Prova fiscal-grade de adequação

Adequação NR-1 + Lei 14.457/2022

Tudo o que sua empresa precisa documentar antes de 26 de maio de 2026. Canal anônimo, inventário de riscos psicossociais, relatório PGR-ready, integração com seu sistema ISO 45001.

Prazo legal — Portaria MTE 765/2025
29 dias restantes
Vigência da NR-1 com riscos psicossociais: 26/05/2026

Por que agora

A combinação de prazo curto, multa alta e exigência nova faz da adequação NR-1 a prioridade #1 de Compliance/RH em 2026.

Prazo legal

Portaria MTE 765/2025 estabelece 26/05/2026 como data de vigência obrigatória da NR-1 atualizada com riscos psicossociais.

Multa por descumprimento

R$ 2.396,35 a R$ 6.708,08 por item (NR-28). Reincidência: até 50× o valor (mais de R$ 335.000 por item).

Exigência nova: PGR psicossocial

Riscos psicossociais (carga de trabalho, assédio, controle, etc.) devem estar inseridos no PGR — antes a NR-1 cobria apenas riscos físicos, químicos e biológicos.

A realidade

Estima-se que 90% das empresas brasileiras ainda não têm canal de denúncias adequado conforme Lei 14.457/2022 — quanto mais NR-1 psicossocial.

O que a lei exige (e como atendemos)

Mapeamento item-a-item de cada exigência legal para a funcionalidade correspondente da plataforma. Auditável e referenciado.

Lei 14.457/2022 — Art. 23

Empresas com CIPA · Programa Emprega + Mulher

IncisoExigênciaComo atendemos
I
Regras de conduta sobre assédio sexual e violência, com ampla divulgação
Prazo: 180 dias
App mobile + dashboard com banner permanente de não-retaliação em 3 pontos do fluxo
II
Procedimentos de recebimento e acompanhamento de denúncias com anonimato
Prazo: 180 dias
Canal anônimo by-design (zero coleta de IP/User-Agent/device), AES-256-GCM em repouso
III
Inclusão de temas de prevenção do assédio nas atividades da CIPA
Prazo: 180 dias
Relatório mensal alimenta pauta da CIPA (compatível, não substitui CIPA)
IV
Ações de capacitação e treinamento a cada 12 meses
Prazo: 180 dias
Não fornecemos LMS — recomendamos parceiros especializados em treinamento

NR-1 — Portarias MTE 1.419/2024 + 765/2025

Disposições Gerais e GRO/PGR · Riscos psicossociais

ItemExigênciaComo atendemos
1.5Riscos psicossociais inseridos no GRO/PGRInventário de 11 fatores declarado no onboarding (4 passos)
1.5.3.3Participação dos trabalhadores na percepção de riscosCanal anônimo é o mecanismo formal de captação
1.5.4.4.4Mecanismos para reportar fatores psicossociaisCategorização ortogonal por fator (carga, controle, etc.)
1.5Critérios de priorização (gravidade × probabilidade × impacto)Matriz 4×4×4, score 1-64, ranking automático no relatório
1.4.1Garantia de não-retaliação ao trabalhadorBanner explícito em 3 pontos do fluxo + cláusula contratual
1.5Cobertura de terceirizados, MEI, temporáriosCampo `tipo_vinculo` segmentando o relatório por categoria

Transparência radical: o que cobrimos e o que não cobrimos

Nenhum vendor sério promete tudo. Aqui está exatamente o escopo — para você não comprar gato por lebre nem ficar exposto na auditoria.

O Complice cobre

  • Canal de denúncias anônimo conforme Lei 14.457 Art. 23 II
  • Inventário de riscos psicossociais (declaração da empresa)
  • Categorização de denúncias em 11 fatores NR-1
  • Auto-classificação por IA quando o denunciante não classifica
  • Segmentação por vínculo (CLT/terceirizado/MEI/temporário/estágio) e setor
  • Relatório PGR-ready em PDF, CSV e JSON
  • Webhook HMAC para integração com sistema ISO 45001 externo
  • Garantia explícita de não-retaliação (Lei 14.457 Art. 23, NR-1 §1.4.1)
  • Auditoria imutável (LGPD/SOX-grade)
  • Criptografia ponta a ponta (AES-256-GCM + RLS Postgres)

O Complice NÃO cobre

  • Gestão completa de PGR/PGRSS (SOC, Senior, Protege, etc.)
  • Investigação formal de denúncias com workflow + parecer jurídico
  • Plano de ação corretivo (gestão de não-conformidades)
  • Auditorias internas ISO 45001
  • KPIs operacionais de SST (TF, TG, dias perdidos, etc.)
  • LMS / treinamentos (capacitação do Art. 23 IV)
  • Gestão completa da CIPA (mandatos, atas, eleições)
  • Quase-acidentes / direito de recusa
  • Análise crítica da Direção (cláusula 9.3 ISO 45001)

Você precisará de outro sistema (próprio, terceirizado ou consultoria SST) para esses pontos.

