Segurança para ONGs e Terceiro Setor: proteja doações, beneficiários e a confiança da sua causa
ONGs captam doações online e guardam dados de pessoas vulneráveis com recursos limitados — exatamente o que atrai fraude de doação, desvio, ransomware e clonagem de campanha. Veja como a Decripte responde a esses incidentes e estrutura a segurança do terceiro setor.
Resposta direta
Para proteger uma ONG ou organização do terceiro setor, comece tratando dois ativos como críticos: o fluxo de doação (página, gateway e meios de pagamento) e os dados de beneficiários (que costumam ser dados sensíveis sob a LGPD). Na prática isso significa: monitorar continuamente a internet em busca de páginas de doação clonadas e perfis falsos que se passam pela sua marca; submeter a plataforma de doação a pentest para fechar falhas antes que golpistas as encontrem; segregar e cifrar a base de beneficiários com controle de acesso por papel; e ter um SOC 24x7 capaz de detectar e conter um ransomware ou um desvio de doações em minutos, não em dias. A Decripte faz exatamente isso — derruba a fraude que usa o nome da sua causa, blinda o gateway e protege quem você atende. Você pode começar sem custo: rode um diagnóstico gratuito de Gestão de Ameaças em decripte.io/free e veja, em minutos, se já existe alguém clonando sua campanha.
24/7
SOC monitorando doação e dados
<=1h
SLA de contenção de incidente
LGPD
Dados de beneficiários como sensíveis
PCI-DSS
Padrão do gateway de doação
Em resumo
- ›A página de doação e a base de beneficiários são os dois ativos que mais atraem ataque numa ONG — proteja-os primeiro, mesmo com orçamento enxuto.
- ›Campanhas clonadas (mesmo logo, mesma história, Pix/conta do golpista) desviam doações e queimam a confiança da causa; a defesa é detecção de impersonação de marca, não só firewall.
- ›Dados de beneficiários costumam ser dados pessoais sensíveis sob a LGPD (saúde, situação social, crianças e adolescentes) e exigem base legal, minimização e segurança reforçada.
- ›Ransomware paralisa a operação de uma ONG tão bem quanto a de uma empresa — e ONGs raramente têm backup testado para se recuperar.
- ›O gateway de doação herda obrigações de PCI-DSS; integrar com provedores tokenizados reduz drasticamente o escopo e o risco.
- ›Dá para começar de graça: o diagnóstico de Gestão de Ameaças em decripte.io/free mostra exposição real antes de qualquer contrato.
Cibersegurança para ONGs e Terceiro Setor
ONGs captam doações online e guardam dados de pessoas vulneráveis com recursos limitados — exatamente o que atrai fraude de doação, desvio, ransomware e clonagem de campanha. Veja como a Decripte responde a esses incidentes e estrutura a segurança do terceiro setor.
Por que ONGs e o terceiro setor viraram alvo preferencial
Há uma percepção equivocada de que ONGs são alvos pouco interessantes para o cibercrime — afinal, não têm o caixa de um banco nem a margem de uma fintech. A realidade operacional é o oposto. Uma organização do terceiro setor combina, num mesmo ambiente, três coisas que o crime adora: um fluxo constante de dinheiro entrando por canais digitais (doações via Pix, cartão, boleto e plataformas de financiamento coletivo), uma base de dados pessoais de altíssima sensibilidade (beneficiários em situação de vulnerabilidade, muitas vezes crianças, idosos, pacientes ou pessoas em risco social) e uma maturidade de segurança historicamente baixa por restrição de orçamento e de equipe técnica.
O resultado é assimétrico. A ONG opera com uma ou duas pessoas cuidando de tudo que é tecnologia, enquanto do outro lado há quadrilhas profissionais que sabem que a marca de uma causa querida gera doação por impulso e baixa desconfiança. Quando um golpista clona a campanha de uma instituição respeitada, ele não precisa convencer ninguém: a vítima já confia na marca. O ataque explora reputação alheia, não vulnerabilidade técnica do doador.
