Segurança & Conformidade

Seguro por arquitetura. Honesto sobre o que prova.

O Lastrium roda dentro do seu perímetro, nunca toca nas suas chaves e nada sai do seu ambiente. Ele entrega evidência de postura — não certificação — pronta para o seu auditor.

Roda no seu perímetro Não acessa suas chaves Nada sai do ambiente

Por que é seguro

Seguro por arquitetura, não por promessa.

O modo como o Lastrium roda remove a maior parte da superfície de risco de fornecedor que preocupa uma instituição regulada — por design, antes de qualquer política.

Roda no seu perímetro

Instalado no seu próprio ambiente ou CI. Sistemas de terceiros executados com os recursos da própria instituição ficam sob os seus controles — o Lastrium se encaixa no seu perímetro auditável, não como caixa-preta externa.

CMN 5.274 · sistemas de terceiros

Não acessa suas chaves

A varredura nunca lê nem exporta chaves privadas, atendendo diretamente à vedação de acesso de terceiros a chaves privadas da BCB 538 e da CMN 5.274.

BCB 538 · vedação de acesso a chaves

Nada sai do ambiente

Código-fonte, achados e atestações permanecem no seu perímetro. Opera offline e em air-gap — sem dado cruzando fronteiras, sem a fricção de contratação no exterior.

offline · air-gap

Sem base agregada

Nada é centralizado em nuvem nossa. Não existe um repositório com o mapa de fraquezas de vários clientes juntos. A sua exposição nunca vira a nossa.

sem multi-tenant centralizado

A posição honesta

Evidência de postura. A conformidade é sua.

O Lastrium não certifica conformidade nem assume a sua responsabilidade regulatória — ela é, por norma, da instituição. O que ele entrega é evidência defensável: reproduzível, assinada e datada, na linguagem que o seu auditor aceita.

Prova, não planilha. Postura, não garantia. Ser preciso sobre essa linha é o que protege os dois lados.

Reproduzível Assinada · ed25519 Datada Versionada

Mapeamento normativo

Ligado à norma brasileira — e mantido.

Cada achado é vinculado ao dispositivo exato que cumpre ou viola, revisado por advogado regulatório e versionado conforme a norma muda.

CMN 5.274/2025 BCB 538/2025 LGPD · art. 46 NIST PQC

Padrões abertos

Sobre padrões abertos e auditáveis.

→

CBOM em CycloneDX

Formato aberto e padronizado (ECMA-424) para o inventário criptográfico — interoperável, sem aprisionamento proprietário.

→

Classificação alinhada ao NIST PQC

Estado-alvo pós-quântico fundamentado nos padrões do NIST (FIPS 203/204/205 — ML-KEM, ML-DSA, SLH-DSA).

→

Atestação assinada e reproduzível

Assinatura ed25519 / Cosign; a mesma entrada sempre produz a mesma evidência — verificável de forma independente.

Como é construído

Práticas de segurança do produto.

✓

Desenvolvimento seguro

Revisão de código obrigatória, análise estática e varredura de dependências na esteira.

✓

Cadeia de suprimento

Binários assinados e SBOM do próprio produto publicado — praticamos a rastreabilidade criptográfica que vendemos.

✓

Segredos

Em cofre gerenciado, nunca em código.

✓

Acesso

MFA e menor privilégio nos sistemas e na esteira de build.

✓

Verificação independente

Pentest independente do produto, documentado, a cada versão relevante.

Para a sua avaliação

Pronto para a sua avaliação de fornecedor.

Disponibilizamos, sob solicitação, o pacote que a sua área de risco precisa para nos avaliar:

Whitepaper de arquitetura

O modelo de execução no perímetro, o "nada sai", o "não toca em chave".

Security overview

Os controles resumidos em linguagem de CISO.

Relatório de pentest

Teste independente do produto, último ciclo.

Enquadramento LGPD + DPA

Papéis de dado e um acordo de tratamento pronto.

Minuta de contrato

Direito de auditoria, plano de saída, transparência de subcontratados.

Amostra de mapeamento

Uma amostra do mapeamento normativo e um exemplo de atestação assinada.

Fale com a gente

Pronto para a sua due diligence.

Comece com um diagnóstico de 30 minutos — e peça o pacote de avaliação de fornecedor.

Agendar diagnóstico Solicitar pacote de avaliação →