Normas e frameworks que exigem gestão de vulnerabilidades: guia de compliance

A gestão de vulnerabilidades deixou de ser boa prática. Agora e obrigação regulatória.

Se você e CISO, GRC lead ou responsável por segurança da informação em uma organização brasileira, já sabe que a gestão de vulnerabilidades não é opcional. O que talvez não esteja claro e a extensão dessa obrigatoriedade: sete normas e frameworks amplamente adotados no Brasil exigem, de forma explícita ou funcional, que a organização mantenha um processo contínuo de identificação, priorização e correção de vulnerabilidades.

O problema é que cada norma usa terminologia diferente e espera evidências em formatos variados. Muitas empresas acreditam estar em conformidade porque rodam um scan mensal, quando o requisito exige ciclo contínuo, priorização baseada em risco e rastreabilidade de tratamento.

Este guia mapeia cada framework relevante, seus controles específicos sobre normas gestão de vulnerabilidades e como atende-los na prática.

---

Por que compliance e gestão de vulnerabilidades são inseparaveis

Leia também: Gestão de vulnerabilidades no setor financeiro: regulação...

Reguladores e frameworks de segurança partem de uma premissa comum: se a organização não conhece suas fraquezas técnicas, não pode proteger os dados e sistemas sob sua responsabilidade. Essa lógica se desdobra em três pilares recorrentes:

1. Visibilidade, a organização precisa identificar vulnerabilidades de forma sistemática, não apenas quando ocorre um incidente.
2. Priorização baseada em risco, não basta listar CVEs; é necessário demonstrar que as vulnerabilidades mais críticas para o negócio são tratadas primeiro.
3. Rastreabilidade, auditores querem ver o ciclo completo: quando a vulnerabilidade foi descoberta, como foi priorizada, quem é responsável pela correção, qual o prazo e qual o status atual.

Esses três pilares são exatamente o que um programa maduro de gestão de vulnerabilidades entrega. Quando a organização opera com um módulo como o GVul da EcoTrust, esses requisitos deixam de ser um esforço manual de compilação de evidências e passam a ser um subproduto natural do processo operacional.

---

As 7 normas e frameworks que exigem gestão de vulnerabilidades

Leia também: Gestão de riscos e vulnerabilidades: por que tratar separ...

1. ISO/IEC 27001, Controle A.12.6 (Gestão de vulnerabilidades técnicas)

A ISO 27001 é o padrão internacional mais adotado para SGSI. Na versão 2022, o controle relevante migrou para o Anexo A, item 8.8, mas a referência ao A.12.6 da versão 2013 ainda é amplamente utilizada.

O que o controle exige:

• Obter informações tempestivas sobre vulnerabilidades técnicas dos sistemas de informação em uso.
• Avaliar a exposição da organização a essas vulnerabilidades.
• Tomar medidas aprópriadas para tratar o risco associado.

Na prática, isso significa:

• Manter um inventário de ativos atualizado e vinculado ao processo de varredura de vulnerabilidades.
• Executar varreduras regulares, não apenas periódicas, mas com frequência suficiente para acompanhar a publicação de novas CVEs.
• Documentar o processo de priorização, incluindo os critérios utilizados (CVSS, EPSS, contexto de negócio, explorabilidade).
• Registrar o tratamento de cada vulnerabilidade: correção, mitigação, aceitação de risco ou transferência.

Como a EcoTrust atende:

O GVul centraliza o ciclo completo: descoberta via VulScan, priorização multi-fator, ranking de ativos, ciclo de tratamento com SLAs e rastreabilidade. O Patch Management automatiza correções, fechando o ciclo exigido pela norma.

---

2. PCI DSS v4.0, Requisitos 6 e 11

O PCI DSS (Payment Card Industry Data Security Standard) e mandatorio para qualquer organização que processa, armazena ou transmite dados de cartões de pagamento. A versão 4.0, vigente desde marco de 2024, ampliou as exigências de gestão de vulnerabilidades.

Requisito 6, Desenvolver e manter sistemas e softwares seguros:

• 6.3.3: instalar patches/atualizações de segurança críticas dentro de um mes após a publicação.
• 6.2.4: utilizar técnicas de revisão de código para identificar vulnerabilidades em software sob medida.

Requisito 11, Testar regularmente sistemas e processos de segurança:

• 11.3.1: executar varreduras internas de vulnerabilidades ao menos trimestralmente e após qualquer mudança significativa.
• 11.3.2: executar varreduras externas de vulnerabilidades ao menos trimestralmente, conduzidas por um ASV (Approved Scanning Vendor).
• 11.4: realizar testes de penetração ao menos anualmente e após mudanças significativas na infraestrutura.

