> ## Documentation Index
> Fetch the complete documentation index at: https://docs.replit.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Modelo de responsabilidade compartilhada da Replit

> Entenda como as responsabilidades de segurança, conformidade e operação são divididas entre a Replit e você ao criar, publicar e executar aplicativos na Replit.

Criar e publicar aplicativos de forma segura é uma responsabilidade compartilhada. A Replit é responsável pela segurança do Replit Agent, da plataforma e da infraestrutura na qual as cargas de trabalho dos clientes são executadas. A Replit adota medidas para operá-los com controles razoáveis e configurações seguras por padrão, e fornece ferramentas que você pode usar para proteger seu aplicativo e seus dados. Você é responsável pelo conteúdo do seu aplicativo e pelo uso e configuração das ferramentas que a Replit disponibiliza.

Este é um equilíbrio intencional. A Replit quer que você construa tudo o que puder imaginar, e essa liberdade significa colocar certas decisões em suas mãos. A tabela a seguir descreve o modelo de responsabilidade compartilhada da Replit, estruturado com base em padrões estabelecidos de responsabilidade compartilhada em nuvem e IA ([Microsoft AI SRM](https://learn.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility-ai), [CSA AICM](https://cloudsecurityalliance.org/research/artifacts/ai-controls-matrix/)), e baseado em [ISO/IEC 42001](https://www.iso.org/standard/42001) e no [NIST AI RMF](https://www.nist.gov/itl/ai-risk-management-framework):

## Matriz de responsabilidades

### Geral

| Área                                             | Descrição                                                                                                                                                                                                                                                        | Responsabilidade                                                                                        |
| ------------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------- |
| Termos de Serviço                                | Conformidade com os Termos de Serviço da Replit.                                                                                                                                                                                                                 | Você                                                                                                    |
| Resposta a incidentes e notificação de violações | A Replit responde e notifica os clientes afetados sobre incidentes na plataforma conforme nossa Política de Resposta a Incidentes e contratos; você responde a incidentes originados em seus projetos, código do aplicativo, dados ou contas de usuários finais. | Replit (plataforma)<br />Você (app)                                                                     |
| Relatar vulnerabilidades à Replit                | Notificar a Replit sobre problemas descobertos na plataforma seguindo o modelo de [divulgação responsável](https://en.wikipedia.org/wiki/Coordinated_vulnerability_disclosure).                                                                                  | Replit (triagem e correção)<br />Você (reportar para [security@replit.com](mailto:security@replit.com)) |
| Certificações de conformidade da plataforma      | Manutenção de atestados (por exemplo, SOC 2 Type II) e fornecimento de evidências aos clientes.                                                                                                                                                                  | Replit                                                                                                  |
| Subprocessadores                                 | A Replit verifica e divulga os subprocessadores que tratam dados de clientes na plataforma; você verifica e divulga os subprocessadores usados pelo seu app.                                                                                                     | Replit (plataforma)<br />Você (app)                                                                     |

### Replit Agent

| Área                                              | Descrição                                                                                                                                                                                                | Responsabilidade                                                                                                                                        |
| ------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Geração de código                                 | A geração do código do aplicativo pelo Replit Agent.                                                                                                                                                     | Replit                                                                                                                                                  |
| Revisão de código                                 | Verificação de correção, segurança e licenciamento do output do Agent, incluindo dependências de terceiros que ele introduz.                                                                             | Você                                                                                                                                                    |
| Harness do Agent                                  | O framework agêntico usado pelo Replit Agent, gerenciamento de memória, ferramentas principais e assim por diante.                                                                                       | Replit                                                                                                                                                  |
| Humano no ciclo                                   | Aprovação de ações sensíveis propostas pelo Agent (deploys, alterações de segredos, chamadas externas).                                                                                                  | Você                                                                                                                                                    |
| Prompting                                         | Prompts e instruções fornecidos ao Replit Agent.                                                                                                                                                         | Você                                                                                                                                                    |
| Injeção de prompt e entradas não confiáveis       | A Replit reforça o harness e adiciona mitigações contra prompts maliciosos (sem garantia de prevenção); você evita fornecer ao Agent conteúdo externo não confiável sem sanitização e valida os outputs. | Replit (salvaguardas)<br />Você (higiene de entrada)                                                                                                    |
| Processamento de prompts e interação com o modelo | Como os prompts e o código gerado são registrados, retidos e se são usados para treinamento.                                                                                                             | Replit (em conformidade com os [Termos de Serviço](https://replit.com/terms-of-service) e o [Acordo de Processamento de Dados](https://replit.com/dpa)) |
| Skills / MCP                                      | Skills e ferramentas MCP verificadas pela Replit são mantidas pela Replit; Skills e ferramentas MCP instaladas pelo usuário são de sua responsabilidade verificar, configurar e revogar.                 | Replit (próprios)<br />Você (terceiros)                                                                                                                 |