“Nosso foco: o canal e o relatório. O resto, deixamos com quem faz melhor (ou com você, ou com seu fornecedor de SST). Nosso webhook integra direto com o seu sistema ISO 45001.”

Como funciona na prática

Três fluxos cobrem 100% do ciclo: configuração inicial, denunciante anônimo, recepção pela empresa.

01

Configuração da empresa

5 minutos · 4 passos

  1. 1.Inventário — marcar 11 fatores aplicáveis com gravidade × probabilidade × impacto (matriz 4×4×4)
  2. 2.Setores — cadastrar áreas (Operações, Comercial, Administrativo, etc.)
  3. 3.Vínculos aceitos — CLT, terceirizado, MEI, temporário, estágio
  4. 4.Webhook (opcional) — URL HTTPS do seu sistema ISO 45001 + segredo HMAC
02

Denunciante anônimo

Mobile + Web

  1. 1.Abre o app/web (link público da empresa)
  2. 2.Lê o banner de não-retaliação (Lei 14.457 Art. 23)
  3. 3.Escolhe categoria principal
  4. 4.Opcionalmente declara vínculo, setor, fator psicossocial (3 campos opcionais)
  5. 5.Descreve em texto livre (50+ caracteres), opcionalmente anexa evidências
  6. 6.Recebe protocolo de 6 caracteres (para acompanhamento posterior)
  7. 7.Identidade nunca é coletada — zero IP, zero User-Agent, zero device fingerprint
03

Empresa recebe

Dashboard + Email + Webhook

  1. 1.Email imediato com a denúncia descriptografada (ou apenas notificação, conforme plano)
  2. 2.Dashboard com todas as denúncias ativas, histórico e métricas
  3. 3.Relatório mensal automático em PDF + CSV + JSON contendo:
    • Distribuição por fator psicossocial (11 fatores)
    • Segmentação por vínculo e setor (k-anônimo ≥5 — LGPD)
    • Tendência mensal (MoM)
    • Fatores emergentes (não previstos no inventário)
    • % auto-classificado pela IA (transparência)
  4. 4.Webhook automático envia o JSON assinado via HMAC-SHA256 para o sistema ISO 45001 (se configurado)
  5. 5.Texto fiscal no relatório: “Este relatório atende NR-1 item 1.5.4.4.4 e Lei 14.457/2022 Art. 23”

Diferenciais técnicos

Auditável, prova-grade. Cada item abaixo é verificável no código e no schema do banco.

AES-256-GCM

Conteúdo das denúncias e identidade opcional do denunciante criptografados em repouso. Chave separada por camada (envelope encryption).

RLS em 100% das tabelas

Toda query passa por Row Level Security do Postgres. Empresa A nunca enxerga dados de empresa B — garantia de isolamento no banco.

K-anonimato ≥5 (LGPD)

Segmentações com menos de 5 ocorrências viram bucket 'Outros'. Impossível re-identificar pessoa física via cruzamento de dados.

HMAC-SHA256 nos webhooks

Sistema ISO 45001 valida autenticidade de cada relatório recebido. Assinatura por header X-Ethos-Signature.

SSRF + DNS rebinding guard

Webhook não pode ser apontado para IP privado ou rede interna. Resolução de DNS validada no momento da chamada.

Auditoria imutável

Triggers Postgres bloqueiam UPDATE/DELETE em log_auditoria. SOX-grade — nem o admin do banco consegue alterar registro histórico.

Anonimato by-design

Zero coleta de IP, User-Agent ou device fingerprint do denunciante. Edge Function descarta esses cabeçalhos antes da persistência.

Defesa contra prompt-injection

IA classifica fatores psicossociais com prompt sandwich + validação enum + fallback seguro. Texto da denúncia nunca sobrescreve instruções.

