Segurança para HR Tech: blindando folha, dados de funcionários e isolamento multi-tenant
HR techs guardam o conjunto mais sensível de dados pessoais que existe — folha, saúde, documentos, dependentes. Um único furo de isolamento multi-tenant vira vazamento LGPD massivo. Veja como a Decripte audita o isolamento, responde a incidentes e estrutura a governança desses dados.
Resposta direta
Para proteger uma HR tech você precisa tratar três frentes ao mesmo tempo: isolamento multi-tenant à prova de cross-tenant leakage (cada empresa-cliente só enxerga os próprios dados, validado por pentest com contas reais de tenants distintos), proteção do fluxo de folha contra fraude e desvio de pagamento (segregação de função, aprovação dupla, detecção de alteração de conta bancária) e governança de dados pessoais sensíveis conforme a LGPD (base legal, minimização, retenção, resposta a incidente com notificação à ANPD). A Decripte combina pentest de plataforma multi-tenant, SOC 24x7, conformidade LGPD/SOC 2 e resposta a incidentes com SLA de contenção de 1 hora para cobrir essas três frentes. O ponto de partida sem custo é o diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mapeia sua superfície exposta antes de qualquer contratação.
24/7
SOC monitorando a plataforma de RH
<=1h
SLA de contenção em incidente
LGPD
dados de funcionários = dado pessoal e, em saúde, sensível
SOC 2
controle exigido por clientes enterprise
Em resumo
- ›O risco que define o setor é o vazamento cross-tenant: uma falha de autorização faz a empresa A enxergar a folha da empresa B, transformando um bug em incidente LGPD de proporções multiplicadas pelo número de tenants.
- ›Dados de folha e saúde são, na LGPD, dado pessoal e — no caso de saúde — dado pessoal sensível (art. 5º, II), com exigências reforçadas de base legal, minimização e segurança.
- ›Fraude de folha não é só técnica: o vetor mais comum é a troca silenciosa da conta bancária de um funcionário ou de um lote, explorando ausência de aprovação dupla e de alerta de mudança de dados de pagamento.
- ›Account takeover de um gestor de RH dá acesso a toda a base da empresa-cliente — por isso MFA resistente a phishing e detecção de sessão anômala são controles de primeira linha.
- ›Isolamento multi-tenant precisa ser provado, não presumido: a Decripte testa com contas reais de tenants distintos tentando atravessar a fronteira por IDOR, JWT, header de tenant e cache compartilhado.
- ›O caminho de entrada é o diagnóstico gratuito em decripte.io/free; os planos pagos completos estão em /planos.
Cibersegurança para HR Techs
HR techs guardam o conjunto mais sensível de dados pessoais que existe — folha, saúde, documentos, dependentes. Um único furo de isolamento multi-tenant vira vazamento LGPD massivo. Veja como a Decripte audita o isolamento, responde a incidentes e estrutura a governança desses dados.
Por que uma HR tech é um alvo de altíssimo valor
Uma plataforma de RH é, na prática, um repositório consolidado dos dados mais íntimos da vida de uma pessoa adulta produtiva. Em um único banco convivem CPF, RG, CTPS, comprovante de residência, salário, descontos, pensão alimentícia, plano de saúde, atestados médicos, dados de dependentes (inclusive menores), conta bancária, avaliações de desempenho e, frequentemente, informações sobre processos disciplinares ou afastamentos. Nenhum outro tipo de SaaS B2B concentra tamanha densidade de dado sensível por registro. Para um atacante, isso significa que cada linha vazada tem valor de fraude muito acima da média: dá para abrir conta, contrair crédito, aplicar engenharia social com precisão cirúrgica e chantagear com informação de saúde.
O agravante estrutural é o modelo multi-tenant. A HR tech não guarda os dados de uma empresa — guarda os de centenas ou milhares, cada uma com sua folha inteira. Isso muda a matemática do risco: uma falha que, em um sistema single-tenant, exporia uma organização, aqui expõe todo o portfólio. O incidente deixa de ser 'vazamento de uma empresa' e passa a ser 'vazamento de N empresas e de todos os seus funcionários simultaneamente'. É exatamente esse efeito multiplicador que torna o isolamento de tenant o controle mais crítico — e o mais frequentemente subestimado — de uma plataforma de RH.
