Pentest e LGPD
A Lei Geral de Proteção de Dados (LGPD) exige que os controladores e operadores de dados adotem medidas técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados (art. 46). O pentest é a principal evidência técnica de que essas medidas estão sendo ativamente avaliadas e melhoradas.
O que a LGPD exige em segurança
O art. 46 da LGPD determina que "os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito".
Embora a LGPD não exija explicitamente a realização de pentests, a ANPD (Autoridade Nacional de Proteção de Dados) e o mercado interpretam o pentest como uma das medidas técnicas mais relevantes para demonstrar conformidade ativa com o art. 46. Em caso de incidente, a existência de histórico de testes de penetração é evidência direta de que a organização adotou medidas proativas de segurança.
Contribuições do pentest para conformidade com a LGPD
Identificação de vetores de acesso indevido
O pentest identifica vulnerabilidades que poderiam ser exploradas para acessar dados pessoais sem autorização: SQL Injection, IDOR, autenticação insegura e configurações expostas.
Avaliação de criptografia e armazenamento
Verificação de criptografia de dados em repouso e em trânsito, senhas armazenadas com hashing adequado e tokens de sessão protegidos.
Teste de controles de acesso
Validação de que apenas usuários autorizados têm acesso aos dados pessoais: autorização por objeto (IDOR), escalada de privilégios e separação de ambientes.
Documentação para a ANPD
O relatório do pentest é evidência documentada das medidas técnicas adotadas, útil em caso de incidente ou investigação pela ANPD.
Suporte ao RIPD
O Relatório de Impacto à Proteção de Dados (RIPD) exige avaliação de riscos técnicos. O pentest fornece dados objetivos sobre vulnerabilidades para alimentar essa avaliação.
Notificação de incidentes
Identificar vulnerabilidades antes de atacantes evita a necessidade de notificação obrigatória de incidentes à ANPD e aos titulares (art. 48 LGPD).
Tipos de pentest para conformidade com a LGPD
O cumprimento do art. 46 pode exigir diferentes tipos de teste dependendo do ambiente onde os dados pessoais são processados.
Pentest Web
Aplicações que coletam, exibem ou processam dados pessoais. OWASP Top 10, autenticação e IDOR.
Pentest API
APIs que expõem dados pessoais a parceiros ou aplicativos mobile. OWASP API Top 10.
Pentest Cloud
Dados pessoais armazenados em AWS, Azure ou GCP. Configurações de bucket, IAM e redes.
Pentest de Infraestrutura
Redes e servidores que hospedam bases de dados com informações pessoais.
Pentest Active Directory
Controle de acesso a sistemas que processam dados pessoais em ambientes corporativos.
PTaaS
Testes contínuos para manter evidências atualizadas diante de mudanças frequentes nos sistemas.
Demonstre conformidade ativa com a LGPD
Relatório com rastreabilidade para os requisitos do art. 46 e suporte ao RIPD.
Solicitar orçamento