Backup Criptografado: Guia Completo para Proteger os Dados da Sua Empresa

O Que É Backup Criptografado e Por Que Sua Empresa Precisa

Backup criptografado é uma cópia de segurança na qual os dados são transformados em formato ilegível por meio de algoritmos matemáticos, garantindo que apenas quem possua a chave correta consiga acessar as informações originais. Em outras palavras, mesmo que um atacante obtenha acesso físico ou digital ao armazenamento de backup, ele encontrará apenas dados incompreensíveis — inúteis sem a chave de descriptografia.

Para entender por que isso é essencial, considere o seguinte: seu backup corporativo concentra, em um único local, cópias de todos os dados mais valiosos da empresa. Bancos de dados de clientes, registros financeiros, propriedade intelectual, e-mails, contratos, dados de funcionários. Se um backup sem criptografia for comprometido, o atacante obtém acesso irrestrito a todo esse acervo de informações. É, literalmente, o maior prêmio possível para um cibercriminoso.

Criptografia em trânsito vs. criptografia em repouso

A proteção completa de uma estratégia de criptografia de backup exige dois tipos que atuam em momentos diferentes:

• Criptografia em trânsito (in transit): Protege os dados enquanto são transferidos do servidor de origem para o destino de armazenamento. Utiliza protocolos como TLS 1.2 ou TLS 1.3 para criar um "túnel" seguro entre os dois pontos. Sem essa proteção, os dados podem ser interceptados durante a transferência — um ataque conhecido como "man-in-the-middle".
• Criptografia em repouso (at rest): Protege os dados enquanto estão armazenados no destino final — seja em disco, fita, storage na nuvem ou qualquer outro meio. Utiliza algoritmos como AES-256 para garantir que os dados permaneçam ilegíveis caso o armazenamento seja acessado diretamente, roubado ou comprometido por ransomware.

Ambas são necessárias. Uma empresa que criptografa dados em trânsito mas os armazena em texto claro está vulnerável a roubo de mídias e acesso não autorizado ao storage. Uma empresa que criptografa em repouso mas transmite sem proteção está vulnerável a interceptação de rede. A proteção real exige as duas camadas operando simultaneamente.

Por que dados de backup são alvo de ransomware

Os ataques de ransomware evoluíram drasticamente nos últimos anos. Os grupos criminosos mais sofisticados — como LockBit, BlackCat e Cl0p — já não se limitam a criptografar servidores de produção. Eles mapeiam a infraestrutura da vítima e têm como alvo prioritário os backups, porque sabem que uma empresa com backups íntegros não precisa pagar resgate.

Dados de backup sem criptografia adequada estão vulneráveis a múltiplos vetores de ataque:

• Criptografia por ransomware: Backups não protegidos podem ser criptografados junto com os dados de produção, eliminando a opção de recuperação
• Exfiltração para dupla extorsão: Atacantes copiam os dados de backup (que contêm tudo) e ameaçam publicá-los, mesmo que a empresa restaure a partir de outra cópia
• Acesso a credenciais: Backups frequentemente contêm arquivos de configuração com senhas, tokens e certificados que permitem ao atacante escalar privilégios
• Roubo silencioso: Backups não criptografados em nuvem ou em mídias externas podem ser copiados sem detecção

A combinação de criptografia com backup imutável cria uma defesa em profundidade: a imutabilidade impede que o ransomware altere ou exclua os dados, e a criptografia impede que ele os leia ou exfiltre com utilidade. Para uma análise completa das estratégias de recuperação após ataques, consulte nosso guia de como recuperar dados após ransomware.

Tipos de Criptografia Usados em Backup Corporativo

Nem toda criptografia é igual. Existem diferentes algoritmos, tamanhos de chave e abordagens, cada um com características específicas de segurança, desempenho e aplicabilidade. Para tomar decisões informadas sobre a criptografia do backup da sua empresa, é fundamental entender as opções disponíveis.

Criptografia simétrica vs. criptografia assimétrica

Os dois paradigmas fundamentais de criptografia se diferenciam pela forma como as chaves são utilizadas:

• Criptografia simétrica: Utiliza a mesma chave para criptografar e descriptografar os dados. É extremamente rápida e eficiente, ideal para grandes volumes de dados como backups. Exemplos: AES-128, AES-256. O desafio é a distribuição segura da chave — se a chave for comprometida, todos os dados protegidos por ela ficam vulneráveis.
• Criptografia assimétrica: Utiliza um par de chaves — uma pública (para criptografar) e uma privada (para descriptografar). É mais segura para troca de chaves, mas significativamente mais lenta. Exemplos: RSA-2048, RSA-4096. Em backup, é usada tipicamente para proteger a troca de chaves simétricas, não para criptografar os dados em si.

