# Como Criar Logs Seguros e Monitoramento Contínuo de Chamadas a APIs de CPF > Aprenda a criar logs seguros e monitoramento contínuo para chamadas a APIs de CPF, protegendo dados sensíveis e garantindo conformidade com a LGPD. **Publicado:** 19/04/2024 **Autor:** Redação CPFHub.io **URL:** https://cpfhub.io/blog/logs-seguros-monitoramento-apis-cpf --- ## Introdução Registrar chamadas a APIs de CPF é essencial para auditorias, diagnóstico de problemas e conformidade regulatória. Porém, logs mal configurados podem se tornar um vetor de vazamento de dados pessoais. Quando informações como CPF, nome completo e data de nascimento aparecem em texto aberto nos registros, a empresa corre riscos legais significativos perante a LGPD. --- ## Por que logs de APIs de CPF exigem cuidado especial Dados de CPF são classificados como dados pessoais pela LGPD ([Lei 13.709/2018](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm)). Qualquer registro que contenha esses dados precisa seguir os princípios de finalidade, necessidade e segurança. Logs que armazenam CPFs completos sem mascaramento violam o princípio da minimização de dados. | Risco | Consequência | Mitigação | |-------|-------------|-----------| | CPF em texto aberto nos logs | Vazamento em caso de acesso indevido | Mascaramento automático | | Logs sem controle de acesso | Qualquer desenvolvedor acessa dados sensíveis | RBAC para arquivos de log | | Retenção indefinida | Acúmulo desnecessário de dados pessoais | Política de expiração de logs | | Ausência de monitoramento | Chamadas suspeitas passam despercebidas | Alertas em tempo real | | Logs sem criptografia em repouso | Exposição em caso de comprometimento do servidor | Criptografia AES-256 | --- ## Como mascarar dados sensíveis nos logs A técnica fundamental é nunca registrar o CPF completo. Utilize funções de mascaramento que preservem apenas os últimos dígitos para fins de rastreabilidade. ```python import logging import re import requests class CPFMaskingFilter(logging.Filter): """Filtro que mascara CPFs em mensagens de log.""" CPF_PATTERN = re.compile(r'\b(\d{3})\.?(\d{3})\.?(\d{3})-?(\d{2})\b') def filter(self, record): if isinstance(record.msg, str): record.msg = self.CPF_PATTERN.sub(r'***.\2.***-\4', record.msg) return True # Configuração do logger logger = logging.getLogger("cpfhub_api") logger.setLevel(logging.INFO) logger.addFilter(CPFMaskingFilter()) handler = logging.FileHandler("/var/log/cpfhub/api_calls.log") formatter = logging.Formatter( '%(asctime)s | %(levelname)s | %(message)s' ) handler.setFormatter(formatter) logger.addHandler(handler) # Exemplo de chamada com logging seguro def consultar_cpf(cpf: str) -> dict: logger.info(f"Iniciando consulta para CPF: {cpf}") response = requests.get( f"https://api.cpfhub.io/cpf/{cpf}", headers={"x-api-key": "SUA_CHAVE_AQUI"} ) data = response.json() if data.get("success"): logger.info(f"Consulta bem-sucedida para CPF: {cpf}") else: logger.warning(f"Consulta falhou para CPF: {cpf}") return data ``` No log resultante, o CPF aparecerá como `***.456.***-90`, preservando a rastreabilidade sem expor o dado completo. --- ## Implementando monitoramento contínuo O monitoramento contínuo permite identificar padrões anômalos, como picos de requisições, tentativas de força bruta ou acessos em horários incomuns. Defina métricas-chave para acompanhar: - **Taxa de requisições por minuto** -- permite detectar abusos ou ataques automatizados contra a API - **Taxa de erros (4xx e 5xx)** -- indica problemas de autenticação ou instabilidade no serviço - **Tempo médio de resposta** -- variações bruscas podem sinalizar degradação ou interceptação - **Requisições por IP de origem** -- concentração em um único IP pode indicar scraping - **Horário das chamadas** -- chamadas fora do horário comercial merecem investigação Ferramentas como Prometheus, Grafana, Datadog ou até soluções open-source como o ELK Stack (Elasticsearch, Logstash, Kibana) podem ser integradas para criar dashboards e alertas automáticos. --- ## Estrutura de log recomendada Adote um formato estruturado (JSON) para facilitar a indexação e consulta dos registros. Um registro ideal contém: ```json { "timestamp": "2024-04-19T14:32:10.123Z", "level": "INFO", "service": "cpf-validation", "action": "cpf_lookup", "cpf_masked": "***.456.