Os quatro vetores que mais atingem o terceiro setor
- ›Fraude e desvio de doações online — páginas e Pix falsos que se passam pela campanha real
- ›Vazamento de dados de beneficiários vulneráveis — base sensível exposta por acesso indevido ou erro de configuração
- ›Ransomware na operação — cifragem de cadastros, prestações de contas e arquivos de projetos
- ›Impersonação de marca em campanhas — perfis, domínios e anúncios falsos usando o nome da causa
Some-se a isso uma agravante regulatória: a maioria das ONGs lida com dados pessoais sensíveis na acepção do art. 5º, II da Lei Geral de Proteção de Dados (LGPD) — dados sobre saúde, vida sexual, origem racial, convicção religiosa, filiação a organização, além de dados de crianças e adolescentes, que recebem proteção específica no art. 14. Um vazamento aqui não é só dano reputacional: é incidente comunicável à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, com exposição de pessoas que já estão em condição frágil.
O paradoxo do terceiro setor
A ONG protege pessoas vulneráveis no mundo físico, mas frequentemente as expõe no mundo digital. Uma planilha de beneficiários num drive compartilhado sem controle, um formulário de cadastro sem cifragem, ou uma campanha sem monitoramento de marca transformam o ativo mais sensível da organização — a confiança de quem ela serve e de quem doa — no elo mais frágil.
Fraude e desvio de doações: o golpe que rouba a sua reputação
O ataque mais característico contra ONGs não invade a sua infraestrutura — ele copia a sua identidade. O golpista baixa o logotipo do site oficial, reaproveita as fotos e os textos da campanha real, registra um domínio parecido (por exemplo, trocando .org.br por .org, acrescentando um hífen ou hospedando em um serviço gratuito como netlify.app, vercel.app ou pages.dev) e publica uma página de doação visualmente idêntica. A única diferença material é o destino do dinheiro: uma chave Pix, uma conta ou um link de pagamento controlados pela quadrilha.
A distribuição é feita por anúncios pagos em redes sociais, perfis falsos que imitam o da instituição, grupos de WhatsApp e até comentários em publicações legítimas. Em campanhas de emergência — enchentes, incêndios, crises humanitárias — o senso de urgência derruba a checagem do doador, e o golpe escala em horas. Quando a ONG descobre, já perdeu doações e, pior, começa a receber reclamações de pessoas que doaram de boa-fé e foram lesadas em nome dela.
Como a clonagem costuma aparecer
- ›Domínio quase idêntico ao oficial (typosquatting) ou subdomínio em hospedagem gratuita
- ›Logo e identidade visual originais reaproveitados sem autorização
- ›Página de doação com gateway/Pix apontando para conta de terceiro
- ›Perfis sociais falsos com o nome da campanha e a mesma foto de capa
- ›Anúncios patrocinados direcionando ao site clonado
A defesa não é um firewall — é vigilância de marca. A Decripte opera detecção de impersonação de marca que vai além do typosquatting de domínio: monitora registros de certificados (Certificate Transparency) por palavra-chave da causa, varre serviços de hospedagem compartilhada onde golpistas publicam clones, e valida cada candidato com checagem HTTP real para separar ameaça de falso positivo. Quando uma clonagem é confirmada, entra o fluxo de takedown — acionamento de registrador, provedor de hospedagem, plataforma de anúncios e redes sociais — para derrubar a página fraudulenta o mais rápido possível e cortar o desvio na fonte.
O que a Decripte já provou em campo
O motor de detecção de impersonação da Decripte foi construído justamente porque typosquatting tradicional não pega phishing hospedado em netlify.app ou vercel.app. A combinação de Certificate Transparency por palavra-chave com sondagem de hospedagem compartilhada já identificou páginas falsas que ferramentas convencionais ignoravam — exatamente o tipo de clone que ataca campanhas de doação.
Os dados de ongs e terceiro setor já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Dados de beneficiários: o ativo sensível que a LGPD obriga a proteger
Toda ONG que cadastra quem atende está, do ponto de vista jurídico, tratando dados pessoais — e quase sempre dados pessoais sensíveis. Um programa de assistência registra condições de saúde; um abrigo registra situação social e familiar; um projeto com crianças e adolescentes registra dados de menores, com proteção reforçada no art. 14 da LGPD, que exige o melhor interesse da criança e, em regra, consentimento de pelo menos um dos pais ou responsável. Tratar esses dados sem base legal adequada, sem minimização e sem segurança proporcional ao risco é descumprir a lei e, sobretudo, expor pessoas frágeis.
