LGPD, ISO 27001, PCI-DSS: o papel do pentest na conformidade
TL;DR
Compliance não é segurança, mas segurança bem feita resolve a maior parte do compliance técnico. Pentest, gestão de vulnerabilidades e SOC produzem evidências exigidas por LGPD, ISO 27001 e PCI-DSS — desde que estejam integrados a um programa real, não apenas a um checklist anual.
Há uma confusão recorrente entre líderes que estão começando: "Vamos contratar um pentest porque precisamos passar na auditoria". O pentest passa; o ambiente continua vulnerável. Por quê? Porque compliance vira fim, quando deveria ser consequência de um programa de segurança real.
O que cada regulação pede sobre segurança técnica
LGPD (Lei Geral de Proteção de Dados — Brasil)
A LGPD não traz um checklist técnico explícito, mas exige "medidas técnicas e administrativas aptas a proteger os dados pessoais" (Art. 46) e responsabilização por incidentes. Na prática:
- Pentest periódico em sistemas que tratam dados pessoais
- Gestão de vulnerabilidades com SLA de correção por criticidade
- Logs e capacidade de demonstrar diligência em caso de incidente
- Plano de resposta a incidentes e comunicação à ANPD
- Avaliação de impacto à proteção de dados (DPIA) para tratamentos de alto risco
ISO/IEC 27001
É o padrão internacional para Sistemas de Gestão de Segurança da Informação. O Anexo A traz 93 controles (versão 2022). Em segurança técnica, ele cobre:
- A.5.7 — Threat Intelligence
- A.5.23 — Information security for use of cloud services
- A.8.8 — Management of technical vulnerabilities (gestão de vulnerabilidades técnicas)
- A.8.9 — Configuration management
- A.8.25–A.8.32 — Secure development lifecycle, secure coding, security testing
Pentest e SOC são evidências naturais desses controles.
PCI-DSS
O Payment Card Industry Data Security Standard é explícito e técnico. Em sua versão 4, exige:
- Req. 11.3 — Pentest interno e externo pelo menos anualmente e após cada mudança significativa
- Vulnerability scans trimestrais (internos e ASV)
- Segmentação de rede validada por pentest
- Logs, monitoramento e detecção de intrusão
Se sua empresa processa cartão e ainda não faz pentest anual, está em não-conformidade — independente de auditoria.
NIST CSF e SOC 2
NIST CSF (Cybersecurity Framework) organiza em cinco funções: Identify, Protect, Detect, Respond, Recover. SOC 2 (audit report da AICPA) cobre os "Trust Services Criteria". Ambos exigem evidências de teste de segurança, monitoramento contínuo e resposta a incidentes — exatamente o que pentest + SOC entregam.
Como pentest gera evidência de compliance
O relatório de pentest, quando bem elaborado, é entregue ao auditor como evidência de:
- Diligência em segurança técnica (LGPD Art. 46, ISO A.8.8)
- Testes periódicos (PCI 11.3)
- Capacidade de identificar e tratar vulnerabilidades (NIST CSF — Identify, Protect)
- Plano de melhoria contínua a partir de findings
O perigo do compliance teatral
Pentest feito apenas para passar em auditoria tende a ter:
- Escopo artificialmente reduzido para evitar findings
- Janela de execução fora da janela de release
- Ausência de retest
- Achados críticos "negociados" para baixar a criticidade
O resultado é um relatório que satisfaz a auditoria e não protege ninguém. Daí vazamentos em empresas certificadas ISO 27001.
Programa integrado: segurança + compliance
O padrão maduro é tratar compliance como output de um programa contínuo:
- Inventário de ativos e classificação por criticidade
- Pentest periódico em ativos críticos, com retest
- Gestão de vulnerabilidades com SLA por criticidade
- SOC 24/7 com monitoramento e resposta
- Threat intelligence integrada
- Treinamento e conscientização contínuos
- Documentação e evidências automatizadas — não construídas em véspera de auditoria
Conclusão
Compliance e segurança não são inimigos — mas também não são sinônimos. Tratar pentest como item de checklist anual é desperdício de orçamento. Tratá-lo como parte de um programa contínuo de segurança ofensiva gera, como bônus, toda a evidência que LGPD, ISO 27001 e PCI-DSS pedem.