SkillOperaçõesCriação
Política de Uso Aceitável (AUP)
Redige uma Política de Uso Aceitável de IT, AI, dispositivos e dados — customizável e auditável.
Ações
PerfilOperações
ProfundidadeMédia
IdiomaPortuguês
Objetivo
Em uma frase.
Produzir uma Política de Uso Aceitável (AUP) que define regras claras para o uso de recursos da empresa: sistemas, equipamentos, dados, ferramentas de AI e dispositivos pessoais (BYOD). A AUP serve dois objetivos simultâneos: proteger a empresa juridicamente em caso de violação **e** ser legível por quem precisa cumpri-la (não pode ser linguagem só de advogado). A skill produz documento customizável por porte e setor.
Aplicação
Quando
faz sentido.
Usar
- Empresa nunca teve AUP formal (existia "regra implícita" só).
- Auditoria SOC2 / ISO27001 exigiu política formal.
- Adoção corporativa de AI generativo (Claude, ChatGPT) sem regra clara gerou risco.
- Cliente enterprise exigiu AUP como anexo contratual.
- Houve incidente de uso indevido (vazamento, uso pessoal de recurso corporativo) e a política precisa ser endurecida.
- Mudança organizacional grande (fusão, criação de nova entidade legal).
- Revisão anual da política existente.
Não usar
- Para política de continuidade de negócio → use business-continuity-plan.
- Para checklist de conformidade ampla → use compliance-checklist.
- Para protocolo de tratamento de dados pessoais → use gdpr-data-handling-checklist.
- Para revisar contrato de fornecedor → use contract-review.
- Para política de severidade de incident → use incident-severity-triage.
Prompt
Instruções
para a IA.
Passo 1 — Definir escopo e aplicabilidade
A AUP precisa dizer a quem se aplica. Erros de escopo geram brechas jurídicas.
- Funcionários CLT.
- Pessoas jurídicas (PJ) prestando serviço regular.
- Estagiários e jovens aprendizes.
- Terceiros / consultores com acesso a sistemas.
- Contratantes temporários.Para cada categoria, definir como a AUP é aceita (anexo de contrato, termo digital, signature ceremony no onboarding).
Importante: para PJs, a AUP pode entrar como anexo do contrato de prestação de serviços, não como política trabalhista. Para empresas multinacionais, considerar a versão local (LGPD para Brasil, GDPR para UE).
Passo 2 — Estrutura padrão da AUP
A AUP precisa ter, no mínimo, as seções:
1. Objetivo e escopo
2. Definições
3. Princípios gerais
4. Uso de equipamentos da empresa
5. Uso de dados e informações
6. Uso de ferramentas de AI
7. Uso de internet e comunicação
8. BYOD (se aplicável)
9. Monitoramento e privacidade
10. Violações e consequências
11. Revisão e vigência
12. AnexosDocumento ideal entre 8 e 20 páginas. Acima disso, ninguém lê.
Passo 3 — Redigir seção de princípios gerais
Princípios servem para casos não cobertos por regra específica. Padrão Gzero:
- Recursos da empresa servem a fins profissionais. Uso pessoal limitado é tolerado desde que não interfira no trabalho, não consuma recursos significativos, não exponha a empresa.
- Confidencialidade é default. Tudo que você aprende, vê ou produz no contexto da empresa é confidencial até prova em contrário.
- Cuidado com dado de cliente. Dado de cliente nunca sai do ambiente controlado da empresa.
- AI é ferramenta, não autoridade. AI gera output; humano valida.
- Boa-fé. A política tem espírito além da letra. Quando em dúvida, perguntar.Passo 4 — Redigir cláusula de uso de equipamentos
Equipamento corporativo (laptop, telefone, etc) é da empresa e tem regras:
Permitido:
- Instalar software necessário ao trabalho (sujeito a aprovação se não estiver na lista padrão).
- Uso pessoal mínimo (consultar email, fazer compra ocasional).
- Travar dispositivo com senha forte / biometria.Proibido: - Compartilhar equipamento com terceiros (incluindo familiares). - Desabilitar antivírus, MDM ou agente de segurança. - Conectar dispositivos externos não autorizados (USB de origem desconhecida). - Usar para atividade ilegal, ofensiva ou que prejudique a empresa. - Levar equipamento para fora do país sem aprovação (se aplicável).
Em caso de saída: - Devolução obrigatória em até X dias úteis. - Possibilidade de oferecer compra do equipamento por valor residual.
Passo 5 — Redigir cláusula de uso de dados
Esta é a seção mais sensível. Cobrir:
Classificação de dados:
| Classificação | Exemplos | Regras |
|---|---|---|
| Público | Material de marketing aprovado, site público | Sem restrição. |
| Interno | Documentos internos, processos | Não compartilhar fora sem autorização. |
| Confidencial | Dados financeiros, salários, estratégia | Compartilhar só com need-to-know. |
| Restrito | PII de cliente, dado regulado, segredo industrial | Acesso controlado, log auditado. |Regras gerais:
- Acesso conforme função; não acumular acesso desnecessário. - Não copiar dado restrito para dispositivo pessoal. - Não enviar dado restrito para email pessoal. - Não usar dado de produção em ambiente de teste/desenvolvimento. - Reportar vazamento suspeito imediatamente (canal específico).
