Quais sao os niveis de classificacao de dados?

Os niveis mais comuns sao: Publico (sem restricao), Uso Interno (acesso limitado a colaboradores), Confidencial ou Restrito (acesso controlado por necessidade) e Secreto ou Critico (protecao maxima, acesso extremamente restrito). A classificacao define quais controles de protecao devem ser aplicados.

Qual a diferenca entre dados em repouso, em transito e em uso?

Dados em repouso estao armazenados (disco, banco, backup) e sao protegidos com criptografia como AES-256. Dados em transito estao sendo transmitidos (rede, API, e-mail) e exigem TLS, HTTPS ou VPN. Dados em uso estao sendo processados na memoria RAM e sao os mais dificeis de proteger, exigindo tecnologias como enclaves seguros.

O que e PII e por que precisa de protecao especial?

PII (Personally Identifiable Information) sao dados que identificam uma pessoa: nome, CPF, e-mail, IP, biometria. LGPD e GDPR exigem protecao especifica para esses dados, incluindo base legal para tratamento, consentimento quando aplicavel e medidas tecnicas adequadas.

O que e soberania de dados e como afeta minha empresa?

Soberania de dados e o principio de que dados estao sujeitos as leis do pais onde estao armazenados ou processados. Se sua empresa armazena dados de brasileiros em servidores nos EUA, tanto a LGPD quanto leis americanas podem se aplicar. Isso impacta diretamente escolhas de cloud, transferencias internacionais e contratos com fornecedores.

Classificação e Estados dos Dados: Guia Completo de Proteção

Proteger dados exige mais do que criptografia genérica. É preciso entender o que está sendo protegido, onde o dado se encontra e qual lei se aplica a ele. Sem essa visão, controles são aplicados de forma fragmentada e lacunas críticas passam despercebidas.

Este artigo cobre os fundamentos que todo profissional de segurança precisa dominar: classificação de dados, os três estados da informação, soberania de dados e as categorias regulatórias mais relevantes — PII e PHI.

Níveis de classificação de dados

A classificação de dados é o processo de categorizar informações conforme seu nível de sensibilidade e o impacto que sua exposição causaria. Ela define quais controles de proteção devem ser aplicados a cada tipo de dado.

Escala de classificação

Público: sem restrição de acesso. Divulgação não causa dano. Ex: conteúdo do site, materiais de marketing
Uso Interno: acesso limitado a colaboradores. Exposição pode causar inconveniência. Ex: comunicados internos, organogramas
Confidencial / Restrito: acesso controlado por necessidade. Exposição causa dano significativo. Ex: dados de clientes, contratos, propriedade intelectual
Secreto / Crítico: proteção máxima, acesso extremamente restrito. Exposição causa dano grave. Ex: chaves criptográficas, planos estratégicos, dados regulados

A classificação é a base de qualquer programa de DLP (Prevenção de Perda de Dados) — sem saber o que é crítico, não há como proteger adequadamente.

Por que classificar importa

Direciona investimento para onde o risco é maior
Define requisitos de criptografia, acesso e monitoramento por nível
É requisito em ISO 27001 (Annex A 5.12/5.13) e LGPD
Facilita compliance e resposta a incidentes

Dados em repouso (Data at Rest)

Dados armazenados em disco, banco de dados, backup ou storage

Dados em repouso estão parados — armazenados em algum meio físico ou virtual. São vulneráveis a roubo físico de dispositivos, acessos não autorizados ao storage e vazamentos por configuração incorreta.

Controles de proteção

AES-256: padrão de criptografia simétrica para dados armazenados. Usado em bancos de dados, volumes e arquivos
FDE (Full Disk Encryption): criptografia de disco completo — BitLocker (Windows), FileVault (macOS), LUKS (Linux)
TDE (Transparent Data Encryption): criptografia nativa em bancos de dados (SQL Server, Oracle, PostgreSQL)
Criptografia de backups: essencial para proteger cópias offline e em ambientes cloud
Controle de acesso ao storage: IAM, permissões granulares, princípio do menor privilégio

AES-256 + FDE

Combinação mínima recomendada para dados confidenciais em repouso

Dados em trânsito (Data in Transit)

Dados sendo transmitidos por rede, API ou e-mail

Dados em trânsito estão em movimento entre sistemas, usuários ou serviços. São vulneráveis a interceptação (man-in-the-middle), sniffing de rede e adulteração durante a transmissão.

