Home | Blog | Guide

Segurança no Sugarbug: os seus dados continuam seus

Segurança do Sugarbug: scraping em espaço de utilizador, padrão hospitalar, sem lock-in, sem treino de modelos com os seus dados. Para empresas e saúde.

By Ellis Keane · 2026-04-17

Há uma piada recorrente na nossa indústria: a melhor forma de ter IA grátis é tornar-se nos dados de treino. Cada geração de plataforma arranjou maneira de monetizar o seu trabalho um pouco mais depressa (e um pouco mais sorrateiramente) do que a anterior, e algures pelo caminho todos concordámos em chamar-lhe "o futuro". (Dizem-me que a isto também se chama progresso.) O Sugarbug é construído sobre o princípio oposto, e este artigo é a visita guiada em linguagem clara à segurança do Sugarbug: o que prometemos, o que está no código agora, o que chega no lançamento de produção e porque nos impomos um padrão mais exigente do que qualquer regulador pediria.

Estamos no centro dos fluxos de trabalho mais sensíveis da sua empresa. Threads do Slack que a sua equipa assumiu que ninguém iria reler. Debates em PRs onde alguém perdeu uma discussão em 2023 e ainda não perdoou o reviewer. Comentários no Figma e revisões de design, tickets do Linear, convites de calendário, transcrições de reuniões – tudo. A única bitola honesta para guardar este tipo de dados é o padrão hospitalar: tão rigorosos connosco próprios como um hospital é com registos de pacientes, e mais duros com a nossa engenharia do que qualquer regulação exige. Qualquer coisa mais suave é uma aposta de que ninguém vai verificar, e apostar em não ser verificado é um péssimo plano a longo prazo.

O que o Sugarbug consegue ver (e o que não consegue)

O Sugarbug opera em espaço de utilizador. Faz scraping com as suas permissões, lê das suas contas e vê exatamente o que você vê – nem mais, nem menos. Essa única propriedade arquitetónica (que soa aborrecida da primeira vez e perigosamente estrutural da segunda) tem consequências genuinamente profundas para o tratamento dos seus dados.

Os administradores não podem ler as suas mensagens privadas. Na maioria dos produtos de trabalho, quando sai de uma empresa a sua conta antiga torna-se no arquivo do empregador. Podem reabrir a sua caixa de entrada, percorrer DMs do Slack que julgava serem privadas e ler e-mails enviados há anos. O Sugarbug fecha essa porta antes de ela se abrir. Um administrador da organização só pode ver o que a organização já conseguia ver sem o Sugarbug – os canais públicos, os documentos partilhados, os calendários de grupo. Os seus conectores privados são exclusivamente seus.

Aderir a uma organização é imediato. Novos membros recebem uma única fonte agregada, pré-processada, que junta tudo o que um membro normalmente veria – canais públicos do Slack, notas de reuniões de grupo, documentos partilhados do Notion, tickets do Linear, alterações no Figma, PRs públicos – desduplicado e já indexado pelo grafo composto da organização. Entra e tem imediatamente o contexto comum da equipa, sem pagar o custo de re-ingerir o que os seus colegas já processaram.

Sair de uma organização é limpo. Quando se desconecta, perde o acesso à fonte agregada da organização e aos seus sinais – nada mais. Os seus conectores privados ficam. O seu histórico, as suas notas e o seu grafo pessoal viajam todos consigo para o próximo destino.

O scraping em espaço de utilizador é a decisão estrutural. É o que torna as mensagens privadas privadas, o que mantém o grafo portátil portátil e o que transforma "os seus dados são seus" de uma frase de marketing numa propriedade do sistema.

O modelo de diário

Pense em alguém que mantém um caderno privado ao longo de uma carreira. Ano após ano vai enchendo-o com as pessoas que conhece, o que anda a pensar, como um dado momento o marcou, o que aprendeu numa semana difícil. Esse diário pertence à pessoa que o escreveu. É também aquilo que a torna num colega mais perspicaz, mais ponderado e mais valioso.

O Sugarbug é esse diário escalado para um grafo de conhecimento de trabalho completo: o seu contexto privado (DMs, notas, conversas um-a-um) e o contexto partilhado da organização (threads do Slack em canais públicos, tickets do Linear, documentos partilhados) cosidos num único sistema pessoal sem esbater as linhas entre eles. Privado para o indivíduo, útil para a equipa quando o indivíduo decide partilhar, portátil quando a pessoa muda de sítio.