Para detalhes operacionais sobre dados pessoais, ligar para
gdpr-data-handling-checklist.Passo 6 — Redigir cláusula de uso de AI (crítica)
A cláusula de AI é a parte mais nova e mais delicada da AUP em 2026. Cobrir:
Permitido:
- Usar ferramentas de AI aprovadas pela empresa (lista anexa, atualizada).
- Usar AI para acelerar tarefas de produtividade: rascunho de texto, brainstorm, code completion, sumarização de documento próprio.
- Usar AI dentro do tenant corporativo (versão enterprise com retenção controlada).Proibido (ou requer aprovação explícita): - Submeter a AI dado classificado como Restrito ou Confidencial sem garantia de tenant enterprise sem retenção. - Submeter código proprietário a versão gratuita de modelo que treina nos prompts. - Submeter dado pessoal de cliente a AI sem aprovação do DPO. - Submeter material protegido por NDA de terceiro a AI. - Usar AI para gerar conteúdo que possa ser publicado externamente sem revisão humana qualificada.
Responsabilidade do usuário: - O output de AI é responsabilidade do humano que o usou. AI alucina, AI erra; quem entrega valida. - Citar uso de AI em entregáveis quando significativo (transparência interna). - Reportar saídas problemáticas (hallucination, vazamento de dado em prompt anterior).
Ferramentas atuais (anexo dinâmico):
| Ferramenta | Status | Notas | |---|---|---| | Claude (Anthropic) — tenant corporativo | Permitida | Sem retenção, dado fica isolado. | | ChatGPT Enterprise | Permitida | Tenant corporativo. | | ChatGPT gratuito (login pessoal) | Proibida para dado corporativo | Pessoal sem dado de trabalho ok. | | Cursor / Copilot (corporativo) | Permitida | Confirmar config de telemetria. | | Modelos open-source self-hosted | Permitida com aprovação | Validar antes. |
Anexo de ferramentas deve ser revisado trimestralmente — o cenário muda rápido.
Passo 7 — Redigir cláusula de monitoramento e privacidade
Monitoramento sem aviso é tóxico e juridicamente arriscado. Ser explícito:
- A empresa monitora o quê: tráfego de rede, logs de sistema, atividade em equipamento corporativo, uso de SaaS.
- A empresa não monitora o quê: conteúdo de comunicação privada em dispositivo pessoal fora do horário (a não ser sob ordem judicial), conteúdo de redes sociais pessoais.
- Privacidade limitada em equipamento corporativo: o colaborador deve esperar que atividade no laptop da empresa pode ser auditada.
- Logs são retidos por X meses, acesso controlado a um pequeno grupo (segurança + jurídico).
- Em caso de investigação, há protocolo (não acesso arbitrário).Para Brasil, considerar a LGPD: monitoramento de funcionário precisa de base legal (geralmente "execução de contrato" ou "legítimo interesse") e transparência.
Passo 8 — Redigir cláusula de violação e consequências
Sem consequências, a política é decorativa. Definir:
Categorias de violação:
| Categoria | Exemplo | Consequência tipica |
|---|---|---|
| Leve | Uso pessoal excessivo de equipamento. | Advertência verbal, conversa com manager. |
| Moderada | Compartilhar credencial, instalar software não aprovado. | Advertência formal escrita. |
| Grave | Exfiltrar dado, desabilitar segurança, uso indevido grave de AI com dado de cliente. | Suspensão + investigação + possível desligamento por justa causa. |
| Crítica | Roubo, fraude, sabotagem. | Desligamento por justa causa + medidas legais. |Processo:
1. Suspeita identificada → reporte ao canal definido. 2. Investigação por time apropriado (Segurança + RH + Jurídico). 3. Direito de defesa (contraditório). 4. Decisão documentada com justificativa. 5. Aplicação proporcional.
Importante: não criar AUP com consequência maior do que jurídico aceita. Em CLT, justa causa exige requisitos legais específicos.
Passo 9 — Redigir cláusula de revisão e vigência
Política sem revisão envelhece em 6 meses. Definir:
- Vigência: a partir de DD/MM/AAAA.
- Revisão anual obrigatória.
- Revisão extraordinária após incidente material ou mudança regulatória.
- Comunicação de atualizações: e-mail para todos + treinamento curto se mudança significativa.
- Versionamento explícito (v1.0, v1.1, v2.0).Owner do documento: papel (geralmente Diretor de Segurança / DPO / RH conforme empresa).
Passo 10 — Integrar ao onboarding e ao processo disciplinar
AUP que não está integrada ao fluxo de pessoas não tem força:
- Onboarding: novo colaborador lê e assina (ou aceita digitalmente) a AUP nas primeiras 48h. Treinamento de 30 min cobrindo os pontos críticos.
- Reciclagem anual: todo mundo refaz o treinamento ou pelo menos confirma leitura da versão atualizada.
- Processo disciplinar: RH usa a AUP como base para conversas de violação; sem isso, vira "Maria não gostou".
- Saída: lembrete da continuidade da obrigação de confidencialidade pós-saída.Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).