---
title: "Seguranca de Aplicacoes & Conformidade - José DA COSTA"
description: "Seguranca de aplicacoes e conformidade, para mim, e **projetar software que não vaza, não permite acesso lateral e não quebra as expectativas de um regulador**. Cobre OWASP Top 10, seguranca de rede, "
locale: "pt"
canonical: "https://portfolio.josedacosta.info/pt/habilidades/seguranca-de-aplicacoes-conformidade"
source: "https://portfolio.josedacosta.info/pt/habilidades/seguranca-de-aplicacoes-conformidade.md"
html_source: "https://portfolio.josedacosta.info/pt/habilidades/seguranca-de-aplicacoes-conformidade"
author: "José DA COSTA"
type: "skill"
slug: "application-security-compliance"
generated_at: "2026-04-26T21:16:18.390Z"
---

# Seguranca de Aplicacoes & Conformidade

Ícone: 🔐

## Minha definição

Seguranca de aplicacoes e conformidade, para mim, e **projetar software que não vaza, não permite acesso lateral e não quebra as expectativas de um regulador**. Cobre OWASP Top 10, seguranca de rede, direito de contratos IT, RGPD. Não e um add-on que se pluga no fim do projeto, e uma disciplina que se instala desde a fase de wireframe - caso contrario a divida de seguranca vira existencial na primeira auditoria externa seria.

### Contexto

Trabalho em **3 camadas** que sustento em paralelo. **Código**: OWASP Top 10 internalizado em 8 referencias do portfolio (PSR, SaaS contabil, Magento, ESB), auditoria de dependencias, secret scanning, threat-modeling em cada feature que toca em credenciais, pagamento ou KYC. **Sistema**: segmentacao de rede, IAM delimitado por papel, vault de credenciais, isolamento por parceiro via APIM. **Conformidade**: RGPD, negociacao contratual direta (DPA, SCCs, SLA, reversibilidade) que conduzo sem depender de juridico externo nas negociacoes correntes. Baseline de rede colocada pelo **BTS Informatica de Gestao** e mantida por 11 anos de produção.

### Relevância

Em 2026, o cenario regulatorio europeu impoe um salto de maturidade: a **transposicao NIS2 na Franca** está em fase final de adocao (lei prevista para meados de 2026, **15.000 entidades** envolvidas, auditorias regulares a partir do Q4 2026), com uma janela de reporte de incidente de **24 horas** estritamente aplicavel. Os detalhes estão disponiveis em [acompanhamento oficial da Comissao Europeia](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive-france). Em paralelo, o **AI Act** entra em plena aplicabilidade e o **mandato frances de e-fatura 2026-2027** adiciona uma camada de conformidade fiscal aos SaaS contabeis. O CTO CSSLP/CISSP-ready vira um perfil contratado em prioridade nas industrias reguladas (saude, financas, imobiliario institucional).

## Minhas evidências

### Proteger a plataforma PSR de ponta a ponta

**Contexto:** A plataforma **PSR** do Grupo Pichet era uma **API pública recebendo leads de parceiros** vindos de uma duzia de portais imobiliarios externos - cada lead carregava dados pessoais (nome, email, telefone, projeto imobiliario) sob **RGPD**, e cada credencial mal gerida abria potencialmente a porta a um desvio de leads para a concorrencia. A protecao não podia ser um add-on, tinha que estar no design inicial.

**Ação:** Impus uma **isolacao das credenciais por parceiro via Microsoft APIM** (chaves API unicas por portal, permissoes delimitadas por escopo, **rotacao sistematica** via o ciclo de vida do APIM). Para os fluxos RGPD: **HTTPS exclusivo**, **sem armazenamento persistente intermediario** dos leads (o CRM comercial e a única fonte de verdade), validacao no gateway sobre formato e tamanho dos payloads, rejeicao imediata das requisicoes mal formadas. Conduzi uma **auditoria de seguranca formal em 2023** que resultou em controles de acesso reforcados e atualizacao das regras de firewall. Em paralelo, instalei uma **isolacao por papel** sobre as credenciais internas para que cada operador so visse os parceiros sob sua responsabilidade.

**Resultado:** **Auditoria 2023 validada** sem nao-conformidade major, **confianca dos parceiros mantida** durante 3 anos, e **zero incidente de seguranca** em todo o conjunto da operação - o que permitiu ampliar progressivamente o perimetro parceiro sem repassar por uma nova fase de evangelizacao interna.

**Valor agregado:** Esse projeto instalou em mim uma **revisao de seguranca como ciclo recorrente** em vez de evento pontual. Hoje, em cada missao ACCENSEO que toca em dados regulados, rejogo o mesmo padrao: threat-modeling desde a fase de wireframe, isolacao por papel desde o design, auditoria externa pelo menos uma vez por ano. E o que permite defender contratos SLA diante de um cliente critico sem ter que justificar tudo a cada onda.

