Migração de Dados Sensíveis: Criptografia e Conformidade LGPD

Seus Dados Mais Valiosos Estão em Movimento — E Protegidos?

Migração para nuvem traz agilidade e escalabilidade, mas e a segurança dos dados durante o processo? Um único vazamento de informações pessoais, dados de saúde ou registros financeiros pode resultas LGPD de até 2% do faturamento, processos judiciais e destruição irreversível de reputação. Como garantir que dados sensíveis cheguem à nuvem protegidos por criptografia adequada, com conformidade regulatória e zero perda ou exposição?

O Que Torna Dados “Sensíveis” Sob Perspectiva LGPD

LGPD (Lei Geral de Proteção de Dados) diferencia dados pessoais de dados sensíveis, que exigem proteção adicional:

Dados pessoais: qualquer informação relacionada a pessoa identificada ou identificável (nome, CPF, e-mail, IP, cookies).

Dados sensíveis (Art. 5º, II da LGPD):

• Origem racial ou étnica
• Convicção religiosa ou filosófica
• Opinião política
• Filiação sindical ou organizacional
• Dados genéticos ou biométricos
• Dados de saúde
• Dados sobre vida sexual ou orientação sexual

Além da LGPD, setores específicos enfrentam regulamentações adicionais: HIPAA (saúde nos EUA), PCI-DSS (cartões de pagamento), BACEN (instituições financeiras no Brasil), ANVISA (dados clínicos).

Você tem visibilidade clara de onde dados sensíveis residem atualmente? Migração segura começa com mapeamento completo de ativos e classificação por criticidade.

Riscos Específicos de Migração de Dados Sensíveis

Migração não é simples transferência de arquivos — é operação de alto risco:

Exposição em trânsito:

• Interceptação durante transferência (man-in-the-middle)
• Transmissão através de canais não criptografados
• Vazamento acidental em logs ou sistemas de monitoramento

Exposição em repouso:

• Storage temporário sem criptografia durante sincronização
• Snapshots e backups intermediários sem proteção
• Acesso não autorizado a ambientes de staging

Riscos de conformidade:

• Transferência internacional de dados sem cláusulas contratuais adequadas
• Perda de rastreabilidade (quem acessou o quê, quando)
• Falta de consentimento para processamento em novo ambiente

Riscos operacionais:

• Corrupção de dados durante transferência
• Perda de dados por falhas de sincronização
• Downtime excessivo impactando operações críticas

A Infomach migrou dados sensíveis de clientes nos setores de saúde, financeiro e varejo com zero incidentes de vazamento, aplicando criptografia em todas as camadas e controles de acesso rigorosos desde o planejamento.

Criptografia em Trânsito: Protegendo Dados Durante Transferência

Dados em movimento são mais vulneráveis. Proteção adequada exige:

Túneis VPN criptografados:

• Site-to-site VPN (IPsec) entre datacenter local e VPC na AWS
• Client VPN (OpenVPN, AWS Client VPN) para acesso de administradores
• Criptografia AES-256 com chaves gerenciadas centralmente

TLS 1.3 para transferências via internet:

• AWS Transfer Family (SFTP, FTPS) com criptografia fim-a-fim
• Desabilitar protocolos legados (SSLv3, TLS 1.0/1.1)
• Certificados válidos com renovação automatizada

AWS DataSync e Direct Connect:

• DataSync com criptografia TLS nativa para transferências massivas
• Direct Connect (conexão dedicada) para dados ultra-sensíveis que não devem trafegar pela internet pública
• Redução de latência e aumento de bandwidth para migrações de grande volume

Validação de integridade:

• Checksums MD5/SHA-256 para cada arquivo transferido
• Comparação de hashes origem vs destino antes de deletar dados locais
• Logs detalhados de cada transferência para auditoria

Durante migração do setor de saúde, a Infomach utilizou Direct Connect com criptografia em camadas, garantindo conformidade HIPAA e zero downtime durante transferência de 15TB de registros médicos.

