Seguranca de Aplicacoes & Conformidade
Reflexos OWASP desde os anos Zend, seguranca de redes vinda do BTS, direito de contratos IT e LGPD/RGPD adquiridos no Master e nos papeis de CTO. Ler um contrato com riscos de seguranca e endurecer um SaaS que transporta dados financeiros ou pessoais.
Cada segmento é um período (trajetória ou realização) onde a competência foi aplicada. A cor e o tamanho do ponto final refletem o nível atingido nesse período.
Minha definição
Seguranca de aplicacoes e conformidade, para mim, e projetar software que não vaza, não permite acesso lateral e não quebra as expectativas de um regulador. Cobre OWASP Top 10, seguranca de rede, direito de contratos IT, RGPD. Não e um add-on que se pluga no fim do projeto, e uma disciplina que se instala desde a fase de wireframe - caso contrario a divida de seguranca vira existencial na primeira auditoria externa seria.
Trabalho em 3 camadas que sustento em paralelo. Código: OWASP Top 10 internalizado em 8 referencias do portfolio (PSR, SaaS contabil, Magento, ESB), auditoria de dependencias, secret scanning, threat-modeling em cada feature que toca em credenciais, pagamento ou KYC. Sistema: segmentacao de rede, IAM delimitado por papel, vault de credenciais, isolamento por parceiro via APIM. Conformidade: RGPD, negociacao contratual direta (DPA, SCCs, SLA, reversibilidade) que conduzo sem depender de juridico externo nas negociacoes correntes. Baseline de rede colocada pelo BTS Informatica de Gestao e mantida por 11 anos de produção.
Em 2026, o cenario regulatorio europeu impoe um salto de maturidade: a transposicao NIS2 na Franca está em fase final de adocao (lei prevista para meados de 2026, 15.000 entidades envolvidas, auditorias regulares a partir do Q4 2026), com uma janela de reporte de incidente de 24 horas estritamente aplicavel. Os detalhes estão disponiveis em acompanhamento oficial da Comissao Europeia. Em paralelo, o AI Act entra em plena aplicabilidade e o mandato frances de e-fatura 2026-2027 adiciona uma camada de conformidade fiscal aos SaaS contabeis. O CTO CSSLP/CISSP-ready vira um perfil contratado em prioridade nas industrias reguladas (saude, financas, imobiliario institucional).
Minhas evidências
Anedota 1 : Proteger a plataforma PSR de ponta a ponta
A plataforma PSR do Grupo Pichet era uma API pública recebendo leads de parceiros vindos de uma duzia de portais imobiliarios externos - cada lead carregava dados pessoais (nome, email, telefone, projeto imobiliario) sob RGPD, e cada credencial mal gerida abria potencialmente a porta a um desvio de leads para a concorrencia. A protecao não podia ser um add-on, tinha que estar no design inicial.
Impus uma isolacao das credenciais por parceiro via Microsoft APIM (chaves API unicas por portal, permissoes delimitadas por escopo, rotacao sistematica via o ciclo de vida do APIM). Para os fluxos RGPD: HTTPS exclusivo, sem armazenamento persistente intermediario dos leads (o CRM comercial e a única fonte de verdade), validacao no gateway sobre formato e tamanho dos payloads, rejeicao imediata das requisicoes mal formadas. Conduzi uma auditoria de seguranca formal em 2023 que resultou em controles de acesso reforcados e atualizacao das regras de firewall. Em paralelo, instalei uma isolacao por papel sobre as credenciais internas para que cada operador so visse os parceiros sob sua responsabilidade.
Auditoria 2023 validada sem nao-conformidade major, confianca dos parceiros mantida durante 3 anos, e zero incidente de seguranca em todo o conjunto da operação - o que permitiu ampliar progressivamente o perimetro parceiro sem repassar por uma nova fase de evangelizacao interna.
Esse projeto instalou em mim uma revisao de seguranca como ciclo recorrente em vez de evento pontual. Hoje, em cada missao ACCENSEO que toca em dados regulados, rejogo o mesmo padrao: threat-modeling desde a fase de wireframe, isolacao por papel desde o design, auditoria externa pelo menos uma vez por ano. E o que permite defender contratos SLA diante de um cliente critico sem ter que justificar tudo a cada onda.
Anedota 2 : Conceber a seguranca do SaaS contabil em torno de dados regulados
O SaaS contabil da ACCENSEO trata o que ha de mais sensivel: dados bancarios Open Banking DSP2 (3 provedores conectados em paralelo), KYC cliente, lancamentos contabeis sujeitos a auditoria, e-fatura 2026-2027 regulamentada pela DGFiP francesa. Antes mesmo de desenvolver uma feature, conduzi uma auditoria de seguranca das plataformas concorrentes: revelou varias falhas criticas em atores estabelecidos (IDOR permitindo ver dados de outro cliente, falhas KYC na verificacao de identidade). Eu não podia reproduzir esses erros.
Construi a seguranca antes do código aplicacional. Threat model IDOR + KYC colocado em cada feature que toca dados de cliente, controle de acesso por 6 papeis diferenciados (Admin, Colaborador, Consultor, Contador, Contabilidade, Banco) cabeado via Better Auth com MFA completo (email, TOTP, SMS) e tokens de login contabil dedicados. Nos fluxos regulados, conectei o EDI Teledec (parceiro autorizado DGFiP) para as teledeclaracoes TVA / IS / CFE / DAS2 / PAS, e integrei o Open Banking DSP2 em 3 provedores (GoCardless/Nordigen, Bridge, Qonto) com respeito estrito aos consentimentos. Para a fatura eletronica, construi o pipeline DGFiP v3.1 já em 2025 antes do mandato 2026-2027. Documentei também cada escolha de seguranca em ADRs versionados para que sobrevivam ao crescimento da equipe.
