Conhecer a Nextside →
PT-BREN
CTRL K
    PT-BREN

    A ferramenta que sua agência entregou pode vazar dados

    A ferramenta que sua agência entrega no site do cliente coleta dados de verdade. Feita às pressas, ela vaza, e a conta do vazamento tem a sua marca.

    TL;DR

    A ferramenta que a sua agência entregou no site do cliente não é só uma tela. No minuto em que ela pede e-mail, telefone ou CPF, ela virou um cofre com dado de gente real dentro. Se foi montada às pressas, por um freela barato ou por IA num susto, esse cofre provavelmente está com a porta encostada. E quando o dado vaza, a conta não chega pra quem escreveu o código. Chega pra quem assinou a entrega. O nome no vazamento vai ser o da sua agência, não o da ferramenta.

    O dado que a ferramenta coleta é responsabilidade sua

    Toda ferramenta que pede um dado de contato guarda dado de pessoa de verdade. E no Brasil, quem coleta dado pessoal responde por protegê-lo: é a LGPD: a lei brasileira que obriga quem coleta dado pessoal a guardar e usar com cuidado. Se a sua agência entregou a ferramenta no site do cliente, o dado que ela armazena virou um problema com o seu nome. Não adianta apontar pra quem desenvolveu.

    A tela é a parte que todo mundo vê e todo mundo elogia. O cofre é a parte que ninguém abre pra conferir. É por isso que ele quase nunca é conferido. A ferramenta parece pronta porque a parte visível está pronta. O que decide se ela vaza fica escondido, e escondido é exatamente onde o barato costuma cortar.

    Os cinco furos que aparecem quando ninguém cuidou da parte chata

    Ferramenta feita no susto tende a deixar os mesmos buracos. Nenhum deles aparece na demonstração, todos aparecem quando gente de verdade começa a usar:

    • O dado guardado sem cadeado. Nome, telefone e e-mail salvos em texto puro, do jeito que a pessoa digitou. Sem criptografia: embaralhar o dado guardado pra que, se vazar, não sirva pra ninguém. Se alguém acha o arquivo, lê a lista inteira como quem lê uma planilha.
    • A chave deixada na porta. Toda ferramenta usa senhas de acesso pra falar com outros serviços. Quando essas chaves ficam expostas no próprio site, qualquer um copia e usa no seu lugar, às vezes gastando na sua conta. É a chave de casa embaixo do tapete, só que o tapete é público.
    • O formulário que qualquer um lê. Muita ferramenta guarda os cadastros num endereço que, trocando um número na barra do navegador, mostra o cadastro do vizinho. Sem login, sem trava. Dá pra baixar a base de leads inteira sem saber programar.
    • O consentimento que ninguém pediu. A lei exige avisar pra que o dado vai ser usado e deixar a pessoa recusar. Ferramenta feita com pressa quase sempre pula isso: coleta calada, sem aviso, sem opção. Isso não é detalhe de rodapé, é o que a fiscalização olha primeiro.
    • O dado que fica pra sempre. Guardar tudo, de todo mundo, para sempre, é o padrão de quem não pensou no assunto. Quanto mais tempo o dado fica e mais dado se acumula, maior o estrago quando vaza. Vaza um formulário, vazam anos de cadastro.

    Repare no padrão. Nenhum desses cinco aparece na tela. Todos aparecem no dia do problema.

    Como checar em 30 minutos, sem ser técnico

    Você não precisa ler código pra descobrir se a ferramenta é um risco. Precisa fazer as perguntas certas pra quem entregou e reparar se a resposta é firme ou enrolada. São cinco:

    • Onde ficam guardados os dados de quem se cadastra, e eles estão criptografados? Se a resposta for “estão no banco”, pergunte de novo: criptografados ou não?
    • A ferramenta avisa pra que serve o dado e deixa a pessoa recusar? Aviso de privacidade e opção de dizer não são obrigatórios, não cortesia.
    • Alguém de fora consegue acessar a lista de cadastros? A resposta certa é um “não” seco com explicação. Silêncio ou “acho que não” é um sim.
    • Se um cadastrado pedir pra apagar o dado dele, dá pra fazer? A lei dá esse direito à pessoa. Se a ferramenta não sabe apagar, ela nasceu fora da regra.
    • Quem responde se vazar, e em quanto tempo a gente fica sabendo? Se ninguém sabe medir um vazamento, ele vai acontecer sem aviso.

