Saltar para o conteúdo principal
Criar e publicar aplicativos de forma segura é uma responsabilidade compartilhada. O Replit é responsável pela segurança do Replit Agent, da plataforma e da infraestrutura em que as cargas de trabalho dos clientes são executadas. O Replit toma medidas para operá-las com controles razoáveis e padrões seguros, e fornece ferramentas que você pode usar para proteger sua aplicação e seus dados. Você é responsável pelo conteúdo da sua aplicação e por usar e configurar as ferramentas que o Replit oferece. Esse é um equilíbrio intencional. O Replit quer que você construa qualquer coisa que possa imaginar, e essa liberdade significa colocar certas decisões em suas mãos. A tabela a seguir descreve o modelo de responsabilidade compartilhada do Replit, estruturado seguindo os padrões estabelecidos de responsabilidade compartilhada em nuvem e IA (Microsoft AI SRM, CSA AICM), e baseado na ISO/IEC 42001 e no NIST AI RMF:

Matriz de responsabilidades

Geral

ÁreaDescriçãoResponsabilidade
Termos de ServiçoConformidade com os Termos de Serviço do Replit.Você
Resposta a incidentes e notificação de violaçõesO Replit responde e notifica os clientes afetados sobre incidentes da plataforma de acordo com nossa Política de Resposta a Incidentes e contratos; você responde a incidentes originados em seus projetos, código de aplicação, dados ou contas de usuários finais.Replit (plataforma)
Você (aplicativo)
Reportar vulnerabilidades ao ReplitNotificar o Replit sobre problemas descobertos na plataforma seguindo o modelo de divulgação responsável.Replit (triagem e correção)
Você (reportar para security@replit.com)
Certificações de conformidade da plataformaManter atestações (por exemplo, SOC 2 Type II) e fornecer evidências aos clientes.Replit
SubprocessadoresO Replit avalia e divulga os subprocessadores que processam dados de clientes na plataforma; você avalia e divulga os subprocessadores usados pelo seu aplicativo.Replit (plataforma)
Você (aplicativo)

Replit Agent

ÁreaDescriçãoResponsabilidade
Geração de códigoA geração do código da aplicação pelo Replit Agent.Replit
Revisão de códigoVerificar a correção, a segurança e o licenciamento do resultado do Agent, incluindo dependências de terceiros que ele introduz.Você
Estrutura do AgentO framework agêntico usado pelo Replit Agent, gerenciamento de memória, ferramentas principais, e assim por diante.Replit
Human-in-the-loopAprovar ações sensíveis propostas pelo Agent (implantações, alterações de segredos, chamadas externas).Você
PromptingPrompts e instruções fornecidas ao Replit Agent.Você
Injeção de prompt e entradas não confiáveisO Replit reforça a estrutura e adiciona mitigações contra prompts maliciosos (não garante prevenção); você evita alimentar o Agent com conteúdo externo não confiável sem higienização e valida as saídas.Replit (salvaguardas)
Você (higiene de entrada)
Processamento de prompts e interação com o modeloComo os prompts e o código gerado são registrados, retidos e se são usados para treinamento.Replit (em conformidade com os Termos de Serviço e o Contrato de Processamento de Dados)
Skills / MCPSkills e ferramentas MCP validadas pelo Replit são mantidas pelo Replit; Skills e ferramentas MCP instaladas pelo usuário são de sua responsabilidade avaliar, configurar e revogar.Replit (primeira parte)
Você (terceiros)

Ambiente de desenvolvimento

ÁreaDescriçãoResponsabilidade
Identidade e gerenciamento de acesso do Workspace (contas, MFA, SSO, SCIM)Proteger o acesso à sua organização e Workspace do Replit.Replit (controles)
Você (configuração)
Logs de auditoria do WorkspaceRegistro de quem fez o quê no seu Workspace do Replit.Replit (fornecimento)
Você (revisão)
Gerenciamento de segredosSempre use Connectors e o recurso Secrets para garantir o armazenamento adequado de segredos.Você
Armazenamento de segredosO Replit não armazena nem registra segredos em texto simples.Replit
Compartilhamento e colaboraçãoO Replit oferece as ferramentas para aplicar controle de acesso; você é responsável por escolher quem pode visualizar, editar ou remixar cada aplicativo, interagir com o Agent, configurar Connectors, visualizar segredos, e assim por diante.Replit (controle de acesso baseado em função)
Você (configuração)
Residência de dadosOnde os dados de desenvolvimento da aplicação são armazenados e processados.Replit (capacidades)
Você (seleção)
Retenção, exclusão e exportação de dadosPor quanto tempo os dados são mantidos e como são excluídos ou exportados.Replit (mecanismo)
Você (configuração)
Funcionalidade e correção da aplicaçãoRefinamento e funcionalidade da aplicação. O Replit é responsável por fornecer testes de regressão; você é responsável por definir a lógica de negócio desejada.Replit (escrita de código e infraestrutura de testes)
Você (determinação da lógica de negócio)
ConnectorsO Replit fornece mecanismos seguros para se conectar a outros serviços; você autoriza, rotaciona e revoga suas credenciais nos serviços de terceiros.Replit (mecanismo)
Você (credenciais e acesso de terceiros)
Runtime de desenvolvimentoSistema operacional e runtimes.Replit
Segurança de redeIsolamento entre instâncias de desenvolvimento.Replit
Monitoramento da plataformaMonitoramento da frota de infraestrutura do Replit.Replit

