Monitoramento de DNS: o ponto cego do compliance na LGPD

Toda empresa que opera no Brasil e trata dados pessoais convive, queira ou não, com um paradoxo incômodo: investe em firewall, antivírus e políticas de acesso, mas deixa escancarada uma porta que poucos gestores sequer sabem que existe. 

Essa porta se chama DNS (Domain Name System) e ela registra, em tempo real, cada destino que os dispositivos da rede tentam alcançar na internet. O problema aqui não necesariamente é técnico, mas de visibilidade. E essa invisibilidade tem um preço cada vez mais alto, agora medido também em termos jurídicos.

Com a LGPD em plena vigência e a ANPD (Autoridade Nacional de Proteção de Dados) ampliando sua capacidade fiscalizatória, a ausência de logs de rede; em especial os registros de tráfego DNS tornou-se um risco real de não conformidade. 

Para pequenas e médias empresas, MSPs e prestadores de serviços de TI, entender essa conexão é uma questão de sobrevivência operacional. Continue lendo este artigo e descubra mais sobre o tema.

O que o Brasil exige sobre a guarda de logs?

Antes de entrar na parte técnica, é preciso compreender o que a legislação brasileira de fato determina sobre o armazenamento de registros de rede. Dois diplomas legais formam a espinha dorsal desse arcabouço: o Marco Civil da Internet (Lei nº 12.965/2014) e a Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

O art. 13 do Marco Civil da Internet estabelece que, na provisão de conexão à internet, cabe ao administrador de sistema autônomo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano. 

Já o art. 15 impõe aos provedores de aplicações de internet a guarda dos registros de acesso a aplicações pelo período de seis meses, ressalvando eventual imposição de prazo superior por  por ordem judicial.

Esses prazos são obrigações com sanções previstas e a autoridade policial, administrativa ou o Ministério Público pode, cautelarmente, requerer a guarda dos registros por prazo superior ao previsto na lei, como determina o §2º do mesmo artigo. 

Em outras palavras: se a sua empresa não tem registros de rede disponíveis quando uma investigação bater à porta, a ausência desses dados pode ser interpretada como descumprimento da lei.

O Marco Civil, porém, trata do aspecto processual e de responsabilidade dos provedores. 

A LGPD vai além: ela cria um dever de segurança ativa, contínua e documentada para qualquer organização que trate dados pessoais; o que inclui praticamente toda empresa com funcionários, clientes ou parceiros.

O art. 46 da LGPD determina que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Aurum

O problema, é que esse artigo é frequentemente citado em abstrato, mas raramente é traduzido em ações concretas de infraestrutura.

O monitoramento de DNS é exatamente uma dessas ações: uma medida técnica capaz de detectar, registrar e fornecer evidências sobre o comportamento da rede em relação ao tráfego de dados; inclusive dados pessoais que circulam ou são exfiltrados por malwares e aplicações não autorizadas.

Complementando o art. 46, o art. 6º da LGPD estabelece a segurança como princípio a ser observado nas atividades de tratamento de dados pessoais, definindo-a como a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados. Jusbrasil

As medidas técnicas mencionadas nesse dispositivo não são genéricas: incluem, explicitamente, recursos de controle de tráfego de dados em rede e instrumentos detectores de invasões de sistemas.

Monitorar o DNS é, portanto, uma expressão direta dos princípios legais de segurança e prevenção da LGPD.

Por que o firewall comum é insuficiente para esse desafio?

Uma das maiores ilusões de segurança no ambiente corporativo brasileiro é a crença de que ter um firewall ativo significa ter a rede protegida e monitorada. 

Firewalls tradicionais são projetados, em sua maioria, para inspecionar e filtrar o tráfego de entrada;  aquele que vem de fora para dentro da rede. O tráfego de saída, por outro lado, recebe atenção muito menor, e é exatamente aí que mora o problema.

A maioria das redes corporativas se concentra em regras que impedem o tráfego de entrada, e a falta de regras de firewall para moderar as conexões de saída permite que atacantes se conectem facilmente de volta aos seus próprios servidores e transfiram dados.

O DNS é um protocolo essencial para o funcionamento da internet: toda vez que um dispositivo tenta acessar qualquer endereço na web, ele primeiro realiza uma consulta DNS para descobrir o endereço IP correspondente. Esse protocolo opera na porta 53, é raramente bloqueado por firewalls e, justamente por isso, tornou-se um canal preferencial para atividades maliciosas.

Os criminosos exploram o DNS de diversas formas: 

• Registrar nomes de domínio descartáveis para administrar botnets.
• Utilizar domínios comprometidos para hospedar phishing ou downloads de malware.
• Executar injeção de consultas maliciosas para explorar servidores de nomes ou atrapalhar a resolução de nomes.

Há ainda uma técnica especialmente preocupante chamada tunelamento DNS. 

O tunelamento DNS é usado para evitar a detecção durante a extração de dados de um servidor comprometido: os hackers ocultam dados extraídos em consultas DNS de saída, o que torna essencial que ferramentas de monitoramento de segurança observem de perto o tráfego DNS em busca de anomalias, como pacotes anormalmente grandes.

Para uma PME que não monitora o tráfego DNS, esse tipo de exfiltração pode acontecer durante semanas ou meses sem qualquer alerta. 

Os dados dos clientes, funcionários ou parceiros simplesmente saem da rede disfarçados de consultas DNS aparentemente legítimas. Quando a violação é descoberta; muitas vezes por fontes externas, como notificações de parceiros ou autoridades, a empresa já está sujeita ao art. 48 da LGPD, que exige a comunicação do incidente à ANPD e aos titulares afetados dentro de um prazo definido.

Mesmo quando restrições são aplicadas no gateway e a resolução de nomes de sites maliciosos é impedida, agentes mal-intencionados têm servidores DNS externos como alternativa para burlar a segurança do ambiente, usando-os para acessar sites proibidos, vazar informações ou estabelecer conexão com redes ocultas, segundoa a Zerum.

O CERT.br, Centro de Referência Nacional em Resposta a Incidentes de Segurança, mantém estatísticas atualizadas sobre servidores DNS maliciosos e dispositivos comprometidos em redes brasileiras, monitorando continuamente o espaço Internet do país.

Os dados históricos da entidade revelam que ataques envolvendo DNS malicioso; nos quais servidores respondem incorretamente para redirecionar usuários a sites falsos;  são uma das ameaças mais persistentes e frequentes no Brasil, afetando especialmente instituições financeiras, redes de comércio eletrônico e organizações com menor maturidade em segurança.

O ponto cego que nenhuma auditoria consegue ignorar

Vamos traduzir esse cenário técnico para o contexto de uma auditoria de conformidade LGPD em uma PME típica. O auditor chega, solicita a documentação de segurança e faz as perguntas de praxe:

Quem tem acesso aos dados? Como os dados são armazenados? O que acontece em caso de incidente?

A maioria das empresas tem respostas razoáveis para essas questões. Mas então vem a pergunta que derruba muitos processos de conformidade: "Vocês têm registros das requisições de rede feitas pelos dispositivos da empresa nos últimos 12 meses? É possível saber se algum dado pessoal foi acessado ou transmitido para destinos não autorizados?"

O silêncio que se segue é o ponto cego.

Sem logs de DNS, é impossível:

• Provar que não houve exfiltração de dados pessoais;
• Identificar quais dispositivos tentaram se comunicar com servidores maliciosos;
• Demonstrar que a rede foi monitorada de forma contínua, conforme exigido pelo princípio de segurança da LGPD;
• Fornecer evidências técnicas em caso de investigação por incidente;
• Cumprir com a obrigação de rastreabilidade implícita nos arts. 13 e 15 do Marco Civil da Internet.

Esse vazio documental é, na prática, uma lacuna de autoridade técnica: a empresa não consegue provar que tomou medidas adequadas para proteger os dados, porque não tem registros que demonstrem o que aconteceu na rede.

A LGPD introduz em seu art. 6º, inciso VII, o Princípio da Segurança, que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Posteriormente, a lei detalha a questão de segurança da informação nos artigos 46 a 49, segundo o GOV.BR

A ANPD foi explícita ao reconhecer que PMEs precisam de orientação prática para implementar essas obrigações. Em outubro de 2021, a autoridade publicou um Guia Orientativo De Segurança Da Informação direcionado especificamente aos agentes de tratamento de pequeno porte, indicando medidas administrativas e técnicas de segurança da informação que podem ser adotadas de forma proporcional ao risco.

O guia leva em conta a realidade de inúmeras empresas de pequeno porte que não possuem dentro do seu quadro de funcionários pessoas especializadas em segurança da informação, mas que mesmo assim devem se submeter à LGPD. 

Entre as medidas técnicas elencadas pelo documento, destacam-se: 

• Gerenciamento de vulnerabilidades.
• Controle de acesso à rede.
• Monitoramento de anomalias e rastreabilidade de acessos.

O monitoramento de DNS se enquadra diretamente nessa categoria, pois permite registrar, auditar e identificar padrões anômalos de tráfego sem exigir infraestrutura de grande porte.

Como o Edge DNS gera evidências de proteção de dados?

O conceito e a proposta do Edge DNS representa uma evolução significativa em relação ao simples servidor de resolução de nomes. 

Em vez de apenas traduzir domínios em endereços IP, um Edge DNS opera como um ponto de controle e registro posicionado na camada de saída da rede: toda consulta feita por qualquer dispositivo passa por ele, é registrada, categorizada e, dependendo da configuração, bloqueada ou permitida de acordo com políticas pré-definidas.

Para fins de compliance, as implicações práticas são profundas:

Primeiro: o Edge DNS gera logs estruturados e persistentes de todas as consultas realizadas na rede, incluindo data, hora, dispositivo de origem, domínio consultado e resposta recebida. Esses registros constituem exatamente o tipo de evidência que a LGPD e o Marco Civil demandam: a prova de que a rede foi monitorada, de que comportamentos anômalos foram registrados e de que a organização tomou medidas ativas de segurança.

Segundo: o Edge DNS permite detectar e bloquear tentativas de comunicação com domínios maliciosos conhecidos, servidores de comando e controle de malwares e destinos associados a exfiltração de dados. Consultas ao DNS que exigem a resolução de nomes de domínios maliciosos conhecidos, ou nomes com características comuns a algoritmos de geração de domínios associados a botnets criminosos, em muitos casos indicam que há hosts infectados nas redes, segundo o ICANN.

Com o Edge DNS, essa detecção acontece em tempo real, antes que a comunicação seja estabelecida.

Terceiro: e mais importante para o contexto de compliance, o relatório de logs DNS fornece um histórico auditável do comportamento da rede. Se houver uma investigação de incidente; seja por demanda interna, por solicitação de cliente ou por notificação de autoridade regulatória; a empresa consegue demonstrar o que aconteceu, quando e por qual dispositivo. 

Essa rastreabilidade é a diferença entre uma empresa que consegue provar sua diligência e uma que não tem como se defender.

Clique no link abaixo e descubra como oferecer essa solução e descobrir sua potência ao vivo para seus clientes:

Starti Partners | Metodologia para escalar proteção digital em PMEs

Cresça com cibersegurança como serviço usando Edge Scan, Edge DNS e Edge Protect. Agende uma reunião e valide seu fit com o Starti Partners.

Starti Partners | Programa de parceria em cibersegurança

Vale lembrar que o art. 48 da LGPD determina que o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, e que, no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas de acordo com o portal Aurum:

A evidência de que você monitorava a rede pode literalmente reduzir a severidade da penalidade em caso de incidente.

De acordo com o NIC.br, responsável pela infraestrutura de DNS no Brasil e referência nacional em boas práticas para o setor, as organizações devem adotar configurações seguras em seus servidores DNS, incluindo o uso de DNSSEC, registro detalhado de consultas e separação lógica entre resolvedores internos e externos. 

Essas práticas, implementadas em conjunto, constroem exatamente o tipo de infraestrutura de monitoramento que a LGPD pressupõe quando exige "medidas técnicas aptas".

A conformidade como vantagem competitiva para MSPs

Para prestadores de serviços de TI e MSPs que atendem PMEs, o monitoramento de DNS representa uma oportunidade de agregar valor real à oferta de serviços. 

A maioria dos clientes de pequeno e médio porte não tem condições de avaliar, por conta própria, se está ou não em conformidade com a LGPD em termos de segurança de rede. Eles dependem de seus parceiros de TI para orientação.

Isso cria uma responsabilidade dupla: o MSP que não inclui monitoramento de DNS em seus pacotes de segurança está deixando de cumprir sua própria obrigação enquanto operador de dados, nos termos do art. 5º da LGPD.

O raciocínio é direto: quando um MSP gerencia a rede de um cliente e tem acesso a sistemas que contêm dados pessoais, ele opera como um agente de tratamento. Nessa condição, está sujeito às mesmas obrigações de segurança que o controlador; e deve demonstrar, mediante evidências técnicas, que adotou medidas proporcionais ao risco.

O NIST Cybersecurity Framework 2.0, publicado em 2024 e amplamente adotado como referência internacional, reforça que os riscos de cibersegurança estão em expansão constante e que o gerenciamento desses riscos deve ser um processo contínuo. 

O framework organiza as capacidades de segurança em seis funções: 

1. Governar.
2. Identificar.
3. Proteger.
4. Detectar.
5. Responder.
6. Recuperar. 

O monitoramento contínuo de DNS contribui diretamente para as funções de Detectar e Identificar; dois pilares que, sem registros de tráfego, simplesmente não existem na prática.

O próprio NIST, em sua publicação mais recente sobre segurança de DNS (SP 800-81r3, de março de 2026), passou a tratar o DNS não apenas como infraestrutura de rede, mas como um controle de segurança ativo, cobrindo desde o uso do DNS como camada de proteção até a proteção dos servidores e da infraestrutura DNS em si. 

Para você MSP, que deseja posicionar seus serviços como conformes à LGPD e alinhados a padrões internacionais, a capacidade de entregar relatórios de logs DNS; documentados, categorizados e disponíveis para auditoria; é um diferencial que vai muito além do técnico. 

Ou seja, é um argumento de vendas, um elemento de proposta de valor e uma proteção jurídica para você. Entretanto, você precisa estruturar e desenvolver uma jornada de proteção e serviços de segurança como DNS sozinho.

No ecossistema Starti você torna-se um parceiro, contando não só com as melhores soluções como o Edge DNS, Edge Protect e Edge Scan; bem como tem acesso a um programa estruturado de parcerira para apoiar seu desenvolvimento, crescimento e impulsionar os resultados dos negócios no mercado.

Clique no link abaixo, fale com um de nossos especialistas e comece a jornada de transformação dos seus negócios no mercado do serviços de cibersegurança, ainda em abril:

Starti Partners | Metodologia para escalar proteção digital em PMEs

Cresça com cibersegurança como serviço usando Edge Scan, Edge DNS e Edge Protect. Agende uma reunião e valide seu fit com o Starti Partners.

Starti Partners | Programa de parceria em cibersegurança

Os quatro pilares de uma auditoria de rede alinhada à LGPD

Para estruturar um processo de conformidade efetivo em relação ao monitoramento de rede, é possível organizar as exigências em quatro pilares práticos e principais.

1. Registro: toda consulta DNS realizada por dispositivos da rede deve ser registrada com metadados suficientes; data, hora, dispositivo, domínio, resposta; e armazenada de forma segura pelo período exigido pela lei. O Marco Civil estabelece o mínimo de um ano para registros de conexão; a política interna de segurança da empresa pode — e deve — considerar prazos superiores para fins de auditoria.
2. Categorização: registrar o tráfego sem analisá-lo é insuficiente. Uma solução de Edge DNS efetiva deve ser capaz de categorizar os domínios acessados, identificar padrões anômalos (como volume excessivo de consultas, domínios com TTL anormalmente baixo ou tentativas de comunicação com endereços conhecidamente maliciosos) e gerar alertas em tempo real.
3. Rastreabilidade: os registros devem ser associados a dispositivos específicos e, quando possível, a usuários. Isso permite que, em caso de incidente, a empresa consiga responder com precisão a perguntas como: qual dispositivo realizou a consulta? Quem o utilizava naquele momento? Quantas tentativas foram feitas? 

A rastreabilidade é a base para qualquer comunicação de incidente à ANPD; e para qualquer defesa jurídica.

4. Documentação: ter logs é necessário, mas insuficiente. A empresa precisa de uma política de segurança que descreva como esses registros são gerados, armazenados, protegidos e utilizados. Essa documentação é o que transforma dados técnicos em evidência de conformidade; o que demonstra, perante qualquer auditoria ou investigação, que a organização não apenas monitorava a rede, mas fazia isso de forma sistemática e deliberada.

DNS que ninguém via agora é prova

Durante anos, o DNS foi tratado como uma infraestrutura invisível; algo que simplesmente funcionava em segundo plano, sem atenção e sem registro. Essa invisibilidade foi conveniente enquanto os riscos eram menores e a regulação inexistente.

A realidade agora é outra. A LGPD tornou a segurança de dados uma obrigação legal com dentes. O Marco Civil criou um regime de responsabilidade para a guarda de registros de rede. A ANPD está orientando, e cada vez mais a fiscalizando. 

E os atacantes? Eles continuam explorando exatamente o que as empresas não monitoram.

O DNS, que ninguém via, agora pode ser o ponto mais estratégico da auditoria de rede.