Não é um controle compensatório. É uma eliminação estrutural do fator que origina o sinistro.

81% dos sinistros cibernéticos envolvem comprometimento de credenciais. A MyCena elimina a condição prévia — os usuários nunca possuem as credenciais, portanto não há nada para ser alvo de phishing, compartilhado, vendido ou utilizado em ataques de preenchimento de credenciais. Este documento explica o que a MyCena faz, qual risco ela elimina e quais evidências gera para o processo de subscrição de seguros.
0
Dos sinistros cibernéticos envolvem credenciais roubadas ou comprometidas — o maior fator individual de geração de sinistros.
0
Custo total médio de uma violação baseada em credenciais — Relatório “Cost of a Data Breach” da IBM de 2024.
0
Redução de prêmio justificada no Nível 4 de governança de credenciais — evidências estruturais disponíveis.
0
Valor da credencial para um invasor quando o usuário nunca a possui — a posição estrutural da MyCena.
Resumo para underwriting

A eliminação estrutural da superfície de ataque responsável pela maioria dos sinistros.

O problema fundamental nos sinistros cibernéticos baseados em credenciais é que os usuários conhecem suas senhas. Um usuário que conhece uma senha pode ser vítima de phishing para revelá-la, ser induzido por engenharia social a cedê-la, compartilhá-la com um colega, vendê-la a um agente de ameaça, ou perdê-la por meio de credential stuffing. Todos esses vetores de ataque exigem a mesma pré-condição: o usuário detém a credencial.

A MyCena elimina essa pré-condição por completo. A organização gera cada credencial centralmente, a distribui de forma criptografada e a injeta de maneira invisível no momento da autenticação. O usuário clica uma vez e acessa o sistema normalmente — ele nunca vê, conhece ou detém a credencial. Não há nada para phishing, compartilhamento, venda ou roubo a partir da posse do usuário.

Isso não é um controle compensatório sobreposto ao risco de credenciais. É uma eliminação estrutural da superfície de ataque responsável pela maioria dos sinistros cibernéticos.

Os atacantes não invadem. Eles fazem login. A MyCena remove a credencial antes que o atacante consiga alcançá-la.

Vetores de ataque abordados

Antes e depois da implementação da MyCena.

Cada um desses vetores é um gerador de sinistros. Cada um exige a mesma pré-condição: uma credencial em mãos humanas. A MyCena elimina essa pré-condição estruturalmente.

01 — Phishing
Roubo de credenciais por meio de comunicação enganosa
O usuário recebe um e-mail de phishing e insere as credenciais em um site falsificado. O atacante obtém acesso a uma sessão válida, muitas vezes sem ser detectado por semanas.
Nenhuma credencial existe no conhecimento do usuário. A tentativa de phishing não encontra nada para roubar. O usuário não pode informar o que não sabe.
02 — Engenharia social
Extração de credenciais por meio de personificação
O atacante liga se passando pelo suporte de TI. O usuário lê a credencial em voz alta ou a insere em uma tela indicada pelo atacante. Códigos de MFA são interceptados.
“Não sei minha senha — o sistema cuida disso” encerra completamente o ataque. Nada a extrair sob pressão.
03 — Compartilhamento interno
Compartilhamento deliberado ou por conveniência
Usuários compartilham credenciais na troca de turno, com contratados, ou entre colegas. A trilha de auditoria é quebrada. A atribuição de responsabilidade é impossível.
As credenciais nunca estão em posse do usuário. O compartilhamento é arquiteturalmente impossível. Todo evento de acesso é atribuído a uma identidade nomeada.
04 — Falha no desligamento
Acesso persistente após o fim do vínculo empregatício
O funcionário desligado mantém credenciais ativas por dias ou semanas. A revogação é manual, incompleta, ou nunca ocorre em todos os sistemas.
Um comando revoga todas as credenciais em todos os sistemas simultaneamente. A revogação é registrada com data/hora. Janela de acesso zero comprovável.
05 — Acesso de terceiros
Credenciais não controladas de fornecedores e contratados
Fornecedores mantêm credenciais para sistemas do cliente indefinidamente. A revogação ao fim do contrato é manual e frequentemente atrasada. A exposição na cadeia de suprimentos é estrutural.
Todas as credenciais de fornecedores são controladas pela organização, delimitadas por sistema e revogáveis instantaneamente. Relatório de acesso de terceiros disponível sob demanda.
06 — Credential stuffing
Senhas reutilizadas exploradas entre serviços
O funcionário reutiliza uma senha pessoal em sistemas corporativos. Uma violação externa de um serviço não relacionado resulta em credenciais corporativas válidas.
A MyCena gera credenciais únicas e de alta entropia por sistema e por usuário. Nenhuma reutilização é possível — as credenciais não são criadas pelo usuário. O stuffing não encontra correspondência.
Evidências para underwriting