### Ambiente de desenvolvimento

| Área                                                                       | Descrição                                                                                                                                                                                                                                | Responsabilidade                                                                            |
| -------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------- |
| Gerenciamento de identidade e acesso do workspace (contas, MFA, SSO, SCIM) | Proteger o acesso à sua organização e Workspace na Replit.                                                                                                                                                                               | Replit (controles)<br />Você (configuração)                                                 |
| Logs de auditoria do workspace                                             | Registro de quem fez o quê no seu Workspace da Replit.                                                                                                                                                                                   | Replit (provisão)<br />Você (revisão)                                                       |
| Gerenciamento de segredos                                                  | Sempre use Connectors e o recurso Secrets para garantir o armazenamento adequado de segredos.                                                                                                                                            | Você                                                                                        |
| Armazenamento de segredos                                                  | A Replit não armazena nem registra segredos em texto simples.                                                                                                                                                                            | Replit                                                                                      |
| Compartilhamento e colaboração                                             | A Replit fornece as ferramentas para aplicar controle de acesso; você é responsável por escolher quem pode visualizar, editar ou remixar cada app, interagir com o Agent, configurar Connectors, visualizar segredos e assim por diante. | Replit (controle de acesso baseado em funções)<br />Você (configuração)                     |
| Residência de dados                                                        | Onde os dados de desenvolvimento do aplicativo são armazenados e processados.                                                                                                                                                            | Replit (capacidades)<br />Você (seleção)                                                    |
| Retenção, exclusão e exportação de dados                                   | Por quanto tempo os dados são mantidos e como são excluídos ou exportados.                                                                                                                                                               | Replit (mecanismo)<br />Você (configuração)                                                 |
| Funcionalidade e correção do aplicativo                                    | Qualidade e funcionalidade do aplicativo. A Replit é responsável por fornecer testes de regressão; você é responsável por definir a lógica de negócio desejada.                                                                          | Replit (escrita de código e infraestrutura de testes)<br />Você (definir lógica de negócio) |
| Connectors                                                                 | A Replit fornece mecanismos seguros para se conectar a outros serviços; você autoriza, rotaciona e revoga suas credenciais nos serviços de terceiros.                                                                                    | Replit (mecanismo)<br />Você (credenciais e acesso de terceiros)                            |
| Ambiente de execução de desenvolvimento                                    | Sistema operacional e ambientes de execução.                                                                                                                                                                                             | Replit                                                                                      |
| Segurança de rede                                                          | Isolamento entre instâncias de desenvolvimento.                                                                                                                                                                                          | Replit                                                                                      |
| Monitoramento da plataforma                                                | Monitoramento da frota de infraestrutura da Replit.                                                                                                                                                                                      | Replit                                                                                      |

### Aplicativos publicados

| Área                                                   | Descrição                                                                                                                                                                                       | Responsabilidade                            |
| ------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------- |
| Gerenciamento de usuários                              | Controlar como os usuários fazem login no aplicativo publicado.                                                                                                                                 | Você                                        |
| Política de uso / controle de acesso                   | Controlar quais usuários têm acesso a quais recursos ou partes do app com base em autorização.                                                                                                  | Você                                        |
| Propriedade intelectual / Direitos autorais            | Você é responsável por verificar se o output do Agent e seu aplicativo respeitam os direitos de propriedade intelectual e direitos autorais.                                                    | Você                                        |
| Informações / Dados                                    | Os dados que são consumidos, criados ou exibidos pelo aplicativo.                                                                                                                               | Você                                        |
| Avisos de privacidade e consentimento do usuário final | Divulgações de privacidade, banners de cookies e consentimentos exibidos aos seus usuários finais.                                                                                              | Você                                        |
| Conformidade regulatória do seu aplicativo             | Cumprimento de leis e regulamentações aplicáveis ao seu app (por exemplo, GDPR, CCPA, PHI, PCI DSS, HIPAA, SOC 2).                                                                              | Você                                        |
| Teste de penetração do seu app                         | Testes de segurança do aplicativo que você cria.                                                                                                                                                | Você                                        |
| Divulgação de vulnerabilidades do seu app              | Receber e realizar triagem de relatórios de segurança de pesquisadores sobre o seu app.                                                                                                         | Você                                        |
| Proteção de borda (anti-DDoS e WAF)                    | Mitigação de ataques volumétricos e na camada de aplicação na borda da plataforma.                                                                                                              | Replit                                      |
| Infraestrutura de aplicativos publicados               | Onde os aplicativos publicados são executados, manutenção da infraestrutura, correção de vulnerabilidades da plataforma e assim por diante.                                                     | Replit                                      |
| Criptografia em trânsito e em repouso                  | TLS para tráfego; criptografia de dados armazenados na plataforma.                                                                                                                              | Replit                                      |
| Criptografia na camada de aplicação                    | Quaisquer necessidades de criptografia no nível do app ou de campo, e quaisquer armazenamentos de dados externos aos quais se conectam.                                                         | Você                                        |
| Ciclo de vida de publicação                            | A Replit fornece ferramentas para selecionar a visibilidade do aplicativo publicado (Privado, Protegido por senha, Público); você é responsável por escolher a visibilidade correta.            | Replit (mecanismo)<br />Você (configuração) |
| Gerenciamento de vulnerabilidades                      | A Replit detecta e alerta sobre vulnerabilidades em dependências de apps já publicados; você mitiga e remedia.                                                                                  | Replit (detecção)<br />Você (remediação)    |
| Registro e monitoramento                               | A Replit monitora a disponibilidade da plataforma e sinais de abuso; você é responsável pelo registro e monitoramento no nível do aplicativo (erros, eventos de negócio, atividade do usuário). | Replit (plataforma)<br />Você (app)         |
| Backups e recuperação                                  | Backup do código de aplicativos publicados e do conteúdo de bancos de dados gerenciados pela Replit.                                                                                            | Replit                                      |