Na prática, isso significa:

• Varreduras internas e externas trimestrais como mínimo, com evidências documentadas.
• Patches críticos aplicados em até 30 dias, o que exige priorização rápida e processo de remediação eficiente.
• Rescans para confirmar que vulnerabilidades críticas e altas foram efetivamente corrigidas.
• Testes de penetração anuais com escopo definido.

Como a EcoTrust atende:

VulScan executa varreduras internas e externas com relatórios formatados para PCI. O GVul rastreia o tempo entre descoberta e correção, evidênciando aderência ao prazo de 30 dias. O QSA verifica conformidade diretamente na plataforma, sem compilação manual.

---

3. NIST Cybersecurity Framework (CSF) 2.0

O NIST CSF é o framework de referência global para gestão de riscos de cibersegurança. A versão 2.0 reorganizou as funções e adicionou Govern. A gestão de vulnerabilidades aparece em múltiplas funções.

Funções e categorias relevantes:

• Identify (ID.RA), Risk Assessment: identificar vulnerabilidades nos ativos da organização.
• Protect (PR.IP), Information Protection Processes: implementar processos para gerenciar vulnerabilidades.
• Detect (DE.CM), Continuous Monitoring: monitorar continuamente para detectar novas vulnerabilidades.
• Respond (RS.MI), Mitigation: conter e mitigar vulnerabilidades exploradas.

Na prática, isso significa:

• Integrar gestão de vulnerabilidades ao processo mais amplo de avaliação de riscos.
• Monitoramento contínuo, não apenas scans periódicos.
• Capacidade de responder rápidamente a vulnerabilidades exploradas ativamente (zero-days, vulnerabilidades com exploit público).
• Vincular vulnerabilidades ao contexto de risco organizacional.

Como a EcoTrust atende:

A plataforma de IA Agêntica para CTEM da EcoTrust alinha-se nativamente ao NIST CSF. O GVul cobre Identify e Protect. Monitoramento contínuo com inteligência de explorabilidade (EPSS, kits de exploit) atende Detect. O ciclo de tratamento cobre Respond.

---

4. Resolução BACEN 4.893/2021 (Política de segurança cibernética para instituições financeiras)

A Resolução 4.893 do Banco Central do Brasil e mandatoria para instituições financeiras autorizadas pelo BCB. Substituiu a Resolução 4.658 e estabelece requisitos para política de segurança cibernética.

Artigos relevantes:

• Art. 3o, inciso II: a política de segurança cibernética deve contémplar procedimentos e controles para reduzir a vulnerabilidade a incidentes.
• Art. 3o, inciso IV: registro, análise e controle dos efeitos de incidentes relevantes.
• Art. 6o: as instituições devem implementar procedimentos de avaliação, teste e tratamento de vulnerabilidades.

Na prática, isso significa:

• Manter política formal de gestão de vulnerabilidades, integrada a política de segurança cibernética.
• Executar avaliações periódicas de vulnerabilidades em todos os ativos críticos.
• Documentar o tratamento de vulnerabilidades com evidências auditaveis.
• Reportar ao BCB incidentes relevantes que envolvam exploração de vulnerabilidades.
• Considerar riscos de vulnerabilidades na contratação de serviços de terceiros (cloud, SaaS).

Como a EcoTrust atende:

O GVul gera trilhas de auditoria completas para cada vulnerabilidade. A priorização por risco de negócio e a rastreabilidade são o que o BCB espera em inspeção. A plataforma também cobre vulnerabilidades em ativos de terceiros (Art. 6o).

---

5. LGPD, Lei Geral de Proteção de Dados (Lei 13.709/2018)

A LGPD não menciona "gestão de vulnerabilidades" explicitamente, mas estabelece obrigações que tornam o processo indispensavel. O artigo-chave é o Art. 46, combinado com os artigos 47 e 49.

Artigos relevantes:

• Art. 46: os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilicitas de destruição, perda, alteração ou difusão.
• Art. 47: os agentes de tratamento devem garantir a segurança da informação em relação aos dados pessoais, mesmo após o termino do tratamento.
• Art. 49: os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança.

Na prática, isso significa:

• A organização que trata dados pessoais e obrigada a adotar medidas técnicas para proteger esses dados. Gestão de vulnerabilidades é uma dessas medidas técnicas.
• Em caso de incidente, a ANPD (Autoridade Nacional de Proteção de Dados) pode solicitar evidências de que a organização mantinha um programa de segurança adequado. A ausência de gestão de vulnerabilidades pode ser considerada negligência.
• O princípio de "security by design" (Art. 49) exige que vulnerabilidades sejam identificadas e tratadas nos sistemas que processam dados pessoais.

Como a EcoTrust atende:

O GVul permite classificar ativos por tipo de dado tratado, priorizando aqueles que processam dados pessoais sensíveis. Isso gera evidências diretas de que a organização adota medidas técnicas proporcionais ao risco, conforme exigido pela LGPD. Em caso de investigação pela ANPD, os relatórios da plataforma demonstram diligência e processo sistemático.