Evidências disponíveis — geradas automaticamente pela plataforma.

Cada documento abaixo é gerado como subproduto da operação normal. Sem compilação manual. Disponível para qualquer período de auditoria ou revisão de underwriting.

Documento de evidência O que demonstra para fins de underwriting
Log de eventos de acesso

Registro completo e à prova de adulteração de todo evento de acesso — identidade do usuário, sistema, data/hora, dispositivo, IP de origem. Demonstra acesso 100% atribuível. Nenhum evento anônimo ou de credencial compartilhada.

Log de provisionamento

Toda emissão de credencial com administrador que autorizou, identidade do usuário, sistema de destino, escopo e data/hora. Demonstra que o acesso é concedido apenas mediante autorização formal — sem autoprovisionamento.

Log de revogação com data/hora

Todo evento de revogação com data/hora exata e confirmação de acesso bloqueado após a revogação. Fornece um tempo comprovável entre o desligamento e o acesso zero — fundamental para a avaliação de risco de desligamento.

Relatório de acesso de terceiros

Todas as credenciais de fornecedores e contratados atualmente ativas: escopo, último acesso, duração, status de revogação. Aborda diretamente a governança de acesso de terceiros — um dos maiores contribuintes para a frequência de sinistros.

Log do ciclo de vida da força de trabalho

Histórico completo de credenciais, da admissão ao desligamento, por colaborador. Da autorização de integração até a revogação no desligamento, com todas as alterações intermediárias. Aborda os controles de segurança da força de trabalho de forma abrangente.

Documentação de arquitetura

Documentação técnica que confirma: credenciais nunca armazenadas em formato acessível ao usuário, bloqueio ativo do navegador, arquitetura baseada apenas em injeção, criptografia em trânsito e em repouso.

Perguntas de underwriting

Perguntas frequentes de underwriting — o que a implementação da MyCena demonstra.

Pergunta de underwritingO que a implementação da MyCena demonstra

“Todos os usuários têm credenciais únicas para cada sistema?”

Sim — a MyCena gera credenciais únicas por usuário e por sistema no momento da emissão. Nenhuma conta compartilhada é possível. O log de provisionamento confirma a exclusividade para cada concessão de acesso.

“Com que rapidez o acesso é revogado quando um funcionário sai?”

A revogação é simultânea em todos os sistemas conectados — não sequencial. O log de revogação registra a data/hora exata e quaisquer tentativas bloqueadas após a revogação. O tempo entre o desligamento e o acesso zero é mensurável e tipicamente inferior a 60 segundos.

“Como vocês governam o acesso de terceiros e fornecedores?”

Todas as credenciais de fornecedores são controladas pela organização e delimitadas por sistema no momento da emissão. O relatório de acesso de terceiros mostra as credenciais atuais dos fornecedores, escopo, data do último acesso e status de revogação. Nenhum fornecedor mantém acesso após o fim do contrato sem reautorização explícita.

“Quais controles impedem o phishing de credenciais?”

