Sentinela Security Audit
Cuarenta y ocho probes en seis capas distintas: 39 observan el objetivo desde fuera (sin agente, sin credenciales, sin bloquear tráfico — 3 de ellos solo corren tras el gate de autorización) y 9 son opt-in — 5 caja blanca que clonan temporalmente el repositorio para correr SAST (Semgrep), secret scanning en el historial git (Gitleaks), lint de Dockerfile (Hadolint), scan de IaC (Trivy: Terraform, Kubernetes, CloudFormation) y auditoría de workflows de GitHub Actions, 1 que lee los lockfiles de dependencias vía API del proveedor (sin clonar) cruzando con OSV.dev, 1 caja gris que conecta a la API oficial de Vercel, y 2 que cruzan el dominio y emails del objetivo contra bases públicas de filtración. Cada hallazgo viene con severidad, evidencia técnica y recomendación clara. Mapa de compliance LGPD/ISO 27001/PCI-DSS, resumen ejecutivo generado por IA, score 0–100, nota A–F, diff entre auditorías y PDF ejecutivo.
Sin agente · Sin instalación · No invasivo · Debes autorizar el dominio antes de la auditoría
Honestidad técnica
Sentinela Security Audit es ASM externo (Attack Surface Management): observación no invasiva de la superficie que tu dominio expone a internet. No es un pentest. No explotamos vulnerabilidades, no hacemos brute-force, no intentamos saltar la autenticación. Para un test de intrusión quieres un pentester humano — y ayudamos señalando los puntos obvios antes de que él cobre caro por señalar los mismos.
El papel de Sentinela es ver y avisar, no interceptar. Fail-safe y fail-loud: un probe que falla se vuelve un hallazgo informativo, nunca silencia.
Tres capas · Una plataforma
La página está organizada en tres capas — más fácil de navegar si tienes el mapa antes de la lista densa de 48 probes ahí abajo.
01
Descubren lo que existe.
49 probes PHP nativos + Nuclei, Semgrep, Gitleaks, Trivy. La familia nativa cubre red, TLS, headers, email, exposure, privacidad (LGPD-BR por defecto; GDPR opt-in por objetivo), cloud — sin binario externo, ligera y barata. La familia envuelta entra donde la industria ya resolvió: templates CVE, SAST, IaC.
Ver los 48 probes →02
Traducen en riesgo con precio.
Nota técnica A–F comparable entre objetivos + riesgo contextual por criticidad de negocio + CISA KEV + EPSS + ALE en dinero/año usando downtime real del Uptime. La nota técnica queda intocable (comparabilidad); el contexto vive en un eje paralelo.
Ver scoring y riesgo financiero →03
Cierran el ciclo hasta la corrección.
Cada hallazgo se vuelve RemediationTask asignable con SLA, MTTR por workspace, integración JIRA y Break-the-Build vía API Sanctum + SARIF 2.1.0 en GitHub Actions. No para en el informe — llega hasta el pull request.
Ver remediación y CI/CD →La mayoría de las herramientas de ASM se detiene en el ojo — entrega una lista. CTEM es lo que conecta las tres capas en un único flujo.
Cómo funciona
La seguridad de un sitio no es una sola cosa. Cada capa tiene un conjunto de probes especializados que observan un aspecto diferente de la superficie externa de tu dominio.
01 · Capa
Cómo se presenta el objetivo en internet — DNS, puertos abiertos, reputación.
Salud de los NS, propagación, consistencia de registros y resolución.
CAA records (control de emisión de certificados, MEDIUM si ausente) y AXFR zone transfer vía TCP (CRITICAL si está permitido — expone toda la zona DNS).
Verifica DNSSEC vía DNS-over-HTTPS (Cloudflare DoH). Detecta dominios sin DS/DNSKEY (MEDIUM) o con cadena rota — DS presente pero AD bit ausente (HIGH).
Scan TCP top-30 + banner grabbing. Gated por autorización explícita.
Spamhaus DNSBL + Google Safe Browsing opcional.
