Pentest para LGPD: Art. 46 como Evidencia, Art. 52 como Atenuante
Pentest manual como prueba objetiva de medidas técnicas adecuadas (art. 46) — atenuante explícito en la dosimetría de multa de la ANPD (art. 52, §3º).
Por qué ahora
El dolor real
ANPD aplica multa, suspensión y bloqueo. El gestor responde por improbidad y resarcimiento. El auditor pide evidencia de medidas técnicas — y un reporte de scanner no convence. Pentest manual con mapeo finding↔artículo LGPD es el único entregable que abogado, encargado y procurador aceptan.
Norma y referencia
/superficie-de-ataque
LGPD
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
Mapeo finding ↔ artículo LGPD
Cada hallazgo técnico viene con el artículo violado y la categoría de dato afectada.
Auditoría de bases legales
Validación de consentimiento, legítimo interés, ejecución de contrato, política pública.
Tratamiento de dato sensible (art. 11)
Salud, biometría, religiosa, racial, política — auditoría de segregación, cifrado en reposo, control de acceso.
Derechos del titular (arts. 18-22)
Portabilidad, eliminación, anonimización, revisión de decisiones automatizadas — pruebas funcionales y de seguridad.
Encargado y gobernanza
Validación del canal al titular, flujo de incidente (art. 48), evidencias de RIPD.
Compartición y transferencia internacional
Auditoría de operadores y contratos (art. 33-36).
Fuga y notificación ANPD
Tiempo de detección, runbook de comunicación, evidencia de mitigación.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Atención a controladores y operadores en salud, fintech, retail y sector público. Mapeo de hallazgos aceptado por DPO en fiscalización ANPD.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — LGPD
¿El pentest sirve como evidencia del art. 46?
Sí. El art. 46 exige "medidas de seguridad técnicas y administrativas aptas para proteger los datos". Pentest manual con reporte técnico, plan de remediación y ciclo recurrente es la evidencia más objetiva.
¿Y como atenuante de multa?
Sí. Art. 52, §1º, IX y §3º consideran la adopción reiterada y demostrada de mecanismos internos como atenuante.
¿Cuánto puede llegar la multa LGPD?
Hasta el 2% del facturamiento limitado a R$ 50 millones por infracción. Para ente público, ANPD adopta base diferente.
¿Hacen el RIPD junto?
No. RIPD es trabajo del encargado/DPO. Pero entregamos el reporte técnico en formato que alimenta el RIPD directamente.
¿Empresa pequeña necesita?
Si trata dato personal regularmente, sí. ANPD no exime a SMB de LGPD — solo ajusta la dosimetría. Pack reducido para SMB desde R$ 12-25k.
/contacto
Reducir riesgo LGPD
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.