O dado continua protegido mesmo quando o sistema é comprometido.
Assumimos como premissa de projeto que qualquer sistema pode ser invadido. A pergunta deixa de ser “como impedir” e passa a ser “o que o atacante consegue, de fato, fazer com o dado exposto”.
Segurança perimetral não basta. O mercado segue tratando violação como evento raro, quando ela é apenas questão de tempo.
Casos como o vazamento de 243 milhões de registros recentemente noticiado no Brasil mostram que o problema não é se, é quando.
Um único dump pode alimentar fraude, engenharia social e ações regulatórias por anos. O custo não fecha com o incidente.
LGPD, GDPR e marcos setoriais responsabilizam o controlador pelo dado exposto, independentemente do vetor de ataque utilizado.
Reduzir o valor útil do dado exposto a um patamar comercialmente inviável para o atacante.
Não prometemos impedir comprometimento. Projetamos para que o dado, quando exposto, careça do contexto, da chave ou da reunião de atributos necessária para gerar dano relevante.
- 01Separação entre dado e contexto
O que identifica, o que descreve e o que autoriza vivem em domínios distintos, com fronteiras explícitas.
- 02Cofre digital de informação sensível
Atributos de maior risco residem em um perímetro próprio, com regime de acesso, retenção e auditoria mais estrito que o resto do sistema.
- 03Isolamento de processamento crítico
Operações que cruzam atributos sensíveis ocorrem em ambiente isolado, instrumentado e com janela de exposição limitada.
- 04Zero-knowledge onde for aplicável
Quando o caso de uso permite, o sistema não detém em claro a informação que protege. A leitura útil exige o titular do segredo.
- 05Auditabilidade total de acesso
Toda leitura sensível deixa rastro com origem, finalidade e responsável, em registro fora do alcance do operador do sistema.
- 06Mínimo privilégio como contrato
Permissões são declarativas, revisáveis e periodicamente reduzidas. Acesso ocioso é tratado como vulnerabilidade ativa.
O que esta arquitetura promete, e onde termina a promessa.
- Exfiltração de base de dados
Dump completo sem o ambiente isolado e sem as chaves correspondentes não reconstrói o dado útil.
- Acesso indevido por insider
Operador, engenheiro ou administrador não consegue isoladamente correlacionar atributos sensíveis sem deixar rastro auditável.
- Comprometimento de credencial
Roubo de credencial de aplicação não dá acesso ao perímetro de informação sensível, que opera com regime próprio.
- Engenharia social contra o sistema
Solicitações fora do fluxo homologado são bloqueadas por contrato técnico, não por discrição do operador.
- Coerção do titular do segredo
Se o titular da chave colabora ou é coagido fora do nosso perímetro, a proteção criptográfica não substitui controle humano e jurídico.
- Comprometimento do dispositivo do usuário
O que é exibido legitimamente em tela ao usuário autorizado pode ser capturado por malware no dispositivo dele.
- Erros operacionais do cliente
Exportações, integrações ou usos fora do escopo homologado deixam de estar cobertos pela promessa contratual.
- Mudança não autorizada de arquitetura
Alterações posteriores na infraestrutura ou no fluxo crítico, sem revisão conjunta, invalidam o escopo da garantia.
Como a promessa é testada antes de ser assinada.
- Exercício de comprometimento controlado
Simulamos posse hostil do ambiente de aplicação e demonstramos que o conjunto de dados resultante não permite uso comercial nem reconstrução de identidade.
- Revisão cruzada de escopo
O perímetro coberto é descrito em anexo técnico, revisado em conjunto com o cliente e versionado a cada mudança relevante.
- Trilhas de auditoria independentes
Os registros de acesso sensível ficam em domínio com governança distinta da operação, viabilizando auditoria externa.
- Matriz de responsabilidade
Cada controle tem dono entre Hardenn, cliente e terceiros. Não há controle sem responsável nomeado.