O que é due diligence de IA?

É a avaliação estruturada de fornecedores, plataformas e produtos que oferecem ou embarcam inteligência artificial. Vai além da due diligence tradicional de TI/SI ao cobrir dimensões específicas de IA: dados de treinamento, modelo, segurança adversarial, supervisão humana, transparência, responsabilidade contratual e adequação regulatória.

Quando devo fazer due diligence de IA?

Antes de contratar um fornecedor de IA, antes de embarcar IA em produto crítico, em renovações relevantes, em RFPs com IA no escopo, em M&A com cadeia de IA, e periodicamente para fornecedores estratégicos. Setores regulados devem fazer revisão pelo menos anual.

Como difere de uma avaliação de fornecedor de TI tradicional?

Avaliação tradicional cobre disponibilidade, segurança da informação, LGPD geral. A due diligence de IA acrescenta dados de treinamento, modelo, retenção, prompt logging, vazamento via LLM, viés algorítmico, supervisão humana, transparência do modelo e cláusulas contratuais específicas de IA.

Vocês auditam OpenAI, Anthropic, Google ou Microsoft?

Não auditamos esses provedores diretamente — nenhuma consultoria pode. O que fazemos é avaliar a relação da sua empresa com eles: o que você envia, como configura, quais dados expõe, quais cláusulas contratuais aplica, quais controles compensatórios usa e como documenta tudo isso para reguladores.

Vocês entregam cláusulas contratuais prontas?

Não substituímos jurídico. Apoiamos a área jurídica com recomendações sobre o que precisa estar em contrato (transparência, auditoria, responsabilidade, retenção, notificação de incidente, direito de revisão) — o texto final é construído pelo jurídico da empresa.

Quanto tempo leva uma due diligence de IA?

Para um fornecedor: 2 a 4 semanas, dependendo da disponibilidade de evidências. Para um portfólio de 10 a 30 fornecedores: 6 a 12 semanas, em ondas, priorizadas por criticidade.

Pilar 02 · Third-Party AI Risk

Due diligence de IA: a IA dos seus fornecedores também é seu risco.

LLMs externos, copilotos, plataformas, APIs e produtos com IA embarcada estão entrando na operação por mil portas. A VGrid avalia fornecedores em dimensões que TI tradicional não cobre — dados, modelo, retenção, segurança adversarial, transparência, supervisão humana e responsabilidade contratual.

Solicitar diagnóstico inicial

Falar com a VGrid

O problema

Por que due diligence tradicional não cobre IA

Avaliações genéricas de fornecedor ignoram riscos específicos de modelos, dados de treinamento e cadeia de IA.

Dados sensíveis em LLMs externos

Fornecedor processa dados pessoais, estratégicos ou regulados sem garantia clara de retenção, treinamento e compartilhamento.

Modelo opaco

Nenhuma informação sobre arquitetura, dataset de treinamento, fine-tuning, atualizações ou critérios de avaliação.

Cadeia de IA invisível

Fornecedor usa modelos de terceiros (OpenAI, Anthropic, Google, Meta) com regras próprias — risco de cadeia desconhecido.

Segurança adversarial não testada

Sem evidência de testes contra prompt injection, jailbreak, data poisoning, model extraction ou exposição de prompts.

Responsabilidade contratual difusa

Contratos sem cláusulas claras de IA: quem responde por erro, viés, dano, vazamento ou falha de explicabilidade.

Sem auditoria nem trilha

Fornecedor não fornece logs, model cards, data sheets ou capacidade de auditoria — você não consegue provar nada para regulador.

O que entregamos

O que avaliamos em um fornecedor de IA

Avaliação 360° — dados, modelo, segurança, regulação e contratos.

Mapeamento de uso e dados

Quais dados são enviados, quais são processados, quais são armazenados, quais saem do território nacional, quais alimentam treinamento.

Avaliação de modelo e cadeia

Modelo próprio ou de terceiro, versões, atualizações, capacidades, limitações documentadas e cadeia de fornecedores.

AI Security do fornecedor

Controles contra prompt injection, vazamento de dados, exposição de credenciais, abuso de função, segurança da pipeline.