02 · Capa
Cómo responde tu aplicación a un visitante (o atacante).
Versiones (TLS 1.0/1.1 deprecated, TLS 1.3 missing), ciphers, expiración, hostname, signature, OCSP.
HSTS (preload, includeSubDomains), CSP (unsafe-inline, wildcards, Trusted Types), COOP/COEP/CORP, redirect HTTPS, disclosure de versión.
Secure, HttpOnly, SameSite, prefijos __Host-/__Secure- en cookies de sesión.
.env, .git, dumps, logs, lockfiles de dependencia (composer.lock, package-lock.json, yarn.lock, pnpm-lock.yaml — versiones exactas fijadas habilitan targeting preciso de CVE), OIDC discovery (/.well-known/openid-configuration), healthchecks (/actuator/health, /readyz), security.txt presencia.
Detecta filtraciones que el ExposureProbe no cubre por usar nombres impredecibles (dump_2026_xyz.sql, instance_db_hash.sql.gz). Detecta listado de directorio abierto (autoindex Apache/nginx/IIS/Caddy) en 18 paths comunes de backup y cruza HTML/robots.txt/sitemap.xml buscando enlaces con extensión sensible. Valida vía fingerprint (keywords SQL, magic bytes gzip/zip/SQLite, formato KEY=value en .env).
Secrets en bundle, source maps públicos, libs vulnerables (jQuery, Bootstrap, Vue 2, Moment.js), SRI ausente, mixed content, CSRF en forms POST.
Claves PEM en el HTML (CRITICAL), connection strings con credenciales (CRITICAL), credenciales en comentarios HTML (HIGH), IPs RFC 1918 en scripts inline (MEDIUM). Filtra placeholders.
Stack trace expuesto en 404/500: Laravel/Whoops, Symfony, Django, Rails, ASP.NET, Express.
Versión, plugins (wordlist 250+, 100/scan), temas, XML-RPC, user enum, debug.log. CVE matching vía Wordfence Intelligence — 100k+ vulns con CVSS, sync diario. Enriquecimiento EPSS + CISA KEV automático.
Drupal (CHANGELOG expuesto, settings.php), Joomla! (manifest XML, /administrator/), Magento (/magento_version, admin path por defecto). Comprobaciones específicas por CMS.
Crawl de hasta 10 páginas. Detecta JS ofuscado (eval/atob, Dean Edwards packer), contenido oculto con spam, iframes externos, forms con action hijacking, cloaking por User-Agent. Cruza URLs contra URLhaus + OpenPhish (~300k entradas, sync diario).
OpenAPI/Swagger expuestos, GraphQL introspection habilitada, field suggestions.
GraphQL Playground expuesto, JWTs en el cuerpo/cookie con alg:none (CRITICAL), expiración larga, claims sensibles.
Detecta buckets S3, GCS y Azure Blob referenciados en el HTML. Prueba listado público (CRITICAL) o registra como INFO si es privado.
Wildcard con credentials, reflexión de Origin, null origin.
TRACE habilitado, verbos sensibles (PUT/DELETE sin autenticación).
Check ACTIVO detrás del gate de autorización: envía TRACE/TRACK con un token único en un header y confirma Cross-Site Tracing cuando el servidor devuelve el token (MEDIUM — prueba, no solo "declarado"). No destructivo, alcance estrecho.
Parámetros next, redirect, return — confirmado por el host parseado en la respuesta.
Paths sensibles declarados (admin, internal, backup) en /robots.txt y /sitemap.xml.
Fingerprint de WAF/CDN por headers, cookies y body (Cloudflare, Sucuri, Imperva, Akamai, CloudFront, Fastly, Vercel, Azure, F5, Wordfence, ModSecurity). Muestra la IP del scanner para el allowlist.
