Lançamento: Trust Agent, a IA que responde seus questionários de segurança. Quero acesso →
Linguagem simples

Glossário. as palavras que usamos.

Trust engineering tem seu próprio vocabulário. Nossa firma também. Esta página existe para que nada no restante do site seja uma caixa preta, e para que, quando você nos escrever, falemos a mesma língua.

A

Alfred

Modelo operacional · Nome interno

O nome do nosso modelo operacional: um canal de Slack compartilhado, um Trust Architect responsável, um gerente sênior de Big 4 em revisão e um assistente de IA elaborando primeiras versões. Alfred se refere à forma como o trabalho funciona, não a um produto de software.

Ver: Página Alfred · Trust Architect

AIUC-1

Framework · Subscrição de IA

Um padrão emergente para subscrição de risco de IA, utilizado por seguradoras e grandes empresas para avaliar implantações de modelos de IA. Mapeamos seu AI stack para os controles AIUC-1 quando compradores ou seguradoras exigem.

Ver: Framework AIUC-1

B

BACEN 4.658

Regulação brasileira · Cybersecurity

Resolução 4.658 do Banco Central do Brasil, o framework de política de cybersecurity para instituições financeiras brasileiras. Exige resposta a incidentes, gestão de risco de terceiros e regras para serviços em nuvem. Atuamos no escopo BACEN como parte de nossos contratos enterprise no Brasil.

C

Continuous monitoring

Prática

Verificações automatizadas e contínuas de que os controles ainda estão em operação, não apenas uma revisão pontual uma vez por ano. Vanta e Drata fornecem a infraestrutura; nós fornecemos o programa que a utiliza. Exigido para SOC 2 Type II e auditorias de vigilância da ISO 27001.

D

DPO (Data Protection Officer)

Função · Privacidade

Um responsável pela proteção de dados exigido pela LGPD e pelo GDPR para organizações que processam dados pessoais em escala. Atuamos como DPO terceirizado (vDPO) para clientes que não querem contratar um em tempo integral.

Ver: Privacidade & LGPD

DSAR (Data Subject Access Request)

Processo · Privacidade

Uma solicitação de um titular de dados para visualizar, corrigir ou excluir seus dados pessoais. Exigido pela LGPD e pelo GDPR com prazos de resposta rigorosos. Gerenciamos o processo de resposta para que a equipe de engenharia não precise.

F

Foundation

Estágio 01 · Trust Framework

O primeiro estágio do nosso Trust Framework. Compliance lidera, segurança segue. Você está obtendo sua primeira auditoria SOC 2 ou ISO, construindo o conjunto de políticas e colocando o Vanta em operação. Tipicamente de pré-seed até Série A.

Ver: Como trabalhamos · Foundation · Startup stage

G

GRC (Governance, Risk, Compliance)

Disciplina

A disciplina abrangente que cobre governança de políticas, gestão de riscos e conformidade regulatória. Usamos o termo com parcimônia; a maior parte do que se chama "GRC" tratamos como trabalho de engenharia.

Ver: AI GRC

I

ISMS (Information Security Management System)

Conceito · ISO 27001

O conjunto de políticas, processos e controles que uma organização mantém para gerenciar a segurança da informação. A ISO 27001 certifica que você possui um sistema desses e que o opera. Construímos do zero e operamos após a certificação.

ISO 27001

Framework · Global

O padrão internacional para gestão de segurança da informação. O framework dominante fora da América do Norte, exigido pela maioria dos compradores enterprise na Europa, América Latina e Ásia. Complementa naturalmente o SOC 2 para empresas que vendem globalmente.

Ver: Framework ISO 27001

ISO 42001

Framework · Gestão de IA

O padrão de Sistema de Gestão de IA, publicado pela ISO em 2023. O primeiro framework internacionalmente reconhecido para governança de IA. Cada vez mais exigido por compradores enterprise e seguradoras para produtos com uso intensivo de IA.

Ver: Framework ISO 42001

L

LGPD (Lei Geral de Proteção de Dados)

Lei brasileira · Privacidade

A lei geral de proteção de dados do Brasil, o equivalente local do GDPR. Vigente desde 2020, aplicada pela ANPD. Aplica-se a qualquer empresa que trate dados pessoais de residentes brasileiros, incluindo empresas estrangeiras com usuários brasileiros.

