Quando a rede não tem saída
Uma cientista de dados trabalha em uma empresa de defesa. Ela tem 3.000 registros de pessoal. Ela precisa remover nomes, números de seguridade social e níveis de autorização de segurança. Só então poderá compartilhar os dados com um parceiro de pesquisa sob um acordo CUI.
Sua rede não tem internet. Por design.
Ela testa cada ferramenta baseada na web que consegue encontrar. Cada uma envia dados para um servidor externo. Cada plataforma em nuvem precisa de uma conta e uma conexão ativa. Mesmo ferramentas «on-premises» costumam chamar um servidor de licença remoto.
Esse é o problema do deployment air-gapped. Ele afeta muito mais equipes do que a maioria espera.
Quem precisa de remoção PII offline
Empresas de defesa e agências governamentais são as mais afetadas. O programa FedRAMP da DISA exige que os dados permaneçam dentro dos limites de rede aprovados. O ITAR limita dados técnicos a sistemas controlados pelos EUA. Redes como JWICS e SIPRNet são fisicamente isoladas por design.
Mas a necessidade offline vai muito além dos sites classificados:
Hospitais com redes segmentadas. Sistemas de imagem PACS, plataformas EHR e bancos de dados de pesquisa costumam estar em redes sem internet por política.
Pisos de negociação e câmaras de compensação. Sistemas de negociação proprietários e sistemas conectados ao SWIFT usam isolamento estrito de rede.
Sistemas de controle industrial. Redes SCADA e infraestrutura crítica operam com air gaps como medida central de segurança. O endurecimento pós-Stuxnet tornou isso a norma.
Regras europeias de dados. As Landesdatenschutzgesetze alemãs e leis similares da UE exigem processamento local de dados sensíveis governamentais e de saúde. A multa RGPD de €530M ao TikTok chegou em maio de 2025. Ela cobriu transferências de dados para a China. Essa multa levou mais equipes a ferramentas locais. Veja nossa visão geral de conformidade para as regras de transferência do RGPD aplicáveis.
Por que ferramentas em nuvem falham em redes air-gapped
A maioria das ferramentas de remoção de dados segue um modelo SaaS:
Dispositivo → HTTPS → API do Fornecedor → Modelos NLP → Resposta → Dispositivo
Esse design precisa de acesso à internet no dispositivo de processamento. Precisa de confiança nos servidores do fornecedor. Significa que os dados cruzam redes externas.
Em uma rede air-gapped, o passo um é uma impossibilidade física. Em ambientes regulados, os passos dois a quatro podem cada um violar regras de conformidade.
O Presidio auto-hospedado é o recurso habitual. Mas ele precisa de conhecimentos de Docker e configuração de Python. Também precisa de downloads de modelos spaCy, que exigem acesso à internet. E precisa de suporte de TI contínuo. A maioria das equipes não tem tudo isso.
A lacuna entre a facilidade da nuvem e a complexidade do auto-hospedamento é exatamente o que as ferramentas de desktop locais preenchem.
Como funciona a remoção PII local
Uma boa ferramenta offline inclui tudo o que precisa:
Modelos NLP integrados. Modelos spaCy (40–80 MB cada) e modelos transformer para detecção de entidades nomeadas fazem parte do instalador. Nenhum download é necessário durante a execução.
Pipeline de detecção local. Regex, NLP e ML executam todos na CPU local — ou GPU, se disponível. O motor baseado em Presidio dentro do anonym.legal não faz chamadas de rede durante uma execução.
Cofre local criptografado. Configurações, predefinições e chaves são armazenados localmente. O cofre usa criptografia AES-256-GCM e derivação de chave Argon2id. Sem sincronização em nuvem. Sem backup remoto. O cofre fica no dispositivo.
E/S de arquivo local. Os arquivos de entrada vêm do armazenamento local. Os arquivos de saída voltam para o armazenamento local. Nenhum dado cruza qualquer interface de rede.
Superfície de ataque pequena. O Aplicativo Desktop usa Tauri 2.0 (baseado em Rust). O Tauri tem uma superfície de ataque muito menor que o Electron (baseado em Chromium). Seu binário é cerca de dez vezes menor. Também chama menos APIs do sistema operacional por padrão.
Três cenários reais de conformidade
Documentos ITAR — 500 arquivos
Uma empresa de defesa precisa compartilhar documentos técnicos com um parceiro estrangeiro sob uma exceção de licença. Os arquivos contêm nomes de pessoas dos EUA e dados de pessoal. Ambos devem ser removidos primeiro.
Necessidades principais: processamento apenas em workstations autorizadas. Nenhum dado enviado fora da rede autorizada. Uma trilha de auditoria mostrando o trabalho realizado. Suporte em lote para 500+ arquivos.
O Aplicativo Desktop processa todos os arquivos DOCX 500+ localmente em modo lote. Nenhuma chamada de rede é feita durante a execução. O registro de auditoria permanece no cofre local. O resultado atende às necessidades da exceção de licença ITAR.
Agência federal alemã — Dados de reclamações
Uma agência federal alemã deve remover dados pessoais dos registros de reclamações de cidadãos. Em seguida, envia os registros a um instituto de pesquisa. As diretrizes do BfDI proíbem o processamento em sistemas não governamentais.
