Pentest e LGPD: o que o contrato precisa ter (explicado por um jurista que também é operator)
Cláusulas essenciais de contrato de pentest sob LGPD, Marco Civil e Lei Carolina Dieckmann — guia jurídico-técnico de José Jocafe de Moura Cavalheiro.
A maioria dos pentests no Brasil são tecnicamente ilegais
Não é hipérbole. É a realidade.
Sem contrato + termo de escopo + base legal LGPD definida, todo acesso não autorizado a sistema informático configura o art. 154-A do CP. E "mas o cliente pediu por WhatsApp" não é defesa.
Eu sou José Jocafe de Moura Cavalheiro, jurista formado e red team operator ativo. Esse cruzamento é raro — e por isso esse artigo existe.
As 8 cláusulas inegociáveis
- Objeto e escopo técnico com lista exaustiva de IPs, domínios, repositórios, contas
- Janela temporal com data/hora de início e fim
- Vedação expressa de exfiltração e persistência além do necessário
- Tratamento de dados pessoais (art. 7º, IX da LGPD — legítimo interesse)
- Confidencialidade com penalidades líquidas
- Responsabilidade civil limitada ao valor do contrato
- Foro e arbitragem (recomendo CAM-CCBC para casos sensíveis)
- Anexo I — Rules of Engagement assinado por CISO e DPO
Marco Civil ainda importa
O art. 10 do Marco Civil te obriga a guardar logs de conexão por 1 ano. Se você capturou tráfego durante o pentest, você é controlador de dado pessoal — com todas as obrigações que isso traz.
E o DPO do cliente precisa estar formalmente comunicado antes do engagement, sob pena de você virar o vilão no relatório de incidente.
Escrito por José Jocafe de Moura Cavalheiro — fundador da Alfa10x, jurista, full stack developer e red team operator. Siga em LinkedIn, GitHub, X / Twitter e YouTube.