### Conceber a seguranca do SaaS contabil em torno de dados regulados

**Contexto:** O SaaS contabil da ACCENSEO trata o que ha de mais sensivel: **dados bancarios Open Banking DSP2** (3 provedores conectados em paralelo), **KYC cliente**, **lancamentos contabeis** sujeitos a auditoria, **e-fatura 2026-2027** regulamentada pela DGFiP francesa. Antes mesmo de desenvolver uma feature, conduzi uma **auditoria de seguranca das plataformas concorrentes**: revelou varias falhas criticas em atores estabelecidos (**IDOR** permitindo ver dados de outro cliente, **falhas KYC** na verificacao de identidade). Eu não podia reproduzir esses erros.

**Ação:** Construi a seguranca **antes do código aplicacional**. **Threat model IDOR + KYC** colocado em cada feature que toca dados de cliente, controle de acesso **por 6 papeis** diferenciados (Admin, Colaborador, Consultor, Contador, Contabilidade, Banco) cabeado via **Better Auth** com **MFA** completo (email, TOTP, SMS) e **tokens de login contabil** dedicados. Nos fluxos regulados, conectei o **EDI Teledec** (parceiro autorizado DGFiP) para as teledeclaracoes TVA / IS / CFE / DAS2 / PAS, e integrei o **Open Banking DSP2** em 3 provedores (GoCardless/Nordigen, Bridge, Qonto) com respeito estrito aos consentimentos. Para a fatura eletronica, construi o pipeline **DGFiP v3.1** já em 2025 antes do mandato 2026-2027. Documentei também cada escolha de seguranca em **ADRs versionados** para que sobrevivam ao crescimento da equipe.

**Resultado:** **Baseline de conformidade atingida antes do prazo regulatorio 2026-2027**, **pronto para rollout** sem reescrita de seguranca de emergencia, e plataforma comercializavel junto a escritorios contabeis e PMEs francesas sem depender de auditoria externa a cada ciclo.

**Valor agregado:** Nesse projeto entendi que a **conformidade regulatoria bem feita vira moat de produto**: concorrentes que têm falhas IDOR ou KYC não podem atacar meu segmento sem reescrever sessoes inteiras. E exatamente a postura que quero empurrar no próximo papel CTO scale-up em industria regulada - **transformar a regulacao em barreira de entrada** em vez de em peso.

### Manter a disciplina PCI / OWASP no Magento Enterprise

**Contexto:** Na refatoracao da Fleurance Nature em 2017, **Magento Enterprise Edition 1.10** carregava a responsabilidade PCI-DSS do e-commerce da empresa (pagamento online em **3 storefronts**, **4 grupos de clientes**, **12 matrizes tarifarias**). Com **60 modulos custom** e **1.040 arquivos PHP** modificados, o risco de introduzir uma regressao de seguranca a cada release era permanente - e qualquer vazamento de dados de cartao teria custado a conformidade PCI ao grupo.

**Ação:** Impus em cada modulo custom o respeito estrito aos **padroes PCI-aware**: **nenhum armazenamento de dados de cartao** no lado Magento (delegacao total ao prestador de pagamento certificado), uso sistematico dos padroes **Observer / Strategy** para nunca tocar no core do Magento - o que impede a introducao inesperada de um ponto de captura - e **suite de regressao de seguranca completa** antes de cada release. No lado **OWASP Top 10**, enquadrei a prevencao XSS nas contribuicoes UGC, o isolamento das sessoes multi-store, e a validacao estrita das entradas em todos os formularios custom.

**Resultado:** **Zero incidente de seguranca em produção** na migracao e ao longo dos 5 anos de operação seguintes, **conformidade PCI** mantida durante todo o processo, e o **cache Varnish** ficou operacional sem introduzir bypass de autenticacao.

**Valor agregado:** Nesse projeto, instalei em mim a **seguranca como revisao diaria** em vez de auditoria anual. E esse reflexo que me permite hoje negociar **clausulas contratuais IT** (DPA, SCCs, SLA, reversibilidade) diretamente na ACCENSEO sem passar por juridico externo nas negociacoes correntes - porque sei o que estou assinando.

## Minha autocrítica

### Grau de domínio

Nível **Senior** em OWASP aplicacional e direito IT (leitura e negociacao), **Confirmado** em seguranca de rede e RGPD. OWASP Top 10 internalizado em 8 referencias do portfolio, baseline de rede estabelecida pelo BTS Informatica de Gestao e mantida por 11 anos de produção. Como CTO ACCENSEO e Celiane, negocio pessoalmente as clausulas contratuais (DPA, SCCs, SLA, reversibilidade) sem juridico externo nas negociacoes correntes. O que falta fortalecer: **threat modeling formal** (STRIDE) e preparacao para industrias altamente reguladas como saude ou financa critica.