Como privado e público são indexados juntos em vez de viverem em ferramentas separadas, trabalhar em público torna-se a forma mais eficiente de operar (uma afirmação maior do que parece, para quem já passou uma semana em atualizações de estado). Faz o trabalho, o contexto partilhado atualiza-se sozinho e o modelo de diário privado continua privado.

O Sugarbug é esse diário escalado para um grafo de conhecimento de trabalho completo, sem esbater a linha entre o que é seu e o que é partilhado.

O que é distribuído hoje

Estes não são itens de roadmap. São os componentes de segurança do Sugarbug que já estão no código, a correr no CI e por trás de cada commit que sai.

Início de sessão sem palavra-passe. A autenticação é exclusivamente OAuth com cinco fornecedores de identidade. Não há palavras-passe para pescar, vazar ou reutilizar.
Encriptação em todo o lado. Payloads sensíveis em repouso usam AES-256-GCM autenticado; as ligações usam TLS 1.3 com HSTS preload em todos os endpoints públicos.
Isolamento de tenants em todas as camadas. Cada query e cada pesquisa vetorial tem scope no chamador, e fugas entre tenants são testadas por testes automatizados em cada corrida de CI.
Ações administrativas são visíveis. Logs de auditoria à prova de adulteração cobrem impersonação, alterações de conta e purgas de dados. Se um engenheiro do Sugarbug precisar de aceder à sua conta para um pedido de suporte, o log mostra exatamente quem, quando e porquê.
A segurança faz parte do pipeline de build. Automações personalizadas analisam cada commit em busca de segredos vazados, dependências vulneráveis e regressões de qualidade de código. Uma alteração que falhe estas verificações nunca é distribuída.
Deploys seguros. Rollouts blue-green com health-checks revertem-se automaticamente se algo correr mal, antes de os seus utilizadores notarem.
Canais autenticados em todo o lado. O cliente desktop, o agente local que corre ao seu lado e os nossos servidores comunicam através de canais autenticados e encriptados. Nenhum tráfego em texto limpo – nunca.

O que o lançamento acrescenta

A lista do "que é distribuído hoje" é a fundação. O lançamento de produção é onde adicionamos os controlos que grandes compradores chamam de "requisitos mínimos" depois de os pedirem num spreadsheet de 14 separadores, e que nós, pessoalmente, queremos implementados antes de qualquer coisa verdadeiramente sensível ficar atrás da API. Leia tudo abaixo como um compromisso firme de lançamento para cada utilizador, não uma lista de desejos nem algo reservado a um contrato enterprise.

Chaves de encriptação geridas pelo cliente. O seu sistema de gestão de chaves guarda as chaves. Os operadores do Sugarbug não conseguem desencriptar os seus dados, mesmo com acesso total ao servidor – o mais perto de zero-knowledge que um produto de workflow intelligence consegue honestamente chegar.
Bring your own LLM. Encaminhe o enrichment através do fornecedor que preferir – OpenAI, Anthropic, Google ou um modelo open-source auto-hospedado. A sua escolha, a sua fatura, a sua relação de processamento de dados. Para equipas que precisem, o enrichment pode correr inteiramente num modelo auto-hospedado, de ponta a ponta.
PII removido antes de cada chamada LLM. Qualquer que seja o modelo para o qual encaminha – nosso, seu, cloud, híbrido, totalmente local – cada payload de enrichment tem nomes, e-mails, números de telefone, moradas, chaves e identificadores substituídos por tokens reversíveis antes de chegar ao modelo. O LLM vê a estrutura dos seus dados, nunca as pessoas neles. O Sugarbug resolve os tokens de volta à receção para que o output chegue com o contexto correto.
Armazenamento de credenciais apoiado pelo keychain no cliente desktop. Os seus tokens de integração ficam onde só o seu sistema operativo lhes consegue chegar.
Binários de aplicação assinados e notarizados com atualizações automáticas verificadas por assinatura. Pode verificar que o Sugarbug que está a correr é o Sugarbug que distribuímos.
Logging estruturado de grau de compliance com janelas de retenção definidas para cada classe de eventos.
Redundância multi-região com recuperação automática para um ponto no tempo.

Para onde vamos

O lançamento de produção não é o estado final. O nosso horizonte para além dele é um Sugarbug que qualquer utilizador – não apenas empresas com infraestrutura dedicada – consiga correr inteiramente na sua própria máquina. O seu modelo, o seu armazenamento, o seu grafo, sem sincronizar nada que não tenha de sincronizar. Workflow intelligence debaixo do seu próprio teto, sem nada nos nossos servidores a menos que escolha colocá-lo lá (pode alternar quando quiser). A arquitetura está a ser construída com esse destino em vista, e cada decisão que tomamos entre agora e o lançamento é verificada contra ele.