Higiene mínima de dados de beneficiários
- ✓Mapear quais dados são realmente necessários e descartar o resto (princípio da minimização)
- ✓Definir a base legal de cada tratamento (consentimento, tutela da saúde, política pública, legítimo interesse) e registrá-la
- ✓Cifrar a base em repouso e em trânsito, com controle de acesso por papel (quem vê o quê)
- ✓Manter registro de operações de tratamento e um responsável pelo tema (encarregado/DPO, mesmo que acumulado)
- ✓Ter plano de resposta para comunicar incidente à ANPD e aos titulares quando houver risco relevante
- ✓Estabelecer prazo de retenção e rotina de descarte seguro dos dados que não são mais necessários
Na prática, o erro mais comum não é um ataque sofisticado — é uma planilha de beneficiários num drive compartilhado com link público, um formulário de cadastro sem HTTPS, ou um voluntário com acesso total à base inteira quando precisaria ver apenas o próprio projeto. A Decripte trata isso com arquitetura de dados segregada por papel, cifragem e revisão de quem tem acesso a quê, reduzindo a superfície de exposição sem exigir que a ONG monte um time de segurança.
Incidente com dados sensíveis é comunicável
A LGPD prevê que o controlador comunique à ANPD e aos titulares os incidentes de segurança que possam acarretar risco ou dano relevante. Para uma ONG, isso significa que um vazamento de base de beneficiários não se resolve em silêncio: há obrigação de transparência, prazo e conteúdo mínimo de notificação. Ter um plano de resposta pronto antes do incidente é o que separa uma comunicação controlada de uma crise pública.
Ransomware e indisponibilidade: quando a operação para
Ransomware não escolhe vítima pela margem de lucro — escolhe pela facilidade. Uma ONG com estações desatualizadas, sem segmentação de rede, com backup que ninguém testou e acesso remoto exposto é alvo fácil. Quando a cifragem acontece, paralisa o que mantém a organização viva: cadastros de beneficiários, prestações de contas a financiadores e órgãos públicos, contratos de projetos, folha e a própria capacidade de operar campanhas. Diferente de uma empresa, a ONG raramente tem caixa para pagar resgate ou para reconstruir do zero — a indisponibilidade pode significar projetos interrompidos e atendimentos suspensos.
A resposta da Decripte a ransomware no terceiro setor combina prevenção e prontidão. Na prevenção: hardening de estações e servidores, segmentação para impedir que a infecção se espalhe lateralmente, MFA no acesso remoto e e-mail, e validação de que existe backup imutável e testado para restauração. Na prontidão: o SOC 24x7 detecta comportamento de cifragem e exfiltração em tempo real, e o time de Resposta a Incidentes isola os ativos comprometidos com SLA de contenção de até 1 hora, evitando que um endpoint infectado vire um desastre organizacional.
Por que o backup testado é o seguro de vida da ONG
A maioria das tentativas de extorsão por ransomware perde força quando a vítima consegue restaurar de um backup íntegro e isolado. O problema é que muitas ONGs têm backup no papel, mas nunca testaram a restauração — e descobrem na hora errada que o backup estava incompleto, corrompido ou na mesma rede que foi cifrada. Validar restauração é parte do trabalho de estruturação da Decripte.
O gateway de doação: PCI-DSS, tokenização e pentest
Toda página que aceita doação por cartão entra, em algum grau, no escopo do PCI-DSS — o padrão de segurança da indústria de cartões. A boa notícia para o terceiro setor é que a forma mais barata e mais segura de captar é também a que mais reduz o escopo: integrar com um provedor de pagamento que tokeniza o cartão, de modo que o dado sensível nunca toca o servidor da ONG. Quando a página apenas redireciona ou usa um campo hospedado pelo provedor (iframe/elements), a organização sai da parte mais pesada das obrigações de PCI e elimina o risco de guardar número de cartão.
