Skip to main content
Blog
Blog

O Ponto Cego de PII na Segurança Web

Mas os dados de PII trafegam pelo frontend, onde os controles são mais fracos e a visibilidade costuma ser limitada.

Jul 30, 2025 13 min read
blog-cover-the-pii-blind-spot
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Informações de Identificação Pessoal (PII, na sigla em inglês) são fundamentais nas leis de privacidade e nos padrões de tratamento de dados. A maioria das organizações concentra sua atenção em como esses dados são armazenados e processados nos sistemas de backend. Mas os dados de PII também trafegam pelo frontend, onde os controles são mais fracos e a visibilidade costuma ser limitada.

Scripts do lado do cliente introduzem riscos de privacidade difíceis de detectar. Esses scripts geralmente são de analytics, publicidade, melhorias de experiência do usuário ou processamento de pagamentos. Uma vez carregados no navegador, eles podem observar o conteúdo da página, interagir com formulários, acessar cookies e realizar conexões externas.

A maioria dos sites não monitora o que esses scripts estão fazendo. Como resultado, eles podem expor dados sensíveis a terceiros sem que a organização saiba.

Para reduzir o risco, é importante entender o que se qualifica como PII. Também é importante saber onde esses dados podem aparecer no navegador. Nosso painel de comportamento recém-lançado ajuda a trazer essa informação à tona.

O que constitui PII?

O conceito central de PII é consistente na maioria das regulamentações. PII se refere a qualquer dado que possa identificar um indivíduo, seja por si só ou quando combinado com outras informações.

Exemplos comuns de PII incluem:

  • Nome
  • Endereço residencial
  • Número de telefone
  • Endereço de e-mail
  • Data de nascimento
  • Número de documento de identidade ou passaporte
  • Dados de conta financeira
  • Credenciais de login

Todos esses são considerados identificadores diretos. Mas muitas regulamentações de privacidade também incluem identificadores indiretos quando eles podem ser vinculados a uma pessoa. Isso inclui:

  • Endereços IP
  • IDs de dispositivo
  • Fingerprints de navegador
  • Valores de cookies
  • Dados de localização
  • IDs de rastreamento únicos
  • Tokens de sessão

Requisitos do GDPR em relação à PII

O GDPR define PII como:

Do Considerando 30 do GDPR:

"As pessoas singulares podem ser associadas a identificadores em linha fornecidos pelos seus dispositivos, aplicações, ferramentas e protocolos, tais como endereços de protocolo de internet, identificadores de cookies ou outros identificadores, como etiquetas de identificação por radiofrequência."

Link

Do Artigo 4(1) do GDPR:

"Dados pessoais são quaisquer informações relativas a uma pessoa singular identificada ou identificável… especialmente por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador em linha…"

Link

O GDPR lista exemplos específicos:

  • Endereços IP
  • Identificadores de cookies
  • Dados de localização
  • Identificadores online, como IDs de dispositivo ou navegador

Todos esses estão cobertos sob o conceito de "identificador online".

Requisitos da HIPAA em relação à PII

A HIPAA define PII como:

Das diretrizes de desidentificação da HIPAA:

"Identificadores de dispositivos e números de série; URL da Web; Endereço de Protocolo de Internet (IP); … Qualquer outro número, característica ou código de identificação único."

Link

A HIPAA define 18 identificadores que devem ser removidos para desidentificar Informações de Saúde Protegidas (PHI). Esses incluem, mas não se limitam a:

  • Identificadores de dispositivos e números de série
  • Endereços IP
  • URLs da Web
  • Qualquer outro número ou código de identificação único

Requisitos do PCI DSS em relação à PII

O PCI DSS define PII como:

Do PCI DSS v4.0, Seção 3.3:

"Mascare o PAN quando exibido (os primeiros seis e os últimos quatro dígitos são o número máximo de dígitos a serem exibidos)."