(Se isso parece ambicioso, ótimo. Uma indústria que durante uma década enviou silenciosamente os seus dados para conjuntos de treino merece uma contra-proposta comercial ambiciosa.)

A retenção é sua para controlar

O Sugarbug espelha a política de retenção do seu sistema de origem. Se o seu Slack mantém mensagens durante 90 dias, a cópia do Sugarbug desaparece no mesmo calendário – em todas as superfícies, incluindo tarefas, resumos de pessoas, preparação de reuniões e pesquisa vetorial. Define a janela uma vez; nós cumprimo-la em todo o lado.

Quando apaga a sua conta, apagamos tudo, incluindo vector embeddings.

Sem trancas na porta

Não queremos prendê-lo. Queremos que fique porque o Sugarbug é genuinamente a melhor experiência e torna-o a si e à sua equipa mais perspicazes do que qualquer alternativa – não porque sair é difícil. Por isso pode extrair os seus dados a qualquer momento, sem conversas com vendedores e sem uma equipa de retenção entre si e o botão de exportação. Cada tarefa, cada pessoa, cada reunião sai num formato portátil, pronto para encaixar no que vier a seguir.

Experimente outras opções. Desafie-nos. Essa pressão faz parte de como melhoramos, e facilitar a sua vida profissional é o objetivo.

Sobre-engenhado para empresas

Organizações grandes e reguladas têm revisões de procurement que duram meses e checklists com centenas de perguntas. (Se alguma vez respondeu a um SIG Lite às 23h na véspera de fechar um negócio, devo-lhe um copo.) A história de segurança do Sugarbug foi concebida para passar logo à primeira. Se alguma vez tentou passar por uma destas à meia-noite, meio cafeinado, a negociar em silêncio com o universo por um spreadsheet mais pequeno, já sabe esta secção de cor – o produto é construído para que não precise de improvisar em nenhum ponto.

Identidade e acesso. SAML 2.0 SSO com Okta, Azure AD, Ping, Google Workspace e JumpCloud. Provisionamento e desprovisionamento SCIM 2.0 para offboarding automático no momento em que o seu HRIS marca um colaborador como terminado. Política de MFA imposta pela organização, timeouts de sessão configuráveis e listagem de IPs permitidos ao nível da organização.

Fronteiras de dados verificáveis.

Os seus dados não treinam modelos. Nem os nossos, nem os dos nossos fornecedores, nem os de ninguém. Isto é um compromisso arquitetónico, não uma linha num contrato – asseguramos Zero Data Retention com todos os fornecedores de LLM pelos quais encaminhamos sinais, e clientes que precisem de uma garantia mais forte podem optar por enrichment local onde nenhum dado bruto sai do seu perímetro.
Residência de dados regional nos EUA, UE e Reino Unido. Os seus dados ficam fisicamente na região que escolher. Sem cópias transfronteiriças, sem "fica lá na maioria das vezes".
Lista de subprocessadores publicada com notificações antecipadas quando muda e uma janela para levantar objeções antes de a alteração entrar em vigor.
DPA pré-assinado com Cláusulas Contratuais Padrão para transferências transfronteiriças e uma Transfer Impact Assessment pronta para a sua equipa jurídica.

Rede e operações.

Rede privada via AWS PrivateLink, Azure Private Endpoints e GCP Private Service Connect. Para clientes que o exijam, o tráfego entre a sua rede e o Sugarbug nunca toca na internet pública.
Streaming de logs de auditoria para Splunk, Datadog, Microsoft Sentinel ou Chronicle. O seu SOC vê os mesmos eventos que nós.
Legal hold e eDiscovery – suporte para dados sob litígio, incluindo suspensão de retenção e exportação com scope definido.
Infraestrutura dedicada single-tenant disponível para os deployments mais sensíveis.
Notificação contratual de violação em 24 horas – bem dentro do limite de 72 horas do RGPD.
Objetivos de RTO e RPO publicados suportados por um plano de disaster recovery documentado e backups multi-região.
Staff com verificação de antecedentes com acesso de produção, formação anual de segurança e revisões trimestrais de acessos.

Verificação nos seus termos.