Estrutural: os usuários nunca detêm credenciais, portanto o phishing não tem alvo. O navegador é ativamente impedido de salvar ou exibir os valores das credenciais. Mesmo um dispositivo de usuário totalmente comprometido não pode expor credenciais que ele nunca possuiu.

“Vocês conseguem fornecer uma trilha de auditoria de acesso privilegiado?”

Sim. Todo evento de acesso a todos os sistemas conectados é registrado — usuário, sistema, data/hora, dispositivo, IP. Exportável em formatos padrão para a revisão do período da apólice. 100% de cobertura do acesso mediado pela MyCena.

“Qual é a postura de MFA da organização?”

A MyCena complementa, em vez de substituir, o MFA. Onde o MFA está implementado, a MyCena atua na camada abaixo dele: a própria credencial. O MFA se torna mais eficaz quando a credencial subjacente não pode ser extraída do conhecimento do usuário.

Contexto de seguradoras e programas

Onde a implementação da MyCena é mais relevante para o underwriting.

O risco de governança de credenciais varia significativamente por setor e modelo operacional. Estes são os segmentos em que a implementação da MyCena muda o perfil de risco de forma mais significativa.

Ciber para PMEs / mercado intermediário
50–2.000 funcionários
Clientes frequentemente sem equipe de segurança dedicada. A governança de credenciais é frequentemente o controle mais fraco na avaliação.
✓ A MyCena aborda a lacuna sem exigir uma equipe de segurança dedicada — implementação em duas semanas, sobrecarga contínua próxima de zero.
MSP / clientes de serviços gerenciados
Risco de credenciais na cadeia de suprimentos
MSPs que acessam múltiplos ambientes de clientes carregam risco de credenciais na cadeia de suprimentos. Uma credencial de técnico comprometida alcança todos os clientes simultaneamente.
✓ A MyCena governa todas as credenciais de técnicos de forma centralizada — revogação instantânea em todos os ambientes de clientes elimina o risco de efeito cascata na cadeia de suprimentos.
BPO / operações terceirizadas
Maior frequência de sinistros por credenciais
Alta rotatividade de agentes, risco de estações de trabalho compartilhadas, compartilhamento de credenciais entre turnos. Maior frequência de sinistros por credenciais entre todos os setores.
✓ A MyCena elimina estruturalmente a posse de credenciais pelos agentes — nada para compartilhar, vender, ou deixar para trás ao fim do turno.
Saúde / regulado pela HIPAA
Principal gatilho de fiscalização da HIPAA
O acesso a ePHI exige identificação única de usuário, controles de auditoria e salvaguardas de segurança da força de trabalho. Falhas na governança de credenciais são o principal gatilho de fiscalização da HIPAA.
✓ O log de acesso da MyCena atende aos requisitos de controle de auditoria do §164.312(b). Credenciais únicas por usuário atendem ao §164.312(a)(1). Evidências disponíveis sob demanda.
Serviços financeiros / SOC 2
Apontamento de auditoria mais comum
A série CC6 do SOC 2 e a governança de acesso de terceiros são os apontamentos de auditoria mais comuns. A evidência de credenciais é frequentemente manual e incompleta.
✓ A MyCena gera automaticamente as evidências CC6.1–CC6.7 do SOC 2. Os logs de acesso e revogação substituem completamente a coleta manual de evidências.
Serviços profissionais / jurídico
Obrigações de confidencialidade com clientes
Alta rotatividade de sócios e contratados, acesso a arquivos sensíveis de casos de clientes, e forte pressão regulatória decorrente das obrigações de confidencialidade com clientes.
✓ A revogação de credenciais de contratados ao encerramento de um caso é instantânea e auditável. O acesso a arquivos de clientes é atribuído a indivíduos nomeados, com logs de eventos completos.
Solicite uma reunião técnica
Eliminação estrutural do gerador de sinistros. Documentação técnica e amostras de evidências disponíveis.
Agende uma reunião →
MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.