Criptografia em Repouso: Dados Protegidos na Nuvem

Dados chegando à AWS devem ser criptografados imediatamente:

AWS KMS (Key Management Service):

• Gerenciamento centralizado de chaves de criptografia
• Customer Master Keys (CMK) com rotação automática anual
• Integração nativa com S3, EBS, RDS, DynamoDB
• CloudTrail registra todo uso de chaves para auditoria

S3 bucket encryption:

• Server-side encryption (SSE-S3, SSE-KMS, SSE-C)
• Políticas de bucket forçando criptografia (deny upload se não criptografado)
• Versionamento habilitado para recuperação de dados

EBS volume encryption:

• Criptografia de volumes root e data de instâncias EC2
• Snapshots automaticamente criptografados
• Performance sem impacto (criptografia transparente)

RDS encryption:

• Criptografia de banco de dados em repouso
• Backups automatizados criptografados
• Read replicas mantêm mesma configuração de criptografia

Redshift e data warehouses:

• Criptografia de clusters com AES-256
• Proteção de dados analíticos sensíveis (PII, PHI)

Você gerencia chaves internamente ou confia em provedor? Para ambientes ultra-regulados (bancos, saúde), recomendamos CloudHSM — hardware dedicado onde você controla chaves sem AWS ter acesso.

Estratégias de Migração para Dados Sensíveis

Migração big bang (tudo de uma vez):

• Janela de manutenção estendida
• Transferência completa em período off-peak
• Maior risco mas menor complexidade de sincronização
• Ideal para volumes menores (<5TB) ou sistemas que toleram downtime

Migração faseada (incremental):

• Sincronização inicial de dados históricos (bulk transfer)
• Replicação contínua de mudanças (CDC — Change Data Capture)
• Cutover final com downtime mínimo (<1 hora)
• Ideal para sistemas críticos que exigem alta disponibilidade

Estratégia híbrida (coexistência temporária):

• Ambientes on-premise e cloud operando simultaneamente
• Sincronização bidirecional durante período de transição
• Rollback facilitado em caso de problemas
• Ideal para organizações que precisam validar cloud antes de descomissionar datacenter

A Infomach utiliza AWS Database Migration Service (DMS) para migrações com downtime próximo a zero, aplicando CDC para manter sincronização contínua até cutover final.

AWS Database Migration Service: Migração Contínua e Segura

DMS é serviço gerenciado que simplifica migração de bancos de dados:

Funcionalidades críticas:

• Homogênea: Oracle → RDS Oracle, SQL Server → RDS SQL Server
• Heterogênea: Oracle → Aurora PostgreSQL, SQL Server → Aurora MySQL
• Replicação contínua: CDC mantém origem e destino sincronizados
• Transformação de schemas: AWS Schema Conversion Tool (SCT) automatiza conversão

Segurança integrada:

• Dados criptografados em trânsito via TLS
• Endpoints dentro de VPC privada (sem exposição pública)
• IAM roles com least privilege para acesso a dados
• CloudWatch Logs registra toda atividade de replicação

Casos de uso típicos:

• Migração de SQL Server on-premise para RDS com <5 minutos de downtime
• Conversão de Oracle licenciado para Aurora PostgreSQL (economia de 90% em licenças)
• Replicação contínua para disaster recovery ou analytics

Classificação e Tokenização de Dados Sensíveis

Nem todos os dados exigem mesmo nível de proteção. Classificação permite aplicar controles proporcionais:

Níveis de classificação:

1. Público: informações disponíveis publicamente (sem proteção especial)
2. Interno: dados corporativos não sensíveis (criptografia básica)
3. Confidencial: dados que causariam dano moderado se vazados (criptografia + controle de acesso)
4. Restrito: dados sensíveis regulados (criptografia forte + tokenização + auditoria)

Tokenização para proteção adicional:

• Substituir dados sensíveis (CPF, cartão de crédito) por tokens sem valor
• Manter dados reais em vault segregado e altamente protegido
• Aplicações operam com tokens, eliminando risco de exposição
• Conformidade PCI-DSS facilitada (redução de escopo)

Data masking para ambientes não-produtivos:

• Desenvolvimento e testes não devem usar dados reais
• Masking automatizado preserva formato mas altera valores (CPF válido estruturalmente, mas fictício)
• Reduz risco de vazamento em ambientes menos controlados

A Infomach implementa Amazon Macie para descoberta automática e classificação de dados sensíveis em S3, identificando PII/PHI e aplicando políticas de proteção automaticamente.

