Perguntas e respostas · sem rodeio.
Compilado das 22 perguntas mais recorrentes sobre o Security Radar, separadas em 4 categorias: gerais, LGPD, técnicas e comerciais. Todas respondidas em pt-BR direto · entidades normativas preservadas · schema FAQPage canonical pra Rich Results.
§ FAQ · gerais
Sobre o Indícia.
O que é o Indícia Security Radar?
SaaS brasileiro de monitoramento contínuo de postura de segurança aplicacional + conformidade LGPD. Executa 7 atos (descoberta, fingerprint, DAST OWASP Top 10:2025, LGPD-BR 187 templates, triagem CVSS v3.1, evidência SHA-256+Merkle, publicação) em 4 min 23 s por ciclo.
Como o Radar se diferencia de Nessus, Qualys, Detectify?
Somos opinionados em LGPD-BR com 187 templates brasileiros curados + evidência forense (SHA-256 + Merkle RFC 6962) pensando em auditoria local com ANPD. Menos features gerais, mais densidade regulatória brasileira.
Preciso de pentest manual além do scanner?
Depende da maturidade. Scanner automatizado cobre catálogo OWASP Top 10:2025 + LGPD-BR continuamente. Pentest é melhor pra lógica de negócio específica, abuse cases e chained exploits. Complementares · não substitutos.
Scan é ativo ou passivo?
Atos I-II (Subfinder + httpx) são majoritariamente passivos. Ato III (Nuclei DAST) é ativo mas com rate-limit de 2 req/s. Você deve declarar autorização sobre cada domínio cadastrado (Lei 12.737/2012).
Quanto tempo pro primeiro resultado?
Média: 5 minutos do signup até o primeiro dashboard com findings. Scan completo: 4 min 23 s. Se for domínio grande (>500 subdomínios), pode levar 8-15 min.
§ FAQ · LGPD
LGPD + ANPD.
O radar substitui um DPO?
Não. Executa o trabalho braçal (ROPA atualizado, templates LGPD-BR, detecção de incidentes técnicos). Decisão estratégica permanece com DPO humano. Complementares. Res. CD/ANPD 2/2022 valida DPOaaS.
Dados sensíveis (Art. 11) são tratados diferente?
Sim. Art. 11 limita bases legais a 5 (vs 10 do Art. 7º) · fiscalização mais rigorosa. Templates LGPD-BR identificam quando endpoint expõe dado sensível + sugere base legal compatível.
Como evidência SHA-256 + Merkle ajuda na fiscalização?
Cada finding recebe hash SHA-256 (NIST FIPS 180-4). Todos os findings de um ciclo formam folhas de uma Merkle tree (RFC 6962). Raiz é publicada + assinada · atenuante forte na dosimetria Res. CD/ANPD 4/2023.
Incidente LGPD: o radar detecta automaticamente?
Parcialmente. Detecta vulnerabilidades que podem levar a incidente (CPF exposto, IDOR, credential leak). Incidente efetivo (exfiltração comprovada) exige investigação forense + comunicação ANPD em 3 dias úteis (Res. CD/ANPD 15/2024).
Minha empresa é pequeno porte · preciso mesmo de radar?
Res. 2/2022 dispensa pequeno porte de DPO formal, mas não dispensa segurança técnica (Art. 46 LGPD). Radar R$ 0 (Sinal) ou R$ 199 (Indício) é proporcional · gera trilha auditável.
§ FAQ · técnicas
Stack + integrações.
Stack usado pelos scanners?
Subfinder 2.6 (descoberta passiva) · httpx 1.6 (fingerprint) · Nuclei 3.3 (DAST) · todos ProjectDiscovery MIT. CVSS v3.1 via FIRST.org spec. SHA-256 NIST FIPS 180-4. Merkle tree RFC 6962.
Rate limit do scanner · posso ajustar?
Default 2 req/s por host. Tier Radar+ permite configurar entre 0.5-10 req/s. Cloudflare/Akamai costumam tolerar ≤2 req/s sem ativar WAF · valores altos podem trigger challenge.
Integrações webhook suportadas?
Slack · Jira · PagerDuty · GitHub Issues · Linear · Discord. Payload HMAC-SHA-256 signed · retry 3× com exponential backoff (1s/2s/4s) + jitter. DLQ via
retryFailedEvents scheduler 30min. Export · quais formatos?
PDF assinado SHA-256 (todos os tiers) · CSV (Indício+) · JSON (Radar+) · CycloneDX SBOM (Perímetro+/Enterprise). Export respeitará filtros do dashboard (severity, date range, domínio).
Posso rodar on-premises?
Apenas Enterprise. Kubernetes customer-managed · imagens Docker assinadas · zero telemetria. Provisionamento 2-6 semanas · contato via
comercial@indicia.com.br. API pra automação?
Sim em tier Radar+. REST JSON API documentada em OpenAPI 3.1 · autenticação por token + MFA. Rate-limit 120 req/min. Endpoints: scans, findings, exports, webhooks management.
Ambiente de staging pode ser escaneado?
Sim. Autorize o domínio staging no painel separadamente. Scans de staging não contam pro quota de produção. Útil pra testar fix antes de deploy.
§ FAQ · comerciais
Preço + cobrança.
Preço · quanto custa?
Sinal R$ 0 (1 domínio · scan semanal · findings CRIT/HIGH) · Indício R$ 199/mês · Radar R$ 599/mês (most popular) · Perímetro R$ 1.799/mês. Anual -20%. Enterprise: 6 dígitos/ano.
Cancelamento · como funciona?
Mensal: cancela no mês corrente via Stripe Portal · sem multa. Anual: reembolso proporcional em 10 dias úteis. Enterprise: aviso 60 dias conforme contrato individual.
Preciso de cartão pra criar Sinal?
Não. Tier Sinal é grátis sem cartão. Upgrades pra Indício+ exigem cartão ou boleto anual.
Tier errado · posso fazer downgrade?
Sim, a qualquer momento via Stripe Portal. Downgrades aplicam no próximo ciclo · reembolso proporcional se anual.
Nota fiscal · quando é emitida?
Mensal · até o dia 5 do mês seguinte · CNPJ Indícia 30.118.700/0001-46. Anual: única NF no ato da contratação. Enterprise: conforme contrato (mensal/trimestral/anual).