O que está dentro de uma plataforma de RH
- ›Identificadores fortes: CPF, RG, CTPS, PIS/PASEP, título de eleitor
- ›Dados financeiros: salário, descontos, conta bancária, pensão, empréstimo consignado
- ›Dado sensível de saúde: plano, atestados, afastamentos, perícias (art. 5º, II, LGPD)
- ›Dados de terceiros: dependentes, inclusive crianças e adolescentes
- ›Dados comportamentais: avaliações, advertências, histórico de ponto e geolocalização
Some-se a isso a obrigação regulatória. Funcionário é titular de dados pessoais para todos os efeitos da LGPD, e o tratamento de saúde se enquadra como dado pessoal sensível, com regime jurídico mais rígido. A HR tech atua quase sempre como operadora (processa dados em nome da empresa-cliente, que é a controladora), o que cria responsabilidade solidária por incidentes e exige um contrato de tratamento de dados bem desenhado, registro de operações e capacidade demonstrável de responder a um vazamento dentro do prazo razoável que a ANPD espera para a notificação.
Vazamento cross-tenant e fraude de folha: as ameaças estruturais
1. Vazamento cross-tenant: o pesadelo de arquitetura
O cross-tenant data leakage acontece quando a barreira lógica que separa os clientes na mesma instância falha. Os vetores são bem conhecidos e raramente aparecem em um teste superficial: IDOR (o endpoint aceita um ID de outro tenant porque a autorização confia no objeto, não no dono), claim de tenant manipulável no JWT, header X-Tenant-ID controlado pelo cliente, chave de cache que não inclui o tenant (a resposta da empresa A fica em cache e é servida para a empresa B), filtro de tenant ausente em uma query de relatório ou de exportação, e bucket de armazenamento de documentos com path previsível sem checagem de propriedade. Qualquer um deles transforma um bug em vazamento massivo.
O furo que não aparece no teste padrão
A maioria dos pentests testa autorização dentro de um tenant (usuário comum tentando virar admin). O furo de HR tech está entre tenants. Só se descobre testando com duas contas reais, de empresas-clientes diferentes, e tentando atravessar a fronteira em cada endpoint, cada relatório, cada exportação e cada link de documento. É esse teste que a Decripte executa — e é onde a falha costuma estar escondida.
2. Fraude de folha e desvio de pagamento
O vetor mais lucrativo não exige derrubar o sistema: exige alterar um número. Um atacante (externo, via account takeover, ou interno, via abuso de privilégio) troca a conta bancária de destino de um funcionário, ou de um lote inteiro, pouco antes do fechamento da folha. Se a plataforma não tem aprovação dupla para mudança de dados de pagamento, não alerta o funcionário sobre alteração de conta e não congela mudanças na janela crítica de processamento, o dinheiro vai para a conta do fraudador e o erro só aparece quando o salário não cai. Variações incluem funcionário-fantasma (cadastro inflado), horas extras fictícias e manipulação de descontos.
O timing que o fraudador explora
A janela de fechamento da folha é o momento de maior risco: é quando uma alteração de conta bancária, se passar sem aprovação dupla e sem alerta ao titular, vira dinheiro na conta errada antes de qualquer revisão. Congelar mudanças de dados de pagamento nessa janela quebra o ataque pela base.
Os dados de hr techs já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Account takeover e leakage por integração
3. Account takeover de RH e gestores
O gestor de RH é a conta mais valiosa da empresa-cliente: enxerga toda a base de funcionários, exporta folha, aprova pagamentos e altera cadastros. Comprometê-la — por phishing, credencial reaproveitada de outro vazamento, ou MFA fraco baseado só em SMS — dá ao atacante o equivalente a uma chave-mestra do tenant. Daí decorrem todos os outros ataques: exfiltração em massa, fraude de folha e movimentação lateral para outros gestores.
4. Multi-tenant data leakage por exportação e integração
Além do leak em tempo real, há o leak por exportação: relatórios em CSV/Excel que não filtram tenant, APIs de integração (com sistemas contábeis, bancos, eSocial) cujo escopo de token é largo demais, e webhooks que entregam payload de tenants cruzados. Integração é uma superfície que cresce em silêncio e raramente recebe o mesmo rigor de autorização do produto principal.