Na prática, soluções profissionais de backup corporativo combinam ambas: usam criptografia assimétrica (RSA) para trocar chaves de sessão de forma segura e criptografia simétrica (AES) para criptografar o volume massivo de dados com alta performance. Essa abordagem híbrida é o padrão da indústria.

Os principais algoritmos em detalhes

AES (Advanced Encryption Standard) — Desenvolvido pelo NIST e adotado como padrão pelo governo dos Estados Unidos em 2001. O AES opera em blocos de 128 bits e suporta chaves de 128, 192 ou 256 bits. É o algoritmo mais utilizado no mundo para criptografia de dados em repouso e a escolha padrão para backup empresarial.

RSA (Rivest-Shamir-Adleman) — O algoritmo assimétrico mais difundido, utilizado principalmente para autenticação, assinatura digital e troca segura de chaves. Requer chaves muito maiores (2048 a 4096 bits) para oferecer segurança equivalente ao AES, o que o torna lento para criptografar grandes volumes de dados diretamente.

TLS/SSL (Transport Layer Security) — Não é um algoritmo de criptografia em si, mas um protocolo que orquestra o uso de múltiplos algoritmos para proteger dados em trânsito. O TLS 1.3 (versão mais recente) é o padrão para transferência segura de backups pela rede. Utiliza AES para criptografia de dados e certificados X.509 com RSA ou ECDSA para autenticação.

Tabela comparativa dos algoritmos de criptografia

Recomendação clara: Para backup empresarial em 2026, o AES-256 é o único algoritmo que deve ser considerado para criptografia de dados em repouso. Qualquer solução que ofereça apenas DES, 3DES ou AES-128 sem opção de AES-256 está abaixo dos padrões exigidos por regulações como LGPD, BACEN e PCI DSS.

Como Funciona o Backup Criptografado na Prática

Entender o fluxo técnico de uma solução de criptografia de backup ajuda a identificar vulnerabilidades e a avaliar se a solução que sua empresa utiliza está realmente protegendo os dados em todas as etapas do processo.

O processo end-to-end

O processo completo segue quatro etapas fundamentais, desde a origem dos dados até o armazenamento final:

1. Leitura e preparação dos dados: O agente de backup lê os dados do servidor de origem (arquivos, bancos de dados, VMs, aplicações SaaS) e os prepara para transferência — incluindo compressão e deduplicação, quando aplicável.
2. Criptografia local (client-side encryption): Antes de qualquer transferência, os dados são criptografados no próprio servidor de origem usando AES-256. A chave de criptografia é gerada localmente e nunca trafega em texto claro. Isso garante que os dados já saiam da origem protegidos.
3. Transferência segura via TLS: Os dados criptografados são transmitidos para o destino de armazenamento por um canal protegido com TLS 1.2 ou 1.3. Isso cria uma dupla camada de proteção durante o transporte — os dados já estão criptografados com AES-256, e o canal de comunicação adiciona criptografia de transporte.
4. Armazenamento criptografado: No destino final (data center, nuvem, storage), os dados permanecem criptografados com AES-256. Nenhum processo de descriptografia ocorre no armazenamento. Os dados só são descriptografados no momento da restauração, quando a chave correta é fornecida.

Diagrama do fluxo de criptografia end-to-end

O fluxo completo pode ser representado assim:

Servidor de Origem → [Dados em texto claro] → Agente de Backup → [Compressão + Deduplicação] → Criptografia AES-256 Local → [Dados criptografados] → Canal TLS 1.3 → [Dupla criptografia em trânsito] → Data Center / Nuvem → [Dados armazenados criptografados AES-256] → Restauração → [Chave fornecida → Descriptografia → Dados originais]

Ponto crítico: Observe que os dados existem em texto claro apenas em dois momentos — no servidor de origem (antes da criptografia) e no servidor de destino (após a descriptografia para restauração). Em todos os demais momentos, incluindo transferência e armazenamento, eles estão criptografados.

Gerenciamento de chaves (Key Management)

A criptografia é tão forte quanto a proteção das suas chaves. Mesmo o AES-256, considerado inquebrável por força bruta, se torna inútil se a chave de criptografia for comprometida. O gerenciamento de chaves (key management) é, portanto, um dos aspectos mais críticos de qualquer estratégia de proteção de dados em backup.

