Criar e publicar aplicativos de forma segura é uma responsabilidade compartilhada. O Replit é responsável pela segurança do Replit Agent, da plataforma e da infraestrutura na qual as cargas de trabalho dos clientes são executadas. O Replit toma medidas para operá-los com controles adequados e configurações seguras por padrão, além de fornecer ferramentas que você pode usar para proteger seu aplicativo e seus dados. Você é responsável pelo conteúdo do seu aplicativo e por usar e configurar as ferramentas que o Replit fornece. Esse é um equilíbrio intencional. O Replit quer que você crie tudo o que puder imaginar, e essa liberdade significa colocar certas decisões em suas mãos. A tabela a seguir descreve o modelo de responsabilidade compartilhada do Replit, estruturado com base em padrões estabelecidos de responsabilidade compartilhada em nuvem e IA (Microsoft AI SRM, CSA AICM), e baseado na ISO/IEC 42001 e no NIST AI RMF:Documentation Index
Fetch the complete documentation index at: https://docs.replit.com/llms.txt
Use this file to discover all available pages before exploring further.
Matriz de responsabilidades
Geral
| Área | Descrição | Responsabilidade |
|---|---|---|
| Termos de Serviço | Conformidade com os Termos de Serviço do Replit. | Você |
| Resposta a incidentes e notificação de violações | O Replit responde e notifica os clientes afetados sobre incidentes na plataforma conforme nossa Política de Resposta a Incidentes e contratos; você responde a incidentes originados em seus projetos, código de aplicativo, dados ou contas de usuários finais. | Replit (plataforma) Você (app) |
| Relato de vulnerabilidades ao Replit | Notificar o Replit sobre problemas descobertos na plataforma seguindo o modelo de divulgação responsável. | Replit (triagem e correção) Você (relatar para security@replit.com) |
| Certificações de conformidade da plataforma | Manutenção de atestados (por exemplo, SOC 2 Type II) e fornecimento de evidências aos clientes. | Replit |
| Subprocessadores | O Replit verifica e divulga os subprocessadores que processam dados de clientes na plataforma; você verifica e divulga os subprocessadores utilizados pelo seu app. | Replit (plataforma) Você (app) |
Replit Agent
| Área | Descrição | Responsabilidade |
|---|---|---|
| Geração de código | A geração do código do aplicativo pelo Replit Agent. | Replit |
| Revisão de código | Verificação da correção, segurança e licenciamento da saída do Agent, incluindo dependências de terceiros que ele introduz. | Você |
| Harness do Agent | O framework agêntico usado pelo Replit Agent, gerenciamento de memória, ferramentas principais e afins. | Replit |
| Humano no processo | Aprovação de ações sensíveis propostas pelo Agent (publicações, alterações de segredos, chamadas externas). | Você |
| Prompts | Prompts e instruções fornecidos ao Replit Agent. | Você |
| Injeção de prompt e entradas não confiáveis | O Replit fortalece o harness e adiciona mitigações contra prompts maliciosos (sem garantia de prevenção); você evita fornecer ao Agent conteúdo externo não confiável sem sanitização e valida as saídas. | Replit (proteções) Você (higiene de entrada) |
| Processamento de prompts e interação com o modelo | Como os prompts e o código gerado são registrados, retidos e se são usados para treinamento. | Replit (em conformidade com os Termos de Serviço e o Contrato de Processamento de Dados) |
| Skills / MCP | Skills e ferramentas MCP verificadas pelo Replit são mantidas pelo Replit; Skills e ferramentas MCP instaladas pelo usuário são de sua responsabilidade verificar, configurar e revogar. | Replit (próprias) Você (terceiros) |
Ambiente de desenvolvimento
| Área | Descrição | Responsabilidade |
|---|---|---|
| Gerenciamento de identidade e acesso do workspace (contas, MFA, SSO, SCIM) | Proteção do acesso à sua organização e Workspace no Replit. | Replit (controles) Você (configuração) |
| Logs de auditoria do workspace | Registro de quem fez o quê no seu Workspace do Replit. | Replit (fornecimento) Você (revisão) |
| Gerenciamento de segredos | Sempre use Connectors e o recurso de Secrets para garantir o armazenamento adequado de segredos. | Você |
| Armazenamento de segredos | O Replit não armazena nem registra segredos em texto simples. | Replit |
| Compartilhamento e colaboração | O Replit fornece ferramentas para aplicar controle de acesso; você é responsável por escolher quem pode visualizar, editar ou remixar cada app, interagir com o Agent, configurar Connectors, visualizar segredos e assim por diante. | Replit (controle de acesso baseado em função) Você (configuração) |
| Residência de dados | Onde os dados de desenvolvimento de aplicativos são armazenados e processados. | Replit (capacidades) Você (seleção) |
| Retenção, exclusão e exportação de dados | Por quanto tempo os dados são mantidos e como são excluídos ou exportados. | Replit (mecanismo) Você (configuração) |
| Funcionalidade e correção do aplicativo | Qualidade e funcionalidade do aplicativo. O Replit é responsável por fornecer testes de regressão; você é responsável por definir a lógica de negócios desejada. | Replit (escrita de código e infraestrutura de testes) Você (definir lógica de negócios) |
