GH GambleHub

NDA e proteção de informações confidenciais

1) Objetivos e princípios

NDA (Non-Disclosure Agreement) e políticas internas protegem:
  • segredos de negócios (algoritmos antifrode, perfis bónus, modelos ML, matemática RNG);
  • Materiais de negociação (preços, offs, M&A, duas diligence);
  • processos técnicos e fontes (arquitetura, IaC, esquema de API, chaves);
  • Dados de parceria (SDK, roadmaps, betas);
  • dados pessoais/comerciais (dentro do DPA/DSA).

Princípios: acesso mínimo (need-to-know), rastreabilidade, criptografia padrão, divisão de papéis/responsabilidades, sala limpa para desenvolvimento conjunto.

2) Classificação e marcação de informações

Nível de classificação recomendado e regras de circulação:
NívelExemploAcessoArmazenamentoTransferência
Publiccomunicado de imprensa, ajuda wikia todosarmazenamento compartilhadosem restrições
Internalplaybook safortfuncionáriosunidades corporativascorreio corporativo
Confidentialplanos de mercado, contratosneed-to-knowcriptografia at restcriptografia de linha, NDA
Strict/Secretchaves, modelos antifrode, fontes RNGcírculo estreitoHSM/interior. cofresomente através de canais com mTLS + registro

Marca: '[CONFIDENTIAL]', dono dos dados, data de lançamento, referência ao tíquete/base de acesso.

3) Modo de segredo comercial (trade secret)

Yur Act/Política: lista de informações, medidas de proteção, responsabilidade.
Medidas técnicas: RBAC/ABAC, revistas de acesso, DLP, watermarking, controle de impressão/captura de tela.
Organização: onboarding/offboarding-cheque-folhas, treinamento, acordos de confidencialidade, proibição de trazer/enviar mídia sem registro.
Disciplina de docas: versões, registro de artefatos, marcação, canais «secretos» (espaços fechados/repositórios).

4) Tipos de NDA

Único (one-way): revela um lado (tipicamente, o fornecedor SDK).
Mútual: compartilhamento de informações confidenciais para ambos os lados (negociação, integração).
Multilateral: Consórcios, pilotos conjuntos.
NCA/NDA + NCA: A NDA é adicionada não-circular.
NDA com desenvolvedor/contratante: combinado com Inventions/Assignment (direitos de resultados).

5) Seções-chave NDA (o que é obrigatório)

1. Definição de Informação Confidencial: acesa verbal (na justificativa por escrito posterior), eletrônica, mídia material; listar exemplos típicos (código, esquemas, preços, dashboard).
2. Exceções: (i) publicamente conhecido sem violação; (ii) já estava em posse legal; (iii) desenvolvido de forma independente (provável); (iv) revelado legalmente aos órgãos públicos (com notificação).
3. Objetivo de divulgação específico (avaliação de parcerias, piloto, auditoria).
4. Obrigação do destinatário: nível de proteção não inferior ao seu; need-to-know, proibição de cópia além do objetivo, proibição de desenvolvimento reverso/benchmarking sem consentimento.
5. Prazo e «sobrevivência»: prazo de contrato (por exemplo, 2-5 anos) + proteção pós-prazo de segredos (por exemplo, 5-10 anos/indefinidamente para segredos).
6. Devolução/destruição: quando solicitado ou concluído - restituição/remoção com confirmação; cópias de segurança - sob o modo de armazenamento até o prazo automático.
7. Auditorias e notificações de incidentes: rapidez na notificação (por exemplo, ≤72 h), cooperação na investigação.
8. Recursos legais: injunctive relief (ordem de restrição), compensações, limites não aplicáveis a violações intencionais.
9. Direito/arbitragem aplicável: jurisdição/foro, língua, ADR/arbitragem.
10. Exportação/Sanções: proibição de transferências a subalternos/jurisdições; Controle de exportação (criptografia).
11. «Residencial Knowledge» (concordância): Você pode/não usar o «conhecimento indetectável» dos funcionários (normalmente excluir ou limitar).
12. Subcontratados/afiliados só são permitidos com obrigações semelhantes e consentimento por escrito.
13. Proteção de dados (se houver PII): referência a DPA/DSA, papel das partes (controlador/processador), fins/fundamentos legais, transferências de fronteiras, prazo de armazenamento.

6) Comunicação NDA com privacidade e segurança

Se os dados pessoais forem transmitidos, a NDA não é suficiente - é necessário DPA/DSA e medidas de GDPR/similares (fundamentos legais, direitos das entidades, DPIA para high-risk).
Controle técnico: criptografia em trânsito (TLS 1. 2 +), AT-rest (AES-256), segredo-gerenciamento, rotação de chaves, MDM para dispositivos, 2FA, SSO, minimização de logs com PII.

7) Procedimentos de acesso e troca

Canais: e-mails, salas protegidas (VDR), SFTP/mTLS, arquivos criptografados (AES-256 + out-of-band).
Proibição: mensagens sem integração corporativa, nuvens pessoais, links públicos, dispositivos não controláveis.
Controle de impressão/exportação, proibição de mídia flash pessoal, geo-restrições (geofens).

8) Clean-room e desenvolvimento conjunto

Divida os comandos «visíveis» e «limpos», e guarde os artefatos unilaterais separadamente.
Documente as fontes e origens (provenance).
Para PoC em conjunto: Concorde com os direitos de resultados (compartilhados/assignment) de quem possui o Derived Data.