Barrido de ~40 rutas comunes en paralelo (admin panels, phpMyAdmin, paneles de debug — Horizon, Telescope, Pulse, Debugbar, Clockwork —, backups, uploads, config, logs). Un panel de debug ABIERTO (HTTP 200) escala a CRITICAL: los dashboards de cola renderizan payloads de jobs encolados — tokens de canal, webhooks, PII de destinatario; presente pero protegido (403) queda HIGH. Detección de soft-404 vía canary. Gated por autorización.
Versiones de software expuestas en headers HTTP (Server, X-Powered-By, X-AspNet-Version) y meta generator, permitiendo targeting por un CVE específico.
Reflexión de X-Forwarded-Host y X-Original-Host en el cuerpo o Location. Detecta el vector de password reset poisoning y cache poisoning (HIGH).
IPs privadas RFC 1918 (10.x, 172.16–31.x, 192.168.x, 127.x) y hostnames internos (.internal, .corp, .lan) en headers HTTP — revela la topología de infra al atacante.
Formularios con input[type=password] enviados vía HTTP (CRITICAL — contraseña en texto claro) o a un dominio externo (HIGH — credential harvesting).
Respuestas con Set-Cookie sin Cache-Control: no-store/private (MEDIUM) y evidencia de sesión servida desde caché compartida vía header Age (HIGH). RFC 7234.
Valida security.txt según RFC 9116: Contact obligatorio (HIGH), Expires obligatorio (MEDIUM), registro expirado (MEDIUM) o válido por más de 1 año (LOW).
03 · Capa
Quién responde por ese dominio, cómo recibe emails y protección contra hijacking.
SPF (con lookup budget RFC 7208 §4.6.4), DKIM selectors comunes, DMARC, ausencia de los registros.
Análisis de calidad de las políticas: SPF +all/?all (HIGH), SPF ~all sin DMARC enforcement (MEDIUM), DMARC p=none (HIGH), DMARC pct<100 (LOW). Va más allá de la presencia — evalúa si la política realmente protege.
Política de transporte SMTP seguro (RFC 8461): publica política, archivo accesible, modo enforce. TLS reporting (RFC 8460) configurado.
Expiración del dominio, estado clientHold, pendingDelete.
Verifica vía RDAP si el dominio tiene registrar lock: clientTransferProhibited (MEDIUM si ausente) y clientDeleteProhibited (LOW si ausente). Previene domain hijacking.
Descubrimiento pasivo vía Certificate Transparency (crt.sh) + chequeo de subdomain takeover en 16 services (GitHub Pages, Heroku, Fastly, etc.).
04 · Capa
La capa brasileña — LGPD observable desde fuera, con base en los artículos que afectan al sitio común. Los hallazgos alimentan el mapa de compliance (LGPD/ISO 27001/PCI-DSS).
GA4, GTM, Meta Pixel, Hotjar, Clarity, TikTok, LinkedIn, Mixpanel, Amplitude, Segment, FullStory y más — 24 hosts + 11 patrones inline (gtag, fbq, dataLayer). Detecta un tracker cargando ANTES del banner incluso cuando no hay cookie HTTP. HIGH si no hay banner. Ref art. 7º, I.
Detecta la presencia del banner (CookieYes, OneTrust, Cookiebot, Iubenda, Klaro, Didomi, Usercentrics, Termly, Osano y custom) y comprueba si hay opción visible de "Rechazar"/"Solo necesarias". Un banner "acepta o nada" es vicio de consentimiento (Guía de Cookies de la ANPD, art. 8º §4º).
Detecta enlace/mención a la política de privacidad y contacto del Encargado/DPO vía parse DOM (XPath en <a href> + texto visible). Rastrea una página dedicada (/politica-de-privacidade, /privacidade) recogida por el crawler aunque la home no la cite. Refs art. 9º + art. 41.
Forms POST recolectando email, CPF, teléfono, nombre o contraseña sin checkbox o enlace visible a la política de privacidad cercano — falta consentimiento informado (art. 8º, §1º). Parse DOM con fallback heurístico en hermanos del form.
