GUÉP
IAM · Identity & Access Management

O ataque moderno não invade. Ele faz login.

O IAM Kavuka gerencia o ciclo completo de identidades e acessos — provisionamento, mudança e revogação — com a âncora que falta: cada conta nasce ligada a uma pessoa real verificada pelos motores da casa, e cada terceiro com acesso passou pela esteira.

Agendar diagnóstico Ver como funciona
JML
ciclo de vida automatizado
Zero
contas órfãs por desenho
Mínimo
privilégio executável
Verificada
identidade ancorada em pessoa real

Gestão de identidades e acessos em produção: ciclo JML disparado por eventos de RH e contratos, contas ancoradas em verificação real e recertificação com dono, prazo e evidência — trilha completa para ISO 27001, SOC 2 e LGPD.

A identidade virou o perímetro — e a conta de quem ninguém verificou é a porta deixada aberta.

Auditoria reprova a gestão de acessos

O privilégio de quem saiu, o acesso a dados pessoais sem governança e o questionário de segurança do cliente sem respostas viram apontamento recorrente em ISO, SOC e LGPD.

Provisionamento por chamado, revogação por memória

A entrada depende de chamado manual, a conta órfã do ex-colaborador fica ativa por meses e a recertificação vira planilha que ninguém responde.

O breach que entrou logado

A credencial válida não dispara alarme: o atacante opera sem ser detectado, o privilégio acumulado amplia o estrago e o terceiro com acesso que ninguém conhece vira o vetor.

Custo As credenciais comprometidas cresceram 160% em 2025 (Check Point) e são o vetor inicial de 22% dos breaches (Verizon DBIR), aparecendo em mais da metade deles. Atores internos respondem por 29% dos incidentes e o abuso de privilégios por 12% — quase um terço do risco mora dentro do crachá, enquanto o custo médio global de um breach já supera US$ 4,8 milhões.

Como funciona

Da pessoa verificada à auditoria, em um ciclo só.

  1. 01

    Ancore

    A conta nasce da identidade verificada — pessoa real confirmada pelos motores da casa e terceiro com acesso aprovado pela esteira KYS.

  2. 02

    Provisione

    Ciclo JML automatizado a partir do RH e dos contratos: a entrada provisiona pelo perfil, a mudança reconfigura e a saída revoga tudo — na hora.

  3. 03

    Proteja

    SSO com MFA phishing-resistant por padrão; contas privilegiadas sob cofre, com sessão gravada, aprovação e elevação temporária.

  4. 04

    Governe

    Campanhas de recertificação com dono, prazo e evidência; trilha de quem tem o quê, aprovado por quem e revisado quando — pronta para auditoria.

Cobertura

As seis camadas da identidade governada

O IAM tradicional gerencia contas. O Kavuka gerencia pessoas verificadas com contas — o elo que fecha a lacuna estrutural da categoria.

Ciclo de vida (JML)

Provisionamento, mudança e revogação automatizados

Autenticação e SSO

Ponto único de entrada com MFA phishing-resistant

Autorização (RBAC/ABAC)

Privilégio mínimo como política executável

Acessos privilegiados

Cofre, sessão gravada e elevação temporária

Governança e recertificação

Quem tem o quê, aprovado e revisado com evidência

Identidade verificada

A conta ligada à pessoa real (KYE) e ao terceiro (KYS)

Perfis por função

Acesso por cargo e atributos, não por exceção

Trilha de auditoria

Cada concessão e revogação com racional e data

Segmentos

Quem governa acessos com o IAM Kavuka

Regulado

Empresas certificadas (ISO 27001, SOC 2)

A governança de acessos como exigência da certificação — provisionamento, revisão e revogação documentados.

Terceiros

Operações com muitos prestadores

O acesso de quem não é do quadro, verificado pela esteira KYS e expirável por desenho.

Crescimento

Empresas em escala acelerada

O caos de acessos que cresce junto, domado antes que vire o breach que entra logado.