Teste de penetração anual por terceiros realizado por uma firma reconhecida. O sumário executivo é público; o relatório completo está disponível sob NDA.
Programa público de bug bounty.
Centro de confiança num único URL: relatório SOC 2, certificado ISO/IEC 27001, sumário do teste de penetração, lista de subprocessadores, template de DPA, página de estado de segurança e a bridge letter de auditoria mais recente.
Respostas SIG Lite, CAIQ e VSA-Full pré-preenchidas prontas para a sua equipa de procurement.

Sobre-engenhado para saúde

Hospitais e sistemas de saúde carregam um tipo de risco diferente do de uma empresa comum. Num SaaS normal, uma violação é um incidente; em ambientes clínicos, uma violação pode ficar algures entre um problema de prestação de cuidados e uma investigação federal, e a distância entre esses dois desfechos não é um lugar onde queiramos estar. O Sugarbug é construído com essa diferença em mente. Os compromissos abaixo não estão reservados ao nível mais alto do nosso preçário, porque "BAA só no enterprise" sempre foi uma jogada silenciosamente cínica nesta indústria.

Business Associate Agreement disponível em todos os planos pagos – assinado antes de qualquer Protected Health Information fluir pela sua conta. Sem gating exclusivo de enterprise.
Controlos de acesso ao mínimo necessário com logging de auditoria consciente de PHI retido durante seis anos para cumprir os requisitos HIPAA e HITECH.
Notificação de violação alinhada com HITECH com timeline definida e workflow documentado.
Infraestrutura dedicada single-tenant disponível para deployments onde hosting multi-tenant partilhado não cumpra os seus padrões internos.

Trajetória de compliance

Auditorias não são divertidas. Descobrir que o fornecedor "seguro por defeito" que comprou no ano passado queria dizer "seguro no deck de vendas" também não é divertido. No lançamento de produção, o Sugarbug visa:

SOC 2 Type II – segurança, disponibilidade e confidencialidade.
ISO/IEC 27001 – gestão internacional de segurança da informação.
HIPAA para clientes com Business Associate Agreements.
RGPD – portabilidade de dados, direito ao apagamento e base legal em toda a linha.

As decisões de arquitetura que já tomámos mapeiam-se diretamente nos controlos que estes frameworks exigem: isolamento de tenants em todas as camadas, logging de auditoria de ponta a ponta, encriptação pronta para envelope, semântica de eliminação verificável e um modelo de scraping em espaço de utilizador que mantém os administradores fora de dados privados por design. A segurança do Sugarbug não é um capítulo que se acrescenta no final – é a forma do produto. O caminho mais curto e honesto para passar uma auditoria é construir o produto da forma que o auditor desejaria que todos construíssem, e estamos a tentar fazê-lo à primeira.

Se quer uma camada de workflow intelligence que trate os seus dados como registos de pacientes em vez de ração para treino, é isso que estamos a construir. Experimente o Sugarbug em sugarbug.ai.

Perguntas Frequentes

As perguntas mais comuns sobre a segurança do Sugarbug, em respostas diretas.

O Sugarbug treina modelos de IA com os meus dados?

Não, e nunca irá treinar. Isso é uma decisão arquitetónica, não contratual. No lançamento de produção, Zero Data Retention está em vigor com todos os fornecedores de LLM pelos quais encaminhamos tráfego, e clientes que queiram algo mais rigoroso podem optar por enrichment local.

O meu empregador pode ler as minhas DMs privadas do Slack através do Sugarbug?

Não. O Sugarbug faz scraping apenas com as suas permissões. Um administrador da organização não vê nada que a organização não pudesse já ver sem o Sugarbug – canais públicos, documentos partilhados, calendários de grupo. Os seus conectores privados são exclusivamente seus.

O que acontece aos meus dados do Sugarbug quando saio da empresa?

Mantém o seu grafo privado e leva-o consigo. Sair de uma organização remove o seu acesso à fonte agregada da organização e aos seus sinais, apagando o histórico à medida que o seu acesso às ferramentas conectadas é removido. O seu histórico pessoal e notas viajam consigo.

Como é que o Sugarbug mantém dados pessoais fora dos prompts de IA?

No lançamento de produção, PII é removido de cada payload de enrichment antes de o modelo o ver – seja o nosso modelo, o seu, de um fornecedor cloud ou totalmente local. O LLM vê a estrutura do seu problema, nunca as pessoas ou os dados nele.

O Sugarbug cumpre SOC 2 e HIPAA?

No lançamento de produção, o Sugarbug visa SOC 2, ISO/IEC 27001, HIPAA (com BAAs) e RGPD. Os BAAs estão disponíveis em todos os planos pagos, sem ficarem reservados ao preço enterprise.