### Importância no meu perfil

Higiene de base para qualquer papel CTO e diferenciador explicito em industrias reguladas. E o que me permite proteger uma plataforma produto sem depender de consultor externo e defender clausulas contratuais pelo lado sales sem escalada juridica. Para o SaaS contabil regulado (e-fatura 2026-2027) e o SaaS corretores (DSP2, KYC), e a condicao para entrada de mercado.

### Conselhos (para mim e para os outros)

### Minhas regras de ouro

*Tratar a seguranca como entregavel continuo, não um evento.* Duas regras: refrescar o Top 10 OWASP anualmente nas stacks ativas, fazer passar uma auditoria externa pelo menos uma vez por ano. E threat-modelar cada feature que toca credenciais, pagamento ou KYC **desde a fase wireframe**, não depois. Documentar as escolhas de seguranca em ADRs para que sobrevivam ao turnover.

## Minha evolução nesta competência

### Papel no meu projeto profissional

A seguranca aplicacional e a conformidade são **o que torna as minhas decisões CTO aceitaveis pelo lado board, juridico e clientes**. No plano de 24 meses, elas me permitem atacar um mercado regulado (saude, financa, imobiliario institucional) sem sobrecusto juridico externalizado e passar uma auditoria ISO / SOC2 light sem reescrita massiva. Sem elas, o papel restringe-se aos setores não regulados e perde metade do mercado enderecavel frances.

### Nível almejado a médio prazo

O objetivo observavel e **passar uma auditoria externa** (ISO 27001 light, SOC2 type 1 ou pentest tier 2) sem nao-conformidade maior e **defender a estratégia de seguranca diante de um comite de auditoria em 60 minutos**. Senior mantido por padrao, abertura para Expert se a industria alvo o justificar (saude, financa critica).

### Formações em andamento

Revisao anual sistematica do **Top 10 OWASP** aplicado as stacks ACCENSEO, acompanhamento continuo dos [boletins ANSSI](https://www.cert.ssi.gouv.fr/) e do [Cloudflare Radar](https://radar.cloudflare.com/), threat-modeling aplicado as features recentes do SaaS contabil. Master Expert em Engenharia de Software ativo.

### Formações futuras

Certificacao **CSSLP** (Certified Secure Software Lifecycle Professional) ou **CISSP** visada 2027 conforme a maturidade do papel CTO alvo. Formacao prática threat-modeling avancado (STRIDE / LINDDUN) prevista 2026.

## Progressão ao longo da trajetória

Está competência foi desenvolvida em 9 trajetórias diferentes.

- **1999** - [CTO · Founder · diretor técnico](https://portfolio.josedacosta.info/pt/trajetoria/celiane-founder.md) (entrepreneurship) - Confidence: 1/5
- **2001** - [BTS IG (Gestão de TI)](https://portfolio.josedacosta.info/pt/trajetoria/bts-computer-science.md) (education) - Confidence: 1/5
- **2008** - [Junior Software Engineer · webmaster desenvolvedor PHP Joomla](https://portfolio.josedacosta.info/pt/trajetoria/ministere-sante-webmaster.md) (experience) - Confidence: 2/5
- **2009** - [Software Engineer · desenvolvedor PHP Zend Framework](https://portfolio.josedacosta.info/pt/trajetoria/european-sourcing-engineer.md) (experience) - Confidence: 4/5
- **2013** - [Senior Software Engineer · Lead desenvolvedor PHP Symfony](https://portfolio.josedacosta.info/pt/trajetoria/medialeads-senior-engineer.md) (experience) - Confidence: 3/5
- **2017** - [Senior Software Engineer · Lead desenvolvedor PHP Magento](https://portfolio.josedacosta.info/pt/trajetoria/smile-senior-engineer.md) (experience) - Confidence: 3/5
- **2019** - [Engineering Manager · Project Manager / Product Owner · Technical Lead](https://portfolio.josedacosta.info/pt/trajetoria/pichet-group.md) (experience) - Confidence: 4/5
- **2019** - [Technical Lead · Fluxos e Produtos: conteúdos e integração empresarial](https://portfolio.josedacosta.info/pt/trajetoria/pichet-technical-lead.md) (experience) - Confidence: 3/5
- **2023** - [Mestrado em Engenharia de Software](https://portfolio.josedacosta.info/pt/trajetoria/master-software-engineering.md) (education) - Confidence: 4/5

## Realizações relacionadas

- [Intelligent Accounting SaaS Platform](https://portfolio.josedacosta.info/pt/realizacoes/plateforme-comptabilite-saas.md) - Competitor security audit (IDOR, KYC) feeding the platform's secure-by-design conception
- [Partner Lead Reception API Platform (alias PSR)](https://portfolio.josedacosta.info/pt/realizacoes/plateforme-api-reception-leads-partenaires.md) - APIM credential isolation, GDPR compliance and 2023 security audit

Versão interativa com navegação: https://portfolio.josedacosta.info/pt/habilidades/seguranca-de-aplicacoes-conformidade