← Artigos

Pentest e LGPD: quando a lei exige avaliação técnica de segurança

Publicado em 23 de abril de 2026 · 14 min de leitura

A pergunta chega na reunião comercial, no questionário de due diligence, na renovação da apólice cyber, no onboarding do cliente enterprise: "qual foi o último pentest da sua aplicação?". Quem não tem resposta documentada descobre rápido que não é só uma checagem burocrática. O atestado de pentest virou um artefato central na conformidade com a Lei Geral de Proteção de Dados, mesmo sem aparecer no texto da lei.

Esta página cobre o que a LGPD exige tecnicamente, quando pentest se torna obrigatório na prática mesmo antes de regulamentação, como o atestado é consumido em auditoria e quais são os riscos concretos de não ter avaliação técnica documentada. O público alvo é CTO, head de segurança, DPO e responsável por compliance em empresas que processam dados pessoais no Brasil.

1. O que a LGPD diz sobre segurança técnica

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) trata segurança em dois artigos centrais.

Art. 46 determina que o controlador e o operador devem adotar "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão".

Art. 47 estende o requisito: as medidas devem estar presentes "desde a fase de concepção do produto ou do serviço até a sua execução". É o conceito de privacy by design em texto legal brasileiro.

O texto é deliberadamente aberto. "Adequado" e "apto" são termos flexíveis, por desenho regulatório. A lei estabelece o fim (prevenir acesso não autorizado), deixa o meio para o controlador escolher, e autoriza a ANPD a regulamentar o detalhamento técnico via guias e resoluções.

A ANPD vem publicando material nessa direção. O Regulamento de Segurança da Informação, os guias de boas práticas e o guia orientativo sobre agentes de tratamento citam nominalmente "testes de segurança", "avaliação de vulnerabilidades" e "simulação de ataques". São descrições de pentest em linguagem regulatória.

Traduzindo para decisão prática: a lei não te obriga a contratar pentest. A lei te obriga a ter medida técnica adequada e demonstrar que ela existe. Pentest é a forma mais explícita, documentada e defensável de cumprir esse requisito em aplicações web e APIs.

2. Quando pentest vira obrigatório na prática

Controladores não esperam regulamentação específica. O pentest já é padrão de fato em três cenários cotidianos.

Due diligence de cliente enterprise

Quando uma fintech, um banco, uma seguradora ou uma empresa de saúde avalia um fornecedor de software, o questionário padrão (SIG Lite, CAIQ, checklist interno) traz pergunta direta: "você realiza pentest periódico? quando foi o último? pode compartilhar o atestado?". Sem o documento, o fornecedor passa para a etapa "apresentar remediação ou ser desqualificado".

Na prática, a falta do atestado trava o contrato. Já vi startups perderem janelas comerciais de três meses por isso — o tempo entre a pergunta do cliente e a emissão do atestado. Quem antecipa evita o gargalo.

Contrato B2B com cláusula de segurança

Contratos B2B com empresas de porte trazem, cada vez mais, cláusula do tipo "o contratado deve realizar, às suas expensas, avaliação de intrusão nos sistemas que processam dados do contratante, no mínimo uma vez ao ano, fornecendo atestado ao término". É cláusula padrão em minutas de escritórios de advocacia grandes no Brasil. O contratado pode até negociar a periodicidade, mas não a existência.

Seguro cyber

Seguradoras que vendem apólice cyber no Brasil (Chubb, AIG, Zurich, Marsh como corretora) aplicam questionário técnico antes de emitir cobertura. Pentest documentado é um dos fatores que reduz prêmio e habilita coberturas mais amplas, como responsabilidade civil por vazamento e resposta a incidente. Sem o atestado, ou a apólice é negada, ou vem com franquia alta e escopo limitado.

Nos três casos, a falta do atestado não gera multa da ANPD. Gera perda de contrato, apólice restrita, reprovação em due diligence. A pressão chegou antes da regulatória.

3. A ANPD já exigiu pentest em fiscalizações?

A ANPD começou a aplicar sanções administrativas a partir de 2023. As decisões públicas tratam, até aqui, de três famílias de descumprimento:

• Violação de direitos de titulares (respostas tardias ou omissas a pedidos de acesso, exclusão e correção).
• Falta de comunicação de incidente de segurança dentro do prazo razoável, previsto no Art. 48.
• Transferência internacional de dados sem base legal adequada.

Até a publicação desta página, em abril de 2026, não há decisão pública da ANPD que determine especificamente "faça pentest" como medida corretiva. As decisões pedem adequação de medidas técnicas de forma genérica: "implementar controle de acesso", "estabelecer processo de gestão de incidentes", "adotar medidas proporcionais ao risco". Pentest entra no conjunto "adequar medidas técnicas", nunca nomeado singularmente em dispositivo sancionador.

Isso não significa que a lei permita ignorar avaliação técnica. A ANPD, em processos administrativos abertos, solicita evidências documentais das medidas implementadas. Sem documentação de qualquer avaliação técnica (scan, pentest ou revisão de código), o controlador opera em zona cinzenta: teoricamente cumpre a lei se "medidas adequadas" existirem de fato; na prática, sem documentação não consegue demonstrar cumprimento em fiscalização.