Ver: Framework LGPD · Privacidade & LGPD

O

Operate

Estágio 02 · Trust Framework

O segundo estágio do nosso Trust Framework. A segurança avança para o início do processo, integrando-se ao SDLC, à gestão de fornecedores e à forma como vendas opera. Tipicamente empresas Série B+ com um contrato de vCISO incorporado.

Ver: Como trabalhamos · Operate · Growth stage

Open Trust Seal

Artefato para o cliente

Um badge e Trust Center voltados para o cliente que construímos para clientes no estágio Scale. Página única que agrega SOC 2, ISO 27001, lista de subprocessadores, status e atestações recentes. Encurta o ciclo de vendas ao fornecer aos prospects o que precisam antes de pedirem.

P

Pentest (Penetration Test)

Prática · Segurança

Um ataque simulado e autorizado contra sua aplicação, rede ou cloud, conduzido por profissionais para encontrar vulnerabilidades exploráveis. Exigido anualmente para SOC 2 Type II e ISO 27001. Realizamos internamente e acompanhamos os achados até o fechamento, não apenas até um PDF.

Ver: Pentest

S

Scale

Estágio 03 · Trust Framework

O terceiro estágio do nosso Trust Framework. O trust se torna uma vantagem competitiva, multi-framework, multi-região e voltado para o cliente. Tipicamente empresas em estágio avançado e enterprise operando múltiplos frameworks em paralelo (SOC 2 + ISO + ISO 42001 + regulação regional).

Ver: Como trabalhamos · Scale · Enterprise stage

SOC 2

Framework · EUA

O framework de segurança enterprise dominante nos EUA, regido pela AICPA. O Type I atesta o design dos controles em um momento específico; o Type II atesta a eficácia operacional ao longo de um período (tipicamente 3 a 12 meses). A exigência padrão de qualquer comprador enterprise americano.

Ver: Framework SOC 2

SDLC (Software Development Lifecycle)

Conceito · Engenharia

Como o código vai do laptop de um desenvolvedor até a produção. Programas modernos de segurança exigem controles incorporados ao SDLC, como revisão de código, varredura de segredos, revisão de dependências e gates de deploy. "Shift left" significa mover a segurança para antes nesse ciclo.

T

Trust Architect

Função · Título interno

Nosso título para a pessoa que opera seu programa no dia a dia. Mentalidade de engenheiro, formação em auditoria. Presente no seu Slack, responsável pelo roadmap, entrega o trabalho. Com suporte de um gerente sênior de Big 4 em revisão. Não é um gerente de projetos, nem um contratado.

Ver: Página Alfred

Trust Framework

Metodologia · Proprietária

Nosso modelo proprietário de maturidade em três estágios: Foundation, Operate, Scale. Utilizado para mapear a postura de qualquer empresa e prescrever o próximo passo. Aplicado em 35+ frameworks, 120+ empresas e 3 regiões da LATAM.

Ver: Trust Framework

Trust Center

Artefato para o cliente

Uma página pública onde prospects e clientes podem ver sua postura de segurança: certificações, subprocessadores, histórico de incidentes e status. Substitui o processo recorrente de enviar PDFs por e-mail. Construímos no formato Open Trust Seal para clientes nos estágios Operate e Scale.

V

vCISO (Virtual CISO)

Serviço

Um Chief Information Security Officer fracionado, um líder sênior de segurança em regime de retainer, incorporado à sua organização. Conduzimos contratos de vCISO por meio do nosso modelo operacional Alfred: um Trust Architect responsável, um revisor sênior de plantão e IA nas primeiras versões.

Ver: Virtual CISO

Vanta

Ferramenta · Automação de compliance

A plataforma líder de automação de compliance, utilizada por mais de 8.000 empresas para monitorar controles e se preparar para auditorias de SOC 2, ISO, HIPAA e GDPR. Somos Vanta Premium Partner e o MSP #1 na LATAM.

Ver: Parceiro Vanta

Falar com um Trust Architect

Ready to turn trust into a competitive edge?

30-min consultation. No commitment. We map your current posture, the frameworks your buyers expect, and a 90-day plan.