Sinais de que sua HR tech precisa de auditoria de isolamento agora
- ✓A separação entre clientes é feita por uma coluna company_id e ninguém testou se todos os endpoints a respeitam
- ✓Relatórios e exportações usam queries diferentes das telas — e essas queries nunca foram revisadas
- ✓Tokens de API têm escopo amplo e duram muito tempo
- ✓Documentos (atestados, contratos) ficam em storage com URL previsível
- ✓Gestores de RH logam só com usuário e senha, sem MFA resistente a phishing
- ✓Não há alerta quando a conta bancária de um funcionário é alterada
Isolamento multi-tenant: o controle que define a sobrevivência
Em uma HR tech, isolamento não é um recurso — é o produto. Tudo o que a plataforma promete (confiança da empresa-cliente, conformidade, contrato de operador) repousa sobre a garantia de que o tenant A jamais toca o dado do tenant B. Por isso a Decripte trata o isolamento como uma propriedade que deve ser provada por evidência, não afirmada por arquitetura. A diferença é prática: 'nós usamos company_id em todas as queries' é uma intenção; 'duas contas reais de tenants diferentes tentaram atravessar 312 endpoints, 40 relatórios e 12 fluxos de exportação e nenhuma conseguiu' é uma prova.
Como a Decripte prova o isolamento
Provisionamos duas (ou mais) contas em tenants distintos e percorremos a superfície inteira tentando vazar: trocamos IDs em cada endpoint (IDOR), forjamos e manipulamos o claim de tenant no token, injetamos headers de tenant, exercitamos cache compartilhado, atacamos os geradores de relatório e exportação, e testamos cada link de documento por path traversal e referência direta. Cada tentativa bem-sucedida vira um achado com evidência reproduzível e um caminho de correção priorizado por impacto.
O isolamento também precisa ser defendido em camadas. Na borda de aplicação, a autorização deve validar propriedade do objeto a cada requisição, e não confiar no que o cliente envia. Na camada de dados, políticas de row-level security ou um middleware obrigatório de tenant reduzem a superfície de erro humano em queries novas. Na camada de cache e fila, a chave deve sempre carregar o tenant. E na camada de observabilidade, o SOC monitora padrões que denunciam tentativa de travessia — um usuário pedindo IDs fora da sua faixa, exportações anômalas, acesso a documentos de outro escopo.
Proteção do fluxo de folha e governança LGPD
O dinheiro da folha é o desfecho que o atacante busca. A defesa combina controle de processo e detecção. No processo, três medidas cortam a maior parte do risco: aprovação dupla obrigatória para qualquer mudança de dado de pagamento (conta bancária, chave Pix, valor base), notificação automática ao funcionário sempre que seus dados de pagamento mudam (o titular é o melhor detector de fraude sobre si mesmo) e congelamento de alterações dentro da janela de fechamento, quebrando o timing que o fraudador explora.
Na detecção, o SOC 24x7 da Decripte vigia os padrões que denunciam fraude: alteração de conta bancária em lote, mudança de dados de pagamento fora do horário comercial, repetição da mesma conta de destino para funcionários distintos, criação de cadastros pouco antes do fechamento (funcionário-fantasma) e picos de horas extras inconsistentes com o histórico. Esses sinais geram alerta correlacionado, e não apenas um log perdido.
No plano da privacidade, a Decripte estrutura a governança em torno dos princípios da LGPD aplicados ao contexto de RH: base legal adequada para cada tratamento (execução de contrato de trabalho, obrigação legal, e consentimento apenas onde cabe), minimização (não coletar nem expor mais do que a função exige — uma tela de aprovação de férias não precisa mostrar o salário), finalidade e retenção definidas (dado de funcionário desligado não fica para sempre), e segurança proporcional ao risco do dado sensível.
Pontos de conformidade que a Decripte endereça
- ›Mapeamento do papel (operadora x controladora) e contrato de tratamento de dados com cada empresa-cliente
- ›Registro das operações de tratamento e base legal por finalidade
- ›Política de retenção e descarte seguro para funcionários desligados
- ›Plano de resposta a incidente com fluxo de notificação à ANPD e aos titulares
- ›Controles de acesso por menor privilégio e segregação de função no RH
- ›Atendimento a direitos do titular (acesso, correção, eliminação) sem expor outros tenants
Para clientes enterprise, a barra sobe: muitos exigem SOC 2 antes de assinar. A Decripte ajuda a HR tech a desenhar e evidenciar os controles dos critérios de Trust Services (segurança, disponibilidade, confidencialidade, privacidade), de forma que a auditoria SOC 2 encontre um ambiente já estruturado em vez de um conjunto de boas intenções. O resultado prático é duplo: reduz risco real e remove um bloqueio comercial.
