Segurança para TPA e Administradoras de Benefícios de Saúde
Uma TPA concentra dados de saúde e o fluxo financeiro de dezenas de operadoras e empresas-cliente em uma única plataforma multi-tenant. Veja como a Decripte audita o isolamento entre clientes, contém vazamentos cross-tenant e estrutura a conformidade LGPD para dado sensível de saúde.
Resposta direta
Para proteger uma TPA ou administradora de benefícios de saúde, a prioridade é garantir três coisas, nesta ordem: isolamento rígido entre tenants (nenhuma operadora ou empresa-cliente pode enxergar sinistro, reembolso ou dado de beneficiário de outra), tratamento de dado pessoal sensível de saúde sob a LGPD com base legal, minimização e criptografia ponta a ponta, e controles antifraude no ciclo de sinistro e repasse (validação de elegibilidade, segregação de função e verificação fora de banda em mudanças de conta bancária). Na prática isso significa um pentest de plataforma multi-tenant que tente quebrar o isolamento por IDOR, escalonamento horizontal e confusão de contexto de tenant; um SOC 24x7 com regras antifraude correlacionando volume de sinistro, padrões de reembolso e exfiltração em massa; cifragem e tokenização de PII e PHI em repouso e trânsito; e um plano de resposta a incidentes com SLA de contenção que já assuma notificação à ANPD e comunicação aos titulares. A Decripte faz exatamente esse trabalho — começa testando o que mais dói (vazamento cross-tenant e fraude de repasse) e estrutura o programa depois. O primeiro passo não custa nada: faça o diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center e veja a superfície exposta da sua plataforma.
24/7
SOC monitorando antifraude e exfiltração
<=1h
SLA de contenção em resposta a incidentes
LGPD
Dado de saúde = dado pessoal sensível (art. 5º, II)
ANS
Conformidade da saúde suplementar
Em resumo
- ›A maior ameaça específica de uma TPA não é o atacante externo genérico, e sim o vazamento cross-tenant: uma falha de isolamento expõe de uma só vez os dados de sinistro de todas as operadoras e empresas-cliente que compartilham a plataforma.
- ›Dado de saúde é dado pessoal sensível pela LGPD (art. 5º, inciso II), com regras mais estritas de base legal, finalidade e segurança — um incidente em TPA é quase sempre incidente de dado sensível em escala, com dever de comunicação à ANPD.
- ›Fraude de sinistro e BEC no repasse atacam o fluxo financeiro: reembolsos para contas controladas por fraudadores, sinistros fabricados e desvio de repasse a prestadores via troca de dados bancários sem verificação fora de banda.
- ›A Decripte atua em modo case: primeiro um pentest multi-tenant que tenta de fato quebrar o isolamento (IDOR, escalonamento horizontal, tenant confusion) e o SOC 24x7 antifraude, depois a estruturação de conformidade ANS e LGPD.
- ›Conversão é self-service: comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center e evolua para os planos pagos em /planos quando quiser cobertura contínua.
Cibersegurança para TPA e Administradoras de Benefícios de Saúde
Uma TPA concentra dados de saúde e o fluxo financeiro de dezenas de operadoras e empresas-cliente em uma única plataforma multi-tenant. Veja como a Decripte audita o isolamento entre clientes, contém vazamentos cross-tenant e estrutura a conformidade LGPD para dado sensível de saúde.
Por que uma TPA de saúde é um alvo concentrado
Uma administradora terceira de benefícios — TPA, de Third-Party Administrator — existe justamente para concentrar processos que seriam caros e repetitivos para cada operadora ou empresa fazer sozinha: cadastro de beneficiários, validação de elegibilidade, processamento de sinistros e reembolsos, repasse a prestadores, conciliação financeira e relatórios de uso. Esse modelo de negócio é eficiente, mas tem um efeito colateral de segurança severo: ele agrega, em uma única plataforma e em um único banco de dados, o dado sensível de saúde e o fluxo financeiro de muitos clientes diferentes ao mesmo tempo.