Baseline de conformidade atingida antes do prazo regulatorio 2026-2027, pronto para rollout sem reescrita de seguranca de emergencia, e plataforma comercializavel junto a escritorios contabeis e PMEs francesas sem depender de auditoria externa a cada ciclo.
Nesse projeto entendi que a conformidade regulatoria bem feita vira moat de produto: concorrentes que têm falhas IDOR ou KYC não podem atacar meu segmento sem reescrever sessoes inteiras. E exatamente a postura que quero empurrar no próximo papel CTO scale-up em industria regulada - transformar a regulacao em barreira de entrada em vez de em peso.
Anedota 3 : Manter a disciplina PCI / OWASP no Magento Enterprise
Na refatoracao da Fleurance Nature em 2017, Magento Enterprise Edition 1.10 carregava a responsabilidade PCI-DSS do e-commerce da empresa (pagamento online em 3 storefronts, 4 grupos de clientes, 12 matrizes tarifarias). Com 60 modulos custom e 1.040 arquivos PHP modificados, o risco de introduzir uma regressao de seguranca a cada release era permanente - e qualquer vazamento de dados de cartao teria custado a conformidade PCI ao grupo.
Impus em cada modulo custom o respeito estrito aos padroes PCI-aware: nenhum armazenamento de dados de cartao no lado Magento (delegacao total ao prestador de pagamento certificado), uso sistematico dos padroes Observer / Strategy para nunca tocar no core do Magento - o que impede a introducao inesperada de um ponto de captura - e suite de regressao de seguranca completa antes de cada release. No lado OWASP Top 10, enquadrei a prevencao XSS nas contribuicoes UGC, o isolamento das sessoes multi-store, e a validacao estrita das entradas em todos os formularios custom.
Zero incidente de seguranca em produção na migracao e ao longo dos 5 anos de operação seguintes, conformidade PCI mantida durante todo o processo, e o cache Varnish ficou operacional sem introduzir bypass de autenticacao.
Nesse projeto, instalei em mim a seguranca como revisao diaria em vez de auditoria anual. E esse reflexo que me permite hoje negociar clausulas contratuais IT (DPA, SCCs, SLA, reversibilidade) diretamente na ACCENSEO sem passar por juridico externo nas negociacoes correntes - porque sei o que estou assinando.
Minha autocrítica
Nível Senior em OWASP aplicacional e direito IT (leitura e negociacao), Confirmado em seguranca de rede e RGPD. OWASP Top 10 internalizado em 8 referencias do portfolio, baseline de rede estabelecida pelo BTS Informatica de Gestao e mantida por 11 anos de produção. Como CTO ACCENSEO e Celiane, negocio pessoalmente as clausulas contratuais (DPA, SCCs, SLA, reversibilidade) sem juridico externo nas negociacoes correntes. O que falta fortalecer: threat modeling formal (STRIDE) e preparacao para industrias altamente reguladas como saude ou financa critica.
Higiene de base para qualquer papel CTO e diferenciador explicito em industrias reguladas. E o que me permite proteger uma plataforma produto sem depender de consultor externo e defender clausulas contratuais pelo lado sales sem escalada juridica. Para o SaaS contabil regulado (e-fatura 2026-2027) e o SaaS corretores (DSP2, KYC), e a condicao para entrada de mercado.
Primeiro uso relevante: BTS IG (Gestão de TI). Progressão até Software Engineer · desenvolvedor PHP Zend Framework, com nível atual de 4/5 (Avançado). A continuidade destes contextos evidencia uma aquisição sólida, testada pela repetição e pela diversidade.
Minhas regras de ouro
*Tratar a seguranca como entregavel continuo, não um evento.* Duas regras: refrescar o Top 10 OWASP anualmente nas stacks ativas, fazer passar uma auditoria externa pelo menos uma vez por ano. E threat-modelar cada feature que toca credenciais, pagamento ou KYC desde a fase wireframe, não depois. Documentar as escolhas de seguranca em ADRs para que sobrevivam ao turnover.
Minha evolução nesta competência
A seguranca aplicacional e a conformidade são o que torna as minhas decisões CTO aceitaveis pelo lado board, juridico e clientes. No plano de 24 meses, elas me permitem atacar um mercado regulado (saude, financa, imobiliario institucional) sem sobrecusto juridico externalizado e passar uma auditoria ISO / SOC2 light sem reescrita massiva. Sem elas, o papel restringe-se aos setores não regulados e perde metade do mercado enderecavel frances.
O objetivo observavel e passar uma auditoria externa (ISO 27001 light, SOC2 type 1 ou pentest tier 2) sem nao-conformidade maior e defender a estratégia de seguranca diante de um comite de auditoria em 60 minutos. Senior mantido por padrao, abertura para Expert se a industria alvo o justificar (saude, financa critica).
Revisao anual sistematica do Top 10 OWASP aplicado as stacks ACCENSEO, acompanhamento continuo dos boletins ANSSI e do Cloudflare Radar, threat-modeling aplicado as features recentes do SaaS contabil. Master Expert em Engenharia de Software ativo.
Certificacao CSSLP (Certified Secure Software Lifecycle Professional) ou CISSP visada 2027 conforme a maturidade do papel CTO alvo. Formacao prática threat-modeling avancado (STRIDE / LINDDUN) prevista 2026.
Minha rotina trimestral
- vigilia semanal: Cloudflare Radar, GitHub Security Blog, boletins ANSSI, Krebs on Security
- releitura anual de *Threat Modeling: Designing for Security* (Adam Shostack), acompanhamento dos posts de Tanya Janca
- a cada trimestre, uma auditoria de dependencias + secret-scan + revisao ACL em cada produto ACCENSEO