Quanto custaria um incidente em hr techs? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Como a Decripte enxerga e monitora a plataforma 24x7
Defesa de HR tech não é um evento, é um regime contínuo. O SOC 24x7 da Decripte mantém visibilidade sobre os sinais que importam neste setor: tentativas de travessia de tenant, account takeover de gestores (login de geografia improvável, sessão simultânea, força bruta de credencial), exfiltração em massa (exportações anômalas em volume ou horário), fraude de folha (alterações de pagamento suspeitas) e abuso de API de integração. Cada sinal é correlacionado, classificado e, quando vira incidente, dispara o playbook de resposta com SLA de contenção de 1 hora.
O diagnóstico gratuito mostra sua superfície antes de qualquer contrato
Antes de falar em plano pago, comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free. Ele mapeia o que está exposto da sua HR tech para a internet — domínios, ativos, credenciais vazadas associadas à sua marca, superfície de ataque — e entrega uma leitura objetiva de risco. É o ponto de partida self-service, sem formulário e sem fricção.
A monitoria contínua se conecta à correção. Não basta detectar: o SOC alimenta a gestão de vulnerabilidades, que prioriza o que corrigir pelo risco real ao dado de funcionário, e a resposta a incidentes, que age quando a detecção vira evento. É esse loop — ver, priorizar, corrigir, responder — que transforma postura reativa em postura defensável.
Por onde uma HR tech começa com a Decripte
O caminho é self-service e progressivo. Primeiro, o diagnóstico gratuito em decripte.io/free dá a fotografia inicial do risco exposto. A partir dele, a plataforma da Decripte recomenda os planos pagos que fazem sentido para o seu estágio, disponíveis em /planos. Para uma HR tech, a combinação que mais entrega valor costuma ser pentest de plataforma multi-tenant (para provar o isolamento), SOC 24x7 (para vigiar fraude e takeover), conformidade LGPD e SOC 2 (para destravar enterprise e cumprir a lei) e resposta a incidentes (para ter contenção garantida quando algo passar).
Primeiros passos práticos
- ✓Rodar o diagnóstico gratuito em decripte.io/free e ler o mapa de exposição
- ✓Priorizar um pentest de plataforma multi-tenant focado em isolamento de tenant
- ✓Ativar MFA resistente a phishing para todos os gestores de RH
- ✓Implementar aprovação dupla e alerta ao titular para mudança de dados de pagamento
- ✓Conectar o SOC 24x7 aos sinais de fraude de folha e exfiltração
- ✓Ver os planos pagos completos em /planos e contratar o que cobre o seu estágio
Não é preciso ter um incidente para começar. A postura defensável de uma HR tech se constrói antes do ataque — provando o isolamento, fechando o fluxo de folha e estruturando a governança de dados sensíveis — e o primeiro movimento, sem custo e sem fricção, é o diagnóstico gratuito em decripte.io/free, com os planos pagos completos a um clique em /planos.
Cenário ilustrativo: vazamento cross-tenant de folha em uma HR tech
Cenário ilustrativo
Este é um cenário ilustrativo, não um cliente real, construído para mostrar como a Decripte atua. Uma HR tech em crescimento atende cerca de 400 empresas-clientes em uma única instância multi-tenant. O isolamento entre tenants é feito por uma coluna company_id aplicada nas queries das telas principais. Um cliente percebe, por acaso, que um relatório de folha exportado em CSV contém linhas de funcionários que não são da sua empresa, e aciona a HR tech. A HR tech, sem capacidade própria de resposta, chama a Decripte.
Detecção
A Decripte confirma o relato em minutos: o gerador de relatórios de folha usa uma query própria, distinta das telas, que esqueceu o filtro de tenant. Para certos parâmetros, o CSV exportado por um cliente inclui registros de outros tenants. O escopo potencial é toda a base — qualquer cliente poderia ter exportado dados alheios. O SOC inicia a coleta de evidências e a busca por exportações suspeitas no histórico de logs.
