Auditoria contínua de segurança e LGPD

Saiba o que um
fiscal da ANPD
encontraria no seu site.

Rodamos 60 verificações no seu domínio e devolvemos um relatório com o que o jurídico precisa (artigo da LGPD violado, risco de multa) e o que o time técnico precisa (vulnerabilidade, mitigação, código de exemplo). Sem instalar nada, sem alterar nada.

Sem cartão de crédito pra começar. O scan é read-only de verdade (bloqueamos POST/PUT/DELETE no client HTTP, com audit log). Quem passa nos critérios pode embutir um selo verificável no rodapé do site.


A LGPD deixou de ser ameaça abstrata

Em 2024 a ANPD aplicou mais de R$ 14 milhões em multas e a maior parte foi por coisa boba: dado pessoal exposto em URL, banner de cookies ausente, política de privacidade defasada. Coisas que dão pra detectar antes que dêem dor de cabeça.

R$ 50M
Multa máxima por infração

Até 2% do faturamento do grupo no Brasil. Por incidente.

197d
Para descobrir o vazamento

Média mundial. No Brasil é pior - você descobre pelo jornal.

15d
Para responder ao titular

Art. 19 §1º. Sem auditoria contínua, você descobre tarde demais.

As violações que mais dão multa são as mais bestas de detectar: arquivo .env exposto, dado pessoal jogado na URL, banner de cookie ausente, política de privacidade do tempo do colégio, falta de canal pro encarregado de dados. O SECSCORE acha tudo isso enquanto você dorme.


Cadastra, verifica posse, recebe relatório.

O primeiro scan completa em poucos minutos pra sites pequenos e algo entre 5 e 15 minutos pra sites maiores. Depois roda sozinho no intervalo do seu plano.

1

Cadastra seu domínio

Informa a URL do seu site. Não precisa instalar nada, configurar agente ou liberar IPs.

2

Comprova a propriedade

Adiciona um registro DNS TXT ou um arquivo no .well-known/. Só você audita seus sites.

3

Recebe o relatório

Score LGPD, achados por artigo da lei, plano de remediação e PDF anexável ao RIPD.


O que rodamos no seu site

60 verificações por scan. O mesmo achado é mostrado em três linguagens conforme quem vai ler: artigo da LGPD pro DPO, técnica MITRE ATT&CK pro CISO, evidência e mitigação pro time técnico.

Para o DPO

LGPD nativo

Cada achado mapeado para o artigo da lei que ele viola:

  • Banner de consentimento de cookies
  • Política de Privacidade e Termos de Uso
  • Contato do DPO - Art. 41
  • Direitos do titular - Art. 18
  • Dados pessoais em URLs
  • GA com anonymizeIP
  • Tags de marketing sem consentimento
  • Formulários sensíveis sem HTTPS
  • Score LGPD 0-100 + risco ANPD
  • PDF anexável ao RIPD (Art. 38)
Para o time técnico

Segurança

OWASP Top 10 e técnicas que pentester de verdade usa:

  • Arquivos sensíveis (.env, .git, dumps)
  • SQL Injection, XSS, CSRF, IDOR, SSRF
  • HTTPS/TLS, headers, cookies
  • Painéis administrativos públicos
  • CVEs em dependências (OSV.dev)
  • Subdomain takeover, GraphQL
  • Segredos em JS (20+ patterns)
  • Auto-detect stack (Laravel/WP/React)
  • Bypass 401/403 e path tricks
  • Libs JS vulneráveis (jQuery, Lodash)
NOVO
Para o CISO/SOC

MITRE ATT&CK®

A linguagem que o time de segurança já fala:

  • Cada achado tagueado com T#### + Tática
  • T1190 Exploit Public-Facing App
  • T1078 Valid Accounts (auth issues)
  • T1552 Unsecured Credentials
  • T1583 Acquire Infrastructure (takeover)
  • T1557 Adversary-in-the-Middle (TLS)
  • Mitigações M#### agregadas
  • Cobertura % do kill chain web
  • Matriz visual de táticas
  • Business: seção dedicada no PDF

Score 0-100

Uma nota só pra mostrar pra diretoria sem precisar explicar tabela de risco. Tendência mês a mês.

PDF que cola no RIPD

O Relatório de Impacto à Proteção de Dados (Art. 38) precisa de evidência técnica. A nossa é só anexar.

Read-only de verdade

O client HTTP do scanner bloqueia POST/PUT/DELETE em hard-code. Cada tentativa fica registrada no log.


Antes que pergunte: não é pentest.

Pentest profissional é trabalho humano. Um especialista certificado, contrato com escopo definido, testando lógica de negócio, race condition, fluxo específico. Custa caro e demora semanas. Continua sendo necessário uma vez por ano.

