendo informação Confidencial ou Restrita em canais abertos.
9. Homologação de Novas Ferramentas de IA
- Solicitação formal ao Time de Segurança da Informação, com justificativa de uso e, quando aplicável, validação técnica do Time de Engenharia (seção 3.5);
- Avaliação da política de retenção e treinamento de modelo do fornecedor, certificações de segurança (ex.: SOC 2, ISO 27001) e disponibilidade de contrato corporativo com cláusula de proteção de dados (DPA);
- Avaliação, em conjunto com o DPO, sobre a necessidade de RIPD, conforme a seção 4.4 da POL.05, sempre que houver qualquer possibilidade de tratamento de Dados Pessoais;
- Piloto restrito com dados fictícios ou anonimizados;
- Aprovação e inclusão na lista de Ferramentas de IA Homologadas (seção 4).
O uso de ferramenta não homologada para dado Confidencial ou Restrito de Cliente é tratado como Incidente de Segurança da Informação, conforme a seção 12.
10. Privacidade por Projeto e RIPD
Iniciativas que envolvam o uso de Ferramentas de IA para tratar, ainda que indiretamente, Dados Pessoais de Clientes, colaboradores ou terceiros devem observar a Política de Privacidade por Projeto referenciada na seção 4.2 da POL.05. Como o uso de uma Ferramenta de IA de terceiro configura, para fins de tratamento de dados, compartilhamento com um terceiro, a elaboração de RIPD é obrigatória sempre que o uso envolver Dado Pessoal Sensível ou dado de menores, conforme os critérios da seção 4.4 da POL.05 — motivo pelo qual esses dados nunca devem ser inseridos em Ferramentas de IA (seção 8).
11. Treinamento e Conscientização
- Onboarding: toda nova contratação recebe treinamento sobre esta Política antes de obter acesso às Ferramentas de IA Homologadas;
- Reforço periódico (mínimo semestral) com exemplos práticos de uso adequado e inadequado, alinhado ao calendário de treinamentos de segurança da POL.01 e de desenvolvimento seguro da POL.08;
- Canais de dúvida: [email protected] (dúvidas gerais de segurança) e [email protected] (dúvidas envolvendo Dados Pessoais).
12. Incidentes Envolvendo Ferramentas de IA
Qualquer suspeita de uso indevido — por exemplo, inserção não anonimizada de dado de Cliente ou de Dado Pessoal Sensível em uma Ferramenta de IA — deve ser reportada imediatamente:
- Ao Gestor e ao Time de Segurança da Informação, pelo e-mail [email protected], para tratamento conforme a POL.04 - Plano de Resposta a Incidentes;
- Ao DPO, pelo e-mail [email protected], sempre que houver Dado Pessoal envolvido, observando o SLA de 36 horas úteis para comunicação de Incidentes de Violação de Dados Pessoais definido na POL.05.
A denúncia pode ser anônima e não haverá retaliação, nos mesmos termos previstos na POL.05.
13. Auditoria e Conformidade
- Revisões semestrais de aderência a esta Política, conduzidas pelo Time de Segurança da Informação, podendo ser combinadas com as revisões de aderência à POL.08;
- Métricas de acompanhamento sugeridas: número de Usuários com acesso ativo às Ferramentas de IA Homologadas, número de incidentes reportados, percentual de colaboradores treinados;
- Uso indevido de Ferramentas de IA caracteriza incidente de segurança da informação e está sujeito às sanções previstas na seção 19 da POL.01 e na seção 6 da POL.05, podendo resultar em advertência, suspensão de acesso ou rescisão contratual por justa causa, conforme a gravidade.
14. Integração com Outras Políticas
- Classificação da informação: POL.01, seção 13;
- Tratamento de Dados Pessoais, direitos dos titulares e RIPD: POL.05;
- Controles de desenvolvimento seguro aplicáveis ao uso do Cursor: POL.08;
- Resposta a incidentes: POL.04.
15. Casos Omissos
Situações não previstas nesta Política devem ser encaminhadas ao Time de Segurança da Informação ([email protected]) antes da realização de qualquer atividade que possa representar risco às informações da Hubii ou de seus Clientes, nos mesmos termos da seção 18 da POL.01.
16. Definições
Ferramenta de IA Homologada: ferramenta de Inteligência Artificial generativa formalmente aprovada pelo Time de Segurança da Informação para uso corporativo, conforme o processo da seção 9.
IA Generativa: sistema de Inteligência Artificial capaz de gerar texto, código, imagem ou outro conteúdo a partir de instruções em linguagem natural ("prompts").
Prompt: instrução ou conjunto de informações fornecidas por um Usuário a uma Ferramenta de IA para obter um resultado.
Anonimização: processo pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Dados pessoais, Dados pessoais sensíveis, Titular, Tratamento, ANPD, Incidente de Violação de Dados Pessoais: conforme definições da POL.05, seção 5.
Incidente de Segurança da Informação: conforme definição da POL.01, seção 21.
17. Disposições Finais
Esta Política entra em vigor na data de sua publicação, revogando e substituindo qualquer comunicação anterior sobre uso de Ferramentas de IA na Hubii, e deve ser revisada anualmente ou sempre que uma nova Ferramenta de IA for homologada ou houver mudança relevante nos termos contratuais dos fornecedores. Esta Política deve estar disponível e ser divulgada a todos os colaboradores e prestadores de serviço da Hubii.
18. Histórico de Revisões
| Versão | Data | Responsável | Descrição |
| 1.0 | 03/07/2026 | Engenharia e Segurança da Informação | Criação do documento |