Phase 17 - Lesson 26
Conformidade — SOC 2, HIPAA, GDPR, PCI-DSS, EU AI Act, ISO 42001
A cobertura de múltiplas estruturas (multi-framework) é o requisito mínimo para contratos empresariais em 2026. EU AI Act: em vigor desde 1º de agosto de 2024. A maioria dos requisitos de alto risco entra em vigor em 2 de agosto de 2026. Multas de até €15 milhões ou 3% do faturamento anual global para obrigações de sistemas de alto risco (Art. 99(4)); de até €35 milhões ou 7% para práticas proibidas de IA (Art. 99(3)). Aplica-se globalmente se atender a usuários da UE. Colorado AI Act: em vigor a partir de 30 de junho de 2026 (adiado de fevereiro de 2026 pela SB25B-004) — avaliações de impacto para sistemas de alto risco e direito de recorrer de decisões de IA. Virgínia tem regras semelhantes para crédito/emprego/moradia/educação. SOC 2 Type II: requisito padrão de IA para B2B (Type II, não Type I, para fintechs). GDPR: a maior multa documentada específica para IA é de €30,5 milhões contra a Clearview AI (Dutch DPA, Set 2024); o Garante da Itália emitiu €15 milhões contra a OpenAI em Dez 2024 (posteriormente anulada em recurso em Março de 2026). A remoção de PII em tempo real na inferência é o padrão defensável; a limpeza pós-processamento não é suficiente. HIPAA: setor de saúde — não é possível enviar PHI para serviços externos de IA sem um BAA. PCI-DSS: a cobertura da camada de interação com IA exige configuração + acordos contratuais, não é automática. ISO 42001: norma emergente de governança de IA, exigência crescente em compras corporativas ao lado da ISO 27001. Perfil de referência: a OpenAI mantém SOC 2 Type 2, ISO/IEC 27001:2022, ISO/IEC 27701:2019, GDPR/CCPA/HIPAA (BAA)/FERPA e PCI-DSS para componentes de pagamento do ChatGPT. O mapeamento cruzado de estruturas reduz a fadiga de auditoria: controles de acesso são mapeados entre ISO 27001 A.5.15-5.18, GDPR Art. 32 e HIPAA §164.312(a).
Tipo: Learn Linguagens: (Python opcional — conformidade é política + processo, não código) Pré-requisitos: Phase 17 · 25 (Security), Phase 17 · 13 (Observability) Tempo: ~60 minutos
Objetivos de Aprendizagem
- Enumerar as sete estruturas de 2026 relevantes para produtos de LLM e associar cada uma a um segmento de cliente.
- Citar o cronograma de vigência do EU AI Act (em vigor em agosto de 2024; fiscalização de alto risco em agosto de 2026) e o teto de multas de dois níveis (€15M / 3% para obrigações de alto risco, €35M / 7% para práticas proibidas).
- Explicar por que a limpeza de PII pós-processamento não é suficiente para o GDPR e nomear a remoção na camada de inferência em tempo real como o padrão defensável.
- Descrever o mapeamento cruzado de controles (por exemplo, controle de acesso mapeado para ISO 27001 A.5.15-5.18 + GDPR Art. 32 + HIPAA §164.312(a)).
O Problema
O setor de compras de um cliente corporativo solicita SOC 2 Type II, GDPR, HIPAA BAA, ISO 27001 e uma "declaração de conformidade com o EU AI Act". Sua equipe possui SOC 2 Type I. Você está a seis meses da auditoria do Type II e ainda não iniciou os registros do Artigo 30 do GDPR.
A cobertura de múltiplas estruturas não é um problema de LLM — é um problema de SaaS corporativo, com camadas específicas de LLM. Em 2026, as equipes de compras querem uma matriz com uma linha por estrutura e uma coluna por controle, e não um arquivo PDF.
