Voltar ao blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Como documentar o uso de proxies para conformidade: modelos e políticas de segurança

Guia completo para documentar o uso de servidores proxy para conformidade: modelos de políticas, registros de acesso e recomendações práticas.

📅3 de março de 2026
```html

Se sua empresa lida com dados pessoais de clientes, processa pagamentos ou está sujeita a auditorias de segurança, a documentação do uso de servidores proxy se torna uma exigência obrigatória. A falta de documentação adequada pode resultar em multas de até 20 milhões de euros sob o GDPR ou perda da certificação PCI DSS.

Neste guia, abordaremos como documentar corretamente o uso de proxies para atender aos requisitos dos reguladores, quais políticas precisam ser criadas e como manter logs de acesso. Você receberá modelos prontos de documentos e listas de verificação para implementação.

Por que a documentação de proxies é crítica para compliance

Servidores proxy frequentemente se tornam uma "zona cega" na documentação de segurança corporativa. As empresas descrevem cuidadosamente os processos de trabalho com bancos de dados, mas esquecem de documentar como seus funcionários ou sistemas acessam recursos externos através de proxies.

O problema se torna crítico em várias situações:

  • Auditoria de segurança da informação: Auditores ISO 27001 ou SOC 2 exigem confirmação de que todos os canais de acesso a dados estão documentados e controlados. Proxy é um canal de acesso.
  • Investigação de incidentes: Em caso de vazamento de dados ou suspeita de fraude, você precisa provar quem, quando e por que usou o proxy para acessar determinados recursos.
  • Verificação do GDPR: Se você processa dados de cidadãos da UE através de proxies em outros países, precisa documentar a legalidade da transferência internacional de dados.
  • Certificação PCI DSS: Para empresas que aceitam pagamentos com cartões, todos os pontos de acesso a dados de cartão devem ser documentados, incluindo servidores proxy.

Um exemplo real: em 2022, uma empresa fintech europeia recebeu um aviso do regulador por falta de documentação sobre como seu sistema de monitoramento de risco usa proxies para verificar transações. A multa foi evitada apenas após a criação urgente de um pacote completo de documentos e logs retrospectivos de 12 meses.

Importante: A documentação deve ser criada ANTES do início do uso de proxies, e não no momento da auditoria. A criação retrospectiva de documentos sempre gera suspeitas nos auditores.

Quais requisitos regulatórios envolvem proxies

Diferentes padrões regulatórios impõem requisitos específicos para a documentação do uso de servidores proxy. Aqui estão os principais com os quais as empresas se deparam:

GDPR (Regulamento Geral sobre a Proteção de Dados)

Se você usa proxies para processar dados pessoais de cidadãos da UE, precisa documentar:

  • Os objetivos do uso de proxies (artigo 5.1.b — limitação da finalidade)
  • Localização geográfica dos servidores proxy (artigo 44 — transferência internacional de dados)
  • Medidas de segurança para proteger dados durante a transmissão através de proxies (artigo 32)
  • Contratos com o provedor de proxy como processador de dados (artigo 28)
  • Logs de acesso para garantir a responsabilidade (artigo 5.2)

Um exemplo prático: se seu departamento de marketing usa proxies residenciais para analisar concorrentes em diferentes países da UE, e ao mesmo tempo coleta dados sobre preços ou sortimentos (que podem indiretamente conter dados pessoais), você precisará de uma política de uso de proxies compatível com o GDPR.

PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento)

Para empresas que processam pagamentos, os requisitos da versão 4.0 do PCI DSS incluem:

  • Requisito 1.2.1: Documentação de todas as conexões permitidas entre o ambiente de dados de cartão e redes externas (proxy é uma dessas conexões)
  • Requisito 10.2: Manutenção de logs de todas as ações de usuários com direitos de administrador, incluindo gerenciamento de proxies
  • Requisito 12.3: Política de uso de tecnologias, incluindo servidores proxy

ISO 27001 (Sistema de Gestão de Segurança da Informação)

O padrão exige documentação no contexto do controle A.13.1.1 (gestão de elementos de segurança da rede):

  • Inventário de todos os servidores proxy e suas configurações
  • Procedimentos de gestão de acesso a proxies
  • Monitoramento do uso e identificação de anomalias
  • Revisão regular das políticas (mínimo anualmente)

152-FZ "Sobre Dados Pessoais" (Rússia)

A legislação russa exige a documentação de:

  • Modelo de ameaças à segurança dos dados pessoais (proxy como meio de proteção ou ameaça potencial)
  • Especificação técnica para criação ou modernização do sistema de informação (se o proxy for parte dele)
  • Atos de classificação e categorização de sistemas de informação
Padrão Documento-chave Periodicidade de atualização
GDPR Registro de atividades de processamento de dados (ROPA) Com alterações
PCI DSS Diagrama de fluxos de dados Anualmente
ISO 27001 Política de segurança da informação Anualmente
152-FZ Modelo de ameaças A cada 3 anos

Modelo de política de uso de servidores proxy

A política de uso de proxies é um documento básico que define regras, responsabilidades e procedimentos. Aqui está a estrutura da política, adaptada às exigências de compliance:

1. Disposições gerais

Nome do documento: Política de uso de servidores proxy

Versão: 1.0

Data de aprovação: [data]

Pessoa aprovadora: [cargo e nome, por exemplo: Diretor de Segurança da Informação]

Data da próxima revisão: [data em 12 meses]

Objetivo da política: Definir regras para o uso de servidores proxy para garantir segurança, privacidade e conformidade com requisitos regulatórios ao acessar recursos externos e processar dados.

Âmbito de aplicação: A política se aplica a todos os funcionários, contratados e sistemas automatizados da empresa que utilizam servidores proxy para acessar recursos da internet ou processar dados.

2. Objetivos permitidos para o uso de proxies

Servidores proxy podem ser usados apenas para os seguintes objetivos de negócios:

  • Monitoramento de concorrentes: Coleta de informações publicamente disponíveis sobre preços, sortimentos e atividades de marketing de concorrentes para análise de mercado (departamentos: marketing, produto).
  • Teste de serviços web: Verificação da disponibilidade e funcionamento correto de seus próprios recursos web em diferentes regiões geográficas (departamentos: desenvolvimento, QA).
  • Verificação de campanhas publicitárias: Verificação da exibição de anúncios em diferentes regiões e em diferentes dispositivos (departamento: marketing).
  • Proteção contra DDoS: Mascaramento de endereços IP de sistemas corporativos ao acessar APIs externas (departamento: TI).
  • Garantia de anonimato: Proteção de dados pessoais de funcionários ao realizar pesquisas ou trabalhar com informações sensíveis (departamento: segurança, compliance).

Proibido: Uso de proxies para contornar políticas de segurança corporativa, acessar recursos proibidos, ocultar atividades não autorizadas ou quaisquer ações que violem a legislação.

3. Tipos de proxies e suas aplicações

Tipo de proxy Tarefas permitidas Requisitos de dados
Proxies residenciais Monitoramento de concorrentes, verificação de anúncios, testes de diferentes regiões Apenas dados públicos, sem dados pessoais
Proxies móveis Teste de aplicativos móveis, verificação de anúncios móveis Apenas dados públicos, sem dados pessoais
Proxies de data center Raspagem automatizada, verificação em massa da disponibilidade de recursos Apenas dados públicos, alta velocidade

4. Procedimento para obter acesso a proxies

Qualquer funcionário que necessite de acesso a servidores proxy deve seguir o seguinte procedimento:

  1. Solicitação: Preenchimento do formulário de solicitação de acesso, indicando a justificativa de negócios, tipo de proxy e prazo de uso.
  2. Aprovação com o supervisor: Aprovação pelo supervisor imediato do departamento.
  3. Verificação de compliance: Avaliação do pedido pelo departamento de segurança da informação ou compliance em conformidade com a política.
  4. Emissão de credenciais: O departamento de TI fornece acesso com credenciais únicas para cada usuário.
  5. Treinamento: O funcionário passa por uma breve orientação sobre o uso seguro de proxies (pode ser em forma de vídeo ou documento).