Para um atacante, isso muda completamente a matemática do esforço. Invadir o ambiente de uma única empresa expõe os dados daquela empresa. Invadir — ou simplesmente abusar de uma falha de isolamento em — uma TPA pode expor, de uma só vez, prontuários de uso, históricos de sinistro, dados de dependentes, valores de reembolso e informações bancárias de dezenas de operadoras e centenas de empresas-cliente. O mesmo esforço rende um vazamento de magnitude muito maior. É o que torna a TPA um alvo desproporcionalmente atraente em relação ao seu tamanho aparente.
O risco que define o setor: vazamento cross-tenant
Em uma arquitetura multi-tenant, todos os clientes compartilham a mesma aplicação e, frequentemente, o mesmo banco de dados, separados apenas por uma coluna de tenant_id ou por um filtro na consulta. Se uma única rota, relatório ou exportação esquecer de aplicar esse filtro — ou se um identificador for adivinhável (IDOR) — um cliente passa a enxergar o dado de saúde de outro. Numa TPA, esse é o incidente mais caro e mais provável, e é exatamente o que a Decripte testa primeiro.
Some-se a isso o fato de que o dado tratado é, em quase toda a sua extensão, dado pessoal sensível de saúde. A LGPD trata saúde com rigor adicional: a base legal é mais restrita, a finalidade precisa ser específica, e a expectativa de segurança técnica e organizacional é maior. Um vazamento aqui não é apenas um incidente de TI; é, na prática, um incidente regulatório de larga escala, com dever de comunicação à ANPD e potencial comunicação a milhares de titulares.
O mapa de ameaças específico de TPA e administradoras
Generalizar 'cibersegurança' não ajuda quem opera uma TPA. O que importa é entender quais vetores realmente se aplicam ao modelo de negócio e como cada um se materializa na plataforma. Quatro ameaças dominam o cenário deste sub-setor, e elas se reforçam mutuamente.
Vazamento agregado de dados de saúde
É o pior caso. Uma exfiltração em massa — seja por credencial comprometida de um operador interno, por SQL injection em um relatório, por bucket de armazenamento mal configurado, ou por uma API de exportação sem controle de taxa — drena de uma vez o conjunto de dados sensível de múltiplos tenants. Como o dado é de saúde, a severidade regulatória e reputacional é máxima. A detecção precoce de exfiltração (volume anômalo de leitura, exportações fora do horário, acesso a tenants que aquele operador nunca toca) é a principal linha de defesa do SOC.
Fraude de sinistro, multi-tenant leakage e BEC no repasse
O ciclo de sinistro é dinheiro: sinistros fabricados, duplicados ou para beneficiários inelegíveis desviam recursos, com fraude externa (prestador conluiado) ou interna (operador que aprova para contas conhecidas), exigindo correlação de padrões e segregação de função. O multi-tenant leakage é o vazamento por defeito de isolamento — ninguém invade, mas um cliente legítimo vê o que não deveria por IDOR, escalonamento horizontal ou confusão de contexto de tenant (o token diz tenant A, a consulta serve B). E o BEC no reembolso e repasse é o fraudador que se passa por prestador, operadora ou financeiro interno para trocar dados bancários de repasse ou aprovar reembolso para uma conta que controla — sem verificação fora de banda, um único e-mail bem feito redireciona repasses legítimos.
Vetores que a Decripte verifica em uma TPA
- ✓Isolamento entre tenants em todas as rotas, relatórios e exportações
- ✓IDOR e escalonamento horizontal sobre sinistros, reembolsos e cadastros
- ✓Confusão de contexto de tenant em tokens e sessões
- ✓Controle de taxa e detecção de exfiltração em massa nas APIs de exportação
- ✓Segregação de função no ciclo cadastro -> aprovação -> pagamento
- ✓Verificação fora de banda em toda mudança de dados bancários de repasse
- ✓Cifragem e tokenização de PII e PHI em repouso e trânsito
- ✓Gestão de identidade e revogação de acesso de operadores e prestadores
Os dados de tpa e administradoras de benefícios de saúde já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Quebrar o isolamento de propósito: o pentest multi-tenant
A pergunta central de uma TPA não é 'meu site é seguro?', e sim 'um cliente consegue ver o dado de outro cliente?'. Responder a isso exige um pentest desenhado especificamente para o modelo multi-tenant, e não um scan genérico de vulnerabilidades. A Decripte conduz o teste com pelo menos duas contas de tenants distintos e tenta, metodicamente, fazer uma enxergar a outra.