CPF, email, teléfono o RG pasando vía querystring en enlaces de la página. Valor enmascarado antes de persistir como evidencia. Se filtra en logs de servidor, historial del navegador y Referer a terceros — riesgo de seguridad clásico (art. 46).
Cruza el fingerprint de hosting extranjero (Cloudflare, AWS CloudFront, Vercel, Azure, Fastly, Akamai, Fly.io, Netlify, Render, Railway — 17 headers + 7 tokens en Server/Via) con la mención a "transferencia internacional"/"cláusulas contractuales estándar" en el texto. Sin disclosure = LOW (art. 33).
Cookies clásicas de tracking (_ga, _gid, _fbp, hjid, _hjSessionUser, etc.) seteadas en la primera visita sin banner detectado — HIGH (art. 7º, I).
05 · Capa
Vector humano — dominio y emails del objetivo en filtraciones de datos públicas.
Opt-in por objetivo. Cruza el registrable domain (+ dominios extra) contra el catálogo de Have I Been Pwned sincronizado localmente (sync diario). Emite un hallazgo agregado con nº de filtraciones, cuentas comprometidas y fecha de la más reciente; severidad por la recencia y sensibilidad de los datos expuestos. 100% pasivo — no toca el objetivo.
Recolecta mailto: y fallbacks (contact@, admin@, security@) y cruza vía h8mail contra bases de filtración públicas.
06 · Capa
Opt-in (plan Agencia+) — 5 probes caja blanca con clon temporal del repo (SAST, secret scanning, Dockerfile, IaC, GitHub Actions), 1 que lee los lockfiles de dependencias vía API del proveedor (sin clon) y 1 conector caja gris que lee la API de Vercel.
composer.lock, package-lock.json, yarn.lock, requirements.txt, poetry.lock, go.mod, Gemfile.lock — GitHub/GitLab (subgrupos)/Bitbucket. PAT opcional para repos privados. Cruzado con OSV.dev + CVE/EPSS/KEV.
Análisis estático con rulesets detectados por stack: PHP/Laravel, JavaScript/Express/React, Python/Django/Flask, Go, Ruby, Java + OWASP Top 10. Hallazgos agrupados en 15 buckets (SQLi, XSS, command injection, path traversal, mass assignment, weak crypto, etc.). CWE-78/89/94 promovidos automáticamente a CRITICAL.
Gitleaks recorre el árbol actual + historial --depth=N (default 50 commits). Detecta claves AWS/GCP/Azure (CRITICAL), GitHub PAT, Stripe/Twilio/SendGrid, claves privadas PEM, y ~150 otros patrones. Valor enmascarado (4 primeros + 4 últimos chars) antes de persistir.
Lint de Dockerfile detectando prácticas inseguras: USER root persistente (HIGH), ADD en vez de COPY, versiones no pinned en apt/apk/pip/npm, tag latest, missing HEALTHCHECK, shell sin pipefail, caché de apt no limpia. 9 buckets traducidos.
Misconfigurations en Terraform (.tf), Kubernetes manifests, CloudFormation, Helm charts, Ansible playbooks + CIS Docker benchmark. Severity directo de Trivy (CRITICAL/HIGH/MEDIUM/LOW), cap de 500 hallazgos por run ordenados por severity.
Parser custom de .github/workflows/*.yml: pull_request_target + checkout del head del PR (CRITICAL — RCE clásico), permissions: write-all (MEDIUM), actions sin pin de SHA (@branch HIGH, @tag terceros MEDIUM), secrets ecoados en run (HIGH).
Conecta a la API oficial de Vercel con token read-only por objetivo (cifrado). Audita la versión de Node (HIGH si EOL/sin soporte de seguridad, MEDIUM si fin de vida reciente), si el deploy de producción más reciente se rompió — con las líneas de error del build — y la tasa de builds fallidos en el historial reciente. No lee variables de entorno ni código fuente.