Mas reduzir o escopo de PCI não elimina o risco da própria aplicação. A página de doação pode ter falhas clássicas do OWASP — injeção, controle de acesso quebrado, configuração insegura, dependências vulneráveis — que permitem ao atacante manipular valores, capturar dados de doadores ou injetar um skimmer que rouba cartão direto no navegador da vítima (ataque de e-skimming/Magecart). É por isso que a Decripte submete a plataforma de doação a pentest: testa a aplicação como um atacante real, encontra a falha antes do golpista e entrega o caminho de correção priorizado por risco.
Blindagem do fluxo de doação
- ✓Usar provedor de pagamento com tokenização — o cartão nunca chega ao servidor da ONG
- ✓Manter HTTPS em todo o fluxo e cabeçalhos de segurança (CSP) para barrar injeção de scripts
- ✓Submeter a página de doação a pentest contra a metodologia OWASP
- ✓Monitorar integridade de scripts de terceiros na página de checkout (anti e-skimming)
- ✓Limitar e auditar quem pode alterar a chave Pix, a conta ou o link de pagamento da campanha
- ✓Acompanhar o gateway com WAF para barrar bots, fraude e abuso na captação
Segurança de Borda na captação
Uma página de doação em campanha de emergência recebe picos enormes de tráfego — e atrai junto bots, tentativas de fraude e até DDoS oportunista de quem quer derrubar a captação. O WAF e a proteção DDoS da Decripte (Segurança de Borda) mantêm a página no ar e filtram abuso sem barrar o doador legítimo, exatamente quando cada minuto de disponibilidade vale doação.
Quanto custaria um incidente em ongs e terceiro setor? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Como a Decripte estrutura a segurança de quem tem orçamento enxuto
O maior medo de uma ONG ao falar de cibersegurança é o custo. Por isso a Decripte trabalha com conversão self-service e começa pelo que dá retorno imediato sem exigir contrato: um diagnóstico gratuito de Gestão de Ameaças, em decripte.io/free, que mostra a exposição real da organização — domínios parecidos, possíveis clones de campanha, dados expostos — em minutos. Esse diagnóstico costuma encontrar uma página clonada ou um ativo exposto que a própria ONG desconhecia, transformando uma preocupação abstrata em uma prioridade concreta.
A partir daí, a estruturação é incremental e proporcional ao risco. Não se trata de impor um arsenal corporativo a uma organização de cinco pessoas, mas de proteger primeiro os dois ativos críticos — doação e dados de beneficiários — e crescer dali. Quando a ONG quer avançar, os planos pagos em /planos cobrem desde monitoramento contínuo até resposta a incidentes, e a contratação é direta, sem intermediários.
A jornada típica de uma ONG na Decripte
- ›Diagnóstico grátis em decripte.io/free revela uma campanha clonada e dois domínios parecidos
- ›Takedown da página fraudulenta e do perfil falso para estancar o desvio de doações
- ›Pentest da plataforma de doação fecha falhas no checkout antes que sejam exploradas
- ›Conformidade LGPD organiza a base de beneficiários (minimização, base legal, cifragem, acesso por papel)
- ›SOC 24x7 passa a monitorar marca, gateway e endpoints continuamente
Threat intelligence aplicada à causa, não só à infraestrutura
O diferencial de proteger uma ONG é que a inteligência de ameaças precisa olhar para a marca e para a causa, não apenas para servidores. A Decripte monitora a superfície externa da organização — menções, registros de certificado por palavra-chave da campanha, domínios recém-criados, perfis sociais e vazamentos em fóruns — e correlaciona esses sinais. Um domínio novo registrado com o nome da campanha, combinado com um certificado emitido na mesma janela e uma página de doação no ar, é a assinatura clássica de um golpe em preparação. Detectar isso antes do anúncio ir ao ar é a diferença entre prevenir e remediar.
O que a vigilância externa enxerga
- ›Domínios e subdomínios novos parecidos com o da ONG (typosquatting e hospedagem gratuita)
- ›Certificados TLS emitidos com palavras-chave da causa (Certificate Transparency)
- ›Páginas de doação clonadas em serviços de hospedagem compartilhada
- ›Perfis e anúncios falsos usando a identidade da campanha
- ›Credenciais e dados da organização expostos em vazamentos públicos
Essa inteligência alimenta o SOC, que decide o que é ruído e o que é ameaça real, e dispara a resposta. Para a ONG, o efeito é ter uma equipe de segurança vigiando a reputação da causa 24 horas por dia, sem precisar contratar e manter esse time internamente — o que seria inviável para o orçamento do setor.
