Tecnologia e SaaS · Case de Cibersegurança

Segurança para empresas SaaS B2B: isolamento multi-tenant, SDLC seguro e resposta a incidentes

Plataformas multi-tenant concentram os dados de dezenas ou centenas de empresas clientes. Uma única falha de isolamento pode vazar dados entre tenants e transformar seu produto no vetor de ataque dos seus próprios clientes. A Decripte encontra essas falhas via pentest, responde a incidentes em tempo real com SOC 24x7 e estrutura a segurança multi-tenant ponta a ponta.

Resposta direta

Para proteger uma empresa SaaS B2B, trate o isolamento entre tenants como o controle de segurança mais crítico do produto: toda consulta a banco, chamada de API, objeto em storage e token de sessão precisa carregar e validar o tenant_id no servidor, nunca confiando em um identificador enviado pelo cliente. Some a isso um SDLC seguro com revisão de código focada em autorização (IDOR/BOLA), testes de penetração recorrentes com cenários cross-tenant explícitos, gestão contínua de vulnerabilidades sobre a cadeia de dependências, hardening de SSO/SCIM e dos endpoints de API, e monitoramento 24x7 capaz de detectar acesso anômalo entre tenants. A Decripte cobre esse ciclo completo — descoberta via pentest, resposta coordenada a incidentes com SLA de contenção de até 1 hora e estruturação rumo a SOC 2 — e oferece diagnóstico gratuito de exposição em decripte.io/free.

Comece grátis agora Ver planos pagos

24/7

SOC monitorando tenants e APIs

≤1h

SLA de contenção de incidentes

SOC 2

Estruturação Type I e Type II

OWASP

Pentest API e BOLA/IDOR

Em resumo

›O isolamento multi-tenant é o controle mais crítico de um SaaS B2B: comprometê-lo significa vazar dados de muitos clientes de uma só vez, e por isso provedores são alvos de alto valor.
›Falhas de autorização (IDOR/BOLA) e validação de tenant feita no cliente em vez do servidor são as causas mais comuns de vazamento cross-tenant.
›APIs e SSO/SCIM ampliam a superfície de ataque: chaves vazadas, tokens mal validados e provisionamento automático mal configurado permitem account takeover de administradores.
›A cadeia de suprimentos de software (dependências, pacotes, integrações de terceiros) precisa de gestão contínua de vulnerabilidades, não apenas verificação pontual.
›SOC 2 não é só auditoria: é a evidência que clientes enterprise exigem de que o isolamento, o monitoramento e a resposta a incidentes existem e funcionam.
›A Decripte une pentest com cenários cross-tenant, SOC 24x7, gestão de vulnerabilidades e estruturação de conformidade num ciclo contínuo de descoberta, resposta e endurecimento.

Tecnologia e SaaS

Cibersegurança para SaaS B2B

Comece grátis agora Ver planos pagos

Por que plataformas SaaS B2B são alvo de alto valor

Um produto SaaS B2B é, por definição, uma concentração de confiança. Cada empresa cliente entrega à plataforma seus dados de negócio, credenciais de usuários, integrações com sistemas internos e, frequentemente, dados pessoais de seus próprios clientes finais. Quando um único provedor hospeda dezenas, centenas ou milhares dessas organizações em uma arquitetura multi-tenant compartilhada, comprometer o provedor passa a render acesso a todas elas de uma vez. Para um atacante, isso muda completamente a economia do ataque: em vez de invadir cem empresas individualmente, basta encontrar uma falha no SaaS que as serve.

Essa lógica de ataque a um ponto único para alcançar muitos é o que se chama de comprometimento de fornecedor, ou supply chain attack do ponto de vista dos clientes. O SaaS deixa de ser apenas um produto e se torna parte da superfície de ataque de cada organização que o utiliza. Por isso, equipes de segurança de empresas compradoras tratam o seu SaaS como um fornecedor de risco, exigindo evidências formais de controles — questionários de segurança, relatórios SOC 2, comprovações de pentest e cláusulas contratuais de notificação de incidentes. A maturidade de segurança deixou de ser um diferencial de marketing e passou a ser pré-requisito de venda no segmento enterprise.