As melhores práticas de gerenciamento de chaves incluem:

• Separação entre chaves e dados: As chaves de criptografia nunca devem ser armazenadas no mesmo local que os dados criptografados. Se um atacante obtém acesso ao storage de backup e as chaves estão ali, a criptografia não oferece proteção alguma.
• Rotação periódica de chaves: Chaves devem ser renovadas periodicamente (trimestral ou semestralmente). Dados criptografados com chaves antigas permanecem protegidos por elas; novos backups usam a chave atual.
• Hierarquia de chaves: Soluções profissionais utilizam uma hierarquia com Master Key (chave mestra), Key Encryption Keys (KEKs) e Data Encryption Keys (DEKs). Isso permite gerenciar milhares de chaves de dados com segurança.
• HSM (Hardware Security Module): Para ambientes que exigem máxima segurança (financeiro, saúde, governo), as chaves mestras são armazenadas em módulos de segurança de hardware dedicados, resistentes a violação física.
• Backup das chaves: As próprias chaves precisam de backup seguro e redundante. Perder a chave de criptografia equivale a perder os dados — eles existem, mas são irrecuperáveis.

Zero-knowledge encryption

Zero-knowledge encryption (criptografia de conhecimento zero) é o nível máximo de proteção em criptografia de backup. Neste modelo, as chaves de criptografia são geradas e mantidas exclusivamente pelo cliente — o provedor de backup nunca tem acesso a elas. Isso significa que:

• O provedor não pode acessar seus dados, mesmo que queira
• Uma ordem judicial direcionada ao provedor não compromete seus dados, porque ele simplesmente não consegue descriptografá-los
• Um comprometimento da infraestrutura do provedor não expõe seus dados
• Funcionários do provedor não podem acessar informações de clientes

A contrapartida é que a responsabilidade pela chave é inteiramente da empresa cliente. Se a chave for perdida, nem mesmo o provedor pode recuperar os dados. Por isso, a combinação de zero-knowledge com um processo robusto de backup de chaves é fundamental.

Erros Comuns na Criptografia de Backup

Na minha experiência como Diretor de Tecnologia da DataBackup, acompanhando dezenas de empresas que buscam proteger seus dados, os mesmos erros se repetem com frequência preocupante. Identificar e evitar esses erros é tão importante quanto escolher o algoritmo correto.

Erro 1: Armazenar chaves de criptografia junto com os dados de backup

Este é o erro mais grave e, infelizmente, o mais comum. Muitas empresas configuram a criptografia corretamente, mas armazenam as chaves no mesmo servidor, no mesmo storage ou até dentro do próprio repositório de backup. Isso é o equivalente a trancar a porta e deixar a chave debaixo do tapete.

Se um atacante — ou ransomware — obtém acesso ao storage de backup e encontra as chaves junto com os dados, a criptografia se torna irrelevante. A solução é armazenar chaves em um sistema separado: um HSM, um cofre de chaves dedicado (como Azure Key Vault ou AWS KMS) ou, no mínimo, em um storage completamente isolado com credenciais independentes.

Erro 2: Usar algoritmos de criptografia obsoletos

Ainda existem empresas utilizando DES (Data Encryption Standard, de 1977) ou 3DES (Triple DES) em seus sistemas de backup. O DES, com sua chave de 56 bits, pode ser quebrado em horas com hardware moderno. O 3DES, embora mais resistente, foi oficialmente depreciado pelo NIST em 2023 e não atende mais aos requisitos de compliance modernos.

Sistemas legados de backup são os maiores culpados. Ferramentas que não recebem atualizações podem ainda estar operando com algoritmos inseguros sem que a equipe de TI tenha consciência. Audite seus sistemas e confirme que o AES-256 está sendo utilizado em todas as camadas.

Erro 3: Criptografar em trânsito mas não em repouso

Muitas empresas configuram TLS para a transferência de backup e assumem que estão protegidas. Porém, o TLS protege os dados apenas durante a transferência. No momento em que os dados chegam ao destino e são gravados em disco, a proteção do TLS deixa de existir. Se o storage não tem criptografia em repouso habilitada, os dados ficam armazenados em texto claro — legíveis por qualquer pessoa com acesso ao sistema de arquivos.

A proteção completa exige criptografia em ambas as camadas, operando simultaneamente. Verifique sua solução de backup e confirme que tanto a opção "encrypt in transit" quanto "encrypt at rest" estão habilitadas.