Cenário ilustrativo: a campanha de doação clonada de uma ONG humanitária
Cenário ilustrativo
Este é um cenário ILUSTRATIVO, não um cliente real, construído para mostrar como a Decripte atua. Imagine uma ONG humanitária de médio porte que lança uma campanha de emergência após uma enchente. A campanha viraliza, e em 48 horas surge nas redes uma página visualmente idêntica à oficial — mesmo logo, mesmas fotos, mesma história — mas com a chave Pix e o link de pagamento apontando para uma conta da quadrilha. Anúncios patrocinados e perfis falsos espalham o link clonado. A ONG só percebe quando doadores começam a reclamar de cobranças e de doações que 'não chegaram'.
Detecção
O monitoramento de impersonação de marca da Decripte sinaliza um domínio recém-registrado com a palavra-chave da campanha e um certificado TLS emitido na mesma janela. A checagem HTTP confirma uma página de doação clonada no ar, hospedada em serviço gratuito, com Pix de terceiro. Em paralelo, o SOC identifica os anúncios e perfis falsos distribuindo o link.
Contenção
Com SLA de contenção de até 1 hora, a Decripte aciona simultaneamente o registrador do domínio, o provedor de hospedagem, a plataforma de anúncios e as redes sociais com evidências de uso indevido de marca e fraude. A ONG publica um alerta oficial orientando doadores a usar apenas o canal verificado, cortando a credibilidade do golpe.
Erradicação
A página clonada é derrubada e o domínio é suspenso; os anúncios e perfis falsos são removidos. A Decripte mapeia toda a infraestrutura do golpista (domínios, chaves Pix, contas) e registra os indicadores para detectar reincidência, já que quadrilhas costumam tentar novamente com variações.
Recuperação
A campanha legítima recupera o tráfego com a página oficial reforçada por WAF e proteção DDoS (Segurança de Borda) para aguentar o pico sem cair. A ONG comunica de forma transparente o ocorrido aos doadores, preservando a confiança na causa.
Hardening do gateway
Pentest da plataforma de doação fecha falhas do checkout, valida que o provedor de pagamento tokeniza o cartão (reduzindo escopo PCI-DSS) e adiciona monitoramento de integridade de scripts para barrar e-skimming. Acesso à chave Pix e ao link de pagamento passa a ser auditado.
Proteção de dados
Em conformidade LGPD, a base de beneficiários é segregada por papel, cifrada e revisada quanto a base legal e minimização. Um plano de resposta a incidentes de dados é deixado pronto para o caso de comunicação à ANPD e aos titulares.
Lições aprendidas
A ONG sai com vigilância de marca contínua via SOC 24x7, um runbook de campanha (como lançar uma campanha já protegida e monitorada), backup imutável testado e um diagnóstico recorrente. A organização aprende a tratar a reputação da causa como um ativo de segurança.
Desfecho com a Decripte
No cenário, a fraude é derrubada em horas em vez de semanas, o desvio de doações é estancado, a base de beneficiários é blindada e a confiança dos doadores é preservada com comunicação transparente. A ONG passa de reativa a protegida continuamente — sem precisar montar um time interno de segurança. O ponto de partida real é gratuito: qualquer organização pode rodar o mesmo tipo de diagnóstico de Gestão de Ameaças em decripte.io/free.
Não espere o incidente acontecer. Comece a blindar ongs e terceiro setor hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente no terceiro setor
Quando uma ONG é atingida — campanha clonada, vazamento de beneficiários ou ransomware — a Decripte aciona um fluxo de resposta a incidentes com SLA de contenção de até 1 hora, pensado para um setor que não pode parar de operar.
- Detecção e triagem: o SOC 24x7 confirma o incidente, classifica a severidade (fraude de doação, vazamento de dados sensíveis, ransomware ou impersonação) e identifica os ativos afetados.
- Contenção imediata: isolamento dos sistemas comprometidos e, em casos de clonagem, acionamento de registrador, hospedagem, redes sociais e plataformas de anúncio para derrubar a página fraudulenta — tudo dentro do SLA de até 1 hora.