O Conceito
As sete estruturas
| Estrutura | Escopo | Requisito específico de LLM |
|---|---|---|
| SOC 2 Type II | Linha de base para SaaS B2B | Controles de processo auditados ao longo de 6-12 meses |
| HIPAA | Setor de saúde dos EUA | Necessário BAA; PHI não pode sair da infraestrutura sem acordo assinado |
| GDPR | Usuários da UE | Remoção de PII em tempo real; direitos dos titulares dos dados; registros do Artigo 30 |
| PCI-DSS | Dados de pagamento | Configuração + contratos para IA que interage com pagamentos |
| EU AI Act | Usuários da UE | Nível de risco classificação; sistemas de alto risco: avaliação de conformidade, documentação, geração de logs |
| Colorado AI Act | Residentes do Colorado (EUA) | Avaliações de impacto; direito de recorrer |
| ISO 42001 | Governança de IA | Emergente; atua em conjunto com a ISO 27001 |
Cronograma do EU AI Act
- 1º de agosto de 2024: em vigor.
- 2 de fevereiro de 2025: fiscalização de práticas proibidas de IA.
- 2 de agosto de 2026: fiscalização de sistemas de alto risco (avaliação de conformidade, documentação, geração de logs).
- Agosto de 2027: sistemas de alto risco em produtos sob legislação harmonizada.
Níveis de risco: Inaceitável (banido), Alto risco (conformidade + logs), Risco limitado (transparência) e Risco mínimo (sem restrições). A maioria dos SaaS B2B de LLM é de risco limitado; o alto risco se aplica a emprego, crédito, educação, aplicação da lei, migração e serviços essenciais.
Multas (Artigo 99): de até €15 milhões ou 3% do faturamento anual global para infrações de obrigações de sistemas de alto risco (Art. 99(4)); de até €35 milhões ou 7% para práticas de IA proibidas (Art. 99(3)); o que for maior será aplicado.
GDPR — remoção em tempo real é o padrão
A limpeza pós-processamento (remover PII depois que o LLM a visualiza) não é uma postura defensável — o modelo já teve acesso aos dados. A remoção na camada de inferência em tempo real é o padrão para 2026:
- Reconhecimento de entidade antes da chamada do LLM.
- Tokenização consistente (abordagem Mesh) preserva a semântica.
- Armazenamento apenas de prompts removidos + dados brutos autorizados por consentimento (opt-in).
Aplicações recentes: €30,5 milhões contra a Clearview AI (Dutch DPA, Set 2024) é a maior multa de GDPR específica de IA documentada até o momento; €15 milhões contra a OpenAI (Garante da Itália, Dez 2024) é a maior multa específica de LLM, embora tenha sido anulada em recurso em março de 2026 e a decisão permaneça sob análise. Alegações de limpeza pós-processamento falharam em auditorias.
HIPAA — BAA não é opcional
Você não pode enviar informações de saúde protegidas (PHI) para serviços externos de IA sem um Business Associate Agreement assinado. As três plataformas de LLM de hyperscalers (Bedrock, Azure OpenAI e Vertex) oferecem BAAs. A API direta da OpenAI oferece BAA. A API direta da Anthropic oferece BAA. Confirme antes de enviar PHI.
SOC 2 Type II
Type I: controles projetados e documentados.
Type II: controles operam efetivamente ao longo de 6-12 meses.
As compras corporativas B2B em 2026 exigem o Type II por padrão. O Type I serve como ponto de partida; o Type II é a barreira de entrada.
Elementos comuns de auditoria: logs de acesso (quem viu o quê), gerenciamento de mudanças (como foi implantado), avaliações de risco (trimestrais), resposta a incidentes (testada?). O log de auditoria do Phase 17 · 25 pode ser reutilizado diretamente.
Mapeamento cruzado de estruturas
Uma única política de controle de acesso atende aos controles de múltiplas estruturas:
| Controle | Estruturas |
|---|---|
| Logs de acesso | ISO 27001 A.5.15-5.18, GDPR Art. 32, HIPAA §164.312(a) |
| Gerenciamento de mudanças | ISO 27001 A.8.32, PCI DSS Req. 6, escopo de notificação de violação da HIPAA |
| Criptografia em trânsito | ISO 27001 A.8.24, GDPR Art. 32, HIPAA §164.312(e) |
| Gerenciamento de segredos | ISO 27001 A.8.19, PCI DSS Req. 8, SOC 2 CC6.1 |
Ferramentas de conformidade (Drata, Vanta, Secureframe) automatizam esse mapeamento. Vale o custo em larga escala.
