Compliance · LGPD

LGPD e Segurança da Informação

A Lei Geral de Proteção de Dados exige medidas técnicas proporcionais ao risco (art. 46). Pentest é a evidência mais sólida de diligência técnica — antes e depois de um incidente.

Solicitar Pentest para LGPD Ler Análise Completa

Base Legal

O Que a LGPD Exige Tecnicamente

Art. 46

Medidas de Segurança

"Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados."

O pentest valida ativamente que as medidas implementadas funcionam — não apenas que existem no papel.

Art. 48

Notificação de Incidente

"O controlador deverá comunicar à autoridade nacional a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante."

Prazo: 2 dias úteis. Sem pentest documentado, a ANPD questiona a diligência técnica da empresa.

Art. 6°, VII

Princípio de Segurança

"Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados."

Princípio fundamental — permeia toda a Lei. Compliance técnico é parte da cultura de proteção de dados.

Vulnerabilidades Críticas LGPD

O Que Encontramos Que Viola a LGPD

CRÍTICO

IDOR em APIs de Cliente

Troca de ID expõe dados pessoais (nome, CPF, email, endereço) de outros titulares. Violação direta do art. 46 + obrigação de notificação à ANPD (art. 48).

→

CRÍTICO

SQL Injection — Extração em Massa

Dump completo do banco de dados: todos os CPFs, emails, senhas, histórico de compras. Multa máxima: R$ 50M + notificação de todos os titulares.

→

ALTO

Rota Admin Sem Autenticação

Endpoints administrativos acessíveis sem token. Exfiltração de dados de toda a base sem necessidade de autenticação.

→

MÉDIO

CORS Misconfiguration

API reflete qualquer origem com credentials. Site malicioso lê dados autenticados de usuário vítima — sem o usuário perceber.

→

ANPD — Sanções

O Que Acontece Sem Diligência Técnica

⚠️

Advertência

Para infrações leves. Com indicação de prazo para adoção de medidas corretivas — incluindo pentest e remediação.

💰

Multa Simples

Até 2% do faturamento bruto da empresa, de seu grupo ou conglomerado no Brasil, limitida a R$ 50 milhões por infração.

🚫

Bloqueio de Dados

Bloqueio do tratamento dos dados pessoais até a regularização. Para SaaS, equivale a interrupção parcial do produto.

📣

Divulgação Pública

A ANPD pode publicar a infração. Dano reputacional direto — clientes enterprise são imediatamente notificados.

Seu próximo incidente pode custar R$ 50 milhões.

Um pentest documentado hoje é o argumento mais forte perante a ANPD amanhã.

Solicitar Pentest para LGPD

Pronto para Contratar seu Próximo Pentest?

Adquira nossa avaliação pontual feita pelos melhores profissionais do mercado ou implemente o software da Veyronn 24/7.

Implantar Plataforma com IA Orçamento de Consultoria