Matriz de responsabilidades
Geral
| Área | Descrição | Responsabilidade |
|---|---|---|
| Termos de Serviço | Conformidade com os Termos de Serviço do Replit. | Você |
| Resposta a incidentes e notificação de violações | O Replit responde e notifica os clientes afetados sobre incidentes da plataforma de acordo com nossa Política de Resposta a Incidentes e contratos; você responde a incidentes originados em seus projetos, código de aplicação, dados ou contas de usuários finais. | Replit (plataforma) Você (aplicativo) |
| Reportar vulnerabilidades ao Replit | Notificar o Replit sobre problemas descobertos na plataforma seguindo o modelo de divulgação responsável. | Replit (triagem e correção) Você (reportar para security@replit.com) |
| Certificações de conformidade da plataforma | Manter atestações (por exemplo, SOC 2 Type II) e fornecer evidências aos clientes. | Replit |
| Subprocessadores | O Replit avalia e divulga os subprocessadores que processam dados de clientes na plataforma; você avalia e divulga os subprocessadores usados pelo seu aplicativo. | Replit (plataforma) Você (aplicativo) |
Replit Agent
| Área | Descrição | Responsabilidade |
|---|---|---|
| Geração de código | A geração do código da aplicação pelo Replit Agent. | Replit |
| Revisão de código | Verificar a correção, a segurança e o licenciamento do resultado do Agent, incluindo dependências de terceiros que ele introduz. | Você |
| Estrutura do Agent | O framework agêntico usado pelo Replit Agent, gerenciamento de memória, ferramentas principais, e assim por diante. | Replit |
| Human-in-the-loop | Aprovar ações sensíveis propostas pelo Agent (implantações, alterações de segredos, chamadas externas). | Você |
| Prompting | Prompts e instruções fornecidas ao Replit Agent. | Você |
| Injeção de prompt e entradas não confiáveis | O Replit reforça a estrutura e adiciona mitigações contra prompts maliciosos (não garante prevenção); você evita alimentar o Agent com conteúdo externo não confiável sem higienização e valida as saídas. | Replit (salvaguardas) Você (higiene de entrada) |
| Processamento de prompts e interação com o modelo | Como os prompts e o código gerado são registrados, retidos e se são usados para treinamento. | Replit (em conformidade com os Termos de Serviço e o Contrato de Processamento de Dados) |
| Skills / MCP | Skills e ferramentas MCP validadas pelo Replit são mantidas pelo Replit; Skills e ferramentas MCP instaladas pelo usuário são de sua responsabilidade avaliar, configurar e revogar. | Replit (primeira parte) Você (terceiros) |
Ambiente de desenvolvimento
| Área | Descrição | Responsabilidade |
|---|---|---|
| Identidade e gerenciamento de acesso do Workspace (contas, MFA, SSO, SCIM) | Proteger o acesso à sua organização e Workspace do Replit. | Replit (controles) Você (configuração) |
| Logs de auditoria do Workspace | Registro de quem fez o quê no seu Workspace do Replit. | Replit (fornecimento) Você (revisão) |
| Gerenciamento de segredos | Sempre use Connectors e o recurso Secrets para garantir o armazenamento adequado de segredos. | Você |
| Armazenamento de segredos | O Replit não armazena nem registra segredos em texto simples. | Replit |
| Compartilhamento e colaboração | O Replit oferece as ferramentas para aplicar controle de acesso; você é responsável por escolher quem pode visualizar, editar ou remixar cada aplicativo, interagir com o Agent, configurar Connectors, visualizar segredos, e assim por diante. | Replit (controle de acesso baseado em função) Você (configuração) |
| Residência de dados | Onde os dados de desenvolvimento da aplicação são armazenados e processados. | Replit (capacidades) Você (seleção) |
| Retenção, exclusão e exportação de dados | Por quanto tempo os dados são mantidos e como são excluídos ou exportados. | Replit (mecanismo) Você (configuração) |
| Funcionalidade e correção da aplicação | Refinamento e funcionalidade da aplicação. O Replit é responsável por fornecer testes de regressão; você é responsável por definir a lógica de negócio desejada. | Replit (escrita de código e infraestrutura de testes) Você (determinação da lógica de negócio) |
| Connectors | O Replit fornece mecanismos seguros para se conectar a outros serviços; você autoriza, rotaciona e revoga suas credenciais nos serviços de terceiros. | Replit (mecanismo) Você (credenciais e acesso de terceiros) |
| Runtime de desenvolvimento | Sistema operacional e runtimes. | Replit |
| Segurança de rede | Isolamento entre instâncias de desenvolvimento. | Replit |
| Monitoramento da plataforma | Monitoramento da frota de infraestrutura do Replit. | Replit |
Aplicativos publicados
| Área | Descrição | Responsabilidade |
|---|---|---|