A regra de ouro do multi-tenant

Em uma plataforma multi-tenant, o controle de isolamento entre clientes é o controle mais crítico que existe. Toda decisão de autorização precisa amarrar a operação ao tenant correto no servidor. Um único endpoint que confia no tenant_id enviado pelo navegador é suficiente para transformar uma API legítima em um canal de vazamento entre empresas.

Há ainda um agravante de imagem e contrato. Quando um SaaS sofre um incidente, ele não responde apenas perante a ANPD ou seus reguladores: ele precisa notificar simultaneamente todos os clientes afetados, cada um com seu próprio time jurídico, seu próprio dever de comunicar titulares e, muitas vezes, suas próprias obrigações regulatórias setoriais. Um incidente em um SaaS B2B é, na prática, vários incidentes encadeados. A resposta precisa ser rápida, tecnicamente precisa e coordenada com múltiplos stakeholders ao mesmo tempo.

As cinco ameaças que mais derrubam SaaS B2B

1. Falhas de isolamento multi-tenant

O isolamento pode ser implementado de várias formas — banco por tenant, schema por tenant ou linha por tenant com uma coluna tenant_id em tabelas compartilhadas. O modelo de linha compartilhada é o mais econômico e o mais perigoso, porque o isolamento deixa de ser garantido pela infraestrutura e passa a depender de cada consulta da aplicação incluir corretamente o filtro de tenant. Basta um desenvolvedor esquecer a cláusula em um relatório, um job batch ou um endpoint novo para que dados de um cliente apareçam para outro. Em arquiteturas com cache, o risco se multiplica: uma chave de cache sem o tenant no identificador serve a resposta de um cliente a outro.

2. Vazamento cross-tenant de dados

O vazamento cross-tenant é a materialização da falha de isolamento. Costuma aparecer através de IDOR (Insecure Direct Object Reference) ou BOLA (Broken Object Level Authorization), as categorias que lideram o OWASP API Security Top 10. O padrão é sempre o mesmo: o sistema identifica o objeto pedido pelo seu ID, mas não verifica se aquele objeto pertence ao tenant do usuário autenticado. Trocar um número na URL ou no corpo da requisição passa a retornar dados de outra empresa. Como o usuário está legitimamente autenticado, esse acesso muitas vezes não dispara nenhum alerta — ele se parece com tráfego normal.

O ponto cego dos logs

Vazamentos cross-tenant via IDOR frequentemente não aparecem em logs de segurança convencionais porque o atacante está autenticado e usando a API exatamente como ela foi feita para ser usada. Sem correlação de qual tenant um usuário deveria acessar versus qual ele de fato acessou, o SOC fica cego. Por isso o monitoramento precisa ser consciente de tenant, não apenas de IP e payload.

3. Comprometimento de APIs e SSO

SaaS B2B é, em essência, API. Chaves de API com escopo amplo demais, tokens JWT cuja assinatura ou claim de tenant não é validada no servidor, ausência de rate limiting e endpoints administrativos expostos são portas de entrada clássicas. No SSO, os riscos se concentram na validação de asserções SAML e tokens OIDC: assinaturas não verificadas, ataques de confusão de chave, falta de checagem de audience e binding incorreto entre identidade federada e tenant. Um erro nessa camada permite que um atacante se autentique como usuário — ou administrador — de outro cliente.

4. Supply chain e dependências

Aplicações SaaS modernas são montadas sobre centenas de bibliotecas de terceiros, imagens de contêiner e integrações externas. Uma dependência vulnerável, um pacote malicioso introduzido via typosquatting ou uma credencial vazada em pipeline de CI/CD pode comprometer a build inteira. Como o código de terceiros roda com os privilégios da aplicação, ele tem o mesmo acesso aos dados de todos os tenants. Gestão de vulnerabilidades aqui não é escanear uma vez por trimestre — é manter inventário (SBOM), monitorar continuamente e ter processo de patch com SLA.

5. Account takeover de administradores

Em um SaaS B2B, o usuário administrador de um tenant tem poder sobre todos os usuários e dados daquela empresa. Tomar essa conta — via phishing, reutilização de senha, ausência de MFA ou falha no fluxo de recuperação de senha — dá ao atacante controle total sobre aquele cliente. Pior ainda é o comprometimento de uma conta de operador da própria plataforma, que pode ter visibilidade cruzada sobre múltiplos tenants para fins de suporte. Esses acessos privilegiados precisam de MFA forte, segregação de funções e trilha de auditoria imutável.