    Cinco perguntas, cinco respostas firmes. Se em qualquer uma delas veio “depois eu vejo isso”, você já tem o diagnóstico e ele não é bom.

    “É só uma calculadorazinha, quem vai atacar isso?”

    “É uma ferramentinha boba de captar lead. Ninguém vai perder tempo hackeando isso.”

    Provavelmente ninguém vai, e o risco quase nunca é o hacker de filme. O risco é o vazamento bobo: o link que lista tudo, a base que fica pública sem querer, o robô que varre a internet o dia inteiro atrás de chave esquecida e senha no lugar errado. Não precisa de gênio do crime, precisa de descuido, e descuido é o que a pressa entrega.

    E tem a parte que não depende de ataque nenhum: a lei. A LGPD não pergunta se o dado era importante ou se a ferramenta era grande. Ela pergunta se você protegeu o que coletou. Um formulário com nome e telefone já é dado pessoal. A ferramenta mais simples do seu portfólio pode ser o maior risco da sua agência, justamente porque ninguém achou que valia o cuidado.

    Quem assina a entrega é quem responde

    A saída não é ter medo de ferramenta nem largar a IA num canto. A IA ajuda, e ajuda muito, quando tem gente sabendo o que pedir e o que conferir. O que não pode é entregar no escuro. Antes de a ferramenta ir pro ar, alguém que entende precisa passar por essas cinco coisas, e isso não pode depender de sorte nem de um freela que some no dia seguinte. É por isso que a gente trata segurança como parte da entrega e não como extra: uma esteira que revisa o que vai pro cliente antes de alguém assinar embaixo, com você aprovando o que passou.

    Isso é o zoom numa peça que eu já tinha citado quando escrevi que ferramenta feita com IA parece pronta, mas vai quebrar. Segurança é a peça que mais quebra calada. Ninguém vê ela falhar até o dia em que vê demais.

    Vazamento não manda aviso. Quem descobre por último costuma ser quem assinou a entrega.

    Perguntas frequentes

    Ferramenta simples também precisa se preocupar com LGPD?

    Precisa. A LGPD olha o dado, não o tamanho da ferramenta. Se ela coleta nome, e-mail, telefone ou qualquer coisa que identifique uma pessoa, a lei já vale. Uma calculadora que pede e-mail pra mostrar o resultado é tão sujeita à regra quanto um sistema grande. O que muda é o volume, não a obrigação.

    Como sei se a ferramenta que entreguei está segura, sem ser técnico?

    Faça as cinco perguntas: onde o dado fica e se está criptografado, se tem aviso de privacidade, se alguém de fora acessa a lista, se dá pra apagar o dado de uma pessoa e quem responde se vazar. Você não precisa entender a resposta técnica inteira. Precisa reparar se ela vem firme ou enrolada. Enrolação é resposta.

    Se a ferramenta vazar, a culpa é da minha agência ou de quem desenvolveu?

    Perante o seu cliente e perante a lei, quem entregou responde. O cliente contratou a sua agência, não o freela nem a IA. Você pode ter contrato que divide a responsabilidade com quem desenvolveu, e deve ter, mas isso resolve entre vocês depois. Na frente do cliente, o nome que aparece é o seu.

    Dá pra fazer a ferramenta com IA de forma segura?

    Dá, desde que a IA não seja a última a olhar. Ela monta rápido e monta bem a parte que aparece. Segurança de dado depende de decisões que estão no seu negócio e na lei, não no código: qual dado guardar, por quanto tempo, com que proteção. Isso exige alguém que saiba conferir, não só um bom pedido pra IA.

    Quanto custa arrumar isso?

    Bem menos do que custa um vazamento. Um dado exposto vira cliente com raiva, contrato perdido e, no pior caso, a fiscalização batendo. Uma revisão de segurança antes de a ferramenta ir pro ar é barata perto disso. O caro nunca é trancar o cofre. O caro é explicar por que ele estava aberto.

    Leia também