O SECSCORE é a camada de baixo: roda toda semana (ou todo dia, no Business), garante que entre um pentest humano e o próximo você não está deixando passar as bobagens caras - .env exposto, cookie sem Secure, banner de consentimento ausente. As coisas que pentester rola os olhos quando vê e DPO perde o sono.

Usa as duas coisas. Não substitui pentester humano por scanner automático.


Selo verificável pro seu rodapé

Quem passa nos critérios recebe um selo SVG pra colar no site. O visitante clica nele, vai pra uma página nossa, e vê em tempo real se a auditoria está em dia. Se você regredir no próximo scan, o selo some sozinho - nada de selo mentindo pelo seu cliente.

RARO
SECSCORE PADRAO DIAMANTE Score 100 - 2026-05-27 secscore.com.br

Padrão Diamante

  • Score LGPD ≥ 99
  • Zero críticos, altos e médios
  • Auditoria há no máximo 7 dias
  • Domínio verificado por DNS
SECSCORE PADRAO OURO Score 95 - 2026-05-26 secscore.com.br

Padrão Ouro

  • Score LGPD ≥ 90
  • Zero achados críticos e altos
  • Auditoria há no máximo 30 dias
  • Domínio verificado por DNS
SECSCORE PADRAO PRATA Score 78 - 2026-05-26 secscore.com.br

Padrão Prata

  • Score LGPD ≥ 70
  • Zero críticos, até 3 altos
  • Auditoria há no máximo 90 dias
  • Domínio verificado por DNS

O selo é um SVG servido por nós, recalculado a cada visita. Se você regredir num próximo scan, ele some - cliente nunca vê selo desatualizado. Clica no selo, abre a página de verificação aqui no secscore.com.br com o histórico. Funciona em qualquer site, CMS ou plataforma: é só uma linha de HTML.

Entrar e gerar meu selo

O snippet com seu token aparece dentro do painel depois do login. Disponível em todos os planos, trial inclusive.


Por que não usar um scanner gringo?

Os scanners globais (Detectify, Probely, Acunetix) são bons em segurança técnica. Eles não falam português, não conhecem a LGPD, não te dão um PDF que serve pra anexar no RIPD. O DPO brasileiro olha o relatório deles, fala "bonito" e joga na pasta de coisas que não dá pra usar.

O que mudamos:

  • · Cada achado aponta o artigo da LGPD que ele viola (46, 48, 18, 41) com explicação em português.
  • · Risco ANPD calculado por finding, não só score técnico abstrato.
  • · Reconhece stack brasileira de verdade: Laravel, Filament, Livewire, WordPress hospedado em shared.
  • · Suporte em português, no horário comercial, direto com gente que escreveu o código.
Exemplo de achado
🚨 CRÍTICO · sensitive_files
Arquivo .env exposto em /env
📍 GET /.env → 200, 412B
⚖️ LGPD: Art. 46, 48, 52
Risco ANPD: CRÍTICO
Vazamento direto. Comunicação à ANPD pode ser obrigatória (Art. 48).
✅ Mitigação técnica
Bloquear /.env no Nginx; rotacionar APP_KEY e credenciais.

Preço em real, sem fidelidade

Cobramos via Pagar.me (cartão ou PIX), com nota fiscal. Cancela quando quiser pelo painel. Os primeiros 100 clientes pagam metade do preço de tabela pra sempre, enquanto a assinatura estiver ativa.

Trial
Grátis
14 dias · sem cartão
  • 1 domínio
  • Scans sob demanda
  • Relatório HTML completo
  • Score LGPD
Começar trial
Starter
R$ 49 R$ 99
/mês · para 1 site
  • 1 domínio
  • Scan semanal automático
  • Relatório LGPD em PDF
  • Histórico 30 dias
  • Alertas por email
Escolher Starter
MAIS ESCOLHIDO
Pro
R$ 149 R$ 299
/mês · agências/e-commerces
  • 5 domínios
  • Scan semanal automático
  • Relatório LGPD em PDF
  • Histórico 90 dias
  • Alertas por email
  • Suporte prioritário
Escolher Pro
Business
R$ 399 R$ 799
/mês · empresas com DPO
  • 20 domínios
  • Scan diário
  • Relatório LGPD em PDF
  • Histórico 365 dias
  • API para integração
  • Suporte com SLA
Escolher Business

💳 Pagamento via Pagar.me (cartão ou PIX) · Cancele quando quiser · Nota fiscal automática

Necessita mais de 20 domínios ou um SLA contratual? Fale com o fundador.