Prazos para análise do pedido: Não mais que 3 dias úteis a partir da solicitação.

5. Responsabilidades e papéis

  • Diretor de Segurança da Informação (CISO): Aprovação da política, controle de conformidade, coordenação de auditorias.
  • Departamento de TI: Implementação técnica, emissão de acessos, monitoramento da infraestrutura de proxies.
  • Oficial de Compliance: Verificação da conformidade do uso de proxies com os requisitos regulatórios, manutenção da documentação.
  • Supervisores de departamentos: Aprovação de solicitações de seus funcionários, controle do uso adequado.
  • Usuários finais: Cumprimento da política, comunicação imediata sobre quaisquer incidentes ou atividades suspeitas.

Logs de acesso e monitoramento: o que registrar

A manutenção de logs (registros) do uso de proxies não é apenas uma necessidade técnica, mas uma exigência obrigatória da maioria dos padrões de compliance. Os logs permitem rastrear quem, quando e para quais fins usou o proxy, além de identificar anomalias ou acessos não autorizados.

Campos obrigatórios do log de acesso

Cada registro no log deve conter as seguintes informações:

Campo Descrição Exemplo
Timestamp Data e hora da conexão (UTC) 2024-01-15 14:23:45 UTC
User ID Identificador único do usuário user_12345 ou ivanov@empresa.com
Proxy IP Endereço IP do proxy utilizado 185.123.45.67
Proxy Location Localização geográfica do proxy DE, Frankfurt
Target URL Recurso alvo (domínio, sem URL completa para privacidade) example.com
Session Duration Duração da sessão 00:15:32
Data Volume Volume de dados transmitidos 15.3 MB
Purpose Code Código de finalidade de uso da política COMP_MONITOR (monitoramento de concorrentes)
Status Status de conclusão da sessão SUCCESS / ERROR / BLOCKED

Automatização da coleta de logs

A maioria dos provedores de proxy oferece API para obter estatísticas de uso. Integre esses dados ao seu sistema SIEM (Gerenciamento de Informações e Eventos de Segurança) ou repositório centralizado de logs.

Ferramentas recomendadas para coleta e análise de logs:

  • ELK Stack (Elasticsearch, Logstash, Kibana): Solução gratuita para pequenas e médias empresas, permite visualizar o uso de proxies em tempo real.
  • Splunk: Plataforma comercial com poderosas capacidades de correlação de eventos e detecção de anomalias.
  • Graylog: Alternativa aberta ao Splunk com interface simples.
  • Azure Monitor / AWS CloudWatch: Soluções em nuvem para empresas que utilizam as respectivas plataformas.

Configuração de alertas

Alertas automáticos ajudam a identificar violações de política ou atividades suspeitas:

  • Volume de dados incomum: Se um funcionário transferiu mais de 1 GB através do proxy em uma sessão (pode indicar download de bancos de dados).
  • Acesso fora do horário de trabalho: Uso de proxies em horários noturnos ou fins de semana sem prévia aprovação.
  • Mudança de geolocalização: Um usuário utiliza proxies de 5+ países diferentes em um curto período.
  • Acesso a recursos proibidos: Tentativa de conexão a domínios da lista negra da empresa.
  • Múltiplas tentativas falhas: Mais de 10 tentativas de autenticação falhadas em uma hora (possível comprometimento de credenciais).

Dica: Configure relatórios automáticos semanais para os supervisores de departamento com informações sobre o uso de proxies por seus funcionários. Isso aumenta a conscientização e a disciplina.

Documentação da proteção de dados pessoais através de proxies

Se seus sistemas processam dados pessoais através de proxies (por exemplo, para verificação de usuários, verificação de transações fraudulentas ou coleta de análises), você precisa documentar as medidas de proteção desses dados.