Los 39 probes de las capas 1–4 corren en cada auditoría tras autorizar el dominio (3 de ellos — Puertos, Directory Discovery y Confirmación activa de XST — requieren un gate de autorización adicional para sondeo activo). Los probes opt-in (capas 5 y 6) requieren datos extra: toggle de monitoreo de filtración, autorización para recolectar emails, URL del repositorio para los análisis caja blanca y token read-only de Vercel para la auditoría del proyecto.
Score y nota
Cada hallazgo tiene un peso fijo por severidad. La suma es la penalización — restada de 100. La nota es un rango del score, para lectura rápida.
Penalización
penalty = 10·critical + 5·high + 2·medium + 0.5·low score = clamp(100 − penalty, 0, 100)
Los hallazgos nuevos de severidad alta o crítica se destacan en la alerta. Mientras haya algún crítico o alto abierto, cada auditoría concluida vuelve a notificar tus canales — las alertas paran cuando ceras los críticos/altos.
Rangos
Salidas
Cada hallazgo tiene una signature estable — "TLS 1.0 habilitado" en el run de enero es el mismo hallazgo en el run de marzo. Card "Qué cambió desde la última auditoría" con conteo de resueltos, nuevos y recurrentes, badge por hallazgo y gráfico de tendencia de la nota de las últimas auditorías. Sin ruido de "todo es nuevo en cada audit".
La auditoría deja de ser una foto descartable. Aceptar riesgo: marca un hallazgo como riesgo conocido — sale de la nota pero permanece en el informe, registrado y auditable (quién aceptó, cuándo, por qué). Re-testar al instante: ¿lo corregiste? corre solo esa verificación y confirma ✓ en la misma pantalla, sin esperar la próxima auditoría semanal.
Portada con nota A–F fechada, resumen para no técnicos, hallazgos agrupados por categoría, recomendaciones priorizadas, anexo técnico. White-label disponible en el plan Agencia.
Los hallazgos con CVE vienen con EPSS (probabilidad de exploit), CISA KEV (explotación conocida) y OSV.dev (dependencias). Se vuelve "tengo 3 que están siendo explotados — esos primero" en vez de "tengo 47 CVEs".
Los hallazgos se correlacionan a controles de LGPD, ISO/IEC 27001:2022 y PCI-DSS v4.0 — pestaña dedicada en la auditoría y sección en el PDF, con cobertura por framework. Correlación automática de scan externo; no sustituye la certificación formal, pero le da al DPO/cliente una lectura por norma.
Resumen y plan de remediación priorizado generados por IA a partir de los hallazgos ya enriquecidos (EPSS/KEV), en el idioma del dueño del objetivo. Aparece en la auditoría y en el PDF. Opcional, en planes de pago — degrada limpio cuando se desactiva.
CTEM
Detectar es el comienzo. Sentinela cierra el ciclo de Continuous Threat Exposure Management: contextualiza el riesgo según tu negocio, lo cuantifica en dinero, prioriza por lo que está siendo explotado y cubre la remediación de punta a punta.
Defines la criticidad de negocio de cada activo (y el entorno). La nota técnica sigue intacta y comparable, pero gana una lectura de riesgo de negocio — el mismo hallazgo pesa distinto en un sitio institucional y en el checkout.
Exposición anual estimada (ALE): costo de inactividad con datos reales de tu Uptime + probabilidad de incidente × impacto (multas, recuperación, reputación). El riesgo deja de ser abstracto y se vuelve un número para el board. Ve la fórmula y un ejemplo.
Una vulnerabilidad bajo explotación activa conocida (CISA KEV) o con alta probabilidad (EPSS) escala el riesgo del activo automáticamente — y arrastra la exposición financiera. Corrige lo que se está explotando, no la lista entera.
Cada hallazgo se vuelve tarea asignable: responsable, plazo, estado y comentarios, con emails de asignación y vencimiento. Se cierra sola cuando el hallazgo desaparece entre auditorías. Panel de MTTR y cumplimiento de SLA por activo.
API con token: dispara una auditoría en el pipeline, consulta el veredicto y reprueba el build por nota mínima o severidad. Salida SARIF 2.1.0 para GitHub Code Scanning. Snippet listo de GitHub Actions.
