[{"data":1,"prerenderedAt":210},["ShallowReactive",2],{"blog-/blog/seguranca-para-quem-nao-e-de-seguranca":3,"blog-surround-/blog/seguranca-para-quem-nao-e-de-seguranca":199},{"id":4,"title":5,"author":6,"body":7,"category":181,"date":182,"description":183,"draft":184,"extension":185,"image":186,"meta":187,"navigation":188,"ogImage":189,"path":190,"readingTime":191,"seo":192,"stem":193,"tags":194,"__hash__":198},"blog/blog/seguranca-para-quem-nao-e-de-seguranca.md","Segurança de software para quem não é de segurança","Guilherme Chaves",{"type":8,"value":9,"toc":174},"minimark",[10,14,17,22,25,33,36,49,53,56,68,74,77,81,84,87,117,120,124,127,130,157,160,164,167,170],[11,12,13],"p",{},"Segurança costuma ser tratada como assunto de especialista: complicado, técnico, coisa para\ndepois. O problema é que \"depois\" geralmente significa \"quando der ruim\". E quando dá ruim, quem\nresponde pelo prejuízo não é o programador — é o dono do negócio.",[11,15,16],{},"A boa notícia é que você não precisa entender criptografia para tomar boas decisões. Precisa\nentender quais são os riscos que mais derrubam produtos digitais e fazer as perguntas certas para\nquem desenvolve. Quatro deles concentram a maioria dos incidentes.",[18,19,21],"h2",{"id":20},"vazamento-de-dados-o-que-você-guarda-é-o-que-você-arrisca","Vazamento de dados: o que você guarda é o que você arrisca",[11,23,24],{},"Todo dado que você coleta é uma responsabilidade. Nome, e-mail, CPF, endereço, histórico de\ncompras — cada campo no seu banco é algo que pode vazar e gerar dano real a uma pessoa de verdade.",[11,26,27,28,32],{},"A primeira pergunta de segurança não é técnica, é de produto: ",[29,30,31],"strong",{},"você realmente precisa guardar\nisso?"," Dado que não existe não vaza. Se o seu sistema coleta informação \"por garantia\", sem uso\nclaro, você está acumulando risco sem retorno.",[11,34,35],{},"Para o que precisa mesmo existir, vale cobrar três coisas:",[37,38,39,43,46],"ul",{},[40,41,42],"li",{},"Os dados sensíveis trafegam e ficam armazenados de forma cifrada, nunca em texto puro.",[40,44,45],{},"O acesso é restrito: cada pessoa do time vê só o que o trabalho dela exige.",[40,47,48],{},"Existe um plano de resposta — quem é avisado, em quanto tempo, e o que se faz — caso algo vaze.",[18,50,52],{"id":51},"senhas-o-elo-mais-frágil-quase-sempre","Senhas: o elo mais frágil quase sempre",[11,54,55],{},"A maioria das invasões não acontece por um hacker genial quebrando um sistema. Acontece porque\numa senha era fraca, foi reaproveitada de outro site que já tinha vazado, ou estava anotada num\nlugar errado.",[11,57,58,59,62,63,67],{},"Do lado do seu produto, existe uma regra inegociável: ",[29,60,61],{},"senha de usuário nunca deve ser\nguardada como o usuário digitou."," Ela passa por um processo de transformação irreversível — um\n",[64,65,66],"em",{},"hash"," — de modo que nem você, dono do sistema, consiga lê-la.",[69,70,71],"blockquote",{},[11,72,73],{},"Se um sistema consegue te enviar a sua senha atual por e-mail quando você esquece, esse sistema\nestá armazenando senhas de forma errada. O correto é só permitir criar uma nova.",[11,75,76],{},"Vale ainda oferecer um segundo fator de autenticação para contas importantes. É a diferença\nentre uma senha roubada virar invasão ou virar só um susto.",[18,78,80],{"id":79},"dependências-o-código-que-você-não-escreveu","Dependências: o código que você não escreveu",[11,82,83],{},"Software moderno é montado com peças prontas — bibliotecas de código aberto que economizam meses\nde trabalho. É uma prática boa e normal. Mas cada peça dessas é código de terceiros rodando\ndentro do seu produto, e código de terceiros também tem falhas.",[11,85,86],{},"Quando uma falha de segurança é descoberta numa biblioteca popular, ela vira conhecimento\npúblico da noite para o dia — e quem não atualizou fica exposto. Por isso manutenção não é\nluxo: é parte da segurança.",[88,89,94],"pre",{"className":90,"code":91,"language":92,"meta":93,"style":93},"language-bash shiki shiki-themes github-dark","# Um