## Como a responsabilidade é dividida

A maioria das linhas na tabela segue um de três padrões:

* **Mecanismo vs. configuração.** A Replit fornece os controles: RBAC, configurações de visibilidade, MFA, SSO, residência de dados, retenção. Você decide quais habilitar e como configurá-los.
* **Detecção vs. remediação.** A Replit monitora a plataforma e identifica o que consegue ver: dependências vulneráveis, sinais de abuso, anomalias da plataforma. Você monitora e corrige o que está dentro do seu aplicativo, porque você é o único que sabe o que "corrigido" significa no seu contexto.
* **Próprios vs. terceiros.** Skills, ferramentas MCP e Connectors verificados pela Replit são revisados pela Replit. Tudo que você conectar, instalar ou integrar por conta própria é de sua responsabilidade verificar, configurar, rotacionar e revogar.

Algumas linhas são exclusivamente suas: política de uso, controle de acesso, revisão de propriedade intelectual, avisos de privacidade para usuários finais e testes de penetração no nível do aplicativo. Elas dependem de um contexto que só você possui. Outras linhas são de responsabilidade da Replit: ela é a plataforma sobre a qual seus apps são criados e executados.

Esses padrões se repetem deliberadamente. São a única forma honesta de dividir responsabilidades em uma plataforma onde a liberdade de criar qualquer coisa é o propósito.

## Trabalhando com o Replit Agent

Você é dono do código que o Agent gera e é responsável por ele. Na prática, isso significa alguns hábitos:

1. **Revise antes de publicar.** O Agent produz código funcional, mas "funcional" e "correto" são coisas diferentes. Leia o que ele escreveu, especialmente em relação a autenticação, tratamento de dados e qualquer coisa que cruce um limite de confiança. Pedir ao Agent que escreva testes e explique seu raciocínio é uma boa forma de detectar regressões ao iterar.
2. **Mantenha segredos fora dos prompts.** Use o recurso Secrets e os Connectors. Não cole chaves de API, tokens ou credenciais no chat: o Agent não precisa deles em texto simples para usá-los, e colá-los transforma um segredo gerenciado em um não gerenciado.
3. **Explique sua lógica de negócio e modelo de controle de acesso.** Diga ao Replit Agent quem deve ter acesso a qual funcionalidade do seu app. Escolha uma das opções de publicação Privado ou Protegido por senha da Replit se o seu aplicativo não for destinado a ser visualizado por qualquer pessoa no mundo.
4. **Aprove ações sensíveis de forma deliberada.** Quando o Agent propõe publicar o app, uma alteração de segredo ou uma chamada externa, a etapa de humano no ciclo é sua. Trate-a como uma revisão real, não como um clique automático.

## Conformidade e resposta a incidentes

Você é responsável por aderir aos [Termos de Serviço da Replit](https://replit.com/terms-of-service). Você também é responsável por compreender seus próprios requisitos de conformidade e legais. Para entender o que a Replit oferece ou não do ponto de vista de conformidade (SOC 2 Type II, subprocessadores, certificações e assim por diante), visite [replit.com/security](https://replit.com/security).

Se você encontrar uma vulnerabilidade na plataforma Replit, reporte-a para [security@replit.com](mailto:security@replit.com) seguindo o processo de [divulgação responsável](https://en.wikipedia.org/wiki/Coordinated_vulnerability_disclosure) da Replit. Se encontrar uma no app que você criou, a triagem é sua. Incidentes na plataforma são tratados conforme a Política de Resposta a Incidentes da Replit; incidentes originados no seu aplicativo, nos seus dados ou nas contas dos seus usuários finais são de sua responsabilidade liderar.