Registra proveedores, vincula los hostnames ya auditados (postura externa continua) y suma el cuestionario de seguridad — rating cibernético comparativo A–F por proveedor, sin nuevo motor de escaneo.
Recurrencia
Configúralo una vez y Sentinela corre en el schedule acordado, genera un diff respecto al último run y vuelve a notificar los canales elegidos en cada auditoría concluida mientras haya hallazgos críticos o altos — los nuevos vienen destacados.
Por perfil
Compliance / Legal
7 detectores LGPD observables desde fuera: trackers de terceros (GA, Pixel, Hotjar) antes del banner, banner "acepta o nada" (vicio de consentimiento), formulario sin aviso, PII en querystring, transferencia internacional sin disclosure. El mapa de compliance correlaciona todo a LGPD/ISO 27001/PCI-DSS. El historial mensual muestra esfuerzo continuo — para el DPO, cliente o ANPD.
Agencia / Freelancer
Audita todos los sitios de tus clientes en una cuenta. PDF white-label con tu marca y resumen ejecutivo por IA. Muestra la evolución de A-F cada mes — argumento concreto para la renovación.
Equipo técnico
El diff entre runs se vuelve backlog. El webhook entrega hallazgos críticos al canal del equipo, o abre un ticket directo en Jira (botón por hallazgo o automático, con dedup para que los re-runs no dupliquen). El monitoreo de filtración alerta cuando el dominio aparece en una nueva base pública. El análisis de repositorio (Business+) cruza dependencias con OSV.dev sin mantener Dependabot. El conector Vercel avisa de Node EOL y deploy de producción roto directo de la API oficial.
Transparencia
Antes de correr cualquier probe activo en tu dominio, exigimos que marques "Autorizo la auditoría de este dominio". Sin eso, solo corren probes 100% pasivos (DNS, WHOIS, CT logs). Esto te protege (y a nosotros) y está alineado con las buenas prácticas de investigación de seguridad y con la LGPD.
Comparativa
| Sentinela | Detectify | Probely | Intruder | |
|---|---|---|---|---|
| Localizado (PT-br nativo) | ✓ | — | — | — |
| Pago en BRL | ✓ | — | — | — |
| LGPD: trackers, banner & forms | ✓ | — | — | — |
| Incluye uptime | ✓ | — | — | — |
| Score A–F + diff entre runs | ✓ | parcial | parcial | parcial |
| PDF white-label | Agencia | enterprise | enterprise | enterprise |
| Malware scan (JS/cloaking/threat intel) | ✓ | extra de pago | — | — |
| WordPress CVE (Wordfence 100k+) | ✓ | parcial | — | — |
| WAF detection + IP del scanner | ✓ | parcial | — | — |
| SPF/DMARC strength (más que presencia) | ✓ | — | — | — |
| Domain lock (anti-hijacking) | ✓ | — | — | — |
| Monitoreo de filtración (HIBP) | ✓ | parcial | — | parcial |
| Mapa compliance LGPD/ISO/PCI | ✓ | — | — | — |
| Resumen ejecutivo por IA | ✓ | — | — | — |
| Threat intel sync diario local | ✓ | — | — | — |
| Enfoque | ASM + LGPD-BR | DAST + ASM | DAST | VM + ASM |
Detectify, Probely e Intruder hacen cosas que Sentinela no hace (DAST profundo, fuzzing, scan autenticado). Sentinela ataca otro problema: cobertura amplia de postura externa + LGPD-BR + uptime, con precio accesible.
FAQ — security audit
No. Es ASM externo automatizado y recurrente. Un pentest implica explotación activa por un humano y queda fuera de nuestro alcance — y lo decimos de frente para que no esperes lo que no entregamos.
No. Los probes son ligeros y respetan los rate limits. Toda la auditoría se completa en pocos minutos con impacto insignificante.