Controles de proteção

TLS 1.2+ / TLS 1.3: protocolo padrão para comunicações seguras. TLS 1.0 e 1.1 estão obsoletos e devem ser desabilitados
HTTPS: HTTP sobre TLS — obrigatório para qualquer aplicação web
S/MIME e PGP: criptografia ponta-a-ponta para e-mails. Complementado por DMARC, DKIM e SPF para autenticação
VPN (IPSec / WireGuard): túnel criptografado para acesso remoto e comunicação entre sites
mTLS (Mutual TLS): autenticação mútua entre cliente e servidor, comum em APIs críticas

Atenção

Criptografia em trânsito sem criptografia em repouso (e vice-versa) deixa lacunas. Um dado protegido por HTTPS durante a transmissão, mas armazenado sem criptografia no banco, está vulnerável a acessos indevidos ao storage.

Dados em uso (Data in Use)

Dados sendo processados em memória RAM

Dados em uso estão sendo processados ativamente. É o estado mais difícil de proteger porque o dado precisa estar decriptografado para ser utilizado. Ataques como memory scraping, cold boot e side-channel exploram essa vulnerabilidade.

Controles de proteção

Enclaves seguros (TEE): Intel SGX, ARM TrustZone — isolam processamento em área protegida do hardware
Confidential Computing: serviços cloud (Azure Confidential Computing, AWS Nitro Enclaves) que processam dados em enclaves
Criptografia homomórfica: permite operações matemáticas sobre dados criptografados sem decriptar — tecnologia emergente com avanços significativos em 2026
Memory encryption: AMD SME/SEV criptografa a memória RAM no nível do processador
Tokenização: substitui dados sensíveis por tokens durante o processamento

A criptografia pós-quântica terá impacto direto na proteção de dados em todos os estados, especialmente com a evolução de ameaças quânticas.

3 estados = 3 estratégias

Repouso (AES/FDE) + Trânsito (TLS/VPN) + Uso (Enclaves/Tokenização) — proteção completa exige cobertura nos três

Soberania de dados (Data Sovereignty)

Soberania de dados é o princípio de que dados estão sujeitos às leis do país onde estão armazenados ou processados. A localização geográfica dos servidores determina qual legislação se aplica.

Implicações práticas

Dados de brasileiros armazenados nos EUA estão sujeitos à LGPD e às leis americanas (CLOUD Act)
Dados de europeus processados no Brasil exigem conformidade com GDPR e mecanismos de transferência como SCCs
Escolhas de provedores cloud (região do datacenter) afetam diretamente o regime regulatório
Contratos com fornecedores devem especificar onde dados são armazenados e processados

Para um comparativo detalhado entre as legislações, consulte nosso artigo sobre LGPD vs GDPR.

PII — Dados Pessoais Identificáveis

PII (Personally Identifiable Information) são quaisquer dados que, isoladamente ou combinados, possam identificar uma pessoa. São o foco central da LGPD e do GDPR.

Exemplos de PII

Identificadores diretos: nome completo, CPF, RG, número de passaporte
Contato: e-mail pessoal, número de telefone, endereço
Identificadores digitais: endereço IP, cookies, device ID, geolocalização
Biometria: impressão digital, reconhecimento facial, íris — classificados como dados sensíveis pela LGPD

Obrigações regulatórias para PII

LGPD (Brasil): base legal obrigatória, direito de acesso/correção/exclusão, notificação de incidentes
GDPR (UE): consentimento granular, DPIA obrigatório para alto risco, DPO obrigatório em certos cenários
Ambas exigem minimização de dados: coletar apenas o necessário para a finalidade específica

PHI — Dados de Saúde Protegidos

PHI (Protected Health Information) são dados de saúde vinculados a um indivíduo identificável. Representam uma subcategoria crítica de PII com proteções adicionais específicas.