---

6. CIS Controls v8

Os CIS Controls (Center for Internet Security) são um conjunto de ações priorizadas para defesa cibernética. A versão 8, publicada em 2021, organiza 18 controles em três grupos de implementação (IGs). A gestão de vulnerabilidades e abordada diretamente no Controle 7.

Controle 7, Continuous Vulnerability Management:

• 7.1: estabelecer e manter um processo de gestão de vulnerabilidades.
• 7.2: estabelecer e manter um processo de remediação.
• 7.3: executar gestão automatizada de patches em sistemas operacionais.
• 7.4: executar gestão automatizada de patches em aplicações.
• 7.5: executar varreduras automatizadas de vulnerabilidades em ativos internos trimestralmente, no mínimo.
• 7.6: executar varreduras automatizadas de vulnerabilidades em ativos expostos externamente.
• 7.7: remediar vulnerabilidades detectadas.

Na prática, isso significa:

• Processo documentado e automatizado de gestão de vulnerabilidades (não apenas scans manuais).
• Varreduras automatizadas internas e externas, com frequência mínima trimestral.
• Patch management automatizado para sistemas operacionais e aplicações.
• Processo formal de remediação com prazos definidos.

Como a EcoTrust atende:

GVul, VulScan e Patch Management cobrem os sete sub-controles do CIS Control 7 de ponta a ponta: varreduras automatizadas, priorização, remediação e patching em uma única plataforma.

---

7. SOC 2, Trust Services Criteria

O SOC 2 é um padrão de auditoria do AICPA que avalia controles de segurança, disponibilidade e confidencialidade de prestadores de serviço. Especialmente relevante para empresas de tecnologia e SaaS.

Critérios relevantes (categoria Security):

• CC7.1: a entidade usa procedimentos de detecção para identificar mudanças na configuração de ativos de TI, incluindo novas vulnerabilidades, e responde de acordo.
• CC7.2: a entidade monitora componentes do sistema para detectar anomaliás indicativas de atos maliciosos, desastrês naturais e erros que afetam a capacidade de atingir os objetivos do serviço.

Na prática, isso significa:

• Manter processo formal de identificação e gestão de vulnerabilidades em ativos que suportam os serviços cobertos pelo SOC 2.
• Documentar o processo de resposta a vulnerabilidades identificadas.
• Evidênciar monitoramento contínuo, não apenas varreduras periódicas.
• Demonstrar que vulnerabilidades críticas são tratadas dentro de prazos definidos.

Como a EcoTrust atende:

O GVul gera as evidências que auditores SOC 2 precisam: inventário com timestamps, priorização documentada, registro de tratamento com responsáveis e prazos, e dashboards de tendência. Relatórios exportaveis para workpapers de auditoria.

---

Tabela de mapeamento de compliance: norma, requisito, exigência e como a EcoTrust atende

A tabela abaixo consolida todas as normas e pode ser usada como referência rápida para auditorias, planejamento de controles e conversas com o board.

---

O que auditores realmente procuram: cinco evidências recorrentes

Independentemente da norma, auditores tendem a solicitar o mesmo conjunto de evidências:

1. Inventário de ativos com classificação de criticidade, sem inventário, não há como demonstrar cobertura de varredura. O GVul mantém ranking de ativos por criticidade vinculado as vulnerabilidades descobertas.

2. Relatório de varreduras com frequência documentada, varreduras continuas eliminam a discussão sobre frequência. O VulScan registra cada execução com data, escopo e resultados.

3. Evidência de priorização baseada em risco, demonstrar que a organização considera explorabilidade ativa, valor do ativo e impacto de negócio além do CVSS puro.

4. Registro de tratamento com ciclo de vida completo, quando foi descoberta, como foi classificada, quem é responsável, qual a ação e quando foi encerrada.

5. Métricas de evolução, dashboards mostrando redução de vulnerabilidades críticas abertas, melhoria no MTTR e aumento na cobertura de varredura.

---

Erros comuns que comprometem compliance em gestão de vulnerabilidades

1. Depender exclusivamente de scans periódicos, rodar uma varredura trimestral pode atender a letra do PCI DSS, mas não atende ao espirito do NIST CSF ou da ISO 27001, que esperam monitoramento contínuo. Uma varredura trimestral deixa a organização exposta por até 90 dias sem visibilidade.

2. Priorizar apenas por CVSS, o CVSS mede severidade técnica intrínseca, não risco real. Uma vulnerabilidade CVSS 9.0 em ativo isolado pode ser menos urgente que uma CVSS 6.5 em servidor que processa dados de cartão. Reguladores do setor financeiro esperam priorização contextualizada.