Em outros reguladores o padrão é mais explícito.

• CNIL (autoridade francesa GDPR): cita "tests d'intrusion" em guias públicos sobre medidas técnicas e em recomendações setoriais para saúde e fintech.
• ICO (Reino Unido): recomenda pentest regular como parte de "appropriate technical measures", e em investigações recentes nomeou a ausência como fator agravante.
• FTC (EUA): em acordos recentes com empresas violadoras (SolarWinds, T-Mobile, outras), exige "periodic penetration testing" em consent decrees de 10+ anos, auditado por avaliador independente.

O consenso regulatório internacional aponta para exigência explícita. A ANPD, historicamente, segue jurisprudência GDPR com defasagem de dois a três anos. A tendência é clara, mesmo sem cronograma.

4. Como o atestado de pentest é usado em auditoria LGPD

O atestado cumpre três funções distintas quando vai para dossiê de conformidade.

Evidência do cumprimento do Art. 46. O auditor pede documentação das medidas técnicas adotadas. O atestado é o artefato mais direto e defensável: assinado por empresa terceira, descreve o que foi testado, quando, por qual metodologia, qual era o responsável técnico. Não é auto-declaração. Não dá para fabricar depois do fato com credibilidade. É o tipo de documento que sobrevive a um questionamento em processo administrativo.

Demarcação de escopo. O atestado documenta explicitamente o perímetro avaliado: URLs, APIs, domínios, versões, janelas de teste. Em caso de incidente fora do escopo, o controlador não pode ser acusado de negligência por algo que não estava no perímetro auditado recentemente. Incidente dentro do escopo avaliado, por outro lado, exige explicação mais robusta ("passou pelo pentest, mesmo assim ocorreu; o que mudou?") e a resposta do controlador precisa ser igualmente detalhada.

Atenuante em incidente comunicado. Em incidentes que resultam em comunicação à ANPD (Art. 48), a demonstração de que o controlador realizava pentest periódico é fator atenuante na dosimetria. Reduz a percepção de negligência. Pesa favoravelmente na eventual sanção. Não garante imunidade, mas desloca a curva.

5. Atestado de pentest vs relatório de conformidade LGPD

Confusão comum em time jurídico que ainda não operacionalizou LGPD: achar que relatório de conformidade substitui pentest (ou vice-versa). Não substitui. Os dois documentos respondem a perguntas diferentes.

O relatório de conformidade LGPD é um mapeamento processual e documental. Cobre: inventário de dados tratados, bases legais por finalidade (Art. 7 e Art. 11), registros das operações de tratamento (ROPAs), contratos de processamento assinados com operadores, política de privacidade publicada, canal de atendimento ao titular, fluxos de resposta a solicitação de direitos. É produzido por consultoria jurídica ou pelo DPO interno e não envolve teste técnico de sistema.

O atestado de pentest é evidência técnica ofensiva. Profissionais de segurança tentaram quebrar os sistemas dentro de escopo acordado e documentam o que descobriram, o que conseguiram explorar, qual foi o impacto, o que foi remediado.

Os dois se complementam. O relatório de conformidade cobre predominantemente Arts. 5, 6, 7, 8, 18 e 48 (direitos, bases legais, transparência, comunicação). O atestado de pentest cobre predominantemente o Art. 46 (segurança). Uma empresa LGPD-ready séria tem ambos, e renova cada um no seu ciclo próprio.

6. Formato mínimo aceitável de um atestado

O que um auditor espera encontrar em um atestado que vai compor dossiê de conformidade, em ordem de importância:

1. Identificação do emissor. Razão social, CNPJ, responsável técnico nomeado. Atestado "anônimo" ou sem responsável identificado tem peso zero em fiscalização.
2. Identificação do escopo. Domínios, URLs, IPs, APIs, aplicações testadas. Quanto mais específico, melhor. "A aplicação X foi testada" é muito fraco. "A aplicação web em https://app.exemplo.com (versão 2.5.0), as APIs REST em https://api.exemplo.com/v1 e https://api.exemplo.com/v2 foram testadas" é o padrão correto.
3. Período de execução. Datas de início e término do engajamento, inclusive fins de semana se executado neles.
4. Metodologias aplicadas. OWASP Top 10, OWASP API Security Top 10, PTES, NIST SP 800-115 são as referências esperadas. Citar nominalmente, com versão quando aplicável.
5. Classificação de severidade. CVSS 3.1 ou equivalente, com score numérico por finding.
6. Sumário quantitativo. Quantidade de achados por severidade e status (aberto, corrigido, aceito, não aplicável).
7. Limitações explícitas. O que não foi testado e por quê (escopo, tempo, autorização não concedida). Essa honestidade é valorizada em auditoria, não penalizada.
8. Assinatura. Do responsável técnico nomeado, da empresa emissora. Física, digital ICP-Brasil ou equivalente.

