Marco Civil da Internet: O Que Todo Provedor Precisa Saber Sobre Logs
Se você opera um provedor de internet no Brasil, a guarda de logs de conexão não é opcional — é obrigação legal. O Marco Civil da Internet (Lei 12.965/2014), regulamentado pelo Decreto 8.771/2016, estabelece regras claras sobre quais registros manter, por quanto tempo e em quais condições.
Este guia é a referência completa para gestores de ISPs, equipes de NOC e profissionais de compliance que precisam entender — e cumprir — essas obrigações sem margem para erro.
O Que É o Marco Civil da Internet?
Sancionada em 23 de abril de 2014, a Lei 12.965 é o marco regulatório da internet no Brasil. Ela estabelece princípios, garantias, direitos e deveres para o uso da internet, incluindo obrigações específicas para provedores de conexão e de aplicações.
Para provedores de acesso (ISPs), os artigos mais relevantes são:
- Art. 13 — Obrigação de guardar registros de conexão por 1 ano
- Art. 14 — Proibição de guardar registros de acesso a aplicações (para provedores de conexão)
- Art. 15 — Obrigação de provedores de aplicações guardarem registros por 6 meses
- Art. 10 — Proteção dos registros e dados pessoais
- Art. 12 — Sanções por descumprimento
O Decreto 8.771/2016 veio dois anos depois para regulamentar a lei, detalhando padrões de segurança, procedimentos para guarda de registros e critérios técnicos para interceptação de dados.
Quais Logs o Provedor de Conexão Deve Guardar?
O Art. 5, inciso VI do Marco Civil define registro de conexão como:
"o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados."
Na prática, para cada sessão de conexão, o provedor deve registrar:
- Endereço IP público atribuído ao assinante
- Data e hora de início da conexão (com fuso horário)
- Data e hora de término da conexão
- Duração da sessão
- Identificador do assinante (username PPPoE, ID do contrato, etc.)
E no caso do CGNAT?
Aqui está o ponto crítico que muitos provedores ignoram. Com o esgotamento do IPv4 e o uso massivo de CGNAT (Carrier-Grade NAT), múltiplos assinantes compartilham o mesmo IP público. Nesse cenário, guardar apenas o IP não é suficiente.
Para que o log seja útil em uma investigação judicial, você precisa registrar também:
- Porta de origem (source port) da conexão
- IP público pós-NAT
- IP privado pré-NAT (o IP do assinante na rede interna)
- Timestamp preciso (idealmente com precisão de milissegundos)
Sem a informação de porta, é impossível identificar qual assinante estava usando aquele IP público naquele momento. E se você não consegue identificar, não consegue responder ao ofício judicial — e o juiz não vai aceitar "não sei" como resposta.
Resolva isso automaticamente com NATVault
Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisPor Quanto Tempo Guardar os Logs?
O Art. 13 do Marco Civil é direto:
"Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano."
Portanto:
- Registros de conexão (ISP): mínimo de 1 ano
- Registros de aplicação (provedor de aplicação): mínimo de 6 meses (Art. 15)
Atenção: esses são os prazos mínimos. Uma ordem judicial pode determinar a guarda por período maior. Muitos provedores optam por guardar por 2 a 3 anos como margem de segurança, já que processos judiciais frequentemente demoram mais que 1 ano para solicitar os dados.
O parágrafo 1º do Art. 13 ainda prevê que a autoridade policial ou o Ministério Público pode requerer cautelarmente a guarda dos registros por prazo superior, desde que autorizado judicialmente.
Requisitos de Segurança e Sigilo
O Decreto 8.771/2016, em seus artigos 13 e 14, detalha os padrões de segurança exigidos:
Art. 13 do Decreto — Padrões de segurança
- Controle estrito de acesso aos registros, com definição de responsáveis
- Mecanismos de autenticação para acesso aos sistemas
- Inventário de quem teve acesso aos registros
- Uso de técnicas de criptografia ou medidas equivalentes
Art. 14 do Decreto — Retenção mínima
Os dados devem ser mantidos em formato que permita sua identificação individualizada — ou seja, você precisa conseguir consultar os registros de um assinante específico em uma data específica.
Na prática, isso significa que jogar tudo em arquivos syslog sem indexação não basta. Você precisa de um sistema que permita busca rápida e precisa por IP, porta, data/hora e assinante.
O Que Acontece Se o Provedor Não Cumprir?
O Art. 12 do Marco Civil prevê sanções progressivas:
- Advertência, com indicação de prazo para correção
- Multa de até 10% do faturamento do grupo econômico no Brasil no último exercício (excluídos os tributos)
- Suspensão temporária das atividades
- Proibição de exercício das atividades
Além das sanções administrativas, há consequências judiciais diretas. Quando um juiz solicita registros e o provedor não consegue fornecê-los, isso pode resultar em:
- Multa por descumprimento de ordem judicial (astreintes)
- Responsabilização civil por danos causados pela impossibilidade de identificação
- Responsabilização criminal em casos graves (obstrução de investigação)
Como Se Organizar Para Cumprir a Lei
1. Mapeie suas fontes de logs
Identifique todos os equipamentos que geram registros de conexão no seu ambiente:
- BRAS/BNG: registros RADIUS (accounting start/stop)
- CGNAT: logs de tradução NAT (syslog do roteador/appliance)
- DHCP: atribuições de IP (se aplicável)
- PPPoE concentrator: sessões de autenticação
2. Centralize e indexe
Todos esses logs precisam ir para um local centralizado onde possam ser:
- Armazenados com segurança
- Indexados para busca rápida
- Correlacionados (RADIUS + CGNAT para identificar o assinante por trás do IP:porta)
- Retidos pelo prazo legal
3. Implemente controle de acesso
Defina quem pode acessar os registros. O Decreto exige que haja um responsável designado e um log de acesso (quem consultou, quando e por quê).
4. Automatize a resposta a ofícios
Quando chegar um ofício judicial (e vai chegar), você precisa responder em 5 a 15 dias úteis tipicamente. Se sua busca depende de um engenheiro garimpar arquivos syslog manualmente, você tem um problema.
5. Documente tudo
Mantenha documentação atualizada sobre:
- Política de retenção de logs
- Procedimento de resposta a ofícios judiciais
- Responsáveis pela guarda dos dados
- Medidas de segurança implementadas
Resolva isso automaticamente com NATVault
Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisCGNAT e IPv6: O Cenário Atual
A maioria dos provedores brasileiros opera com CGNAT usando a faixa 100.64.0.0/10 (RFC 6598) para endereçamento interno. Isso significa que o volume de logs de tradução NAT é massivo — estamos falando de milhões de registros por dia em um provedor de médio porte.
O IPv6, embora já esteja sendo implementado por muitos provedores, não elimina a necessidade de logs IPv4/CGNAT. A transição será gradual e, enquanto houver tráfego IPv4, os logs de CGNAT são obrigatórios.
Considere o volume: um provedor com 5.000 assinantes pode gerar facilmente 50 a 100 GB de logs por dia apenas do CGNAT. Em um ano, estamos falando de 18 a 36 TB de dados. Isso exige uma solução