Link

O PCI DSS foca especificamente na proteção de dados do titular do cartão e dados de autenticação sensíveis. Isso inclui:

  • Número de Conta Principal (PAN)
  • Nome do titular do cartão
  • Data de validade
  • Código de serviço e Valor de Verificação do Cartão (CVV, CVC)
  • Dados de PIN e bloco de PIN
  • Dados da tarja magnética ou chip

Ao contrário do GDPR ou da HIPAA, o PCI DSS não classifica endereços IP, cookies, IDs de dispositivo ou identificadores de navegador como dados sensíveis. O escopo do padrão é limitado à proteção de informações de cartão de pagamento, o que faz sentido dado o seu propósito.

No entanto, tudo o que foi mencionado acima também faz parte da PII.

CCPA / CPRA

A CCPA / CPRA define PII como:

Da Agência de Proteção de Privacidade da Califórnia:

"Informações pessoais incluem qualquer dado que identifique, esteja relacionado a, ou possa razoavelmente ser vinculado a você ou ao seu domicílio, direta ou indiretamente … endereço IP."

Link

"Informações que identificam, estão relacionadas a, descrevem, são capazes de ser associadas a, ou poderiam razoavelmente ser vinculadas, direta ou indiretamente, a um consumidor ou domicílio específico."

Link

Do Projeto de Lei do Senado do Colorado 21‑190:

"'INDIVÍDUO IDENTIFICADO OU IDENTIFICÁVEL' significa um Indivíduo que pode ser prontamente identificado, direta ou indiretamente, em particular por referência a um identificador como nome, número de identificação, dados de geolocalização específicos ou um identificador online."

Link

A CCPA/CPRA protege uma ampla gama de identificadores, incluindo:

  • Endereços IP
  • IDs de dispositivo
  • Fingerprints de navegador
  • Valores de cookies
  • Dados de localização
  • IDs de rastreamento únicos
  • Tokens de sessão
  • Histórico de navegação

Como a PII é exposta no navegador

A PII frequentemente é tratada no frontend. É lá que ela fica visível para o usuário e é inserida em formulários. A visibilidade sobre o que os scripts têm acesso é limitada, e o comportamento deles é mais difícil de controlar. Praticamente todos os sites modernos incluem bibliotecas e serviços JavaScript de terceiros. Esses podem vir de provedores de analytics, plataformas de publicidade, ferramentas de suporte ao cliente ou fornecedores de otimização de marketing.

Uma vez que esses scripts são carregados no navegador, eles são executados com acesso total à página.

Eles podem:

  • Ler entradas de formulários enquanto os usuários digitam
  • Acessar cookies e armazenamento local
  • Analisar o DOM e extrair dados visíveis
  • Rastrear o comportamento do usuário
  • Fazer requisições de rede para domínios externos

Alguns scripts são projetados para coletar essas informações. Outros obtêm acesso de forma não intencional devido à maneira como são implementados. E o mais importante: todos os scripts tecnicamente têm acesso a essa PII.

Ou seja: dados pessoais podem ser expostos a sistemas fora do seu controle.

Esses dados não precisam estar armazenados em um banco de dados para criar risco. Se um script envia dados de formulário ou de cookies para um servidor externo, isso se qualifica como uma transferência de PII. Se esse script pertence a um fornecedor que você não controla totalmente, ou a um domínio que você não reconhece, isso pode rapidamente se tornar um problema de conformidade.

A maioria dos sites não registra o que acontece dentro do navegador. Isso torna a atividade do lado do cliente difícil de auditar. Mesmo o monitoramento avançado do lado do servidor não captura esses comportamentos.

Nosso painel de comportamento agora ajuda a preencher essa lacuna.

Ele rastreia dois tipos críticos de exposição:

  1. Dados de requisição: quais scripts estão fazendo requisições externas e para quais domínios.
  2. Acesso a formulários: quais scripts estão lendo ou interagindo com campos de entrada.

