Pentest per LGPD: Art. 46 come Evidenza, Art. 52 come Attenuante
Pentest manuale come prova oggettiva di misure tecniche adeguate (art. 46) — attenuante esplicito nella dosimetria delle multe ANPD (art. 52, §3).
Perché ora
Il dolore reale
ANPD applica multa, sospensione e blocco. Il dirigente risponde per improbità e risarcimento. L'auditor richiede evidenza di misure tecniche — un report di scanner non convince. Pentest manuale con mapping finding↔articolo LGPD è l'unica consegna che avvocati, DPO e procuratori accettano.
Norma e riferimento
/superficie-di-attacco
LGPD
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
Mapping finding ↔ articolo LGPD
Ogni finding tecnico viene con l'articolo violato e la categoria di dato impattata.
Audit delle basi legali
Validazione di consenso, legittimo interesse, esecuzione contrattuale, politica pubblica.
Trattamento di dato sensibile (art. 11)
Sanità, biometria, religiosa, razziale, politica — audit di segregazione, cifratura a riposo, controllo accessi.
Diritti dell'interessato (artt. 18-22)
Portabilità, cancellazione, anonimizzazione, revisione di decisioni automatizzate.
DPO e governance
Validazione del canale all'interessato, workflow di incidente (art. 48), evidenze del RIPD.
Condivisione e trasferimento internazionale
Audit di responsabili del trattamento e contratti (artt. 33-36).
Violazione e notifica ANPD
Tempo di rilevamento, runbook di comunicazione, evidenza di mitigazione.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
Servizi a titolari e responsabili in sanità, fintech, retail e settore pubblico.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programma di integrità
dei candidati pentester non supera il nostro Crivo
Sai chi avrà accesso al tuo ambiente?
L'NDA vale in tribunale. Non vale nel quotidiano. Prima del primo accesso, ogni nostro pentester passa background, profilo psicometrico e test di integrità.
- Verifica criminale, fiscale e professionale approfondita
- Valutazione psicometrica e profilo di rischio
- Test di integrità pratico con scenari controllati
- Team fisso — non rotativo, niente "sconosciuto a ogni ingaggio"
/faq
FAQ — LGPD
Il pentest serve come evidenza dell'art. 46?
Sì. L'art. 46 richiede misure di sicurezza tecniche e amministrative idonee. Pentest manuale con report tecnico, piano di remediation e ciclo ricorrente è l'evidenza più oggettiva.
E come attenuante della multa?
Sì. Art. 52, §1, IX e §3 considerano l'adozione reiterata e dimostrata di meccanismi interni come attenuante.
Quanto può arrivare la multa LGPD?
Fino al 2% del fatturato, limitato a R$ 50 milioni per infrazione. Per ente pubblico, ANPD adotta base diversa.
Producete anche il RIPD?
No. Il RIPD è lavoro del DPO. Consegniamo il report tecnico in formato che alimenta direttamente il RIPD.
Le piccole imprese devono?
Se trattano dati personali regolarmente, sì. ANPD non esenta le PMI dalla LGPD — regola solo la dosimetria.
/contatti
Ridurre rischio LGPD
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.