Atestados genéricos ("a aplicação X foi testada e está segura") não servem. Auditor rejeita por falta de detalhe, e o documento não sobrevive a um processo administrativo subsequente. Gastar R$5.000 em um atestado sem detalhe é desperdício, não economia.

O atestado do PentestAI segue esse formato por padrão. Período, escopo, metodologias, severidade, limitações, assinatura. Aceito em auditorias LGPD, SOC 2, ISO 27001 e PCI-DSS.

7. Periodicidade: quando e com que frequência

Não existe número mágico. Três gatilhos de calendário cobrem a maioria dos casos.

Anual como baseline. Cadência recomendada pela maioria dos guias (ANPD, OWASP, ISO 27001, PCI-DSS). Uma vez por ano, mesmo sem mudança significativa, é necessário para capturar drift de configuração, vulnerabilidades recém-descobertas em componentes de terceiros e mudanças graduais que escaparam ao processo de review.

Pré-lançamento de produto novo ou funcionalidade crítica. Nova API pública, novo fluxo de pagamento, nova área com dados sensíveis. Pentest antes do go-live evita rollback traumático ou incidente em produção nos primeiros meses. Custa menos que a crise.

Após mudança arquitetural relevante. Migração para cloud, troca de mecanismo de autenticação, adoção de SSO, exposição de nova integração com parceiro ou processador. Cada um desses eventos redesenha a superfície de ataque. O atestado anterior, produzido sob a arquitetura antiga, perde parte da cobertura.

Empresas reguladas operam em ciclo mais curto. Fintechs sob BACEN (Resolução 4.893) e processadoras de pagamento (PCI-DSS nível 1) tipicamente pedem semestral ou trimestral para aplicações críticas. Healthtechs sob regulação ANS e telecom sob Anatel têm requisitos próprios que costumam exigir no mínimo anual, com validação incremental.

Para a maioria das B2B SaaS médias, ciclo anual combinado com testes adicionais antes de cada release major cobre bem. O que não funciona é o extremo oposto: pentest único, feito há quatro anos, tratado como "ainda vale". Auditor e comprador enterprise não aceitam atestado antigo como válido, independentemente do texto da lei.

8. Riscos concretos de não ter pentest documentado

Três categorias de risco atingem controladores sem avaliação técnica documentada.

Fiscalização administrativa

Em processo da ANPD, a ausência completa de documentação técnica é fator agravante na dosimetria da sanção. As sanções administrativas da LGPD vão de advertência até 2% do faturamento do grupo econômico, limitadas a R$50 milhões por infração (Art. 52). A ausência de medida técnica demonstrada não é, por si só, infração autônoma — mas pesa significativamente na curva quando combinada com outra infração (incidente comunicado, violação de direito do titular). Controladores com documentação técnica robusta tendem a receber sanções menores ou advertência para o mesmo tipo de violação.

Incidente de segurança

Em incidente que resulte em exposição de dados pessoais, o controlador deve comunicar à ANPD e aos titulares afetados em prazo razoável (referência prática: 72 horas úteis, em linha com GDPR e orientação da ANPD). O artefato número um que o comunicado pede é "medidas técnicas que estavam em vigor no momento do incidente". Sem pentest nem scan documentado, o controlador declara "nenhuma avaliação recente" — o que não cai bem em processo administrativo subsequente e pode caracterizar negligência grave.

Reprovação em due diligence

Cenário cotidiano: startup fecha primeiro cliente enterprise de porte, a negociação avança até a etapa de segurança, a pergunta vem: "qual foi seu último pentest? pode compartilhar o atestado?". A resposta "não temos" geralmente termina com perda do contrato ou atraso de dois a três meses enquanto o pentest é contratado em regime emergencial. Esse segundo caminho é comum; o primeiro também. O custo de oportunidade é alto, e a pressão não vem da LGPD: vem do comprador. Mas a pergunta só existe porque a LGPD criou o pano de fundo regulatório.

Próximos passos

Se você chegou até aqui provavelmente está avaliando contratar avaliação técnica de segurança. Três caminhos cobrem a maioria dos casos.

• Vulnerability scan (centenas de reais, horas). Bom para higiene contínua de infraestrutura, detecta CVEs em componentes conhecidos. Não substitui pentest nem gera atestado aceito em auditoria LGPD.
• Pentest tradicional sob medida (R$30 mil a R$150 mil, 3 a 6 semanas). Para ambientes regulados de alto risco, aplicações críticas com lógica de negócio complexa, compliance exigente (PCI-DSS nível 1 completo, SOC 2 Type II). Análise manual profunda, cenários multi-etapa.
• PentestAI by WiserSecurity (R$5.000 fixos, 10 dias). Produto padronizado para aplicação web ou API de porte médio que precisa do atestado formal com escopo enxuto. Cumpre o formato mínimo descrito na seção 6. Aceito em LGPD, SOC 2, ISO 27001 e PCI-DSS.

Se seu cenário é web ou API de porte médio, com necessidade clara de atestado para due diligence, auditoria ou compliance e orçamento previsível, converse com a WiserSecurity sobre o PentestAI. Retorno em 24 horas úteis com validação de viabilidade e próximos passos.