Glossário · técnico e regulatório.
28 termos técnicos e regulatórios que aparecem no Indícia Security Radar, nos
clusters doutrinários e em fiscalizações da ANPD. Cada entrada é um
DefinedTerm com `@id` próprio · pode ser linkada diretamente de outros
conteúdos como /recursos/glossario#dpo ou
/recursos/glossario#cvss.
- ANPD
- Autoridade Nacional de Proteção de Dados · autarquia federal brasileira responsável pela LGPD. Autonomia plena desde 2023 (Lei 14.460/22). Fiscaliza · aplica sanções (Res. CD/ANPD 4/2023).
- ASM
- Attack Surface Management · monitoramento contínuo da superfície de ataque pública de uma organização. Indícia opera como ASM + LGPD-BR.
- BOLA
- Broken Object Level Authorization · vulnerabilidade OWASP API Security onde usuário acessa objeto de outro usuário. Cai em A01 Broken Access Control do OWASP Top 10:2025.
- CSP
- Content Security Policy · header HTTP que restringe recursos carregáveis pela página (scripts, estilos, imagens). Mitigação padrão contra XSS.
- CVE
- Common Vulnerabilities and Exposures · identificador único pra vulnerabilidade publicada. Mantido pela MITRE · indexado pelo NVD (NIST).
- CVSS
- Common Vulnerability Scoring System · score 0-10 de severidade mantido pela FIRST.org. v3.1 dominante em 2026 · v4.0 (2023) como suplementar.
- CWE
- Common Weakness Enumeration · taxonomia granular de fraquezas de software mantida pela MITRE. Complementa OWASP Top 10 · referência técnica.
- DAST
- Dynamic Application Security Testing · scan ativo de endpoints em execução. Nuclei é ferramenta DAST open-source. Complementa SAST + SCA.
- DPA
- Data Processing Agreement · contrato entre controlador e operador formalizando tratamento de dados pessoais. Obrigatório pelo Art. 39 LGPD.
- DPIA
- Data Protection Impact Assessment · relatório de impacto à proteção de dados pessoais. Também chamado RIPD no Brasil. Art. 38 LGPD + Res. CD/ANPD 18/2024.
- DPO
- Data Protection Officer · encarregado de proteção de dados. Art. 41 LGPD. Pode ser interno, externo ou DPOaaS. Pequeno porte dispensado (Res. CD/ANPD 2/2022).
- GDPR
- General Data Protection Regulation · norma europeia de proteção de dados (2018). Inspirou a LGPD brasileira mas tem regime mais rigoroso.
- HSTS
- HTTP Strict Transport Security · header que força navegador a usar HTTPS. Previne downgrade attack. Recomendação de baseline em segurança web.
- IDOR
- Insecure Direct Object Reference · mesmo conceito de BOLA mas nomenclatura OWASP Web Top 10. Cai em A01 Broken Access Control.
- ISO 27001
- ISO/IEC 27001:2022 · norma internacional de sistema de gestão de segurança da informação (ISMS). 93 controles em 4 temas. Certificável.
- LGPD
- Lei Geral de Proteção de Dados Pessoais · Lei 13.709/18. Vigente desde agosto de 2020. Fiscalizada pela ANPD. Inspirada no GDPR com adaptações brasileiras.
- NIST CSF
- NIST Cybersecurity Framework · framework US federal de gestão de segurança. Versão 2.0 (2024) tem 6 funções: Govern, Identify, Protect, Detect, Respond, Recover.
- OWASP
- Open Worldwide Application Security Project · fundação sem-fins-lucrativos dedicada a segurança aplicacional. Mantém Top 10, ASVS, MASVS, SAMM.
- PTES
- Penetration Testing Execution Standard · metodologia padronizada de pentest em 7 fases. Referência pra organizar testes de intrusão.
- RIPD
- Relatório de Impacto à Proteção de Dados Pessoais · equivalente brasileiro do DPIA (GDPR). Art. 38 LGPD + Res. CD/ANPD 18/2024.
- ROPA
- Record of Processing Activities · Registro de Operações de Tratamento. Art. 37 LGPD · documento obrigatório com 6 atributos mínimos.
- SAST
- Static Application Security Testing · análise estática de código-fonte. Ferramentas: Semgrep, CodeQL, SonarQube, Snyk Code. Complementa DAST.
- SBOM
- Software Bill of Materials · inventário estruturado de componentes de software. CycloneDX + SPDX são formatos dominantes. Crítico pra supply chain security.
- SCA
- Software Composition Analysis · detecção de vulnerabilidades em dependências de terceiros. Dependabot, Renovate, OSV Scanner. Essencial pós-log4j/XZ Utils.
- SOC 2
- System and Organization Controls 2 · attestation emitida por auditor CPA sobre 5 Trust Services Criteria. Type II cobre 6-12 meses de observação. Padrão SaaS B2B US.
- TLS
- Transport Layer Security · protocolo criptográfico que sucede SSL. Versão 1.3 é baseline recomendado. TLS 1.0/1.1 considerados inseguros · 1.2 aceitável.
- XSS
- Cross-Site Scripting · injeção de JavaScript malicioso em página vulnerável. 3 variantes: reflected, stored, DOM-based. Mitigação: CSP + output encoding.
- XZ Utils
- Biblioteca OSS de compressão comprometida em 2024 por backdoor inserido por contributor malicioso (CVE-2024-3094). Exemplo-chave do risco de supply chain.