Trust Center · Segurança e Compliance

Tudo que CISO, DPO e auditor precisam saber sobre como protegemos seus dados e os do seu cliente.

Segurança e compliance · transparência total

Esta página é nossa "Trust Center" pública. Tudo que seu CISO, DPO ou auditor precisa saber pra avaliar a Lavrante como fornecedor. Sem letras miúdas · sem caixa-preta.

Baixar pacote completo Falar com security

Status operacional · todos os sistemas funcionando

Status page →

Console web

Latência: 184ms

99.97%

90d uptime

API pública

Latência: 92ms

99.99%

90d uptime

Portal cliente

Latência: 210ms

99.98%

90d uptime

OCR + IA

Latência: 4.2s

99.92%

90d uptime

RPA e-CAC

Latência: 8s

99.85%

90d uptime

Webhook delivery

Latência: 320ms

99.95%

90d uptime

Certificações e padrões

ISO 27001

Sistema de Gestão de Segurança da Informação

Em auditoria · certificação Q3/26

ISO 27701

Sistema de Gestão de Privacidade de Informação

Em auditoria · certificação Q4/26

SOC 2 Type II

Auditoria controles segurança/disponibilidade/confidencialidade

Em planejamento · Q1/27

LGPD ANPD

Conformidade Lei Geral de Proteção de Dados

Aderente · DPO designado · base legal documentada

PCI DSS

Padrão de segurança pra cartão de crédito

Não aplicável · não armazenamos cartão

HIPAA

Saúde EUA

Não aplicável · operação só Brasil

Controles técnicos de segurança

Criptografia em repouso e trânsito

AES-256 em todos os dados em repouso (Vault + RDS) · TLS 1.3 em todas as comunicações · HSTS strict · perfect forward secrecy

MFA obrigatório

TOTP (Google/Microsoft Authenticator) ou WebAuthn pra todos os usuários · admins forçados a hardware key (Yubikey)

Princípio do menor privilégio (RBAC granular)

5 papéis com permissões granulares por rota e por ação · 4-eyes em operações > R$ 100k · trilha auditável imutável

Backup + DR (Disaster Recovery)

Backup contínuo (RPO 5 min) · DR site em outra região AWS · teste mensal · RTO 1h documentado

Monitoramento 24/7 + SIEM

Datadog + CloudWatch + custom rules · alertas em tempo real · SOC interno escalonado · pentest semestral por OWASP

Segregação de ambientes (dev/staging/prod)

VPCs separadas · IAM por ambiente · dados sintéticos em dev · prod sem acesso humano direto (Bastion + JIT)

LGPD · Bases legais por categoria de dado

Conforme art. 7 e art. 11 da Lei 13.709/2018

Categoria de dado	Base legal	Retenção
Dados cadastrais do partner	Execução de contrato (art. 7, V)	Durante vigência + 5 anos
Dados fiscais do cliente final	Cumprimento de obrigação legal (art. 7, II) + Procuração e-CAC	10 anos (legal tributário)
Logs de uso da plataforma	Legítimo interesse (art. 7, IX)	180 dias · auditoria de segurança
Cookies analíticos	Consentimento (art. 7, I)	13 meses · opt-out fácil
Dados sensíveis (PEP, saúde)	Consentimento específico + finalidade	Mínimo necessário

Plano de resposta a incidentes

SLAs documentados · histórico 2026 transparente

Tipo de incidente	SLA notificação	SLA resolução	Histórico 2026
Acesso indevido	24h	72h	0
Vazamento de dados	Imediato + ANPD em 24h	Variable	0
Indisponibilidade > 1h	Imediato	4h	1
Phishing/social eng.	12h	48h	0
Erro de processamento fiscal	24h	Sem multa (garantia)	2

Documentos públicos

Política de Privacidade

LGPD-compliant · explica todo tratamento de dados · linguagem clara

Termos de Uso

Contrato de adesão pro cliente final · revisado por advogado

Acordo de Tratamento de Dados (DPA)

Anexo do contrato · cláusulas LGPD obrigatórias

Política de Segurança da Informação

Controles técnicos e administrativos · alinhada ISO 27001

Plano de Resposta a Incidentes

Procedimentos · escalation · comunicação · forensics

Relatório de Pentest Q4/25

Hash SHA-256: a3f2... · 4 findings · todos resolvidos

Avaliação de fornecedor (Vendor Assessment)?

Respondemos questionário CSA STAR, SIG, padrão TPN e custom em até 5 dias úteis. CISO ou DPO do partner pode agendar reunião técnica direta.

Solicitar questionário Plano continuidade

Categoria de dado

Base legal

Retenção

Dados cadastrais do partner

Execução de contrato (art. 7, V)

Durante vigência + 5 anos

Dados fiscais do cliente final

Cumprimento de obrigação legal (art. 7, II) + Procuração e-CAC

10 anos (legal tributário)

Logs de uso da plataforma

Legítimo interesse (art. 7, IX)

180 dias · auditoria de segurança

Cookies analíticos

Consentimento (art. 7, I)

13 meses · opt-out fácil

Dados sensíveis (PEP, saúde)

Consentimento específico + finalidade

Mínimo necessário

Tipo de incidente

SLA notificação

SLA resolução

Histórico 2026

Acesso indevido

24h

72h

Vazamento de dados

Imediato + ANPD em 24h

Variable

Indisponibilidade > 1h

Imediato

Phishing/social eng.

12h

48h

Erro de processamento fiscal

24h

Sem multa (garantia)