Na prática, o time percorre cada recurso da plataforma — visualização de sinistro, detalhe de reembolso, relatório de uso, exportação de beneficiários, anexo de documento médico — e troca os identificadores: o ID de sinistro do tenant A é injetado na sessão do tenant B. Se a aplicação devolver o dado, está confirmado o IDOR cross-tenant. O mesmo é feito com parâmetros de tenant em headers, cookies e corpo de requisição, testando se a autorização confia em algo que o cliente controla.
O que diferencia um pentest multi-tenant
Um scanner automatizado de vulnerabilidades praticamente nunca encontra falha de isolamento, porque ele não tem o conceito de 'dois clientes que não deveriam se ver'. Falha de autorização cross-tenant é, por natureza, lógica de negócio — só aparece quando um humano com duas identidades válidas tenta atravessar a fronteira de propósito. Por isso o teste é manual e orientado a cenários, não só ferramenta.
Além do IDOR direto, o teste cobre a confusão de contexto de tenant em arquiteturas mais modernas: tokens JWT cujo claim de tenant não é revalidado no backend, caches que servem a resposta de um tenant para outro sob concorrência, filas e jobs assíncronos que processam o sinistro errado para a empresa errada, e webhooks que entregam evento de um cliente ao endpoint de outro. São falhas que só emergem quando o testador entende o fluxo de dados completo, não apenas a tela.
O entregável não é uma lista de CVEs. É um relatório que demonstra, com prova de conceito reproduzível, exatamente quais fronteiras de tenant podem ser atravessadas, qual dado isso expõe, e a correção precisa — geralmente a aplicação consistente de autorização baseada em tenant na camada de dados (e não apenas na interface), tokens opacos e não-adivinháveis, e testes de regressão automatizados que impeçam a falha de voltar.
SOC 24x7 com inteligência antifraude
Pentest é foto; SOC é filme. Mesmo uma plataforma com isolamento perfeito hoje precisa de monitoramento contínuo porque o ataque que importa numa TPA — exfiltração em massa e fraude de sinistro — acontece através de uso aparentemente legítimo. Uma credencial roubada de operador faz login válido; a fraude de sinistro usa o fluxo normal de aprovação. O que denuncia o abuso é o padrão, não o evento isolado.
O SOC 24x7 da Decripte instrumenta a plataforma para correlacionar sinais que, sozinhos, parecem normais: um operador que de repente lê dez vezes mais sinistros do que sua média, exportações em volume fora do horário comercial, acesso a tenants que aquele perfil nunca tocou, uma sequência de reembolsos para a mesma conta bancária através de beneficiários diferentes, ou um pico de sinistros de um único prestador. Cada um desses é um gatilho antifraude.
Antifraude é detecção de anomalia no comportamento, não só assinatura de ataque
Não existe 'assinatura' de um sinistro fraudulento bem feito — ele parece legítimo. O que o SOC faz é construir a linha de base do comportamento normal (por operador, por prestador, por tenant) e alertar sobre o desvio: o reembolso que vai sempre para a mesma conta, a exportação em massa às 3h, o acesso cross-tenant que a aplicação permitiu. É detecção comportamental aplicada ao dinheiro e ao dado de saúde.
Quando um gatilho dispara, o SOC não apenas alerta — ele triagem, contextualiza e, conforme o runbook acordado, contém. O analista verifica se o volume anômalo é uma campanha legítima de cadastro em massa ou uma exfiltração, e em caso de ameaça real aciona a contenção: bloqueio da sessão, revogação da credencial, suspensão da exportação, congelamento do repasse suspeito. Tudo isso dentro do SLA de contenção, porque numa exfiltração de dado de saúde cada minuto multiplica o número de titulares afetados.