Vetores prioritários para testar antes de qualquer outra coisa

✓Endpoints de API que recebem IDs de objeto: validam ownership por tenant no servidor?
✓Tokens e sessões: o tenant_id vem do token assinado no servidor, nunca de um parâmetro do cliente?
✓Fluxo de SSO/SAML/OIDC: assinatura, audience e binding de tenant são checados?
✓Provisionamento SCIM e convites: um tenant consegue criar ou ler usuários de outro?
✓Contas administrativas e de operador da plataforma: MFA obrigatório e auditoria de acesso cruzado?
✓Chaves de API e segredos: escopo mínimo, rotação e ausência de exposição em logs e repositórios?

Gestão de Ameaças · Grátis

Os dados de saas b2b já estão expostos ou à venda? Descubra agora — de graça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

Anatomia de uma falha de isolamento (cenário ilustrativo)

Cenário ilustrativo, não cliente real

O caso a seguir é uma reconstrução didática de um padrão de incidente comum em SaaS B2B. Não descreve um cliente específico da Decripte. Foi construído para mostrar, passo a passo, como uma falha de isolamento nasce, é descoberta e é tratada.

Imagine uma plataforma SaaS de gestão de relacionamento que atende centenas de empresas em uma arquitetura de linha compartilhada — todos os tenants no mesmo banco, separados por uma coluna tenant_id. A equipe de produto, sob pressão de prazo, lança um novo endpoint de exportação de relatórios. O endpoint recebe o ID do relatório e devolve o arquivo. O código que monta a consulta filtra pelo ID do relatório, mas o desenvolvedor que escreveu a função de exportação assumiu que a camada anterior já havia validado o tenant — e ela não havia, para esse caminho novo. O resultado: qualquer usuário autenticado de qualquer empresa, alterando o ID do relatório na requisição, recebe relatórios de outros clientes.

A falha passa despercebida por semanas. Não há erro, não há exceção, não há alerta. Os logs registram requisições autenticadas e respostas com código 200. Tudo parece normal. Até que, em um pentest contratado, um analista da Decripte testa exatamente esse vetor — enumeração de IDs de objeto a partir de uma conta legítima de tenant — e recebe de volta dados que pertencem a outra empresa. A partir daí, a anatomia do incidente se desenrola na linha do tempo do estudo de caso abaixo.

Por que o pentest pega o que o scanner não pega

Scanners automáticos enxergam vulnerabilidades técnicas conhecidas, mas raramente entendem a lógica de negócio de um SaaS multi-tenant. Falhas de autorização cross-tenant exigem que o testador entenda o modelo de tenancy, crie duas contas em tenants diferentes e prove o acesso de uma à outra. É um teste manual, orientado a contexto, que só um pentest conduzido por humanos detecta de forma confiável.

O que muda na resposta a incidentes quando o alvo é um SaaS

Responder a um incidente em um SaaS B2B é mais complexo do que em uma empresa tradicional por três razões. Primeiro, a escala da notificação: o provedor precisa identificar quais tenants foram afetados e comunicar cada um deles, respeitando obrigações contratuais e regulatórias distintas. Segundo, a continuidade de negócio: parar a plataforma para conter um vazamento significa parar a operação de todos os clientes ao mesmo tempo, então a contenção precisa ser cirúrgica — bloquear o endpoint vulnerável, revogar tokens, isolar o vetor — sem derrubar o serviço inteiro quando possível. Terceiro, a evidência: clientes enterprise e a ANPD vão exigir um relatório técnico detalhado de causa raiz, escopo e remediação.

Notificação em cascata

Sob a LGPD, o controlador deve comunicar a ANPD e os titulares quando um incidente puder acarretar risco ou dano relevante. Em um SaaS B2B, o provedor costuma ser operador dos dados de cada cliente, que é o controlador. Isso significa que o SaaS precisa notificar prontamente seus clientes (controladores), que por sua vez decidem sobre a comunicação a titulares e à autoridade. Cada hora de atraso na detecção e na comunicação multiplica o risco jurídico de toda a cadeia.

