Configurações

Compliance - LGPD, GDPR e Auditoria

8 visualizações Atualizado em

Compliance - LGPD, GDPR e Auditoria

Resumo

Centro de conformidade da plataforma: direitos dos titulares (LGPD/GDPR), cookies e consentimentos, trilhas de auditoria, certificações (ISO, SOC2, PCI), checklist regulatório, gestão de criptografia e classificação de dados, geração de relatórios oficiais e logs de exclusão/exportação.

Para quem é (papel/role)

  • super-admin - operação e configuração global.
  • tenant-admin - conformidade do próprio tenant.
  • platform-staff - DPO (Data Protection Officer) com role dedicado.

O que você pode fazer

LGPD / GDPR (direitos do titular)

  • Visualizar solicitação: histórico completo de acesso, exportação, anonimização.
  • Exportar dados do titular (DSAR - Data Subject Access Request).
  • Anonimizar dados: aplica anonimização irreversível ao registro.
  • Deletar dados: direito ao esquecimento.
  • Logs de consentimento: auditoria de aceites (termo, cookies, marketing).

Cookies

  • Listar consentimentos por usuário/tenant.
  • Estatísticas: taxa de aceitação, categorias aceitas.
  • Settings: categorias de cookies, textos do banner.

Auditoria

  • Trilha de auditoria: ações sensíveis (login, alterações, exclusões) com usuário, IP, user agent.
  • Detalhe da ocorrência.

Certificações

  • Criar / editar certificação: ISO 27001, SOC2, PCI-DSS, etc.
  • Marcar como certificada: upload de evidência e data de vigência.

Checklist

  • Itens regulatórios: lista de requisitos (LGPD, GDPR, CCPA, HIPAA).
  • Marcar como completo: registra evidência e responsável.

Criptografia

  • Chaves de criptografia: listar, detalhar, rotacionar.
  • Classificação de dados: tipos de dado (PII, sensível, público) e política.
  • Habilitar / desabilitar criptografia por campo.

Relatórios

  • Gerar relatório: DSAR, relatório LGPD, relatório de incidentes.
  • Download, aprovação e distribuição.

Data deletion (exclusão programada)

  • Logs de exclusão.
  • Export sob consentimento.
  • Registro de incidentes (breach).

Como acessar

  1. /admin.
  2. Settings → Compliance ou /admin/settings/compliance.

Tutoriais

Atender um pedido de exportação LGPD

  1. Acesse /admin/settings/compliance/lgpd/{id}/export.
  2. O sistema gera um arquivo com todos os dados do titular.
  3. Entregue o arquivo pelo canal autorizado.
  4. A operação fica registrada em auditoria.

Anonimizar um usuário (direito ao esquecimento)

  1. Localize o pedido em /admin/settings/compliance/lgpd.
  2. Clique em Anonimizar.
  3. Confirme. Dados pessoais são substituídos por valores anônimos; histórico financeiro mantido por retenção legal.

Rotacionar chave de criptografia

  1. Acesse /admin/settings/compliance/encryption/keys.
  2. Selecione a chave e clique em Rotate.
  3. O sistema re-encripta registros em lote em background.

Gerar relatório LGPD trimestral

  1. Em /admin/settings/compliance/reports/generate, selecione LGPD trimestral.
  2. Defina período e submeta.
  3. Após gerado, faça download e Aprovar para marcar como oficial.

Registrar um incidente (breach)

  1. /admin/settings/compliance/data-deletion/breach.
  2. Descreva natureza, impacto, dados afetados e plano de resposta.
  3. Salvo em auditoria e comunica DPO.

Integrações

  • Usuários - exclusão dispara user.deleted e workflow de remoção.
  • Billing - dados fiscais têm retenção especial.
  • Observabilidade - security.breach cria alerta operacional.
  • Eventos: security.breach, security.rate.limited.

Perguntas frequentes

Anonimização é reversível? Não. Uma vez aplicada, os dados originais são perdidos.

Quanto tempo retenho dados fiscais? Conforme legislação local (tipicamente 5 anos no Brasil).

Preciso de consentimento para cookies? Sim. O banner é obrigatório e registra aceite por categoria.

Quem pode aprovar um relatório? Super-admin ou DPO, conforme permissão.

Rotacionar chave reencripta tudo imediatamente? É em background via fila; dados continuam acessíveis durante o processo.

Como trato um breach de dados? Registre o incidente em 72h, notifique ANPD/ENA quando aplicável, e use o checklist de resposta.

Tenant-admin pode exportar dados de outro tenant? Jamais. Isolamento multi-tenant absoluto.

A plataforma é PCI-DSS certificada? Dados de cartão são tokenizados pelo gateway; a plataforma não armazena PAN.

Limitações, políticas e avisos

  • Exclusão LGPD pode ser bloqueada por obrigação legal de retenção.
  • Ações de compliance ficam em auditoria permanente e imutável.
  • Rotação de chaves em base grande pode levar horas.
  • Export DSAR tem limite de frequência por titular.

Relacionados

  • users-management.md
  • observability-logs-metrics.md
  • platform-feature-flags.md
  • external-apis-global-keys.md

Este artigo foi útil?

Perguntas e Respostas

Nenhuma pergunta ainda. Seja o primeiro a perguntar!

Tem uma dúvida sobre este artigo?

CAPTCHA

Sua pergunta será publicada após aprovação. O e-mail é usado apenas para notificação da resposta.