| Gerenciamento de usuários | Controlar como os usuários fazem login no aplicativo publicado. | Você |
| Política de uso / controle de acesso | Controlar quais usuários têm acesso a quais recursos ou partes do aplicativo com base na autorização. | Você |
| PI / Direitos autorais | Você é responsável por verificar se o resultado do Agent e sua aplicação respeitam os direitos de propriedade intelectual e autorais. | Você |
| Informações / Dados | Os dados que são consumidos, criados ou exibidos pela aplicação. | Você |
| Avisos de privacidade e consentimento do usuário final | Divulgações de privacidade, banners de cookies e consentimentos exibidos aos seus usuários finais. | Você |
| Conformidade regulatória da sua aplicação | Atender às leis e regulamentos aplicáveis ao seu aplicativo (por exemplo, GDPR, CCPA, PHI, PCI DSS, HIPAA, SOC 2). | Você |
| Testes de penetração da sua aplicação | Testes de segurança da aplicação que você constrói. | Você |
| Divulgação de vulnerabilidades da sua aplicação | Receber e triar relatórios de segurança de pesquisadores sobre sua aplicação. | Você |
| Proteção de borda (anti-DDoS e WAF) | Mitigação de ataques volumétricos e de camada de aplicação na borda da plataforma. | Replit |
| Infraestrutura de aplicativos publicados | Onde os aplicativos publicados são executados, manutenção da infraestrutura, correção de vulnerabilidades da plataforma, e assim por diante. | Replit |
| Criptografia em trânsito e em repouso | TLS para o tráfego; criptografia de dados armazenados na plataforma. | Replit |
| Criptografia em nível de aplicação | Quaisquer necessidades de criptografia em nível de aplicativo ou de campo e quaisquer armazenamentos de dados externos aos quais se conectam. | Você |
| Ciclo de vida de publicação | O Replit fornece ferramentas para selecionar a visibilidade do aplicativo publicado (Privado, Protegido por senha, Público); você é responsável por escolher a visibilidade correta. | Replit (mecanismo) Você (configuração) |
| Gerenciamento de vulnerabilidades | O Replit detecta e alerta sobre vulnerabilidades em dependências de aplicativos já publicados; você mitiga e corrige essas vulnerabilidades. | Replit (detecção) Você (correção) |
| Registro e monitoramento | O Replit monitora a disponibilidade da plataforma e sinais de abuso; você é responsável pelo registro e monitoramento em nível de aplicação (erros, eventos de negócio, atividade do usuário). | Replit (plataforma) Você (aplicativo) |
| Backups e recuperação | Backup do código dos aplicativos publicados e do conteúdo de bancos de dados gerenciados pelo Replit. | Replit |
Como a responsabilidade é dividida
A maioria das linhas da tabela segue um de três padrões:- Mecanismo versus configuração. O Replit oferece os controles: RBAC, configurações de visibilidade, MFA, SSO, residência de dados, retenção. Você decide quais ativar e como configurá-los.
- Detecção versus correção. O Replit observa a plataforma e expõe o que consegue ver: dependências vulneráveis, sinais de abuso, anomalias da plataforma. Você monitora e corrige o que está dentro da sua aplicação, porque você é o único que sabe o que “corrigido” significa no seu contexto.
- Primeira parte versus terceiros. Skills, ferramentas MCP e Connectors validados pelo Replit são revisados pelo Replit. Tudo o que você conecta, instala ou configura por conta própria é seu para avaliar, configurar, rotacionar e revogar.
Trabalhando com o Replit Agent
Você é o proprietário do código que o Agent gera e é responsável por ele. Na prática, isso significa alguns hábitos:- Revise antes de lançar. O Agent produz código funcional, mas “funcional” e “correto” são coisas diferentes. Leia o que ele escreveu, especialmente em torno de autenticação, tratamento de dados e qualquer coisa que atravesse um limite de confiança. Pedir ao Agent para escrever testes e explicar seu raciocínio é uma boa forma de detectar regressões ao iterar.
- Mantenha segredos fora dos prompts. Use o recurso Secrets e os Connectors. Não cole chaves de API, tokens ou credenciais no chat: o Agent não precisa deles em texto simples para usá-los, e colá-los transforma um segredo gerenciado em um segredo não gerenciado.
- Explique sua lógica de negócio e seu modelo de controle de acesso. Diga ao Replit Agent quem deve ter acesso a qual funcionalidade do seu aplicativo. Escolha uma das opções de publicação Privada ou Protegida por senha do Replit se sua aplicação não for destinada a ser vista por todos no mundo.
- Aprove ações sensíveis de forma deliberada. Quando o Agent propõe publicar o aplicativo, uma alteração de segredo ou uma chamada externa, a etapa de human-in-the-loop é sua. Trate-a como uma revisão real, não como um clique automático.