Controles de Acesso e Auditoria: Quem Toca Seus Dados?

Criptografia protege dados, mas controle de acesso define quem pode descriptografar:

IAM (Identity and Access Management):

• Roles com least privilege (permissões mínimas necessárias)
• MFA obrigatório para acessos administrativos
• Service Control Policies (SCP) em AWS Organizations limitam ações permitidas

Segregation of duties:

• Administradores de infraestrutura não têm acesso direto a dados sensíveis
• DPO (Data Protection Officer) controla políticas de acesso
• Break-glass procedures para emergências (auditadas rigorosamente)

Auditoria contínua:

• AWS CloudTrail: registra toda ação na conta AWS (quem criou/deletou/acessou recursos)
• VPC Flow Logs: rastreabilidade de tráfego de rede
• S3 access logs: quem acessou qual objeto, quando
• Database audit logs: queries executadas, dados modificados

SIEM integrado:

• Correlação de logs de múltiplas fontes em plataforma única
• Alertas em tempo real para acessos anômalos (ex: usuário acessando volume 10x maior que histórico)
• Dashboards de conformidade para auditorias regulatórias

A plataforma ElixGuard da Infomach processa bilhões de logs, correlacionando eventos de acesso a dados sensíveis e gerando alertas instantâneos para atividades suspeitas.

Conformidade LGPD Durante e Após Migração

LGPD não é apenas tecnologia, mas processos e governança:

Princípios da LGPD aplicados à migração:

Finalidade (Art. 6º, I): dados migrados devem manter mesma finalidade original (não pode aproveitar migração para mudar propósito de processamento sem novo consentimento).

Adequação (Art. 6º, II): processamento compatível com contexto informado ao titular.

Necessidade (Art. 6º, III): migrar apenas dados estritamente necessários (oportunidade para purge de dados obsoletos).

Transparência (Art. 6º, VI): titulares devem ser informados sobre mudança de ambiente de processamento se alterar riscos ou condições.

Segurança (Art. 6º, VII): medidas técnicas adequadas para proteger dados durante todo ciclo de vida (justamente o foco deste post).

Prevenção (Art. 6º, VIII): adotar medidas para prevenir incidentes.

Responsabilização (Art. 6º, X): demonstrar conformidade (documentação de decisões, políticas, logs).

Transferência internacional:

• Dados migrados para regiões AWS fora do Brasil (us-east-1, por exemplo) configuram transferência internacional
• Exige cláusulas contratuais padrão ou certificações adequadas
• Recomendação: usar AWS região São Paulo (sa-east-1) para manter dados em solo brasileiro

Documentação e Evidências para Auditorias

Conformidade exige documentação rigorosa:

RIPD (Relatório de Impacto à Proteção de Dados):

• Obrigatório para operações de alto risco (Art. 38 LGPD)
• Migração de dados sensíveis em larga escala configura alto risco
• Deve descrever: tipos de dados, processos de tratamento, medidas de segurança, análise de riscos

Registro de operações de tratamento:

• Quais dados foram migrados, quando, por quem
• Base legal para processamento (consentimento, legítimo interesse, obrigação legal)
• Medidas de segurança aplicadas (criptografia, controles de acesso)

Políticas de retenção e eliminação:

• Dados sensíveis têm prazo de retenção definido
• Migração não estende prazo automaticamente
• Implementar lifecycle policies no S3 para deleção automática após prazo

Evidências de conformidade:

• Screenshots de configurações de criptografia
• Relatórios de auditoria de acessos
• Certificações de fornecedores (AWS SOC 2, ISO 27001, ISO 27018)
• Contratos com cláusulas de proteção de dados

Backup e Disaster Recovery de Dados Sensíveis

Migração é momento ideal para implementar estratégia robusta de continuidade:

Backup automatizado:

• AWS Backup centraliza políticas para EC2, RDS, DynamoDB, EFS
• Snapshots criptografados com retenção configurável
• Cross-region replication para proteção contra desastres regionais

Testes regulares de restore:

• Backup sem teste é esperança, não estratégia
• Simulações trimestrais de recuperação completa
• Medição de RTO (Recovery Time Objective) e RPO (Recovery Point Objective) reais

Segregação de backups:

• Conta AWS separada para backups (imune a comprometimento de conta produção)
• Vaulting de backups críticos em AWS S3 Glacier (immutable storage)
• Proteção contra ransomware (atacante não pode deletar backups)

A Infomach implementou estratégia de backup multi-região para cliente do setor financeiro, atingindo RPO de 5 minutos e RTO de 30 minutos — em conformidade com exigências do BACEN.

Ferramentas AWS para Migração Segura de Dados

AWS Snow Family (transferência física):

• Snowcone, Snowball, Snowmobile para volumes massivos (petabytes)
• Dados criptografados em dispositivo antes de transporte
• Ideal quando bandwidth de internet inviabiliza transferência online
• Cadeia de custódia rastreada durante todo transporte

AWS Transfer Family:

• SFTP, FTPS, FTP gerenciados
• Integração com S3 para armazenamento
• Autenticação via Active Directory ou custom identity providers
• Logging completo para auditoria

AWS DataSync:

• Transferência automatizada entre on-premise e AWS
• Validação de integridade built-in
• 10x mais rápido que ferramentas open-source
• Criptografia TLS e integração com CloudWatch para monitoramento

AWS Storage Gateway:

• Interface híbrida (file, volume, tape)
• Cache local com backup contínuo para S3
• Migração gradual sem impacto em aplicações

Testes de Segurança Pós-Migração

Migração concluída não significa trabalho terminado:

Validação de controles:

• Testar se criptografia está efetivamente habilitada (não apenas configurada)
• Validar que usuários sem permissão não conseguem acessar dados sensíveis
• Confirmar que logs de auditoria estão sendo coletados e retidos

Pentest focado em dados sensíveis:

• Simular tentativas de acesso não autorizado
• Validar proteções contra exfiltração de dados
• Testar segregação entre ambientes (dev não deve acessar produção)

Disaster recovery drill:

• Simular perda total de região AWS primária
• Medir tempo real de recuperação vs SLA prometido
• Documentar lições aprendidas e ajustar runbooks

Gestão de Mudanças e Comunicação com Stakeholders

Migração de dados sensíveis afeta múltiplas áreas:

Comunicação interna:

• TI: treinamento em novos procedimentos de acesso e administração
• Jurídico: validação de conformidade regulatória
• Compliance: atualização de políticas e procedimentos
• Áreas de negócio: comunicação de janelas de manutenção e possíveis impactos

Comunicação com titulares (quando aplicável):

• Notificação sobre mudança de processamento se alterar riscos
• Atualização de política de privacidade
• Reforço de direitos LGPD (acesso, correção, portabilidade, eliminação)

Comunicação com autoridades (quando aplicável):

• ANPD: notificação de incidentes durante migração (se ocorrerem)
• Órgãos reguladores setoriais: BACEN, ANVISA, ANS conforme setor

Custos de Segurança vs Custo de Vazamento

Implementar controles rigorosos tem custo, mas é fração do impacto de incidente:

Investimentos típicos em migração segura:

• Licenças de ferramentas de criptografia e DLP: R$ 50-200k/ano
• Consultorias especializadas (Infomach): R$ 80-300k (one-time)
• Infraestrutura adicional (HSM, Direct Connect): R$ 20-100k/mês
• Treinamento de equipes: R$ 30-80k

Custos de vazamento de dados sensíveis:

• Multas LGPD: até 2% do faturamento (máximo R$ 50 milhões por infração)
• Ações judiciais de titulares: indenizações variáveis
• Dano reputacional: perda de clientes e redução de valuation
• Custos de resposta a incidente: perícia, notificações, monitoramento de crédito

ROI é evidente: investir 5% do orçamento de migração em segurança pode evitar prejuízos 100x maiores.