Se um script lê o endereço de e-mail de um usuário ou o envia para um servidor externo, o painel registrará isso. Se um token de sessão for enviado para um pixel de rastreamento ou domínio de analytics, isso também aparecerá. Essas informações podem ajudar as equipes a detectar exposições acidentais ou violações de política antes que elas se agravem.

Portanto, a PII pode ser exposta de maneiras que não envolvem uma violação dos seus servidores. Ela pode ser tratada, acessada e transmitida inteiramente dentro do navegador. Se essa atividade não for monitorada, você não sabe quando nem quais dados pessoais estão sendo compartilhados com partes externas.

As regulamentações de privacidade exigem que você controle a PII dos seus clientes. E isso inclui o que acontece no lado do cliente. Ao entender o que se qualifica como PII e como ela flui pelo frontend, você pode reduzir riscos e atender aos requisitos de conformidade.

Monitorar o acesso a formulários e o comportamento de scripts externos é uma medida prática. Ela ajuda a revelar problemas que as ferramentas de backend frequentemente deixam passar. Também cria uma imagem mais precisa de como os dados pessoais se movem pelo seu site em condições reais.

Perguntas adicionais respondidas

P: O que são Informações de Identificação Pessoal (PII) e por que são importantes para sites?

PII é qualquer dado que possa identificar alguém. Às vezes isso acontece diretamente, outras vezes ocorre quando dados pessoais são combinados com dados públicos. PII inclui coisas óbvias como nomes, endereços de e-mail e números de telefone. Mas também abrange dados menos visíveis, como endereços IP, IDs de dispositivo e valores de cookies.

Leis de privacidade como GDPR, CCPA e HIPAA exigem que você proteja esses dados.

P: Como as Informações de Identificação Pessoal (PII) podem ser expostas pelo frontend do meu site sem o meu conhecimento?

O frontend do seu site executa scripts de terceiros com acesso total à página. Esses scripts podem ler informações pessoais enquanto os usuários preenchem formulários. Eles podem acessar cookies, capturar dados e exfiltrá-los para servidores externos. A maioria dos sites não rastreia o que esses scripts estão fazendo. Ou seja, dados pessoais podem ser compartilhados sem o seu conhecimento.

P: Quais tipos de PII são cobertos pelas leis de privacidade?

As leis de privacidade cobrem tanto informações pessoais diretas quanto indiretas.

Identificadores diretos incluem: nomes, endereços, números de telefone, endereços de e-mail e números de CPF ou equivalentes.

Identificadores indiretos são coisas como: endereços IP, IDs de dispositivo, fingerprints de navegador, valores de cookies e tokens de sessão.

Tudo isso dentro e fora da área de cibersegurança.

A maioria das regulamentações define PII como qualquer dado que possa identificar uma pessoa, diretamente ou vinculando-o a outros detalhes. Diferentes leis têm categorias diferentes, mas saber o que conta como PII ajuda você a manter a conformidade em todos os âmbitos.

P: Por que as ferramentas de segurança tradicionais falham em detectar exposições de PII no lado do cliente?

As ferramentas de segurança tradicionais focam no lado do servidor. Mas a exposição de PII no lado do cliente realmente acontece no navegador do usuário, não nos seus servidores. Pelo menos não inicialmente.

Quando um script de terceiros lê informações de identificação pessoal de formulários e envia essas informações para um domínio externo, essa atividade não aparece nos seus logs de servidor.

O monitoramento do lado do cliente é necessário para ver quais dados pessoais estão sendo acessados e para onde estão indo.

P: Quais comportamentos específicos do lado do cliente devo monitorar para proteger a PII?

Você deve monitorar duas coisas:

1) quais scripts fazem requisições externas.

2) quais scripts acessam campos de formulário que contêm informações pessoais.