Avaliação de Impacto no Processamento de Dados (DPIA) para proxies

O GDPR exige a realização de uma avaliação de impacto sobre a proteção de dados (DPIA) para operações de processamento que possam apresentar alto risco aos direitos e liberdades das pessoas. O uso de proxies pode se enquadrar nesse requisito se:

  • Você processa dados pessoais sensíveis (saúde, finanças, biometria)
  • Você usa proxies em países com nível insuficiente de proteção de dados (não-UE)
  • Você processa dados em larga escala (mais de 10.000 sujeitos de dados)

Estrutura da DPIA para uso de proxies:

  1. Descrição do processamento: Quais dados são transmitidos através de proxies, para quais fins, quais categorias de sujeitos de dados estão envolvidas.
  2. Necessidade e proporcionalidade: Justificativa de por que o uso de proxies é necessário e não há alternativas menos arriscadas.
  3. Riscos para os sujeitos de dados: O que pode dar errado (vazamento de dados, acesso não autorizado, perda de controle sobre os dados).
  4. Medidas de mitigação de riscos: Criptografia, restrição de acesso, contratos com o provedor de proxy, auditorias regulares.
  5. Consulta ao DPO: Se você tiver um Encarregado de Proteção de Dados, sua opinião deve ser documentada.

Contrato com o provedor de proxy como processador de dados

Se o provedor de proxy tiver a capacidade técnica de acessar dados pessoais que passam por seus servidores, ele se torna legalmente um "processador de dados" segundo a terminologia do GDPR.

O contrato com o provedor deve especificar:

  • Objeto e prazo do processamento: Quais dados são processados, por quanto tempo.
  • Obrigações do processador: Garantir segurança, confidencialidade, assistência na implementação dos direitos dos sujeitos de dados.
  • Subprocessadores: O provedor pode envolver terceiros, é necessário seu consentimento.
  • Transferência internacional: Em quais países estão localizados os servidores proxy, quais mecanismos de proteção são aplicados (Cláusulas Contratuais Padrão, Decisão de Adequação).
  • Notificação de incidentes: Obrigação do provedor de informar imediatamente sobre quaisquer violações de segurança de dados.
  • Auditoria e inspeções: Seu direito de verificar a conformidade do provedor com os termos do contrato.

Importante: Muitos provedores de proxy operam sob o princípio "no-log" (não mantêm logs de tráfego). Obtenha uma confirmação por escrito dessa política e inclua-a na documentação de compliance.

Criptografia de dados durante a transmissão através de proxies

Documente quais métodos de criptografia são aplicados:

  • Proxies HTTPS: Todo o tráfego entre seu sistema e o servidor proxy é criptografado por TLS 1.2 ou superior.
  • SOCKS5 com túnel SSH: Nível adicional de criptografia para dados especialmente sensíveis.
  • Criptografia de ponta a ponta: Dados são criptografados do lado do remetente e descriptografados apenas do lado do destinatário, o proxy vê apenas o tráfego criptografado.

Na documentação, indique as versões dos protocolos e algoritmos de criptografia (por exemplo: "TLS 1.3 com AES-256-GCM").

Preparação da documentação para auditoria

Quando chega a hora de uma auditoria externa ou interna, você precisa fornecer rapidamente um pacote completo de documentos que comprovem a conformidade do uso de proxies. Aqui está o que deve estar pronto com antecedência:

Pacote de documentos para auditoria

  1. Política de uso de servidores proxy (versão atual com assinatura da pessoa aprovadora)
    • Histórico de alterações da política
    • Documentos de familiarização dos funcionários (assinados ou confirmações eletrônicas)
  2. Inventário de servidores proxy
    • Lista de todos os proxies utilizados (endereços IP, localizações geográficas, tipos)
    • Informações sobre os provedores (nomes das empresas, dados de contato, detalhes dos contratos)
    • Data de início do uso de cada proxy
  3. Logs de acesso
    • Logs dos últimos 12 meses (ou prazo exigido pelo seu padrão)
    • Relatórios de anomalias identificadas e medidas tomadas
    • Estatísticas de uso por departamentos
  4. Contratos com provedores
    • Contrato principal para fornecimento de serviços de proxy
    • Acordo de Processamento de Dados (DPA) para conformidade com o GDPR
    • Cláusulas Contratuais Padrão (SCC), se os proxies estiverem localizados fora da UE
    • SLA (Acordo de Nível de Serviço) com garantias de disponibilidade e segurança
  5. DPIA (Avaliação de Impacto sobre a Proteção de Dados) — se aplicável
  6. Procedimentos de gestão de acesso
    • Formulário de solicitação de acesso a proxies
    • Exemplos de solicitações aprovadas e rejeitadas
    • Procedimento para revogação de acesso ao demitir um funcionário
  7. Incidentes e suas investigações
    • Registro de incidentes relacionados a proxies (se houver)
    • Relatórios de investigações
    • Ações corretivas
  8. Treinamento e conscientização
    • Materiais de treinamento sobre uso seguro de proxies
    • Registros de participação dos funcionários em treinamentos

Perguntas típicas dos auditores

Prepare-se para responder às seguintes perguntas (com evidências):

  • "Como você controla que os proxies são usados apenas para fins permitidos?" — Mostre os logs e o procedimento de monitoramento.