O que constitui PHI

Diagnósticos e histórico médico
Resultados de exames e tratamentos
Prescrições médicas
Números de planos de saúde e registros hospitalares
Dados genéticos e genômicos

HIPAA — Proteção de dados de saúde (EUA)

A HIPAA (Health Insurance Portability and Accountability Act) é a principal regulamentação americana para PHI. Exige:

Administrative safeguards: políticas, treinamento, gestão de acessos
Physical safeguards: controle físico de instalações e equipamentos
Technical safeguards: criptografia, controle de acesso, auditoria, integridade
Breach notification: notificação obrigatória em até 60 dias para incidentes afetando 500+ indivíduos

PHI no Brasil

Embora o Brasil não tenha equivalente direto à HIPAA, a LGPD classifica dados de saúde como dados sensíveis (Art. 11), exigindo base legal específica e medidas técnicas reforçadas. Empresas do setor de saúde que operam internacionalmente devem estar em conformidade com ambas.

Como aplicar na prática

Mapeamento de dados

O primeiro passo é saber o que você tem: quais dados são coletados, onde estão armazenados, como são transmitidos e quem tem acesso. Sem mapeamento, a classificação é apenas teórica.

Definição de políticas por nível

Cada nível de classificação deve ter regras claras:

Público: sem restrições específicas
Interno: acesso autenticado, transmissão por canais corporativos
Confidencial: criptografia obrigatória (repouso + trânsito), DLP ativo, acesso por aprovação
Secreto: todos os controles acima + monitoramento intensificado, enclaves para processamento, auditoria contínua

Integração com DLP e monitoramento

A classificação alimenta diretamente as políticas de DLP: o sistema sabe o que bloquear porque sabe o que é crítico. Sem classificação, DLP gera excesso de falsos positivos ou não detecta o que importa.

Considerações finais

Proteger dados começa por entendê-los. Classificação, estados e contexto regulatório são os três pilares que determinam o que proteger, como proteger e por que proteger.

Organizações que tratam todos os dados da mesma forma desperdiçam recursos em dados públicos e subprotegem dados críticos. A diferença está na maturidade para aplicar o controle certo, no lugar certo, para o dado certo.

Perguntas Frequentes

Quais são os níveis de classificação de dados?

Os níveis mais comuns são: Público, Uso Interno, Confidencial/Restrito e Secreto/Crítico. A classificação define quais controles de proteção devem ser aplicados a cada tipo de dado.

Qual a diferença entre dados em repouso, em trânsito e em uso?

Dados em repouso estão armazenados (disco, banco, backup) e são protegidos com AES-256 ou FDE. Dados em trânsito estão sendo transmitidos e exigem TLS, HTTPS ou VPN. Dados em uso estão em processamento na memória e exigem enclaves seguros ou tokenização.

O que é PII e por que precisa de proteção especial?

PII (Personally Identifiable Information) são dados que identificam uma pessoa: nome, CPF, e-mail, IP, biometria. LGPD e GDPR exigem proteção específica incluindo base legal, consentimento e medidas técnicas adequadas.

O que é soberania de dados e como afeta minha empresa?

Soberania de dados significa que dados estão sujeitos às leis do país onde estão armazenados. Isso impacta escolhas de cloud, transferências internacionais e contratos com fornecedores. Dados de brasileiros nos EUA ficam sujeitos à LGPD e às leis americanas.

Fontes e referências técnicas

NIST SP 800-88 — Guidelines for Media Sanitization
NIST SP 800-175B — Guideline for Using Cryptographic Standards
ISO/IEC 27001:2022 — Annex A 5.12/5.13 (Classification of Information)
LGPD — Lei nº 13.709/2018 (Art. 5, 11, 33)
GDPR — General Data Protection Regulation (Art. 4, 9, 44-49)
HIPAA — Health Insurance Portability and Accountability Act
Confidential Computing Consortium

Precisa estruturar a classificação de dados da sua empresa?

Realizamos mapeamento de dados, definição de políticas de classificação, implementação de controles por nível e adequação regulatória (LGPD, GDPR, HIPAA).

Falar com Especialista

Inteligencia Brasil

Consultoria especializada em Segurança da Informação, Proteção de Dados e Compliance.