Porque incluso los probes ligeros tocan tu servidor. La autorización explícita te protege legalmente y a nosotros éticamente.
No. Detectamos y documentamos. La explotación es trabajo de un pentester humano contratado.
Sí. Los probes externos no dependen del framework. Hay análisis específico de WordPress, Drupal, Joomla! y Magento cuando detectamos el stack. Si el objetivo usa WAF, Sentinela lo detecta automáticamente y muestra la IP del scanner en la interfaz — añades la IP al allowlist del WAF y re-auditas para resultados completos.
Filtración de credenciales: el toggle "monitorear filtraciones" en el formulario del objetivo — cruzamos el dominio (y dominios extra opcionales) contra el catálogo de Have I Been Pwned sincronizado localmente, sin tocar el objetivo. Filtraciones de email: probe h8mail. Dependencias/código del repo: rellenas la URL del repositorio en el objetivo (y un PAT opcional para repos privados). Vercel: indica el Project ID, el Team ID (si el proyecto es de un equipo) y un token read-only de Vercel en el objetivo — auditamos Node EOL y salud de los deploys vía API oficial, sin leer env vars ni código.
No. Es una correlación automática entre los hallazgos de la auditoría externa y controles de LGPD, ISO/IEC 27001:2022 y PCI-DSS v4.0 — una lectura por norma para priorizar y mostrar al DPO/cliente. No sustituye una auditoría/certificación formal, que implica documentación, procesos y jurisdicción fuera del alcance de un scan externo. Es puramente presentacional: no altera el score.
Tras el enriquecimiento (EPSS/KEV), una IA genera un resumen ejecutivo y un plan de remediación priorizado a partir de los hallazgos reales de esa auditoría, en el idioma del dueño del objetivo. Aparece en la auditoría y en el PDF. Es opcional (planes de pago) y degrada limpio: si se desactiva, la sección simplemente no aparece — nada se inventa más allá de los hallazgos.
Siete detectores observables sin credenciales: (1) trackers de terceros cargando sin banner (GA, GTM, Meta Pixel, Hotjar, Clarity, etc. — incluyendo gtag/fbq inline sin cookie HTTP), (2) banner "acepta o nada" sin opción visible de rechazar (vicio de consentimiento, ANPD), (3) política de privacidad y contacto del Encargado/DPO — rastreamos una página dedicada (/politica-de-privacidade) si la home no la cita, (4) formularios recolectando email/CPF/teléfono/nombre sin aviso cercano, (5) PII en querystring (CPF/email/teléfono en URL — se filtra en log y Referer), (6) transferencia internacional sin disclosure cuando el sitio corre en Cloudflare/AWS/Vercel sin mencionar cláusulas estándar, (7) cookies clásicas de tracking (_ga, _fbp, _hjid, etc.) seteadas en la primera visita sin banner detectado. Refs explícitos a Art. 6º VI, 7º I, 8º §1º/§4º, 9º, 33, 41, 46 + la Guía de Cookies de la ANPD.
No. Es la parte observable — lo que se ve desde fuera sin acceso a contratos, ROPA, DPIA o procesos internos. Ayuda al DPO a priorizar correcciones obvias y darle a la dirección una medida fechada del progreso, pero la adecuación plena implica documentación, capacitación y jurisdicción fuera del alcance de una herramienta automatizada.
En el formulario del objetivo vinculas un <strong>monitor de Uptime</strong> (lo auto-sugerimos cuando el host coincide). El cálculo suma las horas de incidentes reales de los últimos 12 meses de ese monitor × el campo <strong>"ingreso por hora"</strong> que rellenas en el mismo formulario. Sin monitor vinculado, esta parte aparece como no disponible — no adivinamos con benchmarks de mercado. Detalle del cálculo en el post <a href="/blog/como-calculamos-risco-financeiro-em-reais" class="underline">Cómo calculamos el riesgo en R$/año</a>.
¿Listo para ver?
Free incluye 1 auditoría por mes. Para correr semanal automática, Pro o superior.