Sinais que o SOC antifraude monitora numa TPA
- ✓Volume anômalo de leitura ou exportação de sinistros por operador
- ✓Acesso a tenants fora do escopo habitual de um perfil
- ✓Reembolsos múltiplos convergindo para a mesma conta bancária
- ✓Mudança de dados bancários de prestador seguida de repasse imediato
- ✓Picos de sinistro por prestador, por valor ou por janela de horário
- ✓Logins de operadores em geografia ou dispositivo inconsistentes
- ✓Chamadas a APIs de exportação sem o controle de taxa esperado
Conformidade ANS e LGPD para dado de saúde
Segurança técnica sem estrutura de conformidade deixa a TPA exposta no flanco regulatório. Dado de saúde é classificado pela LGPD como dado pessoal sensível (art. 5º, inciso II), e isso impõe um regime mais rígido: a base legal para o tratamento é mais restrita do que para dado comum, a finalidade precisa ser específica e informada, e a expectativa de medidas técnicas e administrativas de segurança é proporcionalmente maior.
A Decripte estrutura o programa de conformidade da TPA endereçando os pontos que mais frequentemente faltam: o mapeamento de fluxo de dados (quais dados de quais titulares entram, por quais bases legais, para quais finalidades, por quanto tempo, e para quem são repassados); o papel de cada parte na cadeia (operadora, empresa-cliente, TPA, prestador) como controlador ou operador, com os contratos de tratamento correspondentes; a minimização (a TPA realmente precisa de cada campo que coleta?); e o ciclo de vida do dado, incluindo retenção e eliminação seguras.
Por que a cadeia controlador-operador importa numa TPA
A TPA quase sempre atua como operadora de dados em nome das operadoras e empresas-cliente (os controladores). Isso significa que ela trata dado por conta de terceiros e responde por isso. Definir corretamente esses papéis, formalizá-los em contrato de tratamento e garantir que as instruções de tratamento sejam seguidas é o que separa uma TPA defensável de uma TPA que herda integralmente o risco regulatório dos seus clientes.
No eixo setorial, a TPA opera dentro do ecossistema da saúde suplementar regulado pela ANS. A estruturação inclui alinhar os controles de segurança e privacidade às expectativas regulatórias do setor, garantir trilhas de auditoria que demonstrem quem acessou qual dado de qual beneficiário e quando, e manter a documentação que comprova o programa — porque em saúde a capacidade de demonstrar diligência é tão importante quanto a diligência em si.
Quando a base inclui dados de cartão (para reembolsos e cobranças), entram também os requisitos de PCI-DSS sobre armazenamento, transmissão e processamento de dados de cartão, com tokenização e segmentação do ambiente de dados de portador. A Decripte trata esses regimes de forma integrada, para que controle implementado uma vez sirva a múltiplas exigências, em vez de virarem silos de compliance desconexos.
Quanto custaria um incidente em tpa e administradoras de benefícios de saúde? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Resposta a incidentes quando o dado de saúde vaza
Por mais maduro que seja o programa, a hipótese de incidente nunca é zero — e numa TPA o incidente tende a ser grande. Por isso a resposta precisa estar desenhada e ensaiada antes, não improvisada no calor do momento. A Decripte opera a resposta com um SLA de contenção que reflete a urgência: numa exfiltração de dado de saúde, o tempo entre detecção e contenção determina diretamente quantos titulares e quantos tenants serão afetados.
A resposta a incidentes numa TPA tem uma camada que outros setores não têm na mesma intensidade: a obrigação de comunicação. Um vazamento de dado sensível de saúde aciona o dever de comunicar a ANPD e, conforme o risco aos titulares, comunicá-los. Como a TPA atua majoritariamente como operadora, há ainda o dever de informar os controladores (operadoras e empresas-cliente) afetados. A resposta, portanto, não é só técnica — é técnica, jurídica e de comunicação coordenadas.
O relógio regulatório começa na detecção
Sob a LGPD, a comunicação de incidente à ANPD deve ocorrer em prazo razoável. Numa TPA, isso exige que a resposta já chegue rápido à pergunta crítica: quais titulares, de quais tenants, tiveram qual dado exposto? Sem trilhas de auditoria e logs adequados — algo que a estruturação prévia garante — a empresa não consegue responder a tempo, e a indefinição vira um agravante.