***-90", "http_status": 200, "response_time_ms": 142, "ip_origin": "192.168.1.100", "user_agent": "MyApp/1.0", "api_key_hash": "a1b2c3d4e5...", "success": true } ``` Observe que a chave de API também não é registrada em texto aberto. Apenas um hash parcial é armazenado para identificação, sem permitir reutilização da credencial. --- ## Política de retenção e acesso aos logs Defina períodos claros de retenção alinhados à LGPD: - **Logs operacionais** -- retenção de 30 a 90 dias para diagnóstico de problemas técnicos - **Logs de auditoria** -- retenção de 1 a 5 anos conforme exigências regulatórias do setor - **Logs de segurança** -- retenção mínima de 6 meses para investigação de incidentes - **Acesso restrito** -- apenas equipes de segurança e compliance devem acessar logs com dados pessoais mascarados - **Exclusão automática** -- implemente rotinas de purge para eliminar registros expirados Utilize criptografia em repouso (AES-256) e em trânsito (TLS 1.3) para proteger os arquivos de log. Mantenha backups criptografados separados do ambiente de produção. --- ## Perguntas frequentes ### O que é necessário para implementar validação de CPF neste contexto? A validação de CPF exige uma chamada à API com o número do documento e a chave de autenticação. A CPFHub.io retorna o status do CPF, nome do titular e data de nascimento em menos de 200ms, permitindo a verificação em tempo real durante o cadastro ou transação. ### A API CPFHub.io funciona para todos os volumes de consulta? Sim. O plano gratuito oferece 50 consultas por mês sem cartão de crédito — ideal para testes e projetos pequenos. Para volumes maiores, o plano Pro inclui 1.000 consultas mensais por R$149. Se o limite for ultrapassado, a API não bloqueia: cobra R$0,15 por consulta adicional. ### Como garantir conformidade com a LGPD ao usar uma API de CPF? Use o CPF apenas para a finalidade declarada ao titular, armazene apenas o necessário (não guarde o CPF cru se um token bastar), implemente controle de acesso aos logs de consulta e documente a base legal para o tratamento. A [ANPD](https://www.gov.br/anpd) orienta que dados de identificação devem ser tratados com o princípio da necessidade. ### Quanto tempo leva para integrar a API CPFHub.io? A integração básica leva menos de 30 minutos: crie uma conta em cpfhub.io, gere a API key no painel e faça uma chamada GET para `https://api.cpfhub.io/cpf/{CPF}` com o header `x-api-key`. A documentação inclui exemplos em Python, Node.js, PHP, Java e outras linguagens. ### Leia também - [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei) - [Onboarding digital em fintechs: como validar CPF em menos de 30 segundos](https://cpfhub.io/blog/onboarding-digital-em-fintechs-como-validar-cpf-em-menos-de-30-segundos) - [Diferença entre validação de CPF e consulta de CPF: quando usar cada uma](https://cpfhub.io/blog/diferenca-entre-validacao-de-cpf-e-consulta-de-cpf-quando-usar-cada-uma) - [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta) --- ## Conclusão Criar logs seguros e monitoramento contínuo para chamadas a APIs de CPF não é apenas uma boa prática técnica, mas uma obrigação legal sob a LGPD. Mascarar dados sensíveis, estruturar registros em formato consultável, definir políticas de retenção e implementar alertas automáticos são passos fundamentais para proteger sua operação. A [**CPFHub.io**](https://www.cpfhub.io/) mantém histórico auditável de todas as consultas no painel de controle, complementando sua estratégia de logs internos. Comece em [cpfhub.io](https://www.cpfhub.io/) com 50 consultas gratuitas por mês.