É por isso que o SLA de contenção importa tanto. Quanto antes a Decripte detecta o acesso anômalo no SOC, antes o vetor é bloqueado, menor a janela de exfiltração e menor o universo de tenants potencialmente afetados. Conter em uma hora, em vez de descobrir semanas depois, é a diferença entre um incidente comunicável e controlado e uma crise que se espalha por toda a base de clientes.

Conformidade que o seu cliente enterprise vai exigir

No SaaS B2B, conformidade não é apenas obrigação regulatória — é viabilizador de vendas. O SOC 2, framework de atestação baseado nos Trust Services Criteria do AICPA, tornou-se o padrão de fato que compradores enterprise pedem antes de assinar contrato. Há duas modalidades: o SOC 2 Type I, que avalia o desenho dos controles em um ponto no tempo, e o SOC 2 Type II, que avalia a operação efetiva desses controles ao longo de um período (tipicamente de seis meses a um ano). O Type II é o que tem peso real, porque comprova que os controles não só existem no papel, mas funcionam no dia a dia.

O que normalmente precisa estar de pé para um SaaS

✓SOC 2: política de segurança, controle de acesso, gestão de mudanças, monitoramento e resposta a incidentes documentados e operantes.
✓LGPD: base legal para tratamento, contratos de operador, registro de operações, plano de resposta e canal de comunicação à ANPD e a clientes.
✓ISO 27001: sistema de gestão de segurança da informação (SGSI) quando há demanda internacional ou contratos que exigem certificação.
✓PCI-DSS: obrigatório quando a plataforma processa, transmite ou armazena dados de cartão de pagamento.
✓Gestão de vulnerabilidades documentada: inventário, varredura contínua, SLA de remediação e evidência de pentest periódico.

A Decripte estrutura essa jornada de forma pragmática: primeiro um diagnóstico de lacunas contra o framework alvo, depois a implementação dos controles que faltam — muitos deles diretamente ligados às defesas técnicas multi-tenant descritas aqui — e por fim a preparação para a auditoria. A grande vantagem de tratar conformidade junto com pentest, SOC e gestão de vulnerabilidades é que os controles exigidos pelo SOC 2 são exatamente os que protegem contra os ataques reais. Não é trabalho duplicado: é o mesmo trabalho gerando, de um lado, segurança, e de outro, evidência auditável.

Gestão de Ameaças · Grátis

Quanto custaria um incidente em saas b2b? Veja o seu risco real antes que ele aconteça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

SDLC seguro: prevenir antes de testar

Encontrar falhas de isolamento em pentest é essencial, mas é mais barato e mais seguro não introduzi-las. Por isso a Decripte trabalha o ciclo de desenvolvimento seguro (SDLC) junto com a equipe de engenharia do cliente. Isso significa estabelecer um padrão arquitetural em que o tenant é amarrado no nível mais baixo possível — idealmente uma camada de acesso a dados que injeta o filtro de tenant automaticamente em toda consulta, ou políticas de row-level security no banco, de modo que esquecer o filtro deixe de ser uma possibilidade humana.

Defesa em profundidade no tenancy

O ideal é que o isolamento não dependa de o desenvolvedor lembrar de filtrar. Camadas como row-level security no banco, middleware que valida o tenant do token em toda requisição e revisão de código com checklist específico de autorização criam redundância: para vazar dados, várias barreiras precisariam falhar ao mesmo tempo, não apenas uma linha de código.

No fluxo de desenvolvimento, isso se traduz em revisão de código com foco em autorização, testes automatizados que verificam que um tenant não acessa dados de outro como parte da suite de regressão, análise estática (SAST) e de dependências (SCA) integradas ao pipeline, e gates de segurança que impedem o deploy de código com vulnerabilidades conhecidas de alta severidade. A segurança deixa de ser uma etapa final e passa a ser uma propriedade contínua do processo de entrega.

Como tudo se conecta: descoberta, defesa e evidência

A força de uma postura de segurança em SaaS B2B não está em nenhum controle isolado, mas no ciclo que os conecta. O pentest descobre falhas que viram itens de correção e, ao mesmo tempo, casos de teste que entram no SDLC para não voltarem. A gestão de vulnerabilidades mantém a cadeia de dependências e a infraestrutura sob vigilância contínua, alimentando o time de engenharia com o que precisa ser corrigido e com qual prioridade. O SOC 24x7 observa a plataforma em produção, com regras de detecção conscientes de tenant, pronto para responder. E a conformidade transforma toda essa operação em evidência auditável que destrava vendas enterprise.