Na fase de erradicação, o foco é fechar a causa-raiz, não só estancar o sintoma. Se o vetor foi cross-tenant leakage por IDOR, não basta corrigir a rota explorada — é preciso aplicar a autorização baseada em tenant de forma consistente em toda a base de código e adicionar testes de regressão. Se foi credencial comprometida, rotaciona-se o segredo, revisam-se todos os acessos daquela identidade e reforça-se o segundo fator. A Decripte entrega o incidente fechado com a fragilidade estrutural resolvida.
Começar é de graça: o diagnóstico de Gestão de Ameaças
O caminho de entrada da Decripte é deliberadamente sem fricção e self-service. Você não precisa de reunião, proposta ou negociação para começar a entender o seu risco. O plano gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center faz um diagnóstico inicial da superfície exposta da sua plataforma — o que está visível, o que vaza, o que um atacante veria primeiro — e entrega isso como um retrato concreto do seu risco atual.
Esse diagnóstico é real, não um isca-e-troca. Ele já prova valor sozinho, mostrando exposições que muitas TPAs não sabem que têm. A partir dele, a evolução para cobertura contínua — pentest multi-tenant aprofundado, SOC 24x7 antifraude, estruturação de conformidade e resposta a incidentes — é uma decisão self-service que você toma quando quiser, vendo os planos pagos em /planos. Sem formulário, sem 'falar com especialista', sem espera.
Comece pelo que mais dói
Para uma TPA, o diagnóstico gratuito em decripte.com.br/intelligence-center é o jeito mais rápido de ver se a sua plataforma multi-tenant vaza dado entre clientes e qual é a sua superfície exposta. Depois, /planos cobre o resto: monitoramento contínuo, antifraude e conformidade de dado de saúde. Tudo no seu ritmo, tudo self-service.
Anatomia de um vazamento cross-tenant em uma TPA de saúde (exemplo real descaracterizado)
Exemplo real descaracterizado
Exemplo real descaracterizado (sem identificar o cliente). Uma TPA de porte médio processa sinistros e reembolsos para cerca de 40 operadoras e empresas-cliente em uma única plataforma multi-tenant. Cada cliente acessa um portal para acompanhar o uso e os reembolsos dos seus beneficiários. A separação entre clientes é feita por um filtro de empresa_id aplicado nas consultas da aplicação. Um analista de uma das empresas-cliente percebe que, ao trocar o número do sinistro na URL de um relatório de reembolso, o portal exibe o detalhe de um sinistro que não pertence à sua empresa — incluindo nome do beneficiário, procedimento e valor. Ele reporta o achado ao financeiro, que aciona a TPA.
Detecção
A TPA aciona a Decripte com o relato do cliente. O time confirma em minutos a hipótese de IDOR cross-tenant: a rota de detalhe de reembolso recebia o ID do sinistro mas não revalidava se aquele sinistro pertencia ao tenant da sessão. O SOC verifica os logs de acesso e identifica que o padrão de troca sequencial de IDs já havia ocorrido em outras sessões nas semanas anteriores, sinalizando possível enumeração além do relato pontual.
Contenção
Dentro do SLA de contenção, a Decripte coordena a desativação imediata da rota vulnerável de detalhe por ID direto e a aplicação de um controle de autorização emergencial que rejeita qualquer requisição cujo sinistro não pertença ao tenant da sessão. As exportações em massa são temporariamente suspensas e as sessões ativas suspeitas são revogadas, estancando a possibilidade de continuar atravessando a fronteira de tenant.
Investigação
Com a hemorragia estancada, o time correlaciona os logs para responder à pergunta regulatória central: quais sinistros, de quais tenants, foram efetivamente acessados de forma indevida, e por quais identidades. A análise delimita o escopo real do vazamento — distinguindo o acesso legítimo do indevido — e identifica os titulares e os controladores (operadoras e empresas-cliente) afetados, base para a comunicação obrigatória.
Erradicação
A correção pontual vira correção estrutural. A Decripte orienta a aplicação consistente de autorização baseada em tenant na camada de dados — não apenas na interface — em todas as rotas de sinistro, reembolso, relatório e exportação. Identificadores sequenciais e adivinháveis são substituídos por identificadores opacos. São adicionados testes automatizados de regressão que tentam, em cada build, atravessar a fronteira de tenant e falham o deploy se conseguirem.
Recuperação
As rotas corrigidas são reativadas após validação por um re-teste focado em isolamento, conduzido com duas contas de tenants distintos. O SOC 24x7 entra em monitoramento reforçado para detectar qualquer tentativa de enumeração de IDs ou exportação anômala. A TPA executa, com apoio da Decripte, a comunicação à ANPD e aos controladores afetados, com o escopo do incidente documentado.
Lições e estruturação
O incidente expõe que o isolamento dependia de um filtro frágil aplicado caso a caso. A TPA contrata pentest multi-tenant recorrente, SOC 24x7 antifraude e a estruturação de conformidade LGPD para dado de saúde, formalizando ainda os papéis de controlador e operador na cadeia. O isolamento passa a ser um requisito testado a cada release, não uma suposição.
Desfecho com a Decripte
O que começou como um relato pontual de um cliente foi contido dentro do SLA, teve o escopo real delimitado por investigação forense e foi erradicado na raiz com autorização por tenant consistente e testes de regressão. A TPA cumpriu o dever de comunicação à ANPD e aos controladores com escopo documentado, e saiu do incidente com um programa de segurança estruturado: pentest multi-tenant recorrente, SOC 24x7 antifraude e conformidade de dado de saúde. O isolamento entre clientes deixou de ser uma suposição e passou a ser uma garantia verificada continuamente.
Não espere o incidente acontecer. Comece a blindar tpa e administradoras de benefícios de saúde hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em uma TPA de saúde
A resposta a incidentes numa TPA combina velocidade técnica com obrigação regulatória, porque o dado é sensível e o número de titulares e tenants afetados cresce a cada minuto sem contenção. O processo da Decripte segue passos claros, com SLA de contenção e a camada de comunicação obrigatória embutida desde o início.
- Acionamento e triagem imediata: o time confirma a natureza do incidente (vazamento cross-tenant, exfiltração em massa, fraude de sinistro ou BEC de repasse) e classifica a severidade, já assumindo que dado sensível de saúde está em jogo.
- Contenção dentro do SLA: bloqueio da rota ou função explorada, revogação de credenciais e sessões comprometidas, suspensão de exportações e congelamento de repasses suspeitos, estancando a propagação para mais titulares e tenants.
- Preservação de evidências e investigação forense: coleta e correlação de logs para responder à pergunta crítica — quais titulares, de quais tenants, tiveram qual dado exposto, por qual identidade e em que janela.
- Delimitação de escopo regulatório: distinção entre acesso legítimo e indevido, identificação dos titulares e dos controladores afetados, e preparação da base factual para a comunicação à ANPD.
- Erradicação da causa-raiz: correção estrutural do vetor (autorização por tenant consistente, identificadores opacos, rotação de segredos, reforço de segundo fator) e não apenas do sintoma explorado.
- Comunicação coordenada: apoio à notificação da ANPD em prazo razoável, à comunicação aos titulares conforme o risco, e à informação dos controladores (operadoras e empresas-cliente) afetados.
- Recuperação validada: reativação dos serviços corrigidos somente após re-teste focado em isolamento e antifraude, com monitoramento reforçado do SOC no período pós-incidente.
- Relatório e plano de não-recorrência: entrega do incidente fechado com prova da correção, testes de regressão implantados e recomendações de estruturação para que a mesma fragilidade não volte.
Como a Decripte estrutura a segurança de uma TPA de saúde
Depois de conter o que dói, o trabalho é tornar a TPA estruturalmente defensável. A Decripte organiza a segurança em pilares que se reforçam, com foco no que é específico do modelo multi-tenant e do dado de saúde.
Isolamento de tenant verificado por design e por teste
Autorização baseada em tenant aplicada de forma consistente na camada de dados, identificadores opacos e não-adivinháveis, e testes automatizados de regressão que tentam atravessar a fronteira de tenant a cada release e falham o deploy se conseguirem. O isolamento deixa de ser suposição e vira requisito verificado.
Proteção e governança do dado sensível de saúde
Cifragem e tokenização de PII e PHI em repouso e trânsito, minimização de coleta, mapeamento de fluxo de dados, definição clara de retenção e eliminação, e trilhas de auditoria que registram quem acessou qual dado de qual beneficiário e quando — base técnica para a conformidade LGPD.
Controles antifraude no ciclo de sinistro e repasse
Segregação de função entre cadastro, aprovação e pagamento; verificação fora de banda obrigatória em toda mudança de dados bancários de repasse; e detecção comportamental de anomalias (volume, valor, prestador, conta de destino) operada pelo SOC 24x7.
Conformidade LGPD e ANS integrada
Definição correta dos papéis de controlador e operador na cadeia, contratos de tratamento, base legal e finalidade para dado de saúde, alinhamento às expectativas regulatórias da saúde suplementar e — quando há dado de cartão — aos requisitos de PCI-DSS, com controles compartilhados entre regimes.
Monitoramento contínuo e resposta ensaiada
SOC 24x7 com regras antifraude e detecção de exfiltração, runbooks de resposta com SLA de contenção, e a camada de comunicação obrigatória (ANPD, titulares, controladores) desenhada e ensaiada antes do incidente, não improvisada durante.
Gestão de vulnerabilidades e pentest recorrente
Ciclo contínuo de identificação, priorização e correção de vulnerabilidades, com pentest multi-tenant recorrente que reataca o isolamento a cada evolução da plataforma, garantindo que novas funcionalidades não reintroduzam falhas de cross-tenant leakage.
Planos recomendados para TPA e Administradoras de Benefícios de Saúde
Pentest
O pentest de plataforma multi-tenant é o controle mais específico e mais crítico para uma TPA: só um teste manual orientado a cenários, com duas contas de tenants distintos, revela falhas de isolamento (IDOR cross-tenant, escalonamento horizontal, confusão de contexto de tenant) que scanners automatizados não pegam.
Ver plano →SOC 24x7
A exfiltração em massa de dado de saúde e a fraude de sinistro acontecem por uso aparentemente legítimo; o SOC 24x7 com regras antifraude detecta o desvio de comportamento (volume anômalo, acesso cross-tenant, reembolsos convergindo para a mesma conta) e contém em tempo real.
Ver plano →Resposta a Incidentes
Numa TPA, o incidente é grande e regulado: a Resposta a Incidentes com SLA de contenção <=1h garante que o vazamento de dado sensível seja estancado rápido e que a comunicação obrigatória à ANPD, aos titulares e aos controladores seja conduzida com escopo documentado.
Ver plano →Conformidade
Dado de saúde é dado pessoal sensível pela LGPD e a TPA opera dentro da saúde suplementar regulada pela ANS; estruturar base legal, papéis controlador-operador, minimização e trilhas de auditoria é o que torna a TPA defensável no flanco regulatório.
Ver plano →Perguntas frequentes
O que é exatamente vazamento cross-tenant e por que ele é o maior risco de uma TPA?
É quando um cliente legítimo da plataforma consegue ver o dado de outro cliente por causa de uma falha de isolamento — não por invasão, mas por defeito de autorização. Numa TPA, que concentra dado de saúde de muitas operadoras e empresas, uma única falha desse tipo pode expor de uma só vez os sinistros e reembolsos de todos os tenants. Por isso é o cenário mais caro e o primeiro que a Decripte testa. Você pode começar avaliando sua exposição em decripte.com.br/intelligence-center.
Um scanner de vulnerabilidades já não detecta falha de isolamento entre clientes?
Praticamente nunca. Scanners automatizados não têm o conceito de 'dois clientes que não deveriam se ver' — falha de autorização cross-tenant é lógica de negócio e só aparece quando um humano com duas identidades válidas tenta atravessar a fronteira de propósito. Por isso o pentest multi-tenant da Decripte é manual e orientado a cenários, conduzido com contas de tenants distintos.
Dado de saúde tem regras diferentes de dado comum na LGPD?
Sim. A LGPD classifica dado de saúde como dado pessoal sensível (art. 5º, inciso II), com regime mais rígido: base legal mais restrita, finalidade específica e maior expectativa de segurança técnica e organizacional. Um incidente em TPA é quase sempre incidente de dado sensível em escala, com dever de comunicação à ANPD. A Decripte estrutura a conformidade considerando esse rigor adicional.
Minha TPA é controladora ou operadora dos dados que processa?
Na maioria dos casos, a TPA atua como operadora, tratando dado por conta das operadoras e empresas-cliente, que são as controladoras. Isso não elimina sua responsabilidade — você responde por seguir as instruções de tratamento e por segurança. Definir corretamente esses papéis e formalizá-los em contrato de tratamento é parte do trabalho de estruturação de conformidade da Decripte.
Como vocês detectam fraude de sinistro se ela usa o fluxo normal de aprovação?
Por detecção comportamental. Não há assinatura de um sinistro fraudulento bem feito — ele parece legítimo. O SOC 24x7 constrói a linha de base do comportamento normal por operador, prestador e tenant, e alerta sobre o desvio: reembolsos convergindo para a mesma conta, picos de sinistro por prestador, exportações fora de horário, acesso a tenants fora do escopo habitual.
O que é BEC no repasse e como se previne?
Business Email Compromise direcionado ao fluxo financeiro: um fraudador se passa por prestador, operadora ou financeiro interno para trocar dados bancários de repasse ou aprovar reembolso para conta que controla. A prevenção central é a verificação fora de banda obrigatória — confirmar toda mudança de conta por um canal independente — combinada com segregação de função e monitoramento de mudanças de dados bancárias seguidas de repasse imediato.
Quanto tempo a Decripte leva para conter um vazamento de dado de saúde?
A Resposta a Incidentes opera com SLA de contenção de até 1 hora. Numa exfiltração de dado de saúde isso é decisivo, porque cada minuto sem contenção multiplica o número de titulares e tenants afetados. A contenção inclui bloquear a função explorada, revogar credenciais e sessões, suspender exportações e congelar repasses suspeitos.
Como começo sem compromisso?
Pelo plano gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center, que faz um diagnóstico real da superfície exposta da sua plataforma multi-tenant. Ele já prova valor sozinho, mostrando exposições que muitas TPAs não sabem que têm. Quando quiser cobertura contínua — pentest, SOC 24x7, conformidade e resposta — você evolui de forma self-service vendo os planos em /planos. Sem formulário, sem espera.
Termos do setor
- TPA (Third-Party Administrator)
- Administradora terceira que processa, em nome de operadoras e empresas-cliente, atividades como cadastro de beneficiários, validação de elegibilidade, processamento de sinistros e reembolsos e repasse a prestadores — concentrando dado de saúde e fluxo financeiro de muitos clientes em uma só plataforma.
- Vazamento cross-tenant
- Exposição de dado de um cliente para outro em uma plataforma multi-tenant por falha de isolamento ou autorização, sem que haja necessariamente invasão; é o risco mais característico e mais caro de uma TPA de saúde.
- IDOR (Insecure Direct Object Reference)
- Falha em que a aplicação usa um identificador (por exemplo, o número de um sinistro) sem verificar se o usuário tem permissão sobre aquele objeto, permitindo que ele acesse dados de outro cliente apenas trocando o identificador na requisição.
- Dado pessoal sensível
- Categoria da LGPD (art. 5º, inciso II) que inclui dado referente à saúde, sujeita a regime de tratamento mais rígido — base legal restrita, finalidade específica e maior exigência de segurança técnica e organizacional.
- BEC (Business Email Compromise)
- Fraude em que o atacante se passa por uma parte confiável (prestador, operadora, financeiro interno) para induzir uma ação financeira indevida, como a troca de dados bancários de repasse ou a aprovação de um reembolso para conta controlada pelo fraudador.
- Verificação fora de banda
- Confirmação de uma solicitação sensível — como mudança de conta bancária de repasse — por um canal independente daquele em que ela foi recebida, principal defesa contra BEC no fluxo financeiro de uma TPA.
A Decripte protege e responde a incidentes no setor de tpa e administradoras de benefícios de saúde.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.