Contenção
Dentro do SLA de 1 hora, a Decripte conduz a contenção: o endpoint de exportação de folha é desabilitado temporariamente, os tokens de sessão ativos com acesso ao relatório são invalidados e um rate limit emergencial é aplicado. O objetivo é estancar a hemorragia sem derrubar a operação inteira — funcionários ainda precisam acessar contracheques. A janela de exposição para de crescer.
Investigação
O time correlaciona logs para responder à pergunta que define a notificação LGPD: quem efetivamente acessou dado de outro tenant, e de quem? A análise distingue downloads legítimos (cliente exportando a própria folha) de exportações que retornaram registros cruzados, dimensionando o conjunto real de titulares e empresas afetadas — base factual para a comunicação à ANPD e aos titulares.
Erradicação
A causa-raiz é corrigida: o filtro de tenant é reintroduzido na query de relatório, e a Decripte vai além do sintoma — implementa um middleware obrigatório de tenant na camada de dados, de forma que nenhuma query nova (de tela, relatório ou exportação) consiga rodar sem o escopo do tenant. Um pentest dirigido com duas contas reais valida que a fronteira agora resiste a IDOR, manipulação de token, header de tenant e cache.
Recuperação
A exportação de folha é reabilitada de forma gradual, sob monitoração reforçada do SOC, que passa a alertar sobre qualquer resposta de relatório contendo company_id fora do escopo do solicitante. A HR tech recupera a operação normal com um controle compensatório de detecção rodando em paralelo à correção estrutural.
Notificação e governança
A Decripte apoia a HR tech e suas empresas-clientes controladoras na comunicação do incidente à ANPD e aos titulares afetados, com o escopo factual já dimensionado na investigação. Em paralelo, estrutura o registro de operações e o contrato de tratamento de dados que faltavam, alinhando o operador à LGPD.
Lições
O incidente expõe o padrão clássico do setor: a segurança foi testada dentro do tenant, mas não entre tenants, e os geradores de relatório e exportação — que usam queries próprias — ficaram fora do raio de teste. A correção vira política: todo caminho que retorna dado (tela, API, relatório, exportação, webhook) passa a ser auditado para isolamento, e o teste com múltiplas contas de tenant entra no ciclo recorrente.
Desfecho com a Decripte
A HR tech sai do incidente com o vazamento contido em até uma hora, a causa-raiz erradicada com um controle estrutural (não um remendo pontual), o isolamento provado por pentest multi-tenant e a governança LGPD que faltava — registro de operações, contrato de operador e fluxo de notificação. Com a Decripte mantendo SOC 24x7 e gestão de vulnerabilidades, o que era uma fragilidade silenciosa de arquitetura passa a ser uma propriedade monitorada e auditável. Em uma situação real, o caminho começa pelo diagnóstico gratuito em decripte.io/free.
Não espere o incidente acontecer. Comece a blindar hr techs hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em HR tech
Quando um vazamento, fraude de folha ou account takeover acontece em uma plataforma de RH, o tempo e a precisão definem o tamanho do estrago. A resposta da Decripte segue um playbook específico do setor, com SLA de contenção de 1 hora.
- Acionamento e triagem imediata: classificamos o incidente (cross-tenant leakage, fraude de folha, takeover de gestor, exfiltração) e estimamos o escopo potencial — quantos tenants e titulares podem estar envolvidos.
- Contenção em até 1 hora: isolamos o vetor sem derrubar a operação inteira — desabilitamos o endpoint vulnerável, invalidamos sessões e tokens comprometidos e aplicamos rate limit ou bloqueio cirúrgico.
- Coleta de evidências e investigação forense: correlacionamos logs para distinguir acesso legítimo de acesso indevido e dimensionar com precisão o conjunto real de tenants e titulares afetados — base factual da notificação.
- Erradicação da causa-raiz: corrigimos a falha (filtro de tenant ausente, IDOR, autorização frouxa) e, sempre que possível, instalamos um controle estrutural que impede a classe inteira do erro, não só a instância.
- Recuperação monitorada: reabilitamos as funções afetadas de forma gradual, com o SOC vigiando reincidência e controles compensatórios de detecção rodando em paralelo à correção.
- Apoio à notificação LGPD: ajudamos a HR tech (operadora) e suas empresas-clientes (controladoras) a comunicar o incidente à ANPD e aos titulares dentro do prazo, com o escopo factual já levantado.
- Validação por pentest dirigido: confirmamos que a correção resiste, testando o isolamento com contas reais de tenants distintos contra IDOR, token, header de tenant e cache.
- Hardening e lições aprendidas: transformamos o incidente em política — todo caminho que retorna dado entra no ciclo recorrente de teste de isolamento e o SOC ganha novas regras de detecção.
Como a Decripte estrutura a segurança de uma HR tech
Resposta a incidente apaga o fogo; estruturação evita o próximo. A Decripte organiza a segurança de uma plataforma de RH em pilares que atacam diretamente as ameaças do setor.
Isolamento multi-tenant provado
Pentest de plataforma multi-tenant com contas reais de tenants distintos atravessando toda a superfície — endpoints, relatórios, exportações, integrações e documentos — até provar que a fronteira entre clientes resiste a IDOR, manipulação de token, header de tenant e cache compartilhado. Isolamento deixa de ser presunção de arquitetura e vira evidência reproduzível.
Defesa do fluxo de folha
Controles de processo (aprovação dupla para mudança de dados de pagamento, alerta automático ao titular, congelamento na janela de fechamento) combinados com detecção no SOC de alteração de conta em lote, conta de destino repetida e cadastros-fantasma. Corta o vetor de fraude e desvio de pagamento antes do dinheiro sair.
Identidade e acesso para RH
MFA resistente a phishing obrigatório para gestores, menor privilégio e segregação de função (quem cadastra não aprova pagamento), detecção de sessão anômala e revisão periódica de acessos. Reduz a probabilidade e o impacto do account takeover, a chave-mestra do tenant.
Governança de dados sensíveis e LGPD
Mapeamento de papel operadora/controladora, contrato de tratamento, base legal por finalidade, minimização, política de retenção e descarte, atendimento a direitos do titular e plano de resposta com notificação à ANPD. Postura de privacidade que cumpre a lei e sustenta a confiança das empresas-clientes.
Monitoria contínua e SOC 24x7
Visibilidade permanente sobre travessia de tenant, exfiltração em massa, fraude de folha e abuso de API, com correlação e SLA de contenção de 1 hora. O loop ver-priorizar-corrigir-responder mantém a postura defensável ao longo do tempo, não apenas no dia do teste.
Prontidão para auditoria enterprise (SOC 2)
Desenho e evidência dos controles de Trust Services exigidos por clientes enterprise, de modo que a auditoria SOC 2 encontre um ambiente já estruturado. Remove bloqueio comercial e formaliza a maturidade de segurança da plataforma.
Planos recomendados para HR Techs
Pentest
Prova o isolamento multi-tenant com contas reais de tenants distintos atravessando endpoints, relatórios, exportações e documentos — o teste que revela o cross-tenant leakage que o pentest padrão não pega.
Ver plano →SOC 24x7
Vigia continuamente os sinais críticos do setor: travessia de tenant, account takeover de gestores de RH, exfiltração em massa de folha e alterações suspeitas de dados de pagamento.
Ver plano →Conformidade
Estrutura a governança LGPD de dados pessoais sensíveis de funcionários (base legal, minimização, retenção, notificação à ANPD) e prepara a HR tech para a auditoria SOC 2 exigida por clientes enterprise.
Ver plano →Resposta a Incidentes
Garante contenção em até 1 hora quando um vazamento de folha, fraude ou takeover acontecer, com investigação forense e apoio à notificação regulatória — essencial dado o efeito multiplicador de um incidente multi-tenant.
Ver plano →Perguntas frequentes
O que é vazamento cross-tenant e por que ele é tão grave em HR tech?
É quando a barreira que separa as empresas-clientes na mesma instância falha e um cliente acessa dados de outro — por exemplo, exportando um relatório de folha que inclui funcionários alheios. Em HR tech é especialmente grave porque cada tenant guarda a folha inteira de uma empresa, então uma única falha pode expor centenas de empresas e todos os seus funcionários de uma vez. A Decripte testa esse isolamento com contas reais de tenants distintos. Comece o diagnóstico em decripte.io/free.
Dados de funcionários são considerados sensíveis pela LGPD?
Dados de funcionários são dados pessoais para todos os efeitos. Parte deles — informações de saúde, como atestados, afastamentos e dados de plano — é dado pessoal sensível na definição do art. 5º, II, da LGPD, com regime jurídico mais rígido de base legal, minimização e segurança. Por isso a HR tech precisa de governança específica, que a Decripte estrutura no plano de Conformidade.
A HR tech é controladora ou operadora dos dados?
Na maioria dos casos, a HR tech atua como operadora — processa os dados em nome da empresa-cliente, que é a controladora. Isso não isenta de responsabilidade: há responsabilidade solidária por incidentes e a exigência de um contrato de tratamento de dados bem desenhado, registro de operações e capacidade de resposta. A Decripte mapeia esses papéis e estrutura os instrumentos necessários.
Como prevenir fraude de folha e desvio de pagamento?
Combinando processo e detecção: aprovação dupla obrigatória para mudança de dados de pagamento, alerta automático ao funcionário quando sua conta bancária muda, congelamento de alterações na janela de fechamento, e monitoria no SOC de alterações em lote e contas de destino repetidas. Esses controles cortam a maior parte do vetor antes do dinheiro sair.
Como funciona um pentest de plataforma multi-tenant?
A Decripte provisiona duas ou mais contas em tenants diferentes e percorre toda a superfície tentando atravessar a fronteira: troca de IDs (IDOR), manipulação do claim de tenant no token, injeção de header de tenant, exploração de cache compartilhado e teste dos geradores de relatório, exportação e links de documento. Cada travessia bem-sucedida vira um achado com evidência e plano de correção priorizado.
Quanto tempo a Decripte leva para conter um incidente?
O SLA de contenção da Decripte é de até 1 hora. Em um incidente de HR tech, isso significa isolar o vetor (desabilitar o endpoint vulnerável, invalidar sessões, aplicar bloqueio cirúrgico) sem derrubar a operação inteira, estancando a exposição enquanto a investigação dimensiona o escopo real para a notificação LGPD.
Preciso de SOC 2 para vender minha HR tech para clientes enterprise?
Muitos clientes enterprise exigem SOC 2 (ou evidência equivalente de controles) antes de assinar. A Decripte ajuda a desenhar e evidenciar os controles de Trust Services — segurança, disponibilidade, confidencialidade e privacidade — para que a auditoria encontre um ambiente já estruturado, removendo esse bloqueio comercial. Isso faz parte do plano de Conformidade.
Por onde eu começo com a Decripte?
Pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mapeia o que está exposto da sua HR tech para a internet e entrega uma leitura objetiva de risco, sem custo e sem formulário. A partir dele você vê os planos pagos recomendados em /planos e contrata o que cobre o seu estágio.
Termos do setor
- Cross-tenant data leakage
- Falha em que a separação lógica entre clientes de uma plataforma multi-tenant é rompida, fazendo um tenant acessar dados de outro. Em HR tech, expõe a folha e os dados de funcionários de várias empresas de uma só vez.
- IDOR (Insecure Direct Object Reference)
- Vulnerabilidade de autorização em que um endpoint aceita um identificador de objeto sem verificar se ele pertence ao usuário/tenant que o solicitou, permitindo acessar dados alheios trocando um ID na requisição.
- Dado pessoal sensível
- Categoria definida no art. 5º, II, da LGPD que inclui, entre outros, dados sobre saúde. Em HR tech aparece em atestados, afastamentos e informações de plano, exigindo proteção e base legal reforçadas.
- Account takeover (ATO)
- Comprometimento de uma conta legítima por phishing, credencial reaproveitada ou MFA fraco. Em HR tech, o takeover de um gestor dá acesso a toda a base de funcionários, exportação de folha e aprovação de pagamentos.
- Operadora (LGPD)
- Agente de tratamento que processa dados pessoais em nome da controladora. A HR tech costuma ser operadora dos dados das empresas-clientes (controladoras), com responsabilidade solidária por incidentes e dever de segurança.
- SOC 2
- Relatório de auditoria baseado nos critérios de Trust Services (segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade), frequentemente exigido por clientes enterprise antes de contratar um SaaS.
A Decripte protege e responde a incidentes no setor de hr techs.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.