Política de Uso de Inteligência Artificial

1. Objetivo e escopo

• Orientar o uso de IA (incluindo IA generativa e modelos de ML) em atividades internas e com clientes.
• Aplica-se a colaboradores, prestadores e parceiros em projetos da empresa.
• Promove qualidade, segurança, privacidade e ética ao longo do ciclo de vida.

2. Princípios

• Valor ao cliente: resultados úteis, explicáveis e verificáveis.
• Segurança por padrão: dados minimizados, acesso restrito e revisão humana.
• Privacidade primeiro: conformidade com LGPD/GDPR e acordos de confidencialidade.
• Ética e inclusão: redução de vieses e impactos adversos.
• Transparência: comunicar o uso de IA a clientes e usuários quando relevante.

3. Classificação de uso e riscos

• Baixo: ideação, rascunhos, refatoração, documentação.
• Médio: apoio a código, resumos internos, automações não críticas.
• Alto: decisões automatizadas, conteúdo público, interfaces voltadas ao cliente.

Para riscos médio/alto, recomenda-se revisão humana, testes e registro de evidências.

4. Dados e privacidade (LGPD)

• Não enviar dados pessoais, sensíveis ou segredos de clientes em prompts.
• Preferir anonimização e minimização de dados.
• Usar provedores com isolamento de dados e opt-out de treinamento sobre os dados enviados.
• Configurar as ferramentas para que os dados não sejam usados em treino nem expostos publicamente.

5. Segurança e segredos

• 2FA nas contas das ferramentas de IA.
• Nunca compartilhar chaves, tokens ou credenciais em prompts.
• Segredos em cofre (ex.: Secret Manager), nunca em código.
• Validar arquivos e links gerados por IA antes de abrir ou executar.
• Nunca usar modo "auto-approve"/YOLO em ferramentas de código.

6. Ferramentas aprovadas

São aprovadas para uso em projetos as ferramentas abaixo; outras dependem de aprovação prévia de Segurança & Conformidade:

• Claude (Anthropic), por meio do plano corporativo da empresa.
• Gemini (Google), por meio do Google Workspace corporativo.
• Ambas configuradas com privacidade (sem uso para treino, sem exposição pública) e 2FA habilitado.
• Avaliar SLA, localização de dados, retenção e opt-out de treino de cada provedor.

7. Qualidade, IP e ética

• Manter humano no circuito para decisões relevantes; testar e revalidar saídas.
• Verificar licenças/IP de código e conteúdo sugeridos por IA.
• Não gerar conteúdo discriminatório, enganoso ou prejudicial; tratar vieses.

8. Processos, incidentes e violações

• Submeter usos novos/de alto risco à aprovação de Segurança & Conformidade.
• Manter inventário de modelos, prompts e integrações.
• Incidentes envolvendo IA reportados ao gestor responsável com agilidade.
• Violações podem ensejar medidas cabíveis, consideradas proporcionalidade e contexto.

Conteúdo orientativo; não substitui aconselhamento jurídico.

Aprovação

Documento oficial publicado pela Bix Tecnologia. Diretrizes de caráter geral e orientador; detalhamentos operacionais constam em normas internas complementares.