Documentação técnica disponível

Model cards, data sheets, system cards, política de retenção, política de treinamento, relatórios de auditoria, certificações.

Adequação regulatória

Aderência ao EU AI Act, Marco Legal/PL 2338, LGPD, NIST AI RMF e regulações setoriais aplicáveis ao seu negócio.

Cláusulas contratuais

Apoio à área jurídica para inserir cláusulas de IA, transparência, auditoria, responsabilidade, notificação de incidentes e revisão periódica.

Como funciona

Como conduzimos due diligence de IA

Definição de escopo e criticidade

Identificação dos fornecedores de IA, classificação por criticidade (dado, decisão, escala, regulação) e priorização.

Questionário estruturado

Aplicação de questionário de IA específico — dados, modelo, segurança, governança, regulação, incidentes, certificações.

Revisão de evidências

Análise de model cards, data sheets, contratos, políticas, certificações, relatórios SOC 2 / ISO e respostas técnicas.

Análise de risco e gaps

Classificação de risco por fornecedor, identificação de gaps regulatórios, contratuais e técnicos.

Plano de mitigação e revisão contínua

Recomendações por fornecedor (mitigação, cláusula contratual, controle compensatório) e ciclo de revisão periódica.

Para quem

Para quem é a due diligence de IA

Empresas com muitos fornecedores de IA

Quem usa LLMs externos, copilotos, plataformas SaaS com IA, APIs de modelo e produtos com IA embarcada em escala.

Setores regulados

Financeiro, saúde, seguros, capital aberto, energia — onde reguladores cobram cadeia de fornecedores de IA.

Áreas Jurídicas, Compras e Compliance

Quem precisa avaliar IA em contratos, RFPs, renovações, M&A e parcerias estratégicas.

Empresas em jornada ISO/IEC 42001

A norma exige avaliação de partes interessadas e fornecedores — due diligence é insumo direto.

Áreas de risco corporativo e ouvidoria

Quem responde por third-party risk, ESG, compliance e exposição reputacional ligada a IA.

Empresas com IA generativa em produção

Quem coloca chatbot, assistente ou recomendação no público precisa garantir a cadeia que sustenta o modelo.

Por que a VGrid

Diferenciais da nossa atuação

Avaliação técnica + regulatória + contratual

Não avaliamos só políticas. Olhamos modelo, dados, segurança, contratos e adequação regulatória em paralelo.

Questionário estruturado de IA

Cobertura específica de IA — não adaptação genérica de questionário tradicional de TI ou SI.

Liderança técnica e regulatória

Conduzido por profissional com ISO/IEC 42001 Lead Implementer/Auditor, EXIN AI Compliance e experiência CISO/DPO.

Saída pronta para jurídico e compras

Recomendações práticas — cláusulas contratuais, controles compensatórios, condições de aceite e prazos.

Independência real

VGrid não vende ferramentas de IA — avaliação 100% independente de fornecedores.

Soluções conectadas

Governança de IA AI Compliance ISO/IEC 42001 Auditoria de IA AI Security Shadow AI Control EU AI Act

Conecte ao programa

Due diligence de IA é parte do Pilar 02 — AI Compliance — dentro do programa de Governança de IA. Conecta-se com AI Security, Shadow AI Control, auditoria de IA e ISO/IEC 42001.

Fale com a VGrid

A IA dos seus fornecedores também responde por você.

Solicite um escopo de due diligence de IA para avaliar fornecedores críticos, mapear risco de cadeia e estruturar cláusulas contratuais e controles compensatórios.

Sem compromisso

Retorno consultivo em até 24h

Conversa estratégica, não pitch agressivo

FAQ

Perguntas frequentes

Próximo passo

A IA dos seus fornecedores também responde por você.

Solicite um escopo de due diligence de IA para avaliar fornecedores críticos, mapear risco de cadeia e estruturar cláusulas contratuais e controles compensatórios.

Solicitar diagnóstico inicial Falar com a VGrid

Sem compromisso · Conversa consultiva · Retornamos o contato após análise inicial do contexto.