Aplicativos publicados

ÁreaDescriçãoResponsabilidade
Gerenciamento de usuáriosControlar como os usuários fazem login no aplicativo publicado.Você
Política de uso / controle de acessoControlar quais usuários têm acesso a quais recursos ou partes do aplicativo com base na autorização.Você
PI / Direitos autoraisVocê é responsável por verificar se o resultado do Agent e sua aplicação respeitam os direitos de propriedade intelectual e autorais.Você
Informações / DadosOs dados que são consumidos, criados ou exibidos pela aplicação.Você
Avisos de privacidade e consentimento do usuário finalDivulgações de privacidade, banners de cookies e consentimentos exibidos aos seus usuários finais.Você
Conformidade regulatória da sua aplicaçãoAtender às leis e regulamentos aplicáveis ao seu aplicativo (por exemplo, GDPR, CCPA, PHI, PCI DSS, HIPAA, SOC 2).Você
Testes de penetração da sua aplicaçãoTestes de segurança da aplicação que você constrói.Você
Divulgação de vulnerabilidades da sua aplicaçãoReceber e triar relatórios de segurança de pesquisadores sobre sua aplicação.Você
Proteção de borda (anti-DDoS e WAF)Mitigação de ataques volumétricos e de camada de aplicação na borda da plataforma.Replit
Infraestrutura de aplicativos publicadosOnde os aplicativos publicados são executados, manutenção da infraestrutura, correção de vulnerabilidades da plataforma, e assim por diante.Replit
Criptografia em trânsito e em repousoTLS para o tráfego; criptografia de dados armazenados na plataforma.Replit
Criptografia em nível de aplicaçãoQuaisquer necessidades de criptografia em nível de aplicativo ou de campo e quaisquer armazenamentos de dados externos aos quais se conectam.Você
Ciclo de vida de publicaçãoO Replit fornece ferramentas para selecionar a visibilidade do aplicativo publicado (Privado, Protegido por senha, Público); você é responsável por escolher a visibilidade correta.Replit (mecanismo)
Você (configuração)
Gerenciamento de vulnerabilidadesO Replit detecta e alerta sobre vulnerabilidades em dependências de aplicativos já publicados; você mitiga e corrige essas vulnerabilidades.Replit (detecção)
Você (correção)
Registro e monitoramentoO Replit monitora a disponibilidade da plataforma e sinais de abuso; você é responsável pelo registro e monitoramento em nível de aplicação (erros, eventos de negócio, atividade do usuário).Replit (plataforma)
Você (aplicativo)
Backups e recuperaçãoBackup do código dos aplicativos publicados e do conteúdo de bancos de dados gerenciados pelo Replit.Replit

Como a responsabilidade é dividida

A maioria das linhas da tabela segue um de três padrões:
  • Mecanismo versus configuração. O Replit oferece os controles: RBAC, configurações de visibilidade, MFA, SSO, residência de dados, retenção. Você decide quais ativar e como configurá-los.
  • Detecção versus correção. O Replit observa a plataforma e expõe o que consegue ver: dependências vulneráveis, sinais de abuso, anomalias da plataforma. Você monitora e corrige o que está dentro da sua aplicação, porque você é o único que sabe o que “corrigido” significa no seu contexto.
  • Primeira parte versus terceiros. Skills, ferramentas MCP e Connectors validados pelo Replit são revisados pelo Replit. Tudo o que você conecta, instala ou configura por conta própria é seu para avaliar, configurar, rotacionar e revogar.
Algumas linhas são exclusivamente suas: política de uso, controle de acesso, revisão de PI, avisos de privacidade para o usuário final e testes de penetração em nível de aplicação. Elas dependem de contexto que só você tem. Outras linhas ficam a cargo do Replit: são a plataforma sobre a qual seus aplicativos são construídos e executados. Esses padrões se repetem deliberadamente. São a única forma honesta de dividir a responsabilidade em uma plataforma onde a liberdade de construir qualquer coisa é o ponto central.

Trabalhando com o Replit Agent

Você é o proprietário do código que o Agent gera e é responsável por ele. Na prática, isso significa alguns hábitos:
  1. Revise antes de lançar. O Agent produz código funcional, mas “funcional” e “correto” são coisas diferentes. Leia o que ele escreveu, especialmente em torno de autenticação, tratamento de dados e qualquer coisa que atravesse um limite de confiança. Pedir ao Agent para escrever testes e explicar seu raciocínio é uma boa forma de detectar regressões ao iterar.
  2. Mantenha segredos fora dos prompts. Use o recurso Secrets e os Connectors. Não cole chaves de API, tokens ou credenciais no chat: o Agent não precisa deles em texto simples para usá-los, e colá-los transforma um segredo gerenciado em um segredo não gerenciado.
  3. Explique sua lógica de negócio e seu modelo de controle de acesso. Diga ao Replit Agent quem deve ter acesso a qual funcionalidade do seu aplicativo. Escolha uma das opções de publicação Privada ou Protegida por senha do Replit se sua aplicação não for destinada a ser vista por todos no mundo.
  4. Aprove ações sensíveis de forma deliberada. Quando o Agent propõe publicar o aplicativo, uma alteração de segredo ou uma chamada externa, a etapa de human-in-the-loop é sua. Trate-a como uma revisão real, não como um clique automático.

Conformidade e resposta a incidentes

Você é responsável por cumprir os Termos de Serviço do Replit. Você também é responsável por entender seus próprios requisitos de conformidade e legais. Para entender o que o Replit oferece ou não do ponto de vista de conformidade (SOC 2 Type II, subprocessadores, certificações, e assim por diante), visite replit.com/security. Se você encontrar uma vulnerabilidade na plataforma Replit, reporte-a para security@replit.com seguindo o processo de divulgação responsável do Replit. Se você encontrar uma em um aplicativo que construiu, a triagem é sua responsabilidade. Incidentes de plataforma são tratados de acordo com a Política de Resposta a Incidentes do Replit; incidentes originados na sua aplicação, nos seus dados ou nas contas dos seus usuários finais são de sua responsabilidade liderar.