3. Não rastrear o ciclo de tratamento, descobrir vulnerabilidades sem documentar o tratamento e pior do que não descobrir. A organização demonstra conhecimento do risco sem evidência de ação, o que configura negligência.

4. Tratar compliance como projeto, não como processo, compliance em gestão de vulnerabilidades não é exercício anual pré-auditoria. Organizações que tratam assim acumulam divida técnica entre auditorias.

---

Como estruturar um programa que atende múltiplas normas simultaneamente

Os requisitos das sete normas convergem para um mesmo conjunto de capacidades. O caminho prático envolve cinco etapas:

1. Inventário de ativos completo, base para qualquer programa e requisito explícito de ISO 27001, PCI DSS e CIS Controls.
2. Varreduras continuas internas e externas, com o VulScan, cobrindo PCI DSS, CIS Controls e NIST CSF.
3. Priorização multi-fator, CVSS, EPSS, contexto de negócio e explorabilidade ativa (ISO 27001, NIST CSF, BACEN 4.893).
4. Ciclo de tratamento automatizado, GVul para atribuir responsáveis, SLAs e evidências automáticas.
5. Patch management automatizado, Patch Management para atender ao prazo de 30 dias do PCI DSS e CIS Controls 7.3/7.4.

---

Por que uma plataforma unificada supera ferramentas fragmentadas

Organizações que tentam atender a cada norma com ferramentas diferentes, um scanner para PCI, outro para varreduras internas, planilhas para rastreamento, enfrentam redundancia de esforço, lacunas de evidência e custo operacional desproporcional.

Uma plataforma unificada como a EcoTrust resolve esses problemas. O GVul, o VulScan é o Patch Management compartilham a mesma base de dados, o mesmo inventário de ativos é o mesmo ciclo de tratamento. As evidências para todas as sete normas saem de uma única fonte de verdade.

Comparando com Tenable One, Qualys TruRisk ou Rapid7, a EcoTrust se diferencia pela abordagem de plataforma de IA Agêntica para CTEM, que não apenas identifica e prioriza vulnerabilidades, mas orquestra o ciclo completo de tratamento com rastreabilidade nativa, algo que plataformas tradicionais não oferecem sem integração manual extensiva.

---

Veja como a EcoTrust atende cada norma na prática

Se sua organização precisa demonstrar compliance com uma ou mais das normas listadas neste guia, o primeiro passo e entender como o ciclo de gestão de vulnerabilidades atual se compara ao que cada framework exige. A EcoTrust oferece uma avaliação gratuita de maturidade em gestão de vulnerabilidades, mapeando gaps de compliance e indicando o caminho mais curto para adequação.

Solicite uma avaliação de compliance em gestão de vulnerabilidades

---

Perguntas frequentes

Qual norma é mais rigorosa em relação a gestão de vulnerabilidades? O PCI DSS v4.0 é a mais prescritiva: define frequências mínimas de varredura, prazos para patches e exige varreduras externas por ASVs. Organizações que atendem ao PCI DSS geralmente cobrem os requisitos das demais normas.

A LGPD exige gestão de vulnerabilidades explicitamente? Não usa esse termo, mas o Art. 46 exige "medidas técnicas aptas a proteger dados pessoais". A ausência de gestão de vulnerabilidades pode ser interpretada como falha nessa obrigação.

Quantas varreduras por ano cada norma exige? PCI DSS e CIS Controls definem mínimo trimestral. ISO 27001, NIST CSF e BACEN 4.893 esperam periodicidade "adequada ao risco". Varreduras continuas atendem a todas e eliminam a discussão sobre frequência.

E possível atender a todas essas normas com uma única ferramenta? Sim, desde que cubra o ciclo completo: descoberta, priorização, tratamento com rastreabilidade e geração de evidências. A EcoTrust, com GVul, VulScan e Patch Management, cobre o ciclo de ponta a ponta.

---

Para aprofundamento, consulte a referência oficial: PCI Security Standards Council.

Conclusão: compliance não é checkbox, e processo contínuo

As sete normas e frameworks analisados neste guia convergem para uma mesma mensagem: gestão de vulnerabilidades é uma obrigação operacional, não um exercício periódico de auditoria. Organizações que tratam o tema como processo contínuo, com visibilidade, priorização baseada em risco e rastreabilidade completa, atendem simultaneamente a ISO 27001, PCI DSS, NIST CSF, BACEN 4.893, LGPD, CIS Controls e SOC 2.

O diferencial não está em rodar mais scans, mas em operar um ciclo integrado que vai da descoberta a remediação, com evidências automáticas para cada norma. E exatamente isso que a plataforma de IA Agêntica para CTEM da EcoTrust entrega.

Conheça o módulo de Gestão de Vulnerabilidades (GVul) da EcoTrust