Casos de Uso: Setores Altamente Regulados

Saúde (HIPAA/LGPD):

• Migração de prontuários eletrônicos com 15TB de imagens médicas
• Direct Connect + criptografia AES-256 + HSM para chaves
• Zero downtime durante migração de 3 meses
• Conformidade HIPAA e LGPD validada por auditoria externa

Financeiro (BACEN/PCI-DSS):

• Migração de sistema core banking com 8 milhões de clientes
• Tokenização de dados de cartão antes de migração
• DMS com CDC garantindo RPO <5 minutos
• Certificação PCI-DSS mantida durante e após migração

Varejo (LGPD/PCI-DSS):

• E-commerce com histórico de transações e dados de pagamento
• Segregação: dados de catálogo em S3 público, dados de clientes em RDS criptografado
• Macie para descoberta automática de PII em arquivos históricos
• Economia de 40% em custos de compliance ao usar serviços gerenciados AWS

A Infomach possui competência setorial em saúde, financeiro e varejo, com cases documentados e certificações específicas (PCI-DSS QSA, ISO 27001).

Monitoramento Contínuo Pós-Migração

Segurança de dados sensíveis é processo permanente:

Amazon GuardDuty:

• Detecção de ameaças usando ML
• Identifica acessos anômalos, comunicação com IPs maliciosos, tentativas de exfiltração

AWS Config:

• Monitoramento contínuo de conformidade
• Alertas quando recursos fogem de baseline segura (ex: bucket S3 perde criptografia)

AWS Security Hub:

• Dashboard centralizado de postura de segurança
• Integração com múltiplos serviços (GuardDuty, Inspector, Macie)
• Benchmarks automatizados (CIS AWS Foundations, PCI-DSS)

SIEM customizado (ElixGuard):

• Correlação avançada de eventos
• Alertas em tempo real para acessos suspeitos
• Dashboards de conformidade para auditorias

Checklist Final: Migração Segura de Dados Sensíveis

Pré-migração:

• [ ] Mapeamento completo de dados sensíveis
• [ ] Classificação por criticidade e regulamentação aplicável
• [ ] RIPD elaborado e aprovado por DPO/jurídico
• [ ] Arquitetura de segurança validada (criptografia, controles de acesso)
• [ ] Testes de transferência com dataset não-sensível

Durante migração:

• [ ] Criptografia em trânsito habilitada (VPN/TLS)
• [ ] Validação de integridade (checksums)
• [ ] Monitoramento em tempo real de transferências
• [ ] Logs detalhados de todas operações
• [ ] Backup antes de qualquer deleção de dados locais

Pós-migração:

• [ ] Criptografia em repouso validada
• [ ] Controles de acesso testados (IAM, MFA)
• [ ] Auditoria de logs funcionando
• [ ] Testes de disaster recovery realizados
• [ ] Documentação atualizada (runbooks, políticas)
• [ ] Comunicação com stakeholders concluída

Migre com Segurança, Durma Tranquilo

Migração de dados sensíveis para cloud não precisa ser fonte de ansiedade. Com estratégia adequada, ferramentas certas e parceiro experiente, você transforma risco em oportunidade de elevar postura de segurança.

Principais benefícios de migração bem executada:

• Proteção superior a datacenters legados (criptografia nativa, HSM, controles automatizados)
• Conformidade facilitada com frameworks regulatórios (LGPD, ISO, PCI-DSS)
• Auditoria simplificada através de logs centralizados e imutáveis
• Disaster recovery robusto com custos reduzidos

---

Precisa migrar dados sensíveis para AWS mantendo conformidade LGPD e zero risco de vazamento? A Infomach é AWS Advanced Partner com competência em Generative AI e cases documentados em setores altamente regulados (saúde, financeiro, varejo). Oferecemos migração com criptografia em todas as camadas, Direct Connect para máxima segurança e suporte pós-migração com monitoramento 24×7.

Solicite Avaliação Gratuita de Migração Segura → https://lp.infomach.com.br/contato