intrus.io
/compliance · LGPD

Pentest para LGPD: Art. 46 como Evidência e Art. 52 como Atenuante

Pentest manual como prova objetiva de medidas técnicas adequadas (art. 46) — atenuante explícito na dosimetria de multa pela ANPD (art. 52, §3º).

Reduzir risco LGPDVer vetores
90% manual · 10% automatizado
OSCP · CISSP · CRTO · GPEN
BR · PT · IT · ES · MA · US · AU
OWASP · MITRE · PTES · NIST

Por que agora

A dor real

ANPD aplica multa, suspensão e bloqueio. O gestor responde por improbidade e ressarcimento. Auditor pede evidência de medidas técnicas — e relatório de scanner não convence. Pentest manual com mapeamento finding↔artigo LGPD é o único entregável que advogado, encarregado e procurador aceitam.

Norma e referência

Lei 13.709/2018 (LGPD)Resolução CD/ANPD 4/2023Resolução CD/ANPD 6/2023Resolução CD/ANPD 15/2024

/superficie-de-ataque

LGPD

Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.

01

Mapeamento finding ↔ artigo LGPD

Cada finding técnico vem com o artigo violado e a categoria de dado afetada (pessoal, sensível, criança/adolescente).

02

Auditoria de bases legais

Validação de consentimento, legítimo interesse, execução de contrato, política pública (ente público art. 23).

03

Tratamento de dado sensível (art. 11)

Saúde, biometria, religiosa, racial, política — auditoria de segregação, criptografia em repouso, controle de acesso.

04

Direitos do titular (arts. 18-22)

Portabilidade, eliminação, anonimização, revisão de decisões automatizadas — testes funcionais e de segurança.

05

Encarregado e governança

Validação do canal de atendimento ao titular, fluxo de incidente (art. 48), evidências de RIPD.

06

Compartilhamento e transferência internacional

Auditoria de operadores e contratos (art. 33-36).

07

Vazamento e notificação ANPD

Tempo de detecção, runbook de comunicação, evidência de tentativa de mitigação.

/metodologia

Pentest manual de verdade

Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.

01 · Reconhecimento

Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.

02 · Descoberta

Enumeração profunda, scan complementar, identificação manual de exposição.

03 · Exploração

Validação manual com PoC controlada, encadeamento de findings, escalação.

04 · Relatório

Executivo + técnico, replicação passo a passo, mapeado para regulação.

/por-que-confiar

Quem já confiou no nosso trabalho

Atendimento a controladores e operadores em saúde, fintech, varejo e setor público. Mapeamento de findings aceito por DPO em fiscalização ANPD.

Caixa Econômica Federal
Banco BMG
iFood
ArcelorMittal
Multibanco
Polícia Federal
Fórmula 1
OpenFinance

Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.

DL

Douglas Lopes

Founder · CEO · intrus.io

/crivo · programa de integridade

87%

dos candidatos a pentester reprovam no nosso Crivo

Você sabe quem vai ter acesso ao seu ambiente?

NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.

  • Verificação criminal, fiscal e profissional aprofundada
  • Avaliação psicométrica e perfil de risco
  • Teste de integridade prático com cenários controlados
  • Time fixo — não rotativo, sem 'estranho a cada engajamento'
Conhecer o programa Crivocrivo.intrus.io

/faq

FAQ — LGPD

Pentest serve como evidência de art. 46?

Sim. O art. 46 fala em "medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais". Pentest manual com relatório técnico, plano de remediação e ciclo recorrente é a evidência objetiva mais aceita por advogado, auditor e procurador.

E como atenuante na multa?

Sim. Art. 52, §1º, IX e §3º consideram "a adoção reiterada e demonstrada de mecanismos e procedimentos internos" e "a adoção de boas práticas e de governança". Pentest é exatamente isso.

Multa LGPD chega a quanto?

Até 2% do faturamento limitada a R$ 50 milhões por infração. Para ente público, a ANPD adota base diferente (orçamento da unidade). Multa diária com mesmo teto. Suspensão e bloqueio também são possíveis.

Vocês fazem o RIPD junto?

Não. RIPD é trabalho do encarregado/DPO. Mas entregamos o relatório técnico em formato que alimenta o RIPD diretamente, com mapeamento por artigo.

Empresa pequena precisa?

Se trata dado pessoal regularmente, sim. ANPD não isenta SMB de LGPD — só ajusta a dosimetria. Pacote enxuto pra SMB existe e custa a partir de R$ 12-25k.

/contato

Reduzir risco LGPD

Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.

Falar agoraVer outros setores

Outros setores que atendemos

/iso-27001

ISO 27001:2022

/pci-dss

PCI-DSS 4.0

/bacen-4893

BACEN Res. 4.893

/open-finance

Open Finance / FAPI

/pix

PIX

/soc-2

SOC 2 Type II