Patterns / LGPD / Executive Overview
LGPD

Lei Geral de Proteção de Dados

Lei nº 13.709/2018

Legislação brasileira que regula o tratamento de dados pessoais por pessoas naturais ou jurídicas, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.

Key Principles
Finalidade Adequação Necessidade Livre acesso Qualidade Transparência Segurança Prevenção Não discriminação Responsabilização
Benefits
Conformidade legal
Proteção de dados
Confiança do titular
Governança de dados
Sections
1 Disposições preliminares
2 Tratamento de dados
3 Direitos do titular
4 Agentes de tratamento
5 Segurança e boas práticas
6 Fiscalização
Total Requirements
9
defined requirements
Mapped Controls
25
control mappings
Overall Compliance
68.0%
17/25 controls compliant
Related Risks
13
9 critical · 3 high

Compliance by Framework

Qriar IAM Security Framework
25 mapped controls
Assessment: Assessment 2026 v0.10
17 Compliant 8 Partial 0 Non-Compliant

Compliance Trend

Requirements Coverage

Art. 5 Definições - Dados Pessoais
1 controls
Define dados pessoais, dados sensíveis, titular, controlador, operador, encarregado e demais conceitos fundamentais para a proteção de dados.
ID Description Reference
JML-004 Campanhas trimestrais de Certificação de Acesso com revogação automática se não ... Art. 5
Art. 6 Princípios do Tratamento
3 controls
O tratamento de dados pessoais deve observar a boa-fé e os princípios de finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.
ID Description Reference
AUTH-004 Verificação de senhas banidas em tempo real contra listas globais (pwned) e dici... Art. 6
JML-001 Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... Art. 6
MON-003 Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verifica... Art. 6
Art. 32 Comunicação à Autoridade Nacional
3 controls
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
ID Description Reference
AUTH-005 Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... Art. 32
PAM-003 Remover Admin Local e usar LAPS para senhas únicas e rotacionadas por estação. Art. 32
PAM-006 Exigir Estações de Acesso Privilegiado (PAW) dedicadas para acessar consoles de ... Art. 32
Art. 33 Transferência Internacional
1 controls
A transferência internacional de dados pessoais somente é permitida em hipóteses específicas previstas na lei.
ID Description Reference
MON-004 Alertas P1 para mudanças em grupos Tier 0 (Global/Domain Admins) com notificação... Art. 33
Art. 37 Registro de Operações
3 controls
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.
ID Description Reference
AUTH-006 Forçar re-autenticação para ações críticas (ex: ver dados sensíveis) independent... Art. 37
JML-005 Deteção de contas órfãs (Reconciliação): Comparar AD vs. RH semanalmente para ac... Art. 37
MON-001 Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... Art. 37
Art. 39 Relatório de Impacto
1 controls
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
ID Description Reference
JML-006 Prazo de validade (TTL) rígido para contas de convidados (B2B), exigindo renovaç... Art. 39
Art. 46 Medidas de Segurança
10 controls
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
ID Description Reference
AUTH-002 Impor MFA para todos os usuários com Number Matching para mitigar fadiga de MFA. Art. 46
AUTH-003 Configurar Smart Lockout: Bloquear ator da ameaça (IP), não a conta do usuário (... Art. 46
AUTH-007 Desabilitar protocolos legados (Basic Auth: POP3, IMAP, SMTP) globalmente. Art. 46
JML-002 Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificaç... Art. 46
PAM-001 Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas... Art. 46
PAM-002 Separar contas: adm-user (sem email/web) para gestão e user para uso diário. Art. 46
PAM-004 Implementar Modelo de Camadas (Tiering/Red Forest): Admins Tier 0 nunca logan em... Art. 46
MON-002 Bloqueio automático baseado em Risco (User/Sign-in Risk) para eventos de alto ri... Art. 46
MON-005 Monitorizar anomalias em Service Principals (volume de leitura, IPs novos, horár... Art. 46
AUTH-001 Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas... Art. 46
Art. 48 Comunicação de Incidente
2 controls
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
ID Description Reference
PAM-005 2 contas de Emergência (Break Glass) monitoradas, cloud-only, fora do MFA e com ... Art. 48
MON-006 Feedback do usuário ('Não fui eu') no MFA gera incidente de segurança imediato n... Art. 48
Art. 50 Boas Práticas e Governança
1 controls
Os controladores e operadores podem formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento e os procedimentos.
ID Description Reference
JML-003 Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min ap... Art. 50

Risk Exposure

Risk ID Title Severity Status
RISK-001 Comprometimento de Credenciais Administrativas Critical Mitigating
RISK-008 Aplicações OAuth Maliciosas High Open
RISK-003 Exfiltração de Dados por Ex-Funcionários Critical Open
RISK-002 Acumulação de Privilégios (Privilege Creep) Critical Open
RISK-005 Falta de Visibilidade em Atividades Suspeitas Critical Open
RISK-013 Bypass de MFA via protocolos legados e fluxos não cobertos Critical Open
RISK-010 Conflito de Interesses por Acessos Privilegiados Critical Open
RISK-007 Comprometimento de Contas de Serviço Critical Open
RISK-009 Falha na Prestação de Contas (Accountability) Critical Open
RISK-006 Bypass de MFA via Protocolos Legados High Open
RISK-011 Fraquezas na federação e acesso de terceiros com MFA inadequ... High Open
RISK-012 Indisponibilidade operacional por falhas de MFA/IdP ou perda... Medium Open
RISK-004 Movimentação Lateral via Admin Local Critical Open
Risk Distribution

Educational Content

Standard Overview

Legislação brasileira que regula o tratamento de dados pessoais por pessoas naturais ou jurídicas, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.

Core Principles:

  • Finalidade
  • Adequação
  • Necessidade
  • Livre acesso
  • Qualidade
  • Transparência
  • Segurança
  • Prevenção
  • Não discriminação
  • Responsabilização
How Compliance is Calculated

Compliance is calculated based on the maturity level of each control mapped to this standard. Controls with maturity level 3 or above are considered compliant. The overall compliance percentage represents the ratio of compliant controls to total mapped controls.

  • Compliant: Maturity level 3 or above
  • Partial: Maturity level 1-2
  • Non-compliant: Maturity level 0 (not implemented)
Best Practices for Implementation
  1. Conduct a gap analysis to identify areas needing improvement
  2. Prioritize controls based on risk assessment results
  3. Establish clear ownership and accountability for each control
  4. Implement continuous monitoring and regular reviews
  5. Document evidence of compliance for audit readiness
  6. Train staff on security awareness and standard requirements
Back to Standards View Requirements