- Erradicação: remoção do acesso do atacante, mapeamento completo da infraestrutura do golpista (domínios, chaves Pix, contas) e eliminação de persistência, com registro de indicadores para barrar reincidência.
- Recuperação: restauração a partir de backup íntegro e testado, reativação da página oficial protegida por WAF/DDoS e retorno seguro da operação e da captação.
- Conformidade e comunicação: avaliação do dever de notificar a ANPD e os titulares quando há dados sensíveis envolvidos, com apoio na elaboração da comunicação dentro dos requisitos da LGPD.
- Comunicação com doadores: orientação para um alerta oficial transparente que reconquista a confiança e neutraliza a credibilidade do golpe.
- Pós-incidente: relatório executivo com causa-raiz, indicadores e plano de correção priorizado por risco, traduzido tanto para a diretoria quanto para a equipe técnica.
- Monitoramento contínuo: a marca, o gateway e os endpoints entram sob vigilância permanente do SOC para detectar a próxima tentativa antes que ela cause dano.
Como a Decripte estrutura a segurança de uma ONG
Estruturar segurança no terceiro setor é proteger primeiro o que sustenta a causa — doação e beneficiários — de forma proporcional ao orçamento, crescendo de forma incremental a partir de um diagnóstico gratuito.
Vigilância de marca e impersonação
Monitoramento contínuo de domínios parecidos, certificados por palavra-chave da causa, hospedagem compartilhada e perfis falsos, com fluxo de takedown para derrubar campanhas clonadas antes que desviem doações.
Blindagem do gateway de doação
Pentest da plataforma de doação contra OWASP, redução de escopo PCI-DSS via tokenização do provedor de pagamento, cabeçalhos de segurança e proteção anti e-skimming no checkout.
Proteção de dados de beneficiários (LGPD)
Minimização, definição de base legal, cifragem em repouso e trânsito, acesso por papel e plano de resposta a incidentes de dados — com atenção reforçada a dados de crianças e adolescentes (art. 14).
Resiliência operacional contra ransomware
Hardening de estações e servidores, segmentação de rede, MFA no acesso remoto e e-mail, e backup imutável testado para garantir recuperação sem pagar resgate.
Segurança de borda na captação
WAF e proteção DDoS para manter a página de doação no ar durante picos de campanha, filtrando bots e abuso sem barrar o doador legítimo.
Monitoramento contínuo via SOC 24x7
Operação de segurança permanente que correlaciona inteligência de ameaças, eventos de borda e endpoints, dando à ONG uma equipe de defesa sem o custo de montá-la internamente.
Planos recomendados para ONGs e Terceiro Setor
SOC 24x7
Vigilância contínua de marca, gateway de doação e endpoints — detecta campanhas clonadas, fraude e ransomware em tempo real, substituindo o time de segurança que a ONG não consegue manter internamente.
Ver plano →Resposta a Incidentes
Contenção com SLA de até 1 hora para derrubar páginas de doação clonadas, isolar ransomware e conduzir a comunicação à ANPD/doadores sem que a operação humanitária pare.
Ver plano →Pentest
Testa a plataforma de doação como um atacante real, fechando falhas de checkout, manipulação de valores e e-skimming antes que golpistas as encontrem e reduzindo o escopo de PCI-DSS.
Ver plano →Conformidade
Organiza o tratamento de dados sensíveis de beneficiários sob a LGPD — base legal, minimização, cifragem, acesso por papel e plano de incidentes — com atenção especial a dados de crianças e adolescentes.
Ver plano →Perguntas frequentes
Minha ONG tem orçamento muito limitado. Por onde começar sem gastar?
Pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free. Em minutos ele mostra sua exposição real — domínios parecidos, possíveis páginas de doação clonadas e dados expostos — sem custo e sem contrato. A partir do que for encontrado, você prioriza só o que importa. Quando quiser avançar, os planos pagos ficam em /planos, com contratação direta.
Descobri uma página de doação clonada usando o nome da minha ONG. O que faço?
Aja rápido: a Decripte aciona registrador de domínio, provedor de hospedagem, plataformas de anúncio e redes sociais para derrubar a página fraudulenta, com SLA de contenção de até 1 hora, e orienta um alerta oficial aos doadores. A detecção de impersonação de marca também mapeia a infraestrutura do golpista para barrar reincidência. Comece o diagnóstico em decripte.io/free para verificar agora se há clones no ar.
