Falaaa galera, e aí você já ouviu falar da LGPD ?

Então, essa á uma lei criada para proteção de dados pessoais (Lei geral de proteção de dados pessoais), ela foi criada inspirada na lei europeia a GDPR (general data protection regulation).

LGPD - Lei Geral de Proteção de Dados Pessoais

A Lei de numero 13.709 de 2018 é responsável por definir como as empresas devem tratar os dados pessoais dos brasileiros, mas antes de falar a importância do Pentest perante a LGPD, vamos entender a Lei.

Basicamente ela tem alguns padrões que determinam como as empresas deverão coletar, armazenar, processar e até de destruir os dados pessoais.  

E como o Pentest se encaixa nisso tudo?

O Pentest entra no processo da LGPD justamente para validar a segurança de cada um desse passos, como a coleta, armazenamento, processamento e destruição dos dados.

O Pentest é um passo importante para as empresas entenderem onde esta as falhas dos seus sistemas e aplicativos, e por isso várias empresas tem solicitado este tipo de teste para validar se a sua empresa está tratando esses dados de uma forma realmente segura.

É possível através do Pentest apontar se os dados estão realmente seguros ou não, com as técnicas certas um Pentester consegue colocar a prova cada uma das etapas informadas, fazendo sempre questionamentos como:

Será que é possível roubar as informações usando um SQL Injection neste formulário ?
Será que é possível roubar informações através desse bucket do s3 que está aberto ?
Será que é possível extrair informações do servidor explorando esta falha de XXE ?

O Pentest é um dos passos mais importantes na etapa de Assessment da LGPD, além de saber exatamente o que acontece em cada etapa, é importante o quão seguro os dados estão sendo transacionados entre cada uma delas. Esse processo vai ajudar com a visão de um hacker mal intencionado, mostrando as possíveis falhas e brechas de segurança em todos estes processos.

Pentest é só para LGPD ?

Não faça Pentest só por causa da LGPD, faça Pentest com recorrência na sua empresa, seja através do seu RedTeam ou com uma consultoria externa. Este é um processo super importante e que sempre irá apontar falhas e brechas de segurança no seu ambiente, então considere colocar o Pentest no seu ROADMAP anual de Segurança da Informação e eu diria que o Pentest é tão importante quanto a LGPD.