Nosso painel de comportamento rastreia essa atividade. Ele mostra quando scripts acessam dados como endereços de e-mail ou enviam informações pessoais para domínios de rastreamento. Também sinaliza quando qualquer PII é exfiltrada para servidores externos. Isso ajuda você a identificar o que conta como uma exposição de PII.

P: Como o PCI DSS difere de outras leis de privacidade em relação à PII?

O Padrão de Segurança de Dados PCI tem um foco mais restrito do que frameworks como GDPR, CCPA ou HIPAA. Ele se aplica especificamente a informações de cartão de pagamento, não a dados pessoais em geral. No entanto, ambos estão sob o mesmo guarda-chuva.

O PCI DSS define dados do titular do cartão como Números de Conta Principal (PAN), nomes do titular do cartão e datas de validade. Ele não classifica endereços IP, cookies ou outros identificadores indiretos como dados sensíveis.

As empresas precisam proteger todos os tipos de informações pessoais sob as leis de privacidade mais amplas. Ao mesmo tempo, devem atender aos requisitos do PCI DSS para proteger dados de pagamento. Mais sobre isso pode ser lido aqui.

P: Quando a exposição de PII no lado do cliente leva a uma violação de conformidade?

Uma violação de conformidade ocorre quando informações pessoais são transmitidas a terceiros sem permissão. Se um script envia dados de formulários ou de cookies para um servidor externo que você não controla, isso é uma violação das regras de privacidade, além do compartilhamento manual desses dados, é claro.

Saber o que conta como PII e rastrear para onde ela vai ajuda você a manter a conformidade com GDPR, CCPA, HIPAA e outros frameworks de privacidade.

P: Quem é responsável pelo monitoramento de exposições de PII no lado do cliente dentro de uma organização?

Monitorar e proteger informações pessoais requer o envolvimento de toda a empresa. Isso vale tanto para grandes quanto para pequenas empresas. Algumas organizações têm profissionais de privacidade em tempo integral, outras podem ter apenas um desenvolvedor com foco em privacidade.

Toda a empresa precisa entender como os dados pessoais fluem, para que possam cumprir os requisitos de reporte sob leis como GDPR, CCPA e HIPAA.

A responsabilidade final recai sobre a gestão da empresa.

P: Quais são as formas mais comuns pelas quais sites expõem inadvertidamente PII por meio de scripts de terceiros?

Exposições comuns acontecem por meio de scripts que, de outra forma, seriam regulares, mas que foram comprometidos ou se tornaram maliciosos:

  • Scripts de analytics capturando dados de formulários além do seu escopo
  • Pixels de anúncios lendo cookies fora dos seus domínios designados
  • Widgets de suporte acessando entradas de usuários em formulários não autorizados
  • Scripts projetados para coleta legítima de dados que excedem seus limites
  • … e mais

Alguns scripts coletam PII intencionalmente por design. Outros fazem isso por acidente ou com intenção maliciosa.

Saber quais informações pessoais estão sendo coletadas e para onde estão indo ajuda a prevenir vazamentos acidentais.

P: Qual nível de risco a atividade não monitorada do lado do cliente representa para o meu negócio?

Reguladores sob GDPR, CCPA e HIPAA podem e já aplicaram multas pesadas pelo mau tratamento de PII. Os clientes também esperam que seus dados sejam protegidos. Violações envolvendo informações pessoais prejudicam a confiança e a reputação. Ações coletivas já foram movidas e ganhas no passado.

P: Quais ações imediatas posso tomar para minimizar os riscos de exposição de PII no lado do cliente?

Comece auditando todos os scripts de terceiros para ver quais informações pessoais eles podem acessar. Implemente ferramentas de detecção de exfiltração de dados para ter visibilidade sobre esses scripts. Em seguida, monitore-os e proteja-os.

Revise suas políticas de privacidade para garantir que elas incluam como os dados fluem e são capturados no seu frontend.

Implemente tanto proteções tradicionais do lado do servidor quanto proteção do lado do cliente.

Simon Wijckmans
Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Agende uma demonstração
Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração