Vazamento da Gol mostra que terceirizar sistemas não significa terceirizar responsabilidades: segurança deve ser prioridade estratégica
Por Regina Tupinambá
O caso
No dia 12 de novembro de 2025, a Gol Linhas Aéreas confirmou um acesso indevido em sistema terceirizado da Smiles, seu programa de fidelidade.
Embora a companhia tenha informado que o impacto foi limitado a menos de 0,04% da base de clientes, sem comprometimento de senhas ou dados financeiros, o episódio reacendeu um debate crítico: a vulnerabilidade da cadeia de fornecedores.
O alerta real
Especialistas em segurança digital ressaltam que o incidente não deve ser minimizado pelo número de clientes afetados. O ponto central é que a cadeia de terceiros continua sendo o elo mais frágil da segurança da informação. Pesquisas recentes indicam que quase metade das empresas brasileiras ainda não trata segurança como prioridade estratégica, dedicando menos de 5% do orçamento de TI ao tema.
Perspectiva jurídica
Advogados especializados em proteção de dados reforçam que, mesmo quando o ataque ocorre em sistemas terceirizados, a responsabilidade pela proteção continua sendo da empresa contratante. O caso da Gol evidencia que a baixa priorização da segurança digital pode gerar riscos jurídicos e reputacionais, além de comprometer a confiança dos consumidores.
Ecos no Crypto ID
O portal Crypto ID já vinha alertando para esse cenário em artigos como:
- ID Talk | Sérgio Muniz e Thiago Diogo: Riscos de Terceiros na Gestão de Identidade e Acesso Desafiam o Mercado
- Hackers exploram brechas em integrações e impactam gigantes: o que aconteceu e como Salesforce, Gainsight e Google reagiram
- Lançamento da Veeam apresenta novos controles de segurança e identidade e inteligência impulsionada por IA
- STIR/SHAKEN: USA adota novas regras sobre uso de terceiros na autenticação de chamadas telefônicas
- Os desafios da contratação de serviços sob a perspectiva da LGPD
Conclusão
O incidente de 12/11/2025 deve ser entendido como um marco: não basta terceirizar sistemas, é preciso garantir governança e segurança em toda a cadeia. A Gol, ao confirmar o vazamento, trouxe à tona um alerta que já vinha sendo discutido no Crypto ID — a urgência de colocar segurança da informação no centro da estratégia corporativa.
REGINA TUPINAMBÁ | CCO – Chief Content Officer – Crypto ID. Publicitária formada pela PUC Rio. Como publicitária atuou em empresas nacionais e internacionais atendendo marcas de grande renome. Em 1999, migrou sua atuação para empresas do universo de segurança digital onde passou ser a principal executiva das áreas comercial e marketing em uma Autoridade Certificadora Brasileira. Acompanhou a criação da AC Raiz da ICP-Brasil e participou diretamente da implementação e homologação de inúmeras Autoridades Certificadoras. Foi, também, responsável pelo desenvolvimento do mercado de SSL no Brasil. É CEO da Insania Publicidade e como CCO do Portal Crypto ID dirige a área de conteúdo do Portal desde 2014. Acesse seu LinkedIn.
Leia outros artigos escritos por Regina, aqui!
Secure Finance 2025 – A Imersão Executiva em Cibersegurança para o Setor Financeiro Brasileiro
Empresas ficam mais vulneráveis a ataques cibernéticos e fraudes digitais durante a Black Friday
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