O ciclo, em uma frase

Pentest descobre, SDLC previne a reincidência, gestão de vulnerabilidades mantém a vigilância, SOC detecta e contém em produção, e conformidade comprova tudo isso para quem compra o seu produto.

Esse encadeamento é o que diferencia uma empresa que apenas reage a incidentes de uma que estrutura segurança como capacidade contínua. Para um SaaS B2B, em que cada cliente novo eleva o valor do alvo e cada incidente se multiplica pela base, esse ciclo não é luxo: é a condição para crescer com segurança. Comece com um diagnóstico gratuito de exposição em decripte.io/free e, quando quiser estruturar o ciclo completo, fale com a Decripte em decripte.io/start ou pelo /contato.

Anatomia de um vazamento cross-tenant: da descoberta no pentest à estruturação SOC 2

Cenário ilustrativo

Cenário ilustrativo, não baseado em cliente real. Uma plataforma SaaS B2B de gestão, com arquitetura multi-tenant de linha compartilhada (todos os clientes no mesmo banco, separados por tenant_id), lança um novo endpoint de exportação de relatórios sob pressão de prazo. O endpoint filtra pelo ID do relatório, mas não revalida o tenant do usuário autenticado para esse caminho novo. Qualquer usuário legítimo de qualquer empresa, alterando o ID na requisição, passa a receber relatórios de outros clientes — sem disparar erro ou alerta. A falha permanece latente por semanas até um pentest contratado.

Descoberta (pentest)
Durante um pentest com escopo multi-tenant explícito, um analista da Decripte cria duas contas em tenants distintos e testa enumeração de IDs de objeto a partir de uma conta legítima. O endpoint de exportação retorna dados pertencentes ao outro tenant. A falha é classificada como BOLA/IDOR de severidade crítica (vazamento cross-tenant) e reportada imediatamente fora do fluxo normal de relatório, por ser ativamente explorável em produção.
Detecção e validação de escopo
O SOC da Decripte, acionado em conjunto, ativa regras de detecção conscientes de tenant e revisa retroativamente os logs de acesso ao endpoint. O objetivo é responder à pergunta crítica: além do testador, alguém mais explorou a falha? Cruza-se qual tenant cada usuário deveria acessar contra qual de fato acessou, para mapear acessos anômalos e estimar o universo real de exposição.
Contenção
Em até uma hora a partir do acionamento, o vetor é contido cirurgicamente: o endpoint vulnerável é bloqueado por feature flag, tokens de sessão suspeitos são revogados e regras de bloqueio são aplicadas na borda, sem derrubar a plataforma inteira para os demais clientes. A janela de exfiltração é fechada enquanto a correção definitiva é preparada.
Erradicação
A engenharia, orientada pela Decripte, corrige a causa raiz: a validação de ownership por tenant é movida para a camada de acesso a dados e reforçada com row-level security no banco, de modo que o filtro deixe de depender de cada desenvolvedor. Um caso de teste de regressão cross-tenant é adicionado à suíte automatizada para impedir reincidência. Chaves e segredos expostos no caminho são rotacionados por precaução.
Recuperação e notificação
Confirmado o escopo dos tenants afetados, monta-se o pacote de notificação em cascata: comunicação técnica a cada cliente (controlador) afetado, com linha do tempo, dados envolvidos e remediação, para que cada um cumpra suas obrigações sob a LGPD perante titulares e ANPD. A plataforma retoma operação plena com o endpoint corrigido e monitoramento reforçado sobre o vetor.
Lições e estruturação
O pós-incidente vira programa: a Decripte conduz revisão de todos os endpoints que recebem IDs de objeto, implanta análise estática e de dependências no pipeline, estabelece checklist de autorização na revisão de código e estrutura a jornada SOC 2 — transformando os controles criados na resposta em evidência auditável que a base enterprise passa a exigir.