Fase beta

Procurando os 5 primeiros pilotos

Em troca de meia hora do seu tempo com feedback estruturado, três meses do plano Pro de graça. Funciona como conversa, não como formulário - quero entender o que faz sentido pra você e o que nesse produto está faltando, antes de assinar o ticket cheio.

Vaga aberta
🏛️ Órgão público / Universidade
Foco: compliance LGPD em portais institucionais e sistemas internos.
Vaga aberta
⚖️ Escritório de advocacia
Foco: portfolio de clientes para auditar como serviço white-label.
Vaga aberta
🛍️ E-commerce médio
Foco: dados de cartão, CPF, endereços de entrega.

Perguntas frequentes

O SECSCORE substitui um pentest profissional?

Não. É auditoria automática contínua - complementar a pentest humano. Cobrimos 60 verificações objetivas (config, headers, CVEs, vazamentos, conformidade LGPD) com excelência, mas não testamos lógica de negócio, race conditions ou fluxos específicos. Para esses, é necessário um pentester certificado (OSCP/CEH). Recomendamos: SECSCORE contínuo + pentest humano anual.

Vocês armazenam os dados do meu site?

Apenas o relatório de achados, por tempo determinado pelo seu plano (30/90/365 dias). O scanner é read-only - não armazenamos conteúdo das suas páginas, credenciais ou dados de usuários. Auditoria de tudo que é executado fica registrada (check read_only_audit).

O scanner pode quebrar meu site?

Não. Bloqueamos automaticamente qualquer POST/PUT/DELETE no alvo (única exceção: login autorizado por você). Também bloqueamos headers HTTP que poderiam afetar cache do alvo (Host, X-Forwarded-Host etc). Rate limit de 2 req/s por padrão. Tudo auditado no relatório.

Funciona com qualquer site?

Sim. Detectamos automaticamente stacks: Laravel (com checks Filament/Livewire específicos), WordPress, React/Next.js, PHP puro, NestJS/Express. Funciona em qualquer hospedagem (compartilhada, VPS, cloud). Não precisa instalar agente - tudo via verificação remota.

Por quanto tempo dura o preço de fundador?

Para sempre, enquanto sua assinatura permanecer ativa. Se cancelar e voltar depois, o preço retorna ao oficial. A oferta vale para os primeiros 100 clientes , depois disso o preço de tabela entra em vigor para novos cadastros.

Vocês detectam todas as técnicas do MITRE ATT&CK®?

Não. O framework Enterprise tem 200+ técnicas, e como scanner DAST black-box só cobrimos as ~20 pertinentes a aplicações web (principalmente TA0001 Initial Access, TA0006 Credential Access, TA0009 Collection, TA0043 Reconnaissance). Táticas pós-comprometimento (Persistence, Lateral Movement, C2, Impact) exigem visibilidade interna do ambiente (EDR/SIEM/agente) e estão fora do escopo. Mostramos a cobertura percentual honesta na página /mitre-coverage.

Vocês são parceiros oficiais da MITRE Corporation?

Não. O SECSCORE usa o framework MITRE ATT&CK® como referência pública (CC BY 4.0), sem afiliação oficial com The MITRE Corporation. MITRE ATT&CK® é trademark registrado. Cada tag de técnica no nosso relatório linka para a documentação oficial em attack.mitre.org.

Como funcionam os selos Padrão Ouro e Padrão Prata?

São selos verificáveis em tempo real que você cola no rodapé do seu site (uma linha de HTML). O Diamante é o nível máximo: score LGPD ≥ 99, zero achados críticos, altos e médios, auditoria recente (≤ 7 dias) - praticamente perfeição. O Ouro exige score ≥ 90, zero achados críticos e altos, auditoria ≤ 30 dias. O Prata exige score ≥ 70, zero críticos, até 3 altos, e auditoria ≤ 90 dias. Todos exigem domínio verificado por DNS. O selo é um SVG dinâmico - recalculado a cada visualização: se seu site regredir num próximo scan, o selo deixa de ser exibido automaticamente. Clicando no selo, o visitante abre uma página pública em secscore.com.br/seal/verify/... com os detalhes da auditoria.

O relatório PDF serve mesmo para apresentar à ANPD?

O PDF é estruturado para ser anexável ao RIPD (Relatório de Impacto à Proteção de Dados, Art. 38 LGPD): capa institucional, sumário executivo, score, achados mapeados por artigo, plano de remediação com prazos, hash de integridade. Não substitui parecer jurídico - deve ser revisado pelo seu DPO/advogado.


Comece hoje. Sem cartão.

Trial completo de 14 dias. Cadastra seu domínio, verifica em 3 minutos, tem o primeiro relatório LGPD na mão antes do café acabar.