Você publica um formulário. Alguém o preenche. O nome, e-mail, talvez uma data de nascimento ou uma condição médica, vão parar em algum banco de dados.
O que acontece a seguir? Quem pode ver? Como é armazenado? O que acontece se a plataforma que você está usando for violada?
A maioria das pessoas que cria formulários nunca faz essas perguntas até que algo dê errado. Este post é sobre perguntar antes que isso aconteça. E saber como devem ser as respostas.
Há um risco relacionado que vale a pena distinguir aqui: fazer upload de arquivos sensíveis para ferramentas online aleatórias—compressores de PDF, conversores, mescladores—é um problema separado, mas adjacente, que abordamos em profundidade em 5 Tipos de Arquivos Que Você Nunca Deve Processar Online. Esse artigo fala sobre o risco de entregar um arquivo a uma ferramenta que você não controla. Este é sobre o risco da própria plataforma de formulários. O software que coleta, armazena e gerencia o que seus respondentes enviam.
Nesta página
Por que os dados de formulários são um alvo
Formulários são um dos pontos de coleta de dados de maior densidade em qualquer negócio. Um único formulário de entrada pode capturar um nome, detalhes de contato, informações de seguro e uma descrição de um problema médico—tudo em uma única submissão.
Essa concentração é exatamente o que torna os formulários atraentes para atacantes, e exatamente por que a plataforma que coleta e armazena esses dados precisa levar a segurança a sério.
O risco não é abstrato. Um formulário mal configurado pode expor submissões a qualquer pessoa com a URL correta. Uma plataforma sem controles de acesso adequados significa que um funcionário descontente—ou um atacante externo que compromete uma conta—pode acessar tudo. Dados não criptografados em repouso são recuperáveis se um sistema de armazenamento for violado.
A boa notícia é que a arquitetura de segurança correta lida com tudo isso. A questão é se a plataforma que você está usando a possui.
A pilha de segurança que realmente importa
A documentação de segurança pode ser densa. Aqui está o que as peças-chave realmente significam para seus dados.
Criptografia em trânsito e em repouso
Em trânsito significa que os dados são criptografados enquanto viajam do navegador de um usuário para um servidor. Isso é o que o TLS (a tecnologia por trás do HTTPS) fornece. TLS 1.2 e TLS 1.3 são os padrões atuais. Versões mais antigas têm vulnerabilidades conhecidas e não devem ser usadas.
Em repouso significa que os dados são criptografados quando estão armazenados—bancos de dados, backups, sistemas de arquivos. O padrão é AES-256, um algoritmo de criptografia simétrica usado por governos e instituições financeiras em todo o mundo. Sem criptografia em repouso, uma violação de armazenamento se torna uma violação de dados. Com ela, um invasor que ganha acesso ao armazenamento bruto obtém texto cifrado ilegível.
Ambos são importantes. Uma plataforma que criptografa em trânsito, mas não em repouso, deixa uma lacuna significativa.
O que procurar: TLS 1.2 ou 1.3 em trânsito, AES-256 em repouso. Ambos devem ser declarados explicitamente, não implícitos.
Controles de acesso e o princípio do menor privilégio
Nem todos em uma equipe devem ser capazes de ver todas as submissões de formulários. Nem todo processo do sistema deve ser capaz de escrever em todos os bancos de dados. O princípio do menor privilégio diz: dê a cada pessoa e processo apenas o acesso que precisam, nada mais.
Na prática, isso significa:
- Permissões baseadas em função — um analista pode visualizar respostas, mas não editar a lógica do formulário; um administrador pode fazer ambos
- Autenticação multifator — o roubo de credenciais não deve ser suficiente para comprometer uma conta
- Logs de auditoria — um registro de quem acessou o quê, e quando
Logs de auditoria são particularmente importantes para indústrias regulamentadas. Se você está lidando com dados de saúde e alguém pergunta quais funcionários acessaram o registro de um paciente, “não sabemos” não é uma resposta aceitável.
O que procurar: Funções configuráveis, aplicação de MFA e logs de acesso à prova de adulteração.
Isolamento de infraestrutura e rede
Plataformas de formulários respeitáveis operam em infraestrutura de nuvem com ambientes de produção isolados de ambientes de desenvolvimento. Isso é importante porque um bug introduzido durante o teste não deve ser capaz de alcançar dados de produção, e um comprometimento de um sistema de desenvolvimento não deve se espalhar para a produção.
Controles de nível de rede—firewalls, Nuvens Privadas Virtuais (VPCs), Firewalls de Aplicações Web (WAFs)—criam barreiras adicionais. Servidores de aplicação devem estar em sub-redes privadas, não expostos diretamente à internet.
O que procurar: Isolamento de produção/desenvolvimento, separação de rede baseada em VPC, WAF na frente de endpoints públicos.
Backups e redundância
Perda de dados também é uma questão de segurança. Uma plataforma deve manter backups redundantes, retê-los por um período significativo (15+ dias é um ponto de referência razoável) e armazená-los em um local separado dos dados primários. Para requisitos de alta disponibilidade, uma arquitetura de zona de disponibilidade múltipla garante que uma falha em um data center não derrube todo o serviço.
O que procurar: Período de retenção de backup, separação geográfica e objetivos de tempo de recuperação documentados.
Certificações de conformidade: o que significam na prática
Certificações não são apenas logotipos. Elas representam auditorias independentes de controles de segurança reais por terceiros sem interesse no resultado.
SOC 2 Tipo II
SOC 2 é o framework do Instituto Americano de CPAs para avaliar como os provedores de serviços lidam com dados de clientes. O Tipo II é mais rigoroso que o Tipo I. Ele não apenas avalia se os controles existem em um momento no tempo, mas testa se esses controles operaram efetivamente por um período sustentado—tipicamente de seis a doze meses.
Se uma plataforma tem SOC 2 Tipo II, um auditor independente revisou seus controles de acesso, práticas de criptografia, procedimentos de resposta a incidentes e compromissos de disponibilidade, e concluiu que eles funcionaram conforme alegado. Uma cópia do relatório geralmente está disponível mediante solicitação ou através do centro de confiança de um fornecedor.
ISO 27001
ISO 27001 é um padrão internacional para sistemas de gestão de segurança da informação. Ele cobre como uma organização estabelece, implementa, mantém e melhora continuamente sua postura de segurança—não apenas um instantâneo, mas um programa contínuo.
ISO 27001:2022 é a versão atual. Organizações certificadas para ele tiveram seus sistemas de gestão de segurança auditados independentemente e considerados conformes com o padrão.
ISO 27017 e ISO 27018
Estas são extensões específicas para nuvem do ISO 27001. ISO 27017 aborda controles de segurança para serviços de nuvem—tanto para provedores de nuvem quanto para seus clientes. ISO 27018 foca na proteção de informações pessoalmente identificáveis (PII) em ambientes de nuvem.
Para empresas que armazenam dados pessoais em plataformas baseadas em nuvem, essas certificações oferecem garantias significativas além do padrão base ISO 27001.
HIPAA
HIPAA se aplica a organizações de saúde e seus associados comerciais—qualquer terceiro que lida com informações de saúde protegidas (PHI) em seu nome. Para uma plataforma de formulários ser compatível com HIPAA, ela deve implementar salvaguardas administrativas, técnicas e físicas específicas para PHI.
Criticamente: a conformidade com HIPAA requer um Acordo de Associado Comercial (BAA) assinado entre sua organização e a plataforma. Sem um BAA, usar a plataforma para coletar PHI coloca sua organização em risco de violações de HIPAA, independentemente dos controles de segurança que a plataforma tenha em vigor. O BAA cria um compromisso formal e legalmente vinculativo de ambos os lados.
Para uma análise detalhada de quem precisa de conformidade com HIPAA e como são as penalidades, veja nosso guia de conformidade com HIPAA.
GDPR
GDPR governa como as organizações coletam, processam e armazenam dados pessoais de residentes da UE. Para plataformas de formulários, isso significa ter bases legais documentadas para o processamento, fornecer direitos aos titulares dos dados (acesso, exclusão, portabilidade) e manter segurança adequada para os dados coletados.
Perguntas para fazer à sua plataforma de formulários
Antes de confiar uma plataforma com dados sensíveis de formulários, use isso como uma lista de verificação inicial. A coluna “resposta certa” diz o que uma resposta credível deve parecer.
| Pergunta | Resposta certa |
|---|---|
| Que criptografia você usa em trânsito e em repouso? | TLS 1.2/1.3 + AES-256. Ambos, declarados explicitamente. |
| Você completou uma auditoria SOC 2 Tipo II? | Sim, e o relatório está disponível mediante solicitação ou via centro de confiança. |
| Onde meus dados são armazenados? Eles estão isolados de outros clientes? | Região nomeada (por exemplo, AWS us-east-1), isolamento lógico por inquilino. |
| Você assina BAAs para conformidade com HIPAA? | Sim — necessário se você lida com qualquer PHI. |
| Qual é a sua política de retenção de dados? Posso excluir submissões sob demanda? | Janela de retenção configurável, exclusão imediata disponível. |
| Como você lida com incidentes de segurança? | SLA definido para notificação (GDPR exige 72 horas), ponto de contato nomeado. |
| Seus funcionários têm acesso aos meus dados de submissão? | O acesso é restrito, registrado e auditado. |
Se um fornecedor não puder responder claramente, essa é a resposta.
Nota sobre a PlatoForms: A tabela acima reflete como uma resposta credível deve parecer, não necessariamente o status atual de certificação da PlatoForms. A certificação SOC 2 Tipo II está em andamento. Para o status atual de certificação e documentos de conformidade disponíveis, veja o Centro de Confiança.
Como a PlatoForms lida com a segurança
A PlatoForms é construída para organizações que lidam com dados sensíveis—provedores de saúde, práticas jurídicas, serviços financeiros e empresas em indústrias regulamentadas.
Infraestrutura
- Hospedado na AWS, dados criptografados com TLS 1.2/1.3 em trânsito e AES-256 em repouso, incluindo backups
- Ambientes de produção e desenvolvimento totalmente isolados
- Todo acesso de funcionários a dados de clientes é registrado, auditado e governado por políticas de menor privilégio
Conformidade
- Assina Acordos de Associado Comercial para organizações regulamentadas pela HIPAA — veja a documentação de conformidade com HIPAA para detalhes de configuração
- Projetado para atender aos requisitos de salvaguardas administrativas, técnicas e físicas da Regra de Segurança HIPAA
Segurança de conta
- Autenticação de dois fatores disponível para todas as contas de equipe
- Políticas de retenção de dados configuráveis — defina por quanto tempo os dados de submissão são mantidos e automatize a exclusão quando o período expirar
Para a visão completa—certificações, documentos de conformidade para download e visão geral da arquitetura de segurança—visite o Centro de Confiança da PlatoForms.
Se você está na área de saúde e precisa de formulários compatíveis com HIPAA com um BAA assinado, veja PlatoForms para formulários compatíveis com HIPAA.
Se você tiver perguntas específicas sobre segurança para seu caso de uso, entre em contato conosco. Os requisitos de segurança variam por indústria e pela sensibilidade dos dados sendo coletados, e estamos felizes em discutir se a PlatoForms é a escolha certa.