Desfecho com a Decripte

Porque a falha foi descoberta em pentest antes de ser explorada em massa, e porque a contenção ocorreu em janela de uma hora a partir da detecção, o incidente permaneceu controlado e comunicável, em vez de virar uma crise espalhada por toda a base de clientes. Mais importante, o ciclo de descoberta, resposta e estruturação deixou a plataforma com isolamento reforçado por defesa em profundidade, SDLC seguro com testes de regressão cross-tenant, SOC 24x7 consciente de tenant e uma trilha de conformidade SOC 2 em andamento. A segurança deixou de ser um evento e passou a ser uma capacidade contínua.

Resposta a Incidentes · 24/7

Não espere o incidente acontecer. Comece a blindar saas b2b hoje mesmo.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Comece grátis agora Ver planos pagos

Como a Decripte responde a um incidente em SaaS B2B

A resposta a incidentes em ambientes multi-tenant exige rapidez na contenção e precisão no escopo, porque cada hora perdida amplia o número de clientes potencialmente afetados e a complexidade da notificação. O método da Decripte segue passos coordenados, com SLA de contenção de até uma hora.

Acionamento e triagem: ativação imediata do time de resposta, classificação da severidade e identificação preliminar do vetor (falha de isolamento, comprometimento de API/SSO, account takeover ou supply chain).
Detecção consciente de tenant: o SOC ativa e revisa regras que correlacionam qual tenant cada usuário deveria acessar versus o que de fato acessou, para distinguir tráfego legítimo de exploração cross-tenant e estimar o escopo real.
Contenção cirúrgica em até 1h: bloqueio do endpoint ou vetor vulnerável, revogação de tokens e sessões comprometidas e regras de borda, preservando a continuidade da plataforma para os clientes não afetados sempre que possível.
Preservação de evidências e análise de causa raiz: coleta forense de logs e artefatos, reconstrução da linha do tempo e identificação precisa da falha que originou o incidente, garantindo cadeia de custódia para o relatório.
Erradicação e correção definitiva: remoção do vetor na causa raiz (não apenas no sintoma), reforço de isolamento, rotação de segredos expostos e adição de testes de regressão para impedir reincidência.
Mapeamento de tenants afetados e notificação em cascata: definição precisa de quais clientes foram impactados e apoio na comunicação técnica a cada controlador, viabilizando o cumprimento das obrigações de LGPD perante titulares e ANPD.
Recuperação monitorada: retorno à operação plena com vigilância reforçada sobre o vetor tratado e validação de que a correção é efetiva em produção.
Pós-incidente e endurecimento: relatório executivo e técnico de causa raiz, recomendações estruturantes e conversão das lições em controles permanentes de SDLC, gestão de vulnerabilidades e conformidade.

Como a Decripte estrutura a segurança de uma plataforma SaaS B2B

Além de responder a incidentes, a Decripte estrutura a segurança multi-tenant como capacidade contínua, organizada em pilares que se reforçam mutuamente — da prevenção no código à evidência auditável para clientes enterprise.

Isolamento multi-tenant por defesa em profundidade

Amarrar o tenant no nível mais baixo possível: camada de acesso a dados que injeta o filtro automaticamente, row-level security no banco e middleware que valida o tenant do token em toda requisição. O isolamento deixa de depender de o desenvolvedor lembrar de filtrar, e várias barreiras precisariam falhar ao mesmo tempo para haver vazamento.

SDLC seguro e prevenção de reincidência

Revisão de código com checklist de autorização (IDOR/BOLA), testes automatizados de regressão cross-tenant na suíte, análise estática (SAST) e de dependências (SCA) no pipeline e gates que bloqueiam deploy de vulnerabilidades críticas conhecidas. Cada falha encontrada em pentest vira caso de teste permanente.

Pentest recorrente com cenários cross-tenant

Testes de penetração conduzidos por humanos, com escopo multi-tenant explícito, enumeração de objetos a partir de contas legítimas e validação de SSO/SAML/OIDC e SCIM. Pega exatamente as falhas de lógica de autorização que scanners automáticos não detectam.

Gestão contínua de vulnerabilidades e supply chain

Inventário de dependências (SBOM), varredura contínua, monitoramento da cadeia de suprimentos de software, priorização por risco real e SLA de remediação — em vez de varreduras pontuais e isoladas.