  • "Como você garante que dados pessoais não são acessados pelo provedor de proxy?" — Mostre o DPA, a política de criptografia, a confirmação de no-log.
  • "Com que frequência você revisa a lista de funcionários com acesso a proxies?" — Mostre o procedimento de revisão trimestral.
  • "O que acontecerá se o provedor de proxy parar de funcionar ou for comprometido?" — Mostre o plano de continuidade de negócios (BCP) e a lista de provedores alternativos.
  • "Como você garante conformidade em transferências internacionais de dados?" — Mostre o SCC e a análise dos países onde os proxies estão localizados.

Automatização da preparação para auditoria

Crie uma "pasta de auditoria" (física ou eletrônica) com as versões atuais de todos os documentos. Nomeie um responsável por sua atualização (geralmente o oficial de compliance ou o CISO).

Utilize plataformas GRC (Governança, Risco, Compliance) para automatizar:

  • OneTrust: Gestão de políticas, lembretes automáticos para revisão de documentos.
  • ServiceNow GRC: Integração com processos de TI, coleta automática de evidências de compliance.
  • Vanta / Drata: Automação de compliance para SOC 2, ISO 27001 com monitoramento contínuo.

Prazos de retenção de documentos e logs

Diferentes padrões e legislações estabelecem prazos mínimos para a retenção de documentação e logs. O não cumprimento desses prazos pode resultar em multas ou impossibilidade de comprovar a conformidade em caso de investigação.

Tipo de documento Prazo mínimo de retenção Base legal
Política de uso de proxies Permanentemente (com histórico de alterações) ISO 27001, política interna
Logs de acesso a proxies 12 meses (mínimo) GDPR, ISO 27001
Logs de acesso (dados financeiros) 7 anos PCI DSS, legislação fiscal
Contratos com provedores Prazo de validade + 5 anos Legislação civil
DPIA (avaliação de impacto) Enquanto o processamento for relevante + 3 anos GDPR
Solicitações de acesso a proxies 3 anos Auditoria interna
Relatórios de incidentes 5 anos ISO 27001, política interna
Certificados de treinamento de funcionários Período de trabalho + 1 ano Legislação trabalhista

Recomendação: Armazene logs de acesso a proxies por pelo menos 24 meses, mesmo que o padrão exija apenas 12. Isso permite realizar análises retrospectivas e identificar padrões de abusos a longo prazo.

Procedimento de exclusão segura

Após o término do prazo de retenção, documentos e logs devem ser excluídos de forma segura para minimizar o risco de vazamento de dados desatualizados:

  • Documentos eletrônicos: Utilize métodos de exclusão segura (não apenas "Excluir", mas sobrescrever dados pelo menos 3 vezes).
  • Documentos em papel: Destruição através de triturador com nível de segurança P-4 ou superior (de acordo com a norma DIN 66399).
  • Cópias de segurança: Não se esqueça de excluir dados de todos os backups, e não apenas do armazenamento principal.
  • Documentação da exclusão: Mantenha registros da exclusão de documentos e logs.
```