Diretrizes de Desenvolvimento com AI
0. Introdução ao Vibecoding Seguro

Diretrizes de Vibecoding Seguro - Introdução

0. Introdução ao Vibecoding Seguro

Bem-vindo às Diretrizes de Vibecoding Seguro da nossa empresa. Este documento estabelece os padrões obrigatórios para o uso responsável e seguro de ferramentas de desenvolvimento assistido por Inteligência Artificial (IA). O cumprimento destas diretrizes é mandatório e sua violação pode resultar em consequências graves, incluindo ações disciplinares e responsabilização legal.

0.1. O que é Vibecoding

Vibecoding é o termo que utilizamos para nos referir ao desenvolvimento de software assistido por ferramentas de Inteligência Artificial, tais como:

  • GitHub Copilot
  • ChatGPT
  • Claude Code
  • Cursor IDE
  • Antigravity
  • E outras ferramentas similares

Essas ferramentas utilizam modelos de linguagem de grande escala (LLMs) para auxiliar desenvolvedores na escrita, revisão, refatoração e documentação de código.

Benefícios quando usado corretamente:

  • Aceleração do desenvolvimento de funcionalidades não-críticas
  • Redução de código boilerplate repetitivo
  • Auxílio na compreensão de conceitos e padrões
  • Geração de testes automatizados
  • Refatoração de código legado

Riscos quando usado irresponsavelmente:

  • Exposição de dados sensíveis e informações privilegiadas
  • Violações de conformidade com LGPD e outras regulamentações
  • Introdução de vulnerabilidades de segurança
  • Código de baixa qualidade e não-manutenível
  • Violação de propriedade intelectual
  • Impacto reputacional e legal para a empresa

0.2. Contexto e Motivação

Nos últimos anos, testemunhamos um aumento significativo de incidentes envolvendo vazamento de dados e exposição de informações confidenciais através do uso inadequado de ferramentas de IA:

  • Incidentes de vazamento de credenciais: Desenvolvedores que inadvertidamente compartilharam chaves de API, senhas e tokens de acesso em prompts para ferramentas de IA
  • Exposição de dados de clientes: Casos onde informações pessoais identificáveis foram incluídas em código compartilhado com IA para debugging
  • Violações LGPD: Processamento inadequado de dados pessoais sem base legal apropriada
  • Código vulnerável em produção: Implementações geradas por IA com falhas de segurança críticas (SQL Injection, XSS, etc.)
  • Perda de propriedade intelectual: Lógica de negócio proprietária exposta a serviços de terceiros

Responsabilidade Corporativa:

Nossa empresa está sujeita a:

  • Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018)
  • Regulamentações setoriais específicas
  • Contratos de confidencialidade com clientes
  • Obrigações contratuais de segurança da informação

Impacto Legal e Financeiro:

Violações podem resultar em:

  • Multas de até 2% do faturamento da empresa (limitado a R$ 50 milhões por infração) conforme LGPD Art. 52
  • Processos judiciais de clientes afetados
  • Perda de certificações e credenciais de segurança
  • Danos reputacionais irreparáveis
  • Responsabilização criminal em casos graves

0.3. Objetivo Destas Diretrizes

O objetivo principal destas diretrizes é:

  1. Proteger dados sensíveis e informações privilegiadas da empresa e de nossos clientes
  2. Garantir conformidade com LGPD e outras regulamentações aplicáveis
  3. Estabelecer limites claros sobre quando e como usar ferramentas de vibecoding
  4. Promover uso responsável que equilibre produtividade e segurança
  5. Definir responsabilidades individuais de cada desenvolvedor
  6. Evitar "fucking code" - código irresponsável gerado sem compreensão adequada
  7. Assegurar qualidade através de processos de code review obrigatórios

0.4. Escopo de Aplicação

Quem deve seguir estas diretrizes:

Estas diretrizes são obrigatórias para:

  • Todos os desenvolvedores internos (CLT, PJ, estagiários)
  • Desenvolvedores terceirizados e consultores externos
  • Qualquer pessoa com acesso ao código-fonte da empresa
  • Todos os níveis hierárquicos (júnior, pleno, sênior, tech leads, arquitetos)

Ferramentas abrangidas:

  • Assistentes de código com IA (Cursor, Claude Code, etc.)
  • Chatbots de IA para desenvolvimento (ChatGPT, Claude, Gemini, etc.)
  • IDEs com IA integrada (Cursor, etc.)
  • Qualquer ferramenta que processe código utilizando modelos de IA

Projetos aos quais se aplica:

  • Todos os projetos da empresa, sem exceção
  • Código proprietário e de código aberto mantido pela empresa
  • Scripts internos e ferramentas de automação
  • Protótipos e provas de conceito
  • Ambientes de desenvolvimento, homologação e produção

Consequências do não cumprimento:

O não cumprimento destas diretrizes pode resultar em:

  1. Primeira violação leve: Advertência formal por escrito
  2. Reincidência ou violação moderada: Suspensão temporária de acesso a ferramentas de IA (30-90 dias)
  3. Violação grave (exposição de dados sensíveis):
    • Suspensão imediata de acesso
    • Ações disciplinares, incluindo possível rescisão de contrato
    • Responsabilização legal conforme legislação aplicável
  4. Violação com má-fé: Processo judicial por danos à empresa

0.5. Princípios Fundamentais

Todas as atividades de vibecoding devem seguir estes princípios:

Princípio 1: Segurança em Primeiro Lugar

A segurança da informação nunca deve ser comprometida em prol de produtividade. Quando em dúvida, não use IA.