Os dados dos meus beneficiários são considerados sensíveis pela LGPD?
Na maioria dos casos, sim. Dados sobre saúde, situação social, origem racial, convicção religiosa, além de dados de crianças e adolescentes, são tratados pela LGPD com proteção reforçada (arts. 11 e 14). Isso exige base legal adequada, minimização, segurança proporcional ao risco e plano para comunicar incidentes à ANPD e aos titulares. O plano de Conformidade da Decripte organiza tudo isso.
Recebo doações por cartão. Preciso me preocupar com PCI-DSS?
Sim, mas dá para reduzir bastante o esforço. Se você usa um provedor de pagamento que tokeniza o cartão — ou seja, o dado sensível nunca toca seu servidor — você sai da parte mais pesada das obrigações de PCI-DSS. A Decripte valida essa configuração e faz pentest da página de doação para fechar falhas de checkout e prevenir e-skimming.
E se um ransomware paralisar nossa operação?
O SOC 24x7 detecta comportamento de cifragem e exfiltração em tempo real, e a Resposta a Incidentes isola os ativos com SLA de até 1 hora. A recuperação parte de backup imutável e testado — por isso a Decripte valida sua restauração na fase de estruturação, para que você nunca dependa de pagar resgate para voltar a operar.
Não tenho equipe de TI dedicada. Consigo manter segurança mesmo assim?
Sim. O modelo da Decripte foi pensado para quem não tem time interno: o SOC 24x7 funciona como sua equipe de segurança terceirizada, monitorando marca, gateway e endpoints continuamente. Você não precisa contratar nem manter especialistas — começa grátis em decripte.io/free e contrata o que precisar em /planos.
Como protejo uma campanha de emergência antes de lançá-la?
Idealmente, com vigilância de marca ativa desde o lançamento, página de doação por trás de WAF e proteção DDoS para aguentar picos, e gateway tokenizado já testado por pentest. A Decripte entrega um runbook de campanha para lançar já protegido. Rode o diagnóstico em decripte.io/free antes de divulgar para garantir que não há clones se antecipando.
Um voluntário tem acesso à base inteira de beneficiários. Isso é um problema?
Sim, é um risco clássico e evitável. O princípio é acesso por papel: cada pessoa vê apenas os dados de que precisa para sua função. A Decripte segrega a base, aplica cifragem e revisa quem acessa o quê, reduzindo a superfície de exposição e ajudando a ONG a cumprir a LGPD sem travar a operação.
Termos do setor
- Impersonação de marca
- Uso não autorizado da identidade de uma organização — logo, nome, domínio parecido, perfis falsos — para enganar pessoas. No terceiro setor, materializa-se em campanhas de doação clonadas que desviam recursos em nome da causa.
- Dados pessoais sensíveis (LGPD)
- Categoria especial da LGPD (art. 5º, II) que inclui dados sobre saúde, vida sexual, origem racial, convicção religiosa e filiação, entre outros. Exigem proteção reforçada; dados de crianças e adolescentes têm regras próprias no art. 14.
- PCI-DSS
- Padrão de segurança da indústria de cartões de pagamento. Aplica-se a quem processa cartão, mas seu escopo é drasticamente reduzido quando um provedor tokeniza o dado, evitando que o número do cartão toque o servidor da organização.
- Tokenização
- Técnica em que o dado sensível do cartão é substituído por um identificador sem valor (token), processado pelo provedor de pagamento. O servidor da ONG nunca armazena o cartão real, reduzindo risco e escopo de PCI-DSS.
- E-skimming (Magecart)
- Ataque em que um script malicioso é injetado na página de checkout para capturar os dados do cartão diretamente no navegador da vítima, sem comprometer o servidor. Mitigado por monitoramento de integridade de scripts e políticas de segurança de conteúdo.
- Certificate Transparency
- Registro público de certificados TLS emitidos. Monitorá-lo por palavra-chave da causa permite detectar precocemente domínios fraudulentos criados para clonar campanhas de doação, antes mesmo de a página falsa ir ao ar.
A Decripte protege e responde a incidentes no setor de ongs e terceiro setor.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.