comando simples revela dependências com falhas conhecidas\nnpm audit\n","bash","",[95,96,97,106],"code",{"__ignoreMap":93},[98,99,102],"span",{"class":100,"line":101},"line",1,[98,103,105],{"class":104},"sAwPA","# Um comando simples revela dependências com falhas conhecidas\n",[98,107,109,113],{"class":100,"line":108},2,[98,110,112],{"class":111},"svObZ","npm",[98,114,116],{"class":115},"sU2Wk"," audit\n",[11,118,119],{},"Não é preciso entender a saída desse comando. Basta saber que ele existe, que ferramentas\nparecidas existem para qualquer linguagem, e que rodá-las com regularidade deveria ser rotina —\nnão emergência. Pergunte ao seu time com que frequência isso é feito.",[18,121,123],{"id":122},"lgpd-a-lei-transformou-descuido-em-risco-jurídico","LGPD: a lei transformou descuido em risco jurídico",[11,125,126],{},"Antes da Lei Geral de Proteção de Dados, tratar mal os dados dos clientes era, no máximo, feio.\nHoje é passível de multa e processo. A LGPD não exige que você seja perfeito — exige que você\nseja responsável e consiga provar isso.",[11,128,129],{},"Na prática, alguns pontos importam mais para quem decide:",[131,132,133,139,145,151],"ol",{},[40,134,135,138],{},[29,136,137],{},"Finalidade clara."," Você só pode usar o dado para o que informou ao usuário ao coletá-lo.",[40,140,141,144],{},[29,142,143],{},"Consentimento real."," Aquele checkbox já marcado não vale; a pessoa precisa escolher.",[40,146,147,150],{},[29,148,149],{},"Direito de saída."," O usuário pode pedir os dados dele ou pedir para ser apagado — e o\nsistema precisa conseguir fazer isso.",[40,152,153,156],{},[29,154,155],{},"Registro."," Em caso de fiscalização, mostrar o que se coleta e por quê é meio caminho.",[11,158,159],{},"Segurança e LGPD se encontram aqui: a lei basicamente formalizou aquilo que já era bom senso\ntécnico. Quem cuidava dos dados antes da lei teve pouco a mudar.",[18,161,163],{"id":162},"segurança-é-decisão-não-sorte","Segurança é decisão, não sorte",[11,165,166],{},"Nenhum sistema é cem por cento seguro, e quem promete isso está vendendo ilusão. O objetivo\nrealista é outro: não ser o alvo fácil, reduzir o estrago quando algo falha, e ter clareza do\nque está em jogo. Isso depende de decisões tomadas ao longo do projeto inteiro, não de um\n\"módulo de segurança\" colado no fim.",[11,168,169],{},"Na ChavesTech, segurança entra na conversa desde o começo, em linguagem que o decisor entende —\nsem terrorismo e sem jargão para impressionar. Como você fala direto com quem desenvolve, dá para\nperguntar \"isso aqui é seguro?\" e receber uma resposta honesta, com o porquê junto.",[171,172,173],"style",{},"html pre.shiki code .sAwPA, html code.shiki .sAwPA{--shiki-default:#6A737D}html pre.shiki code .svObZ, html code.shiki .svObZ{--shiki-default:#B392F0}html pre.shiki code .sU2Wk, html code.shiki .sU2Wk{--shiki-default:#9ECBFF}html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"title":93,"searchDepth":108,"depth":108,"links":175},[176,177,178,179,180],{"id":20,"depth":108,"text":21},{"id":51,"depth":108,"text":52},{"id":79,"depth":108,"text":80},{"id":122,"depth":108,"text":123},{"id":162,"depth":108,"text":163},"Segurança","2025-11-18","Você não precisa virar especialista para proteger o seu produto. Precisa entender quatro riscos básicos — e cobrar quem desenvolve sobre eles.",false,"md","/img/blog/seguranca-para-quem-nao-e-de-seguranca.jpg",{},true,null,"/blog/seguranca-para-quem-nao-e-de-seguranca",7,{"title":5,"description":183},"blog/seguranca-para-quem-nao-e-de-seguranca",[195,196,197],"segurança","lgpd","boas-práticas","-3VTeW8Q0nSHnJNaDGDr_Z61kUFrd2FRzjUlQbhETyo",[200,205],{"title":201,"path":202,"stem":203,"category":204,"children":-1},"MVP entregue, e agora? Como evoluir um produto sem se perder","/blog/mvp-entregue-e-agora","blog/mvp-entregue-e-agora","Produto",{"title":206,"path":207,"stem":208,"category":209,"children":-1},"Integração de sistemas: conectando o que sua empresa já usa","/blog/integracao-de-sistemas","blog/integracao-de-sistemas","Arquitetura",1784123995679]