| Connectors | O Replit fornece mecanismos seguros para se conectar a outros serviços; você autoriza, rotaciona e revoga suas credenciais nos serviços de terceiros. | Replit (mecanismo) Você (credenciais e acesso de terceiros) |
| Runtime de desenvolvimento | Sistema operacional e runtimes. | Replit |
| Segurança de rede | Isolamento entre instâncias de desenvolvimento. | Replit |
| Monitoramento da plataforma | Monitoramento da frota de infraestrutura do Replit. | Replit |
Aplicativos publicados
| Área | Descrição | Responsabilidade |
|---|---|---|
| Gerenciamento de usuários | Controle de como os usuários fazem login no aplicativo publicado. | Você |
| Política de uso / controle de acesso | Controle de quais usuários têm acesso a quais recursos ou partes do app com base em autorização. | Você |
| Propriedade intelectual / Direitos autorais | Você é responsável por verificar se a saída do Agent e seu aplicativo respeitam os direitos de propriedade intelectual e direitos autorais. | Você |
| Informações / Dados | Os dados consumidos, criados ou exibidos pelo aplicativo. | Você |
| Avisos de privacidade e consentimento do usuário final | Divulgações de privacidade, banners de cookies e consentimentos exibidos aos seus usuários finais. | Você |
| Conformidade regulatória do seu aplicativo | Cumprimento de leis e regulamentos aplicáveis ao seu app (por exemplo, LGPD, GDPR, CCPA, PHI, PCI DSS, HIPAA, SOC 2). | Você |
| Testes de penetração do seu app | Testes de segurança do aplicativo que você cria. | Você |
| Divulgação de vulnerabilidades do seu app | Recebimento e triagem de relatórios de segurança de pesquisadores sobre seu app. | Você |
| Proteção de borda (anti-DDoS e WAF) | Mitigação de ataques volumétricos e na camada de aplicativo na borda da plataforma. | Replit |
| Infraestrutura de aplicativos publicados | Onde os aplicativos publicados são executados, manutenção de infraestrutura, aplicação de patches de vulnerabilidades da plataforma e afins. | Replit |
| Criptografia em trânsito e em repouso | TLS para tráfego; criptografia de dados armazenados na plataforma. | Replit |
| Criptografia na camada de aplicativo | Necessidades de criptografia no nível de app ou de campo e quaisquer armazenamentos de dados externos aos quais se conectam. | Você |
| Ciclo de vida de publicação | O Replit fornece ferramentas para selecionar a visibilidade do aplicativo publicado (Privado, Protegido por senha, Público); você é responsável por escolher a visibilidade correta. | Replit (mecanismo) Você (configuração) |
| Gerenciamento de vulnerabilidades | O Replit detecta e alerta sobre vulnerabilidades em dependências de apps já publicados; você mitiga e corrige essas vulnerabilidades. | Replit (detecção) Você (remediação) |
| Registro e monitoramento | O Replit monitora a disponibilidade da plataforma e sinais de abuso; você é responsável pelo registro e monitoramento no nível do aplicativo (erros, eventos de negócios, atividade do usuário). | Replit (plataforma) Você (app) |
| Backups e recuperação | Backup do código de aplicativos publicados e do conteúdo de bancos de dados gerenciados pelo Replit. | Replit |
Como a responsabilidade é dividida
A maioria das linhas da tabela segue um de três padrões:- Mecanismo vs. configuração. O Replit fornece os controles: RBAC, configurações de visibilidade, MFA, SSO, residência de dados, retenção. Você decide quais habilitar e como configurá-los.
- Detecção vs. remediação. O Replit monitora a plataforma e sinaliza o que consegue ver: dependências vulneráveis, sinais de abuso, anomalias da plataforma. Você monitora e corrige o que está dentro do seu aplicativo, porque você é o único que sabe o que “corrigido” significa no seu contexto.
- Próprios vs. terceiros. Skills, ferramentas MCP e Connectors verificados pelo Replit são revisados pelo Replit. Tudo o que você conecta, instala ou configura por conta própria é de sua responsabilidade verificar, configurar, rotacionar e revogar.
Trabalhando com o Replit Agent
Você é dono do código que o Agent gera e é responsável por ele. Na prática, isso significa alguns hábitos:- Revise antes de publicar. O Agent produz código funcional, mas “funcional” e “correto” são coisas diferentes. Leia o que ele escreveu, especialmente em relação a autenticação, tratamento de dados e qualquer coisa que cruze um limite de confiança. Pedir ao Agent que escreva testes e explique seu raciocínio é uma boa forma de detectar regressões ao iterar.
- Mantenha segredos fora dos prompts. Use o recurso de Secrets e Connectors. Não cole chaves de API, tokens ou credenciais no chat: o Agent não precisa deles em texto simples para usá-los, e colá-los transforma um segredo gerenciado em um não gerenciado.
- Explique sua lógica de negócios e modelo de controle de acesso. Diga ao Replit Agent quem deve ter acesso a qual funcionalidade do seu app. Escolha uma das opções de publicação Privada ou Protegida por senha do Replit se seu aplicativo não deve ser visualizado por qualquer pessoa no mundo.
- Aprove ações sensíveis de forma deliberada. Quando o Agent propõe publicar o app, alterar um segredo ou fazer uma chamada externa, a etapa de humano no processo é sua. Trate-a como uma revisão real, não como um simples clique para continuar.