LGPD

Quem trata dados pessoais em escala

O acesso a dados como obrigação demonstrável: quem viu o quê, autorizado por quem e quando.

Blindagem jurídica

A gestão de acessos que a ISO exige e a LGPD espera

O IAM Kavuka foi desenhado para que a governança de acessos não seja um relatório no fim, e sim a forma como a esteira opera. A gestão documentada de identidades — provisionamento, revisão, revogação e trilha — é exatamente o controle que a ISO 27001 e o SOC 2 cobram e a evidência de governança de acesso a dados pessoais que a LGPD demanda.

  • Controle de acesso ISO 27001 e SOC 2: ciclo de vida, revisão periódica e segregação de funções documentados.
  • Acesso a dados pessoais governado (LGPD): registro de quem acessou, com que finalidade e por quanto tempo.
  • Recertificação periódica com dono, prazo e evidência — o fim da revisão em planilha que ninguém responde.
  • Trilha de auditoria por concessão: cada acesso com racional, aprovador, fonte e data, pronto para o auditor.
  • Identidade ancorada em verificação real e terceiros validados pela esteira KYS; criptografia em trânsito e em repouso.
Quem já opera assim
A saída no RH passou a revogar todos os acessos na hora. As contas órfãs que a auditoria apontava todo ano simplesmente deixaram de existir.
CISO · empresa de tecnologia certificada SOC 2
Cada terceiro com acesso passou pela verificação antes de receber a credencial. O “quem é essa pessoa?” da auditoria virou um relatório de um clique.
Diretor de Segurança · operação com muitos prestadores
Paramos de acumular privilégio a cada mudança de função. O mover reconfigura em vez de somar, e a recertificação finalmente roda com prazo e dono.
Gerente de Identity · instituição financeira

Quantas contas órfãs e privilégios excessivos vivem no seu ambiente?

Faça o diagnóstico de contas órfãs e privilégios do seu ambiente. Em 15 minutos você vê o risco que mora dentro do crachá.

  • Exclusivo para empresas. Sem compromisso de contratação.
  • Dados usados exclusivamente para contato comercial.
  • Resposta de leads enterprise em até 1 dia útil.

Em 15 minutos você vê a plataforma em ação e recebe uma proposta para o seu volume.

O que é IAM e por que a identidade virou o perímetro

IAM (Identity & Access Management — Gestão de Identidades e Acessos) é a disciplina que define quem é cada usuário — colaborador, terceiro, parceiro ou sistema —, o que cada um pode acessar, por quanto tempo e com que evidência. Na prática, ela governa o ciclo completo de uma identidade dentro da empresa: o provisionamento na entrada (joiner), o ajuste na mudança de função (mover) e a revogação na saída (leaver), o chamado ciclo JML. Em torno desse ciclo orbitam o SSO (ponto único de autenticação), os perfis de acesso (RBAC/ABAC), a gestão de acessos privilegiados e a governança de recertificação periódica.

O contexto que define a categoria é claro: o ataque moderno não invade, ele faz login. As credenciais comprometidas cresceram 160% em 2025 (Check Point); credenciais roubadas são o vetor inicial de 22% dos breaches e aparecem em mais da metade deles (Verizon DBIR); atores internos respondem por 29% dos incidentes e o abuso de privilégios por 12%. A Microsoft reporta 600 milhões de ataques de identidade por dia em sua telemetria — a escala do problema. A identidade virou o perímetro, e o IAM é a muralha. Quando a credencial é válida, nenhum alarme dispara: a conta órfã do ex-colaborador é a porta deixada aberta, e o privilégio acumulado a cada mudança de função é o estrago multiplicado.