Erro 4: Não testar a restauração de dados criptografados

Criptografia adiciona uma camada de complexidade ao processo de restauração. Se a chave estiver incorreta, corrompida, expirada ou inacessível, a restauração falhará completamente — e você descobrirá isso no pior momento possível: durante uma crise.

Teste a restauração completa de dados criptografados regularmente. Verifique se as chaves estão acessíveis, se o processo de descriptografia funciona corretamente e se os dados restaurados estão íntegros. Inclua cenários de teste onde o key manager primário está indisponível e a chave precisa ser recuperada do backup. Seguir a regra 3-2-1 de backup também se aplica às próprias chaves de criptografia.

Erro 5: Não criptografar backup de aplicações SaaS (Microsoft 365, Google Workspace)

Um ponto cego cada vez mais crítico. Muitas empresas investem em criptografia para servidores locais e bancos de dados, mas ignoram completamente os dados em aplicações SaaS como Microsoft 365, Google Workspace, Salesforce e outras plataformas em nuvem.

Esses dados incluem e-mails, documentos, planilhas, apresentações, conversas do Teams e do Slack — frequentemente contendo informações sensíveis de clientes, dados financeiros e propriedade intelectual. A responsabilidade pela proteção desses dados é da sua empresa, não do provedor SaaS (modelo de responsabilidade compartilhada). O backup dessas plataformas deve seguir os mesmos padrões de criptografia aplicados aos dados on-premises.

Backup Criptografado e Compliance (LGPD, BACEN, PCI DSS)

A criptografia de backup não é apenas uma boa prática de segurança — é uma exigência implícita ou explícita das principais regulações que afetam empresas brasileiras. Implementar criptografia nos backups adequadamente pode ser o fator determinante entre estar em conformidade e enfrentar multas milionárias.

LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018)

A LGPD é a legislação brasileira de proteção de dados pessoais, em vigor desde setembro de 2020. O artigo 46 é central para o tema de criptografia em backups:

"Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito."

Embora a lei não cite "criptografia" explicitamente, a Autoridade Nacional de Proteção de Dados (ANPD) já deixou claro em orientações e decisões que a criptografia é uma das medidas técnicas esperadas para o cumprimento do artigo 46 — especialmente quando se trata de backups, que concentram grandes volumes de dados pessoais. As multas por descumprimento podem chegar a 2% do faturamento ou R$ 50 milhões por infração. Saiba mais no nosso guia de compliance LGPD para backup.

BACEN — Resolução 4.893/2021

A Resolução 4.893 do Banco Central determina que instituições financeiras adotem política de segurança cibernética que inclua procedimentos de proteção de dados e continuidade de negócios. A norma exige criptografia como parte dos controles de segurança da informação, tanto para dados em produção quanto para backups, com requisitos específicos sobre gestão de chaves e auditabilidade.

As penalidades incluem multas de R$ 1.000 a R$ 500.000 por infração, inabilitação de administradores por até 20 anos e, em casos extremos, cassação da autorização de funcionamento. Para detalhes completos sobre os requisitos do BACEN, consulte nosso artigo sobre backup e compliance BACEN.

PCI DSS — Payment Card Industry Data Security Standard

O PCI DSS é o padrão global de segurança para empresas que processam, armazenam ou transmitem dados de cartões de pagamento. O Requisito 3 ("Proteger dados armazenados do titular do cartão") é direto e específico: dados de cartão devem ser criptografados com algoritmos fortes (AES-256 recomendado) e as chaves devem ser gerenciadas com processos documentados. Backups que contenham dados de titulares de cartão devem seguir exatamente os mesmos requisitos de criptografia dos dados de produção. Para orientações detalhadas, veja nosso conteúdo sobre PCI DSS e backup.

Tabela: Como a criptografia de backup atende cada regulação

Conclusão regulatória: Empresas que operam no Brasil e processam dados pessoais, financeiros ou de pagamento precisam de backup criptografado não como diferencial, mas como requisito mínimo de conformidade. A ausência de criptografia em backups é uma vulnerabilidade técnica e regulatória que pode ter consequências severas.

Como a DataBackup Implementa Criptografia

Na DataBackup, a criptografia não é um recurso opcional que o cliente precisa lembrar de ativar — é uma característica fundamental integrada em cada camada da nossa plataforma. Projetamos nossa infraestrutura de backup corporativo para oferecer proteção máxima sem comprometer a usabilidade ou o desempenho.

AES-256 em trânsito e em repouso — sem exceções

Todos os dados protegidos pela DataBackup são criptografados com AES-256 desde o momento em que saem do servidor de origem. A criptografia acontece localmente (client-side) antes da transferência, garantindo que os dados nunca trafeguem ou sejam armazenados em texto claro. A transferência é protegida adicionalmente com TLS 1.3, criando uma dupla camada de proteção em trânsito.

Não oferecemos opções de criptografia inferior (AES-128, 3DES, ou sem criptografia) porque acreditamos que a segurança não deve ser uma escolha — deve ser o padrão. Cada backup, de cada cliente, em cada plano, utiliza AES-256. Ponto.

Zero-knowledge encryption

A DataBackup opera no modelo de zero-knowledge: as chaves de criptografia são geradas e mantidas pela empresa cliente. Nossa equipe não tem acesso às chaves e, portanto, não consegue acessar os dados dos clientes — mesmo diante de ordem judicial ou comprometimento interno. Essa arquitetura atende aos requisitos mais rigorosos de compliance, incluindo LGPD, BACEN e PCI DSS.

Data centers no Brasil

Nossos data centers estão localizados em território brasileiro, atendendo requisitos de soberania de dados e garantindo latência otimizada para clientes nacionais. A infraestrutura conta com certificações de segurança física e lógica, redundância geográfica e controles de acesso rigorosos — incluindo biometria, CFTV e registro de acesso auditável.

Gerenciamento de chaves robusto

Oferecemos gestão de chaves em múltiplas camadas: hierarquia com Master Key, KEKs e DEKs; rotação automática de chaves conforme política definida pelo cliente; backup seguro de chaves em cofre dedicado; e compatibilidade com HSMs para clientes do setor financeiro. O cliente mantém o controle total sobre suas chaves, com a plataforma fornecendo as ferramentas para gerenciá-las de forma segura.

Compatibilidade ampla

A criptografia AES-256 da DataBackup é aplicada de forma transparente a todos os workloads suportados:

• Microsoft 365: Exchange Online, SharePoint, OneDrive, Teams
• Google Workspace: Gmail, Drive, Documentos, Agenda
• Máquinas virtuais: VMware, Hyper-V, Proxmox
• Bancos de dados: SQL Server, PostgreSQL, MySQL, Oracle
• Servidores físicos: Windows Server, Linux
• Aplicações SaaS: Salesforce, HubSpot e outras plataformas em nuvem

Independentemente do workload, a criptografia opera com o mesmo padrão AES-256, sem configuração adicional por parte do cliente. A proteção é consistente e abrangente.

Para conhecer os detalhes técnicos de cada plano, incluindo capacidades de criptografia, retenção, proteção contra ransomware e suporte, acesse nossos planos de backup corporativo.

Conclusão

Backup criptografado deixou de ser um diferencial técnico para se tornar uma exigência operacional, regulatória e estratégica para qualquer empresa que leve a sério a proteção dos seus dados. Em um cenário onde ataques de ransomware crescem exponencialmente, onde a LGPD impõe multas de até R$ 50 milhões e onde dados vazados podem destruir a reputação de uma empresa da noite para o dia, armazenar backups sem criptografia é um risco inaceitável.

Os pontos fundamentais que abordamos neste guia são claros:

• A criptografia deve proteger os dados em trânsito e em repouso — uma sem a outra é insuficiente
• O AES-256 é o padrão recomendado por instituições como o NIST, governos e reguladores — algoritmos inferiores não atendem mais às exigências atuais
• O gerenciamento de chaves é tão importante quanto o algoritmo — chaves armazenadas junto com os dados eliminam a proteção da criptografia
• Zero-knowledge encryption é o nível máximo de proteção e atende aos requisitos mais rigorosos de compliance
• A criptografia deve cobrir todos os workloads — incluindo Microsoft 365, Google Workspace e demais aplicações SaaS que frequentemente são esquecidas
• Testar a restauração de dados criptografados é obrigatório — a criptografia que impede o atacante não deve impedir sua própria empresa de recuperar os dados

A DataBackup oferece backup criptografado com AES-256, zero-knowledge, data centers no Brasil, compatibilidade com todos os workloads corporativos e compliance integrado com LGPD, BACEN e PCI DSS — com planos a partir de R$ 159,90/mês e 14 dias de teste gratuito.

Proteja os dados da sua empresa agora:

• Conheça nossos planos e inicie seu teste gratuito de 14 dias
• Fale com um especialista pelo WhatsApp

Não espere um incidente de segurança para descobrir que seus backups estavam desprotegidos. Cada dia sem criptografia adequada é um dia em que os dados mais valiosos da sua empresa estão expostos.