Reduzir os riscos de privacidade de aplicativos de terceiros
Estratégias para evitar violações e mitigar danos
Aplicativos de terceiros sempre apresentaram algum nível de risco à segurança e à privacidade. Os invasores reconhecem que as vulnerabilidades de software abrem caminho para dados sensíveis. Mas o uso crescente e a forte dependência de ofertas de SaaS, além do aumento das integrações de aplicativos, ampliaram o problema: os invasores agora têm mais vulnerabilidades para explorar.
A violação do Salesloft Drift em agosto de 2025, que afetou centenas de organizações, demonstra os graves riscos de privacidade representados por aplicativos SaaS de terceiros e suas integrações.
Nesse ataque específico, os criminosos cibernéticos comprometeram a plataforma de engajamento de vendas Salesloft Drift. Os invasores roubaram tokens OAuth, permitindo que eles acessassem instâncias integradas do Salesforce usadas pelas organizações. As organizações cujas instâncias do Salesforce foram afetadas pela violação bloquearam rapidamente o acesso dos invasores, mas não antes que eles exfiltrarem dados das instâncias do Salesforce dessas organizações, incluindo os campos de texto dos casos de suporte a clientes. Embora tenhamos informações que indicam que centenas de organizações foram impactadas, apenas algumas divulgaram publicamente o impacto.
Nesse incidente do Salesloft Drift, os invasores exfiltraram dados de clientes, o que por si só já foi um dano. Mas os invasores também podem usar essas informações para causar mais danos. Os invasores geralmente usam informações roubadas como parte de esquemas de engenharia social. Além disso, os invasores do Salesloft Drift roubaram credenciais e tokens digitais que poderiam permitir que eles acessassem outros aplicativos integrados.
Essas vulnerabilidades colocam em maior risco uma ampla variedade de dados sensíveis. Embora a violação do Salesloft Drift tenha levado ao roubo de informações de contato e suporte de clientes, as violações podem expor dados ainda mais sensíveis, como segredos comerciais, dados financeiros corporativos ou informações de saúde. A violação ocorrida em 2025 no fornecedor terceirizado de suporte ao cliente do Discord, por exemplo, levou ao roubo de nomes de clientes, endereços de e-mail, números de cartão de crédito, imagens envidadas de documentos de identidade do governo e muito mais.
Além de fornecer a resposta imediata às violações de terceiros, as organizações também precisam lidar com as repercussões no longo prazo. Elas podem enfrentar multas regulatórias, ações judiciais e a erosão da confiança do cliente, o que pode ter um impacto direto na receita.
Como líderes em privacidade, como podemos abordar melhor os riscos representados por aplicativos de terceiros e integrações de software? A implementação de algumas práticas recomendadas permite reduzir vulnerabilidades e acelerar resoluções, se e quando esses ataques ocorrerem.
Entender os riscos de aplicativos de terceiros
Os líderes de privacidade conhecem muito bem as possíveis consequências de violações de dados. Sua organização pode estar sujeita a investigações regulatórias e, possivelmente, multas da Comissão Federal de Comércio (FTC), do Departamento de Saúde e Serviços Humanos (por violações da HIPAA), procuradores gerais estaduais nos Estados Unidos ou de Autoridades de Proteção de Dados (DPAs) em vários países ao redor do mundo.
Não menos importante, as violações de dados podem afetar a reputação de sua organização, a confiança de seus clientes e seus resultados. Quando os dados ficam expostos, os clientes muitas vezes procuram soluções por meio de cláusulas de quebra de contrato ou créditos de serviço. Nos piores casos, eles perdem a confiança e levam seus negócios para outro lugar.
Ataques a aplicativos e integrações de terceiros aumentam esse risco. Uma coisa é implementar uma série de proteções para seus próprios sistemas, mas garantir que seus provedores de serviços forneçam proteções equivalentes é mais difícil. É em parte por isso que regulamentos como a Digital Operational Resilience Act (DORA) da UE exigem que as entidades cobertas realizem uma verificação de antecedentes substanciais em seus provedores de serviços e nas cadeias de suprimentos deles. Uma série de DPAs da UE e de FTCs dos EUA também tomaram a posição de que as entidades são responsáveis mesmo quando a violação ocorrem no sistema de um provedor de serviços.
Reduzir riscos de privacidade de terceiros
Quatro práticas recomendadas contribuem muito para reduzir os riscos de privacidade de terceiros e ajudar a mitigar os danos dessas violações. Essas práticas não são eventos únicos, mas esforços contínuos para avaliar fornecedores, ajustar planos, manter-se atualizado sobre os requisitos de notificação e adaptar-se às mudanças.
1. Não confie automaticamente em todos os provedores de SaaS.
Trabalhe com seus colegas de TI e segurança para realizar uma verificação de fornecedores completa antes de adotar novos aplicativos SaaS. Certifique-se de que os fornecedores tenham tomado medidas para obter certificações, proteger a segurança dos dados e manter uma higiene de dados adequada. Mais importante, certifique-se de que sua equipe entenda como configurar os aplicativos corretamente.
Certificações: os fornecedores devem ter todas as certificações relevantes para o seu campo, como SOC 2 e ISO 27701, além de PCI DSS 4.0, HIPAA ou FedRAMP.
Uso e segurança de dados: descubra como os fornecedores vão usar e proteger seus dados. Você pode optar por não trabalhar com determinados fornecedores se eles não atenderem aos seus requisitos. Por exemplo, você pode exigir garantias de que não usarão seus dados para treinar um modelo de IA que estejam desenvolvendo. Você também pode insistir para que seus dados sejam armazenados separadamente e criptografados de forma diferente dos dados de outras organizações.
Higiene de dados: Certifique-se de que os fornecedores coletem apenas a quantidade mínima de dados sensíveis necessária para cumprir seu propósito. A minificação de dados é um princípio fundamental dos regulamentos de privacidade de dados, como o Regulamento Geral sobre a Proteção de Dados (RGPD). Os fornecedores também devem se comprometer a reter apenas os dados necessários, pelo tempo necessário, para cumprir os regulamentos. Limitar a coleta e retenção de dados minimiza a exposição em caso de violação. Por exemplo, alguns dos dados exfiltrados na violação do Discord, como imagens de carteiras de habilitação, deveriam ter sido substituídos por um token e depois excluídos.
Configurações: certifique-se de que sua equipe de TI entenda como os novos aplicativos SaaS são configurados. Em particular, examine como eles são integrados com outros aplicativos. E avalie a granularidade das permissões. Os invasores não devem ter acesso fácil a vários sistemas se comprometerem uma única conta ou aplicativo.
2. Trabalhe com as equipes de segurança e outras para desenvolver um plano de resposta.
Enquanto os criminosos cibernéticos encontrarem vulnerabilidades em aplicativos SaaS, eles continuarão atacando. Tenha uma equipe e um plano em vigor para responder rapidamente.
Equipe de crise: como já mencionei, as equipes de privacidade e segurança devem trabalhar juntas como parte de um programa de segurança que prioriza a privacidade. Esse programa deve incluir uma equipe de crise composta não apenas por profissionais de TI, segurança cibernética, operações e privacidade, mas também por profissionais das áreas jurídica e de comunicação. Essas parcerias devem estar estabelecidas antes que uma crise ocorra, para que você não precise se apressar para definir funções e atribuir responsabilidades.
Manual de resposta: é fundamental ter um manual de resposta documentado em vigor para que todos os membros da equipe saibam exatamente o que fazer quando um incidente ocorrer. Esse manual deve incluir:
Apuração dos fatos: estabeleça o “quem, o quê, onde e quando” da violação. Esses processos devem incluir: verificar se um incidente realmente ocorreu, documentar a cronologia do incidente, determinar o ponto de entrada (por exemplo, se foi causado por uma vulnerabilidade de terceiros) e identificar sistemas e dados afetados. O roubo de segredos comerciais exige uma resposta diferente da perda de informações pessoais dos clientes. Da mesma forma, uma grande violação de dados exige uma resposta diferente de uma pequena.
Contenção e recuperação: defina procedimentos para isolar os sistemas afetados, revogar credenciais comprometidas e evitar mais perda de dados. As equipes de segurança podem, então, abordar a causa raiz da violação e restaurar os dados, se necessário. Teste essas fases do plano com antecedência. Se ocorrer um incidente, você deverá ser capaz de executar a estratégia que planejou.
3. Entenda suas obrigações de notificação.
No caso de uma violação que exponha dados de clientes, você precisará entrar em contato com eles de acordo com as inúmeras leis que se aplicam à sua empresa. Dependendo da localização dos clientes, você pode ter que cumprir várias leis estaduais nos Estados Unidos, cada uma com requisitos de notificação diferentes. Se você tem clientes na UE e controla dados pessoais, o RGPD exige que você notifique esses clientes quando houver um alto risco de que suas informações levem ao roubo de identidade, perda financeira, discriminação ou outra forma de dano.
As empresas públicas também precisam notificar a SEC se houver uma violação relevante. Se sua empresa é B2B, você pode ter requisitos de notificação específicos incorporados nos contratos com os clientes. Por exemplo, você pode ter a obrigação de notificar dentro de 24 a 72 horas após uma violação.
Quando as violações são causadas por aplicativos de terceiros, é preciso entender as obrigações de notificação de cada parte. Essas obrigações dependem de qual organização controla e processa os dados.
Atender a todos esses requisitos de notificação é uma tarefa complexa. Para reduzir essa complexidade, você pode definir uma política que siga as regras mais rigorosas para todos os clientes, por exemplo, notificar a todos em 24 horas, mesmo que haja apenas uma possibilidade remota de que sofram danos com a violação. Como alternativa, você pode tentar lidar com as complexidades das notificações e e tratá-las de forma diferente em cada jurisdição. Ambas as abordagens trazem vantagens e desvantagens e cada uma pode ter um impacto na confiança do cliente.
E se você notificar um cliente que provavelmente não sofrerá qualquer dano por causa de uma violação? Esse cliente confiará menos ou mais em você? E se você decidir não notificar um determinado cliente sobre uma violação porque não há nenhuma exigência legal para fazê-lo?
Além de pensar nos requisitos legais, coloque-se no lugar de seus clientes. Pense no que eles gostariam de saber e quando, e como sua decisão de notificação pode afetar seu relacionamento com esses clientes.
4. Seja adaptável.
Aplicativos SaaS, integrações de software, táticas criminosas e regulamentações de privacidade estão sempre evoluindo. Mesmo as organizações que planejam extensivamente devem estar prontas para o inesperado. O importante é sua capacidade de responder rapidamente, aprender com os incidentes e adaptar suas estratégias de acordo.
Fortalecimento da segurança de aplicativos SaaS
Os invasores continuam visando aplicativos SaaS como uma forma de acessar dados sensíveis de clientes e da empresa. Embora seja impossível parar completamente os ataques, você pode minimizar a probabilidade de violações e reduzir os danos à sua empresa, parceiros e clientes.
A Cloudflare ajuda a proteger aplicativos SaaS e suas integrações. Após o incidente com o Salesloft Drift, anunciamos que estamos trabalhando em soluções que consolidam conexões SaaS por meio de um único proxy para melhorar a detecção e a resposta a possíveis comprometimentos.
Como provedores de serviços em nuvem, trabalhamos continuamente para fortalecer a segurança de nossos serviços, monitorar nossos provedores de serviços terceirizados e manter a confiança e a credibilidade de nossos clientes. Também estamos empenhados em ser transparentes em relação aos incidentes, como fomos após a violação do Salesloft Drift, e estamos sempre aprendendo e nos adaptando em resposta. Ao mesmo tempo, estamos comprometidos com uma ampla gama de esforços, como a emissão de relatórios de transparência, a publicação de canários de mandado, o desenvolvimento de tecnologias que aprimoram a privacidade e o estabelecimento de padrões, todos com o objetivo de ajudar a construir uma internet melhor, mais privada e segura..
Enquanto isso, nossa nuvem de conectividade ajuda você a lidar com os riscos de segurança e a cumprir uma gama completa de regulamentações de privacidade, controlando a complexidade. Você pode estabelecer uma segurança robusta e consistente em todos os seus aplicativos e ambientes e implementar os controles necessários para atender a uma gama completa de leis e padrões de privacidade, tudo a partir de uma plataforma única e unificada.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Saiba por que uma plataforma unificada é fundamental para agilizar a conformidade com uma ampla gama de regulamentações no artigo técnico Como a nuvem de conectividade simplifica a conformidade de segurança.
Autoria
Emily Hancock — @emilyhancock
Chief Privacy Officer, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Como aplicativos SaaS de terceiros introduzem novos riscos de privacidade
Quatro melhores práticas para reduzir riscos de terceiros
Por que as equipes de privacidade e segurança devem colaborar na redução de riscos e na resposta a incidentes
Recursos relacionados
Como a nuvem de conectividade simplifica a conformidade de segurança
Em busca de uma segurança que coloca a privacidade em primeiro lugar