Compatível com LGPD

Retenção configurável + cleanup automático + DPA disponível. Ethos opera como controlador formal em nome da empresa contratante.

Quanto tempo leva para implementar

Adequação completa em menos de 1 hora. Comparação com as alternativas:

Com o Complice

  • Onboarding NR-1 (4 passos)0–5 min
  • Configurar usuários da empresa5–15 min
  • Personalizar canal (logo, cores)15–30 min
  • Total< 1 hora

Sem o Complice

  • Adequação manual (advogado especializado)3–6 meses
  • Implementação ISO 45001 puro6–12 meses
  • Custo de adequação manualR$ 50–150k
  • Multa se não adequaraté 50× R$ 6.7k

Integração com seu sistema ISO 45001 atual

Se você já usa SOC, Senior, Protege, Salus ou um sistema custom, o Complice envia o relatório mensal automaticamente via webhook HMAC.

DenuncianteApp ou WebCompliceCanal anônimoAES-256-GCMk-anônimo ≥5Email PDFCSV/JSONWebhook HMACEmpresaRecebe relatórioDashboardRH/ComplianceSistema ISO 45001SOC | Senior | Protege | custom

Sistemas testados / compatíveis

  • Qualquer sistema que aceite POST HTTPS + HMAC-SHA256
  • SOC, Senior, Protege, Salus
  • Power BI, Looker, Tableau (via webhook → ETL)
  • Sistemas custom (especifique seu webhook receiver)

FAQ honesto

As 10 perguntas que todo Diretor de Compliance, RH ou SST faz antes de comprar.

O Complice substitui o PGR?+

Não. O PGR é um documento que sua empresa (ou consultoria SST) elabora. Complice é o canal de denúncias e o relatório mensal que alimenta o PGR com dados de riscos psicossociais — exatamente como exige a NR-1 item 1.5.4.4.4.

Substitui sistema de SST (SOC, Senior, Protege)?+

Não. É complemento. Nosso webhook envia automaticamente o relatório mensal para o sistema ISO 45001 que você já usa. Os dois funcionam juntos.

Funciona para empresa sem CIPA?+

Sim. A Lei 14.457/2022 só exige canal para empresas com CIPA, mas a NR-1 vale para toda empresa com 1+ empregado. O Complice atende ambas as situações.

Quanto custa a multa por descumprimento?+

R$ 2.396,35 a R$ 6.708,08 por item descumprido (NR-28). Em caso de reincidência, a multa pode chegar a 50× o valor — ou seja, mais de R$ 335.000,00 por item.

O anonimato é mesmo de verdade?+

Sim. A tabela `denuncias` não tem coluna alguma que identifique o submitter. A Edge Function descarta IP/User-Agent antes de persistir. Mesmo que quiséssemos rastrear, não haveria como — é auditável no código.

Funciona para terceirizados, MEI e temporários?+

Sim. A empresa configura `vinculos_aceitos` no onboarding (CLT, terceirizado, MEI, temporário, estágio). O relatório segmenta automaticamente por tipo de vínculo, atendendo NR-1 item 1.5.

E se o denunciante não classificar o fator psicossocial?+

Nossa IA classifica automaticamente nos 11 fatores NR-1. No relatório, marcamos como 'auto-classificado pela IA' — transparência total para o auditor saber o que foi declarado vs inferido.

Quanto tempo até estar pronto para auditoria?+

Menos de 1 hora. O onboarding NR-1 leva 5 minutos (4 passos), configurar usuários da empresa leva 10 minutos, personalizar comunicação leva mais 15. No mesmo dia, a empresa está adequada.

Posso testar antes de pagar?+

Sim. Plano free-trial / piloto disponível — entre em contato pelo formulário ou crie sua conta para começar.

Onde meus dados ficam armazenados?+

Servidores no Brasil (região gru1) via Supabase + AWS. Dados nunca saem do território nacional. DPA assinado, em conformidade com LGPD Art. 33 (transferência internacional).

Comece em menos de 5 minutos

Antes do prazo de 26 de maio de 2026, sua empresa precisa estar adequada à NR-1 e à Lei 14.457/2022. Comece agora — adequação completa no mesmo dia.

Criar conta agoraFalar com um consultor

29 dias restantes até a vigência da NR-1

Lei 14.457 e NR-1 — Software de Conformidade Fiscal-Grade | Ethos Compliance