O Aplicativo Desktop executa em workstations Windows 11 da agência. Todo o processamento é local. A equipe de segurança de TI confirma isso com monitoramento de tráfego — zero conexões externas durante a execução.
Pesquisa hospitalar — De-identificação de EHR
Uma equipe de pesquisa hospitalar precisa anonimizar registros de pacientes para um ensaio clínico. O HIPAA Safe Harbor exige a remoção de 18 tipos de identificadores. A rede clínica não tem acesso à internet.
O Aplicativo Desktop processa em lote exportações de EHR no formato CSV e JSON. O responsável pela privacidade revisa o resultado frente às regras Safe Harbor antes de o conjunto de dados ir para os parceiros de pesquisa.
O que procurar em uma ferramenta offline
| Capacidade | Por que importa |
|---|---|
| Totalmente offline após instalação | Sem dependência de internet durante o processamento |
| Modelos NLP integrados | Nenhum passo de download necessário |
| Processamento em lote | Lidar com grandes volumes sem trabalho manual |
| Cofre local criptografado | Armazenamento seguro de configurações e chaves |
| Registro de auditoria | Registros necessários para revisões de conformidade |
| Suporte Windows, macOS, Linux | Cobre tipos de workstations classificadas |
| Opção sem telemetria | Impede dados de sair via telemetria |
| Suporte de formatos de arquivo | DOCX, PDF, TXT, CSV, JSON, Excel |
Regras de dados empurram equipes para ferramentas locais
A multa de €530M ao TikTok desencadeou uma onda mais ampla de multas. As equipes da UE que usavam ferramentas em nuvem agora fazem uma nova pergunta. O processamento nos servidores de um fornecedor satisfaz o Capítulo V do RGPD e as leis nacionais de dados?
A resposta mais clara para «onde vão seus dados?» é esta: a lugar nenhum — eles nunca saem do dispositivo. O processamento local remove a questão de transferência do RGPD completamente.
Para as equipes alemãs, a leitura estrita dos Artigos 44–46 do DSGVO torna o processamento local uma escolha inteligente. Isso se aplica mesmo sem restrições rígidas de rede. Nossa visão geral de segurança explica como o processamento local corta a cadeia de dados de terceiros.
Notas práticas de deployment
Instalação em sistemas air-gapped. O instalador — Windows .exe ou .msi, macOS .dmg, Linux .AppImage ou .deb — transfere para a rede air-gapped via USB ou transferência segura de arquivos. Não é necessária internet após a instalação.
Suporte de idiomas. 24 modelos específicos de idioma são incluídos com o aplicativo. O conjunto completo está disponível offline sem download adicional.
Necessidades de hardware. O pipeline NLP roda em workstations modernas sem GPU. O processamento em lote de 1.000 documentos normalmente leva de 5 a 15 minutos. A velocidade depende do tamanho do documento e da velocidade da CPU.
Configuração de licença offline. Para redes onde um servidor de licença não está acessível, a configuração de licença offline está disponível.
Quando o air-gapping não é a solução certa
Os sistemas air-gapped resolvem problemas específicos. Eles também adicionam uma carga real.
Atrito de atualização. Manter modelos e software atualizados requer etapas manuais. Equipes que ficam para trás podem perder novos padrões de PII.
Overhead de vinculação. Sistemas air-gapped não podem se conectar a ferramentas SIEM em nuvem ou painéis de auditoria remotos. Soluções de data-diode personalizadas são necessárias. Isso aumenta os custos.
Compensações de precisão. Ferramentas em nuvem atualizam dados de treinamento continuamente. Modelos offline são um instantâneo. Eles podem ficar para trás frente a novos padrões linguísticos ao longo do tempo.
Não necessário para cada modelo de ameaça. Equipes sem mandatos governamentais, de saúde ou legais para isolamento de dados podem achar as ferramentas em nuvem mais práticas. Criptografia forte, auditorias SOC 2 Tipo II e acordos de processamento de dados cobrem a maioria dos casos. O air-gapping só vale quando o modelo de ameaça realmente inclui roubo de dados por rede por um adversário qualificado.
Para a maioria das PMEs e equipes de empresa padrão, criptografia forte em trânsito e em repouso fornece proteção adequada. Controles contratuais sólidos cobrem a maioria dos casos — sem a sobrecarga do air-gapping completo. Veja nossas FAQ para mais informações sobre como escolher o modelo de deployment certo.
O Aplicativo Desktop do anonym.legal (Windows, macOS, Linux) processa PII completamente de forma local com modelos NLP integrados. Nenhuma conexão à internet é necessária após a instalação. O processamento em lote suporta 1–5.000 arquivos por execução, dependendo do nível do plano.
Fontes
- DISA FedRAMP vs ITAR — Visão geral da Paramify — VERIFIED-EXTERNAL
- RGPD Capítulo V — Transferências internacionais — VERIFIED-EXTERNAL
- Ação de aplicação TikTok €530M DPC (maio de 2025) — VERIFIED-EXTERNAL
- Modelo de segurança do Tauri — VERIFIED-EXTERNAL
- De-identificação HIPAA Safe Harbor — 45 CFR 164.514 — VERIFIED-EXTERNAL