ISO 42001 — emergente
Publicada no final de 2023. Exigência de aquisição crescente junto com a ISO 27001. Estrutura para governança de IA, incluindo gestão de riscos, qualidade de dados, transparência e supervisão humana.
Perfil de referência da OpenAI
A OpenAI mantém SOC 2 Type 2, ISO/IEC 27001:2022, ISO/IEC 27701:2019, GDPR/CCPA/HIPAA (BAA)/FERPA e PCI-DSS para componentes de pagamento do ChatGPT. Isso representa aproximadamente a linha de base corporativa em 2026.
Números que você deve lembrar
- Multas do EU AI Act: de até €15M / 3% (obrigações de alto risco, Art. 99(4)); de até €35M / 7% (práticas proibidas, Art. 99(3)).
- Fiscalização de alto risco do EU AI Act: 2 de agosto de 2026.
- Maior multa de GDPR específica para IA documentada: €30,5M, Clearview AI (Dutch DPA, Set 2024).
- Maior multa de GDPR específica para LLM: €15M, OpenAI (Garante da Itália, Dez 2024; anulada em recurso em março de 2026).
- Janela do SOC 2 Type II: 6-12 meses de controles operados.
- Data de vigência do Colorado AI Act: 30 de junho de 2026 (adiada de fevereiro de 2026 pela SB25B-004).
Use It
code/main.py é uma planilha de mapeamento de conformidade em Python — dado um controle, lista as estruturas que ele satisfaz.
Entregue
Esta lição produz outputs/skill-compliance-matrix.md. Dados o segmento do cliente e a geografia, especifica as estruturas e controles necessários.
Exercícios
- Seu primeiro cliente corporativo exige SOC 2 Type II, HIPAA BAA e declaração do EU AI Act. Qual é a postura mínima de conformidade viável para fechar o contrato?
- Classifique três produtos hipotéticos de LLM sob os níveis de risco do EU AI Act. O que muda no nível de alto risco?
- Você enviou PHI acidentalmente para um provedor sem BAA. Descreva as etapas de resposta ao incidente.
- Argumente se a ISO 42001 é "necessária em 2026" para um fornecedor de IA de médio porte.
- Mapeie os campos do seu log de auditoria do LLM (Phase 17 · 25) para pelo menos três controles de estrutura.
Termos-Chave
| Termo | O que as pessoas dizem | O que realmente significa |
|---|---|---|
| SOC 2 Type II | "controles auditados" | Controles operando ao longo de 6-12 meses, atestados de forma independente |
| HIPAA BAA | "contrato de saúde" | Business Associate Agreement; obrigatório para PHI |
| GDPR | "privacidade da UE" | A remoção de PII em tempo real é o padrão defensável para 2026 |
| EU AI Act | "regras de IA da UE" | Fiscalização de alto risco em agosto de 2026; €15M / 3% (obrigações de alto risco) — €35M / 7% (práticas proibidas) |
| Colorado AI Act | "lei estadual de IA dos EUA" | Em vigor em 30 de junho de 2026 (adiada pela SB25B-004); avaliações de impacto |
| ISO 42001 | "governança de IA" | Estrutura emergente para risco + transparência de IA |
| ISO 27001 | "ISMS de segurança" | Linha de base para Sistema de Gestão de Segurança da Informação |
| Avaliação de conformidade | "pacote de documentação da IA da UE" | Requisito de alto risco: documentação, testes e logs |
| Mapeamento cruzado de estruturas | "um controle, várias estruturas" | Uma única política atende a controles de múltiplos frameworks |
Leituras Adicionais
- OpenAI Security and Privacy — reference compliance profile.
- GuardionAI — LLM Compliance 2026: ISO 42001, EU AI Act, SOC 2, GDPR
- Dsalta — SOC 2 Type 2 Audit Guide 2026: 10 AI Controls
- EU AI Act official text — primary source.
- Colorado AI Act — primary source.
- ISO/IEC 42001:2023 — AI management system standard.