O fornecedor é agora a superfície de ataque
Atualizado para 2026
Durante uma década, as equipes de segurança perseguiram um objetivo: manter os atacantes fora da rede. Proteger o perímetro. Bloquear os endpoints. Controlar o acesso. O modelo antigo presumia que os atacantes iriam diretamente contra a organização.
Os dados de 2024 mostram que esse modelo está quebrado. As violações de SaaS aumentaram 300% em 2024, segundo o Relatório de Ameaças de Segurança SaaS 2025 da Obsidian Security. Os atacantes não vão mais diretamente contra as organizações. Eles vão atrás das ferramentas SaaS nas quais essas organizações confiam seus registros.
Quando sua ferramenta cloud é o alvo do ataque, uma rede interna segura não ajuda. Registros de clientes, documentos de funcionários e conteúdo sensível residem nos servidores da ferramenta. Estão bloqueados com as chaves da ferramenta. São expostos quando a ferramenta é comprometida.
Números das violações de SaaS em 2024
Os totais de violações de 2024 mostram a escala do risco.
Conduent sofreu uma violação que expôs 25,9 milhões de registros. A Conduent gerencia terceirização de processos de negócios para agências governamentais e grandes empresas. Administra benefícios, pagamentos e serviços ao cidadão. As 25,9 milhões de pessoas afetadas não sabiam que um terceiro detinha suas informações.
NHS Digital teve uma violação que afetou 9 milhões de pacientes. Registros de pacientes foram expostos por meio dos servidores de uma ferramenta cloud. Os pacientes forneceram essas informações aos seus prestadores de saúde. Não tinham como saber que chegaram a uma plataforma de terceiros.
Esses não são casos isolados. São o novo padrão. Grandes violações agora afetam milhões de pessoas que confiaram em uma organização, mas cujas informações pessoais estavam nas mãos de outra que elas nunca souberam que existia. Para entender como a lei atribui responsabilidade nesses casos, consulte nossa visão geral de conformidade com o RGPD.
Por que as violações de SaaS funcionam de forma diferente
Uma violação de rede clássica exige muitas etapas. Os atacantes devem superar o perímetro. Devem se mover pelos sistemas. Devem extrair documentos. Cada etapa é uma chance de ser detectado.
As violações de SaaS funcionam de forma diferente. Quando os atacantes comprometem uma plataforma cloud, acessam os registros de cada cliente que enviou conteúdo por essa plataforma. Uma única violação fornece documentos de dezenas ou centenas de clientes ao mesmo tempo.
A janela de 9 minutos — tempo desde o primeiro acesso até o roubo de registros em sistemas SaaS, segundo os dados da Obsidian Security — mostra a velocidade do processo. Dentro de uma plataforma compartilhada, os atacantes encontram conteúdo de muitos clientes de uma só vez. Essa concentração de valor torna cada ataque altamente eficiente.
Contratos não fecham essa lacuna. O artigo 82 do RGPD atribui responsabilidade compartilhada aos operadores pelas violações que causam. Mas provar a culpa leva meses. Nesse tempo, os registros já desapareceram. Nossa página de segurança e conformidade explica como as ferramentas de conhecimento zero mudam esse resultado.
O DPA não protege seus registros
O artigo 28 do RGPD exige que as organizações usem apenas operadores que ofereçam "garantias suficientes." O Acordo de Processamento de Dados é a prova escrita dessas garantias.
Como um Acordo de Parceiro Comercial HIPAA, o DPA cobre o aspecto legal. Não cobre o que acontece com seus documentos nos servidores do provedor.
Uma ferramenta cloud com um DPA totalmente conforme ao RGPD ainda pode:
- Armazenar registros de clientes usando criptografia do lado do servidor com chaves controladas pelo provedor
- Processar informações de funcionários em um sistema compartilhado usado por muitos outros clientes
- Manter registros e conteúdo em cache além dos usos acordados
- Sofrer uma violação que exponha tudo o que foi listado acima
O DPA estabelece obrigações legais. Não cria uma barreira técnica contra a exposição. Quando os atacantes comprometem a plataforma em 9 minutos, o DPA não os atrasa.
Para ajuda em linguagem simples sobre as obrigações do artigo 28, consulte o glossário do RGPD.
Por que o aumento de 300% é estrutural
O aumento de 300% reflete duas forças atuando ao mesmo tempo.
Primeiro, o volume de informações sensíveis nas plataformas SaaS cresceu muito em 2024. Mais organizações migraram mais trabalho para ferramentas cloud. Mais documentos chegaram a servidores de terceiros. Mais conteúdo significa mais razões para atacar esses servidores.
Segundo, os atacantes se adaptaram. As organizações agora enviam registros de clientes, registros financeiros, informações de RH, conteúdo jurídico e dados de saúde por ferramentas SaaS. Comprometer uma plataforma rende registros de muitos clientes ao mesmo tempo. A lógica recompensa atacar plataformas em vez de organizações individuais.
O número de 300% não é um pico de criminalidade genérica. Marca uma mudança estrutural para onde os ataques vão.
Anonimização de conhecimento zero como solução
A solução começa com uma simples mudança de perspectiva. Se qualquer plataforma pode ser comprometida — e o registro de 2024 prova que pode — nenhuma plataforma deve receber as informações pessoais dos seus clientes de forma legível.
A anonimização de conhecimento zero antes do upload muda completamente o risco de violação. Quando uma plataforma com conteúdo processado por conhecimento zero é atacada:
- Os atacantes acessam registros anonimizados sem identificadores de clientes legíveis
- Não é necessária nenhuma notificação aos titulares porque nenhuma informação pessoal foi exposta
- Não é necessária nenhuma investigação de responsabilidade solidária pelo artigo 82 do RGPD
- Nenhum acompanhamento regulatório resulta da violação
O ataque atinge a plataforma. Não chega aos seus clientes. As informações pessoais deles nunca chegaram aos servidores da plataforma de forma legível.
Isso não é teoria. É um fato simples: não há registros para roubar porque nenhum foi enviado de forma legível. As perguntas frequentes respondem dúvidas comuns sobre anonimização de conhecimento zero. Nossa página de preços mostra o custo dessa proteção em escala.
O aumento de 300% muda o cálculo de risco. Avaliar um fornecedor apenas por postura de segurança e termos contratuais significa apostar que seu fornecedor não vai aparecer na próxima manchete. A anonimização de conhecimento zero elimina essa aposta.