A categoria global é madura — Okta e Microsoft Entra no IAM de força de trabalho, SailPoint na governança (IGA), CyberArk no privilégio (PAM) —, mas todos compartilham a mesma lacuna estrutural: a identidade digital não é ancorada na pessoa real. O IAM tradicional gerencia contas, não pessoas verificadas; o vínculo entre conta e humano é, no fundo, um cadastro de RH que ninguém validou. O diferencial Kavuka é exatamente esse elo: a conta corporativa nasce da esteira de identidade — a pessoa confirmada por documento, biometria e lastro pelos motores da casa, com a ponte natural para o KYE —, e o terceiro com acesso é um terceiro verificado pelo KYS. A credencial órfã, a conta de quem já saiu, é o que o ciclo de vida automatizado extingue por desenho.

Automatizar o IAM significa transformar essa governança em um fluxo único: a conta ancorada na pessoa verificada, o ciclo JML disparado pelos eventos de RH e contratos, o SSO com MFA phishing-resistant, os acessos privilegiados sob cofre com elevação temporária e a recertificação periódica com dono, prazo e evidência. O resultado é o acesso certo, para a pessoa certa — verificada —, pelo tempo certo, com prova: zero contas órfãs, privilégio mínimo de verdade e uma auditoria com respostas. É a gestão de acessos documentada que a ISO 27001 e o SOC 2 exigem e a evidência de governança de acesso a dados pessoais que a LGPD espera — não como relatório no fim, mas como a forma de operar.

Perguntas frequentes
O que é o ciclo JML?

JML é Joiner-Mover-Leaver: a entrada (joiner) provisiona os acessos pelo perfil da função, a mudança (mover) reconfigura em vez de acumular, e a saída (leaver) revoga tudo automaticamente a partir do evento no RH. É o fim da conta órfã do ex-colaborador ativa por meses.

O que significa identidade ancorada em pessoa real?

Significa que a conta corporativa nasce de uma verificação de identidade real — documento, biometria e lastro pelos motores Kavuka — e que terceiros com acesso passam pela esteira de verificação. O IAM tradicional gerencia contas; o Kavuka gerencia pessoas verificadas com contas.

O IAM Kavuka substitui Okta ou Microsoft Entra?

Pode operar como o IAM completo ou como camada de governança e âncora de identidade sobre o diretório existente. A integração preserva o investimento atual — você adiciona a verificação real e a governança sem trocar a base.

Como o IAM Kavuka trata acessos privilegiados?

Com cofre de credenciais, sessões aprovadas e gravadas, e elevação temporária — o privilégio concedido apenas pelo tempo da tarefa. As contas que podem tudo, que são o alvo número 1 do atacante, ficam sob o controle número 1.

O IAM Kavuka atende ISO 27001 e LGPD?

Sim. A gestão de acessos documentada — provisionamento, revisão, revogação e trilha — é exatamente o controle que a ISO 27001 e o SOC 2 exigem, e a evidência de governança de acesso a dados pessoais que a LGPD espera.

Como o IAM lida com o acesso de terceiros e prestadores?

O terceiro com acesso passa pela esteira de verificação (KYS) antes de receber a credencial, e o acesso é expirável por desenho. Acaba o terceiro fantasma — aquele acesso que ninguém sabe de quem é — que vira apontamento recorrente de auditoria.

O que é recertificação de acessos e por que ela importa?

É a revisão periódica de quem tem o quê, com dono, prazo e evidência. Em vez da planilha que ninguém responde, o IAM Kavuka roda campanhas em que cada gestor confirma ou revoga os acessos da sua área — gerando a prova que a auditoria e a LGPD pedem.

Soluções relacionadas

MFA

Multi-Factor Authentication

Autenticação multifator para reforçar a segurança do acesso.
BIO

Biometrics

Biometria facial, digital ou comportamental.
DFP

Device Fingerprint

Identificação única do dispositivo do usuário.

Vamos conversar

A próxima decisão de alto impacto começa com os dados certos.

Converse com um especialista GUÉP e descubra onde a inteligência aplicada gera mais valor na sua operação.

Falar com especialista