9) Matriz de Risco de RAG

RiscoR (crítico)A (corrigível)G (controle)
Falta de NDACompartilhamento de segredos sem contratoModelo compartilhado sem DPAAplicativos NDA + (DPA/Sanções)
AcessoE-mails pessoais/dispositivosMDM parcial/SSOMDM completo/SSO/2FA
MarcaçãoSem classificaçãoMarcação incompletaPadrão único + registros
IncidentesSem notificações SLAProcedimento sem testesSLA ≤72 h + exercícios
SubcontratadosNão coberto pela NDAParcialCompromissos Flow-down
Exportação/sançõesSem screeningScreening únicoPolítica + ressecrinagem periódica

10) Folhas de cheque

Antes de trocar informações

  • Assinado pela NDA (direito/foro/prazo/exclusões/sanções).
  • Será que o DPA/DSA é necessário? Se sim, está assinado.
  • O dono do conjunto de dados e o nível de classificação foram designados.
  • O canal de troca e a criptografia estão alinhados.
  • Lista de destinatários (need-to-know), acesso ao VDR/pasta configurado.

Durante a troca

  • Marcação de arquivos e versão, marcas de água.
  • Registros de acesso, proibição de ré-shering sem consentimento.
  • Somas hash/registro de artefatos.

Após terminar

  • Retornar/remover e confirmar por escrito.
  • São retirados, os tokens/chaves foram rotaídos.
  • Pós-auditoria: o que melhorar em processos/modelos.

11) Modelos (fragmentos de pontos contratuais)

A. Definição e Exclusões

💡 «Informações confidenciais» significa qualquer informação não revelada publicamente fornecida pela Parte Reveladora ao Destinatário, incluindo dados técnicos, comerciais, financeiros, código, documentação, especificações, planos de desenvolvimento, termos de contrato. Informações não são consideradas confidenciais se: (i) estivesse disponível em público antes da divulgação; (ii) tornou-se pública não por causa da violação; (iii) estava em posse do Destinatário legalmente; (iv) foi desenvolvida de forma independente.

Compromissos e Acesso

💡 O destinatário aplica um regime de proteção não inferior ao seu próprio, permite apenas o acesso dos funcionários/contratantes sob o princípio «need-to-know», obriga-os a assinar acordos equivalentes, não cópia ou utilize informações além do Objetivo.

C. Prazo/Sobrevivência

💡 Este Acordo é válido [24/36/60] meses; as obrigações de proteger os segredos comerciais são mantidas durante [5-10] anos ou até a revelação legal.

D. Retorno/Destruição

💡 A pedido da Parte Reveladora, o Destinatário devolve ou destrói o material no prazo de [10] dias e o confirma por escrito; as cópias de segurança são armazenadas até a eliminação automática padrão, respeitando o regime de privacidade.

E. Ferramentas legais

💡 As partes reconhecem que uma violação pode causar danos irreparáveis; A Parte Reveladora tem o direito de exigir uma ordem de restrição (injunctive relief), além de outros recursos.

F. Exportação/Sanções

💡 O destinatário garante que os controles de exportação e os regimes de sanções são respeitados e não transmite informações às entidades/jurisdição sujeitas a restrições.

G. Residencial Knowledge (opcional)

> As partes concordam que as habilidades e conhecimentos gerais dos funcionários do Destinatário não são considerados informações confidenciais, desde que não haja memorização deliberada ou utilização do código fonte/fórmulas secretas. (Recomendado para excluir ou restringir severamente em projetos de alto risco.)

12) Registros recomendados (YAML)

12. 1 Registro de NDA

yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"

12. 2 Registro de troca de artefatos

yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf"  # sha256:...
- "kpis_q1. xlsx"    # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false

13) Políticas e práticas de segurança (breve)

Dispositivos corporativos, criptografia completa, MDM, proibição BYOD para «Secret».
Acesso: SSO/2FA, acesso condicional (geo/dispositivo), funções temporárias (just-in-time).
Logi: armazenamento e monitorização de acessibilidade; alertas para descarga em massa/relógios não convencionais.
DLP: unidade de anexos fora do domínio/sem criptografia, marcas de água em PDF.
Facilidade: modelos de salas protegidas (VDR), arquivos de criptografia de arquivos prontos, NDA/DPA padrão.

14) Gerenciamento de incidente (contexto NDA)

1. Fixação: o quê, quando, quem, quais arquivos/repositórios; congelamento de sessões.
2. Isolamento: revisão de acessos/chaves, freezer temporário na nuvem.
3. Notificações: proprietário de dados, advogados, parceiros; PII por DPA/GDPR.
4. Investigação: coleta de logs, forense, determinação da quantidade de danos.
5. Remediação: substituição de segredos, patches, atualização de playbooks, treinamento.
6. Medidas legais: reclamação/processo de NDA, compensação.

15) Mini-FAQ

A NDA é suficiente para dados pessoais? Não, precisamos de DPA/DSA e medidas de privacidade.
É possível enviar um confidencial para o serviço de mensagens? Somente em empresas aprovadas e com end-to-end, com DLP/revistas incluídos.
Quanto material é guardado? O que for necessário por um objetivo/tratado; após o fim - restituição/eliminação com confirmação.
É preciso encriptar os discos internos? Sim, completo, criptografia de arquivos/segredos.

16) Conclusão

A NDA é apenas a ponta do iceberg. A proteção real é baseada no regime de segredo comercial, no vínculo com a privacidade (DPA), em controles técnicos e org, na disciplina de troca e na resposta rápida aos incidentes. Normalize os modelos, estabeleça registros e playbooks - e os seus segredos, códigos e negociações permanecerão ativos e não vulneráveis.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.