Princípio 2: Proteção de Dados Conforme LGPD

Dados pessoais e dados pessoais sensíveis (conforme Art. 5 da LGPD) NUNCA devem ser expostos a ferramentas de IA. Isto inclui:

  • Nomes, emails, telefones de pessoas reais
  • CPF, CNPJ, RG, CNH, documentos de identificação
  • Dados de saúde, biométricos, genéticos
  • Informações financeiras de clientes
  • Qualquer informação que identifique uma pessoa natural

Princípio 3: Code Review Obrigatório

100% do código gerado por IA deve passar por code review antes de ser integrado ao código base. Não há exceções.

Princípio 4: Responsabilidade Individual

O desenvolvedor que utiliza ferramentas de IA é integralmente responsável pelo código que produz. "A IA gerou" não é desculpa para código inseguro ou de baixa qualidade, voce solicitou para que ela fizesse daquela forma, voce é responsavel.

Princípio 5: Transparência no Uso de IA

Código gerado por IA deve ser marcado como tal em comentários para rastreabilidade e auditoria.

Princípio 6: Princípio da Menor Exposição

Compartilhe apenas o mínimo de contexto necessário com ferramentas de IA. Nunca compartilhe arquivos completos quando trechos isolados são suficientes, além de ser melhor pro contexto, voce envia menos sobre a empresa para a Internet.

Princípio 7: Validação Humana Obrigatória

Nunca aceite sugestões de IA sem análise crítica. Todo código deve ser compreendido e validado por um ser humano antes de uso.

0.6. Obrigatoriedade e Compliance

Natureza Mandatória

A adesão a estas diretrizes é obrigatória e não-negociável. Elas têm força equivalente a políticas de segurança da informação e contratos de trabalho.

Processo de Confirmação de Leitura

Após a leitura completa deste documento e de todos os capítulos relacionados, é obrigatório que você:

  1. Confirme a leitura através de um email para ti@toolzz.me*
  2. Assine digitalmente o Termo de Responsabilidade

Formato de confirmação:

"Eu, [NOME COMPLETO], [CARGO], confirmo que li integralmente as Diretrizes de Vibecoding Seguro em [DD/MM/AAAA] e comprometo-me a seguir todas as orientações estabelecidas, sob pena das consequências legais e contratuais previstas."

Auditorias e Verificações

A empresa realizará:

  • Auditorias automáticas contínuas através de análise de logs e commits
  • Auditorias manuais trimestrais de código em produção
  • Análise de conformidade anual completa
  • Investigações ad-hoc em caso de suspeita de violação

Dados auditados incluem:

  • Uso de ferramentas de IA (quando rastreável)
  • Código marcado como AI-generated
  • Histórico de code reviews
  • Incidentes de segurança

Atualização das Diretrizes

Estas diretrizes são um documento vivo e serão atualizadas regularmente para refletir:

  • Mudanças na legislação (LGPD, etc.)
  • Novas ferramentas e tecnologias
  • Lições aprendidas de incidentes
  • Melhores práticas da indústria

É sua responsabilidade manter-se atualizado. Notificações de mudanças serão enviadas por email e através do sistema de compliance.

Suporte e Esclarecimentos

Em caso de dúvidas sobre estas diretrizes:

  1. Consulte seu Tech Lead ou Desenvolvedor Sênior
  2. Entre em contato com o Security Analyst (para questões de segurança)
  3. Contate o DPO (Data Protection Officer) para questões de LGPD
  4. Utilize o canal #diretrizes-seguranca no Discord

Nunca assuma quando não tiver certeza. É melhor perguntar do que violar inadvertidamente.

Medidas Disciplinares

Conforme estabelecido na seção 0.4, violações resultarão em medidas progressivas:

Tipo de ViolaçãoConsequênciaObservações
Uso sem leitura das diretrizesAdvertência + leitura obrigatória imediataPrimeira vez
Code review inadequadoAdvertência formalRegistro em arquivo funcional
Uso de ferramenta não aprovadaSuspensão 30 diasSem dano efetivo
Exposição de dados não-sensíveisSuspensão 90 diasInvestigação obrigatória
Exposição de dados LGPDRescisão + processo legalViolação grave
"Fucking code" em produção com incidenteRescisãoNegligência grave
Violação com má-féRescisão + ação judicialDano intencional

Conclusão

O vibecoding, quando usado responsavelmente, é uma ferramenta poderosa que pode aumentar significativamente a produtividade dos desenvolvedores. No entanto, com grande poder vem grande responsabilidade(Tio Ben, Spider-man).

Lembre-se sempre:

  • A segurança vem antes da velocidade
  • Dados sensíveis nunca devem ser expostos
  • Você é responsável pelo código que produz
  • Compliance não é opcional

Ao seguir estas diretrizes, você protege não apenas a empresa, mas também sua própria carreira e os dados dos nossos clientes.

Changelog

DataAutorDescrição
20/01/2026Leonardo MarcianoCriação inicial das Diretrizes de Vibecoding Seguro
28. Política de Gestão de Backup1. Quem Pode Usar Vibecoding