SOC 24x7 consciente de tenant

Monitoramento ininterrupto com regras de detecção que correlacionam acesso esperado versus acesso real por tenant, hardening de APIs (rate limiting, escopo de chaves, validação de tokens) e prontidão para conter incidentes em até uma hora.

Conformidade como evidência de vendas

Estruturação de SOC 2 (Type I e Type II), LGPD, ISO 27001 e PCI-DSS quando aplicável, transformando os controles técnicos já implementados em evidência auditável que destrava contratos enterprise.

Planos recomendados para SaaS B2B

Pentest

Falhas de isolamento e vazamento cross-tenant (IDOR/BOLA) são de lógica de autorização e exigem teste manual com escopo multi-tenant explícito — criar contas em tenants diferentes e provar o acesso de uma à outra. É o serviço que descobre o que scanners não veem, incluindo validação de SSO/SAML/OIDC e SCIM.

Ver plano →

SOC 24x7

Vazamentos cross-tenant via usuários autenticados não disparam alertas convencionais. O SOC com detecção consciente de tenant correlaciona acesso esperado versus real e viabiliza a contenção em até uma hora, reduzindo a janela de exfiltração e o universo de clientes afetados.

Ver plano →

Gestão de Vulnerabilidades

A cadeia de dependências e a infraestrutura de um SaaS mudam continuamente. Inventário (SBOM), varredura contínua, monitoramento de supply chain e SLA de remediação mantêm a superfície sob controle, em vez de fotos pontuais que envelhecem em dias.

Ver plano →

Conformidade

SOC 2 Type II, LGPD e ISO 27001 são pré-requisito de venda no enterprise. A Decripte transforma os controles técnicos multi-tenant em evidência auditável, alinhando segurança real e exigências contratuais no mesmo esforço.

Ver plano →

Perguntas frequentes

Qual é a diferença prática entre isolamento por banco, por schema e por linha (tenant_id)?

No isolamento por banco, cada cliente tem seu próprio banco de dados — máximo isolamento, maior custo operacional. Por schema, os clientes compartilham o banco mas têm schemas separados — meio-termo. Por linha (linha compartilhada com coluna tenant_id), todos os dados ficam nas mesmas tabelas, diferenciados por uma coluna — mais econômico e escalável, porém o mais arriscado, porque o isolamento passa a depender de toda consulta da aplicação incluir corretamente o filtro de tenant. A Decripte recomenda reforçar o modelo de linha com row-level security no banco e uma camada de acesso a dados que injeta o filtro automaticamente.

Como sei se a minha plataforma tem uma falha de vazamento cross-tenant agora?

O teste decisivo é manual: criar duas contas em tenants diferentes e tentar, da conta A, acessar objetos da conta B trocando IDs em URLs e payloads de API. Se algum endpoint retornar dados do outro tenant, há vazamento. Scanners automáticos raramente detectam isso porque é uma falha de lógica de autorização, não uma vulnerabilidade técnica catalogada. Um pentest com escopo multi-tenant explícito é a forma confiável de descobrir. Você pode começar com um diagnóstico gratuito de exposição em decripte.io/free.

Por que clientes enterprise pedem SOC 2 e isso é realmente necessário?

Porque, ao comprar um SaaS, a empresa está terceirizando o tratamento de dados sensíveis e precisa de garantia independente de que existem controles de segurança operantes. O SOC 2 Type II atesta, com base nos Trust Services Criteria do AICPA e por meio de auditoria, que os controles funcionam ao longo de um período. Sem ele, muitos contratos enterprise simplesmente não avançam. A boa notícia é que os controles exigidos pelo SOC 2 são, em grande parte, as mesmas defesas que protegem contra os ataques reais — então é o mesmo esforço gerando segurança e evidência.

O que é IDOR/BOLA e por que é tão comum em SaaS?

IDOR (Insecure Direct Object Reference) e BOLA (Broken Object Level Authorization) descrevem a mesma classe de falha: o sistema localiza um objeto pelo seu identificador, mas não verifica se o usuário autenticado tem direito de acessá-lo. Em SaaS multi-tenant, isso vira vazamento cross-tenant. É comum porque a autenticação (saber quem é o usuário) costuma estar bem implementada, enquanto a autorização por objeto (verificar que aquele objeto pertence ao tenant do usuário) é frequentemente esquecida em endpoints novos. Lidera o OWASP API Security Top 10 por esse motivo.

Como vocês contêm um incidente sem derrubar a plataforma para todos os clientes?

A contenção é cirúrgica. Em vez de parar o serviço inteiro, isolamos o vetor específico: bloqueio do endpoint vulnerável por feature flag, revogação de tokens e sessões comprometidas e regras de borda direcionadas. Isso fecha a janela de exfiltração mantendo a operação para os clientes não afetados, sempre que a arquitetura permitir. O objetivo é conter em até uma hora a partir do acionamento, minimizando tanto o dano quanto o impacto de disponibilidade.

Em um vazamento, quem precisa notificar quem sob a LGPD?

Em SaaS B2B, normalmente o provedor é operador dos dados, e cada empresa cliente é a controladora. Quando há incidente que possa gerar risco ou dano relevante, o provedor (operador) deve comunicar prontamente seus clientes (controladores), que então decidem sobre a comunicação aos titulares e à ANPD, conforme a LGPD. Por isso a velocidade de detecção e de mapeamento de escopo é crítica: ela determina quão rápido toda a cadeia de notificação pode cumprir suas obrigações.

Como proteger SSO e provisionamento SCIM contra account takeover?

No SSO, é essencial validar no servidor a assinatura das asserções SAML e dos tokens OIDC, checar o audience, prevenir ataques de confusão de chave e garantir o binding correto entre a identidade federada e o tenter certo. No SCIM, o provisionamento automático precisa impedir que um tenant crie, leia ou modifique usuários de outro. Some MFA forte e obrigatório para contas administrativas e de operador da plataforma, segregação de funções e trilha de auditoria imutável. Esses fluxos entram explicitamente no escopo do pentest da Decripte.

Com que frequência um SaaS deve fazer pentest e gestão de vulnerabilidades?

Pentest deve ser recorrente — tipicamente ao menos anual e a cada mudança significativa de arquitetura ou de superfície de exposição (novos endpoints, nova integração de SSO, mudança no modelo de tenancy). Gestão de vulnerabilidades, por outro lado, é contínua: inventário de dependências, varredura permanente e SLA de remediação, porque a cadeia de suprimentos muda todos os dias. Tratar os dois juntos garante que o que o pentest descobre vira caso de teste permanente e que a janela entre uma vulnerabilidade surgir e ser corrigida seja a menor possível.

Termos do setor

Multi-tenancy: Arquitetura em que uma única instância de software atende múltiplas empresas clientes (tenants), com seus dados logicamente separados. O isolamento entre tenants é o controle de segurança mais crítico desse modelo.
IDOR / BOLA: Insecure Direct Object Reference / Broken Object Level Authorization. Falha em que o sistema localiza um objeto pelo ID mas não verifica se o usuário autenticado tem direito de acessá-lo. Em SaaS multi-tenant, é a causa típica de vazamento cross-tenant e lidera o OWASP API Security Top 10.
Vazamento cross-tenant: Exposição de dados de um cliente (tenant) a outro dentro da mesma plataforma, geralmente decorrente de falha de isolamento ou de autorização. É a materialização do risco central de um SaaS multi-tenant.
SOC 2: Framework de atestação de controles baseado nos Trust Services Criteria do AICPA. O Type I avalia o desenho dos controles em um ponto no tempo; o Type II avalia sua operação efetiva ao longo de um período. Padrão de fato exigido por compradores enterprise de SaaS.
Row-Level Security (RLS): Mecanismo do banco de dados que restringe, no nível de cada linha, quais registros uma sessão pode acessar. Em multi-tenancy, é usado para garantir o filtro por tenant na própria infraestrutura, reduzindo a dependência da aplicação lembrar de aplicá-lo.
SBOM: Software Bill of Materials. Inventário de todos os componentes e dependências de terceiros que compõem uma aplicação. É a base da gestão de vulnerabilidades de supply chain, permitindo saber rapidamente quais sistemas são afetados quando surge uma vulnerabilidade em um pacote.

A Decripte protege e responde a incidentes no setor de saas b2b.

Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.

Comece grátis agora Ver planos pagos