Criar e publicar aplicativos de forma segura é uma responsabilidade compartilhada. A Replit é responsável pela segurança do Replit Agent, da plataforma e da infraestrutura na qual as cargas de trabalho dos clientes são executadas. A Replit adota medidas para operá-los com controles razoáveis e configurações seguras por padrão, e fornece ferramentas que você pode usar para proteger seu aplicativo e seus dados. Você é responsável pelo conteúdo do seu aplicativo e pelo uso e configuração das ferramentas que a Replit disponibiliza. Este é um equilíbrio intencional. A Replit quer que você construa tudo o que puder imaginar, e essa liberdade significa colocar certas decisões em suas mãos. A tabela a seguir descreve o modelo de responsabilidade compartilhada da Replit, estruturado com base em padrões estabelecidos de responsabilidade compartilhada em nuvem e IA (Microsoft AI SRM, CSA AICM), e baseado em ISO/IEC 42001 e no NIST AI RMF:Documentation Index
Fetch the complete documentation index at: https://docs.replit.com/llms.txt
Use this file to discover all available pages before exploring further.
Matriz de responsabilidades
Geral
| Área | Descrição | Responsabilidade |
|---|---|---|
| Termos de Serviço | Conformidade com os Termos de Serviço da Replit. | Você |
| Resposta a incidentes e notificação de violações | A Replit responde e notifica os clientes afetados sobre incidentes na plataforma conforme nossa Política de Resposta a Incidentes e contratos; você responde a incidentes originados em seus projetos, código do aplicativo, dados ou contas de usuários finais. | Replit (plataforma) Você (app) |
| Relatar vulnerabilidades à Replit | Notificar a Replit sobre problemas descobertos na plataforma seguindo o modelo de divulgação responsável. | Replit (triagem e correção) Você (reportar para security@replit.com) |
| Certificações de conformidade da plataforma | Manutenção de atestados (por exemplo, SOC 2 Type II) e fornecimento de evidências aos clientes. | Replit |
| Subprocessadores | A Replit verifica e divulga os subprocessadores que tratam dados de clientes na plataforma; você verifica e divulga os subprocessadores usados pelo seu app. | Replit (plataforma) Você (app) |
Replit Agent
| Área | Descrição | Responsabilidade |
|---|---|---|
| Geração de código | A geração do código do aplicativo pelo Replit Agent. | Replit |
| Revisão de código | Verificação de correção, segurança e licenciamento do output do Agent, incluindo dependências de terceiros que ele introduz. | Você |
| Harness do Agent | O framework agêntico usado pelo Replit Agent, gerenciamento de memória, ferramentas principais e assim por diante. | Replit |
| Humano no ciclo | Aprovação de ações sensíveis propostas pelo Agent (deploys, alterações de segredos, chamadas externas). | Você |
| Prompting | Prompts e instruções fornecidos ao Replit Agent. | Você |
| Injeção de prompt e entradas não confiáveis | A Replit reforça o harness e adiciona mitigações contra prompts maliciosos (sem garantia de prevenção); você evita fornecer ao Agent conteúdo externo não confiável sem sanitização e valida os outputs. | Replit (salvaguardas) Você (higiene de entrada) |
| Processamento de prompts e interação com o modelo | Como os prompts e o código gerado são registrados, retidos e se são usados para treinamento. | Replit (em conformidade com os Termos de Serviço e o Acordo de Processamento de Dados) |
| Skills / MCP | Skills e ferramentas MCP verificadas pela Replit são mantidas pela Replit; Skills e ferramentas MCP instaladas pelo usuário são de sua responsabilidade verificar, configurar e revogar. | Replit (próprios) Você (terceiros) |
Ambiente de desenvolvimento
| Área | Descrição | Responsabilidade |
|---|---|---|
| Gerenciamento de identidade e acesso do workspace (contas, MFA, SSO, SCIM) | Proteger o acesso à sua organização e Workspace na Replit. | Replit (controles) Você (configuração) |
| Logs de auditoria do workspace | Registro de quem fez o quê no seu Workspace da Replit. | Replit (provisão) Você (revisão) |
| Gerenciamento de segredos | Sempre use Connectors e o recurso Secrets para garantir o armazenamento adequado de segredos. | Você |
| Armazenamento de segredos | A Replit não armazena nem registra segredos em texto simples. | Replit |
| Compartilhamento e colaboração | A Replit fornece as ferramentas para aplicar controle de acesso; você é responsável por escolher quem pode visualizar, editar ou remixar cada app, interagir com o Agent, configurar Connectors, visualizar segredos e assim por diante. | Replit (controle de acesso baseado em funções) Você (configuração) |
| Residência de dados | Onde os dados de desenvolvimento do aplicativo são armazenados e processados. | Replit (capacidades) Você (seleção) |
| Retenção, exclusão e exportação de dados | Por quanto tempo os dados são mantidos e como são excluídos ou exportados. | Replit (mecanismo) Você (configuração) |
| Funcionalidade e correção do aplicativo | Qualidade e funcionalidade do aplicativo. A Replit é responsável por fornecer testes de regressão; você é responsável por definir a lógica de negócio desejada. | Replit (escrita de código e infraestrutura de testes) Você (definir lógica de negócio) |
| Connectors | A Replit fornece mecanismos seguros para se conectar a outros serviços; você autoriza, rotaciona e revoga suas credenciais nos serviços de terceiros. | Replit (mecanismo) Você (credenciais e acesso de terceiros) |
| Ambiente de execução de desenvolvimento | Sistema operacional e ambientes de execução. | Replit |
| Segurança de rede | Isolamento entre instâncias de desenvolvimento. | Replit |
| Monitoramento da plataforma | Monitoramento da frota de infraestrutura da Replit. | Replit |
Aplicativos publicados
| Área | Descrição | Responsabilidade |
|---|---|---|
| Gerenciamento de usuários | Controlar como os usuários fazem login no aplicativo publicado. | Você |
| Política de uso / controle de acesso | Controlar quais usuários têm acesso a quais recursos ou partes do app com base em autorização. | Você |
| Propriedade intelectual / Direitos autorais | Você é responsável por verificar se o output do Agent e seu aplicativo respeitam os direitos de propriedade intelectual e direitos autorais. | Você |
| Informações / Dados | Os dados que são consumidos, criados ou exibidos pelo aplicativo. | Você |
| Avisos de privacidade e consentimento do usuário final | Divulgações de privacidade, banners de cookies e consentimentos exibidos aos seus usuários finais. | Você |
| Conformidade regulatória do seu aplicativo | Cumprimento de leis e regulamentações aplicáveis ao seu app (por exemplo, GDPR, CCPA, PHI, PCI DSS, HIPAA, SOC 2). | Você |
| Teste de penetração do seu app | Testes de segurança do aplicativo que você cria. | Você |
| Divulgação de vulnerabilidades do seu app | Receber e realizar triagem de relatórios de segurança de pesquisadores sobre o seu app. | Você |
| Proteção de borda (anti-DDoS e WAF) | Mitigação de ataques volumétricos e na camada de aplicação na borda da plataforma. | Replit |
| Infraestrutura de aplicativos publicados | Onde os aplicativos publicados são executados, manutenção da infraestrutura, correção de vulnerabilidades da plataforma e assim por diante. | Replit |
| Criptografia em trânsito e em repouso | TLS para tráfego; criptografia de dados armazenados na plataforma. | Replit |
| Criptografia na camada de aplicação | Quaisquer necessidades de criptografia no nível do app ou de campo, e quaisquer armazenamentos de dados externos aos quais se conectam. | Você |
| Ciclo de vida de publicação | A Replit fornece ferramentas para selecionar a visibilidade do aplicativo publicado (Privado, Protegido por senha, Público); você é responsável por escolher a visibilidade correta. | Replit (mecanismo) Você (configuração) |
| Gerenciamento de vulnerabilidades | A Replit detecta e alerta sobre vulnerabilidades em dependências de apps já publicados; você mitiga e remedia. | Replit (detecção) Você (remediação) |
| Registro e monitoramento | A Replit monitora a disponibilidade da plataforma e sinais de abuso; você é responsável pelo registro e monitoramento no nível do aplicativo (erros, eventos de negócio, atividade do usuário). | Replit (plataforma) Você (app) |
| Backups e recuperação | Backup do código de aplicativos publicados e do conteúdo de bancos de dados gerenciados pela Replit. | Replit |
Como a responsabilidade é dividida
A maioria das linhas na tabela segue um de três padrões:- Mecanismo vs. configuração. A Replit fornece os controles: RBAC, configurações de visibilidade, MFA, SSO, residência de dados, retenção. Você decide quais habilitar e como configurá-los.
- Detecção vs. remediação. A Replit monitora a plataforma e identifica o que consegue ver: dependências vulneráveis, sinais de abuso, anomalias da plataforma. Você monitora e corrige o que está dentro do seu aplicativo, porque você é o único que sabe o que “corrigido” significa no seu contexto.
- Próprios vs. terceiros. Skills, ferramentas MCP e Connectors verificados pela Replit são revisados pela Replit. Tudo que você conectar, instalar ou integrar por conta própria é de sua responsabilidade verificar, configurar, rotacionar e revogar.
Trabalhando com o Replit Agent
Você é dono do código que o Agent gera e é responsável por ele. Na prática, isso significa alguns hábitos:- Revise antes de publicar. O Agent produz código funcional, mas “funcional” e “correto” são coisas diferentes. Leia o que ele escreveu, especialmente em relação a autenticação, tratamento de dados e qualquer coisa que cruce um limite de confiança. Pedir ao Agent que escreva testes e explique seu raciocínio é uma boa forma de detectar regressões ao iterar.
- Mantenha segredos fora dos prompts. Use o recurso Secrets e os Connectors. Não cole chaves de API, tokens ou credenciais no chat: o Agent não precisa deles em texto simples para usá-los, e colá-los transforma um segredo gerenciado em um não gerenciado.
- Explique sua lógica de negócio e modelo de controle de acesso. Diga ao Replit Agent quem deve ter acesso a qual funcionalidade do seu app. Escolha uma das opções de publicação Privado ou Protegido por senha da Replit se o seu aplicativo não for destinado a ser visualizado por qualquer pessoa no mundo.
- Aprove ações sensíveis de forma deliberada. Quando o Agent propõe publicar o app, uma alteração de segredo ou uma chamada externa, a etapa de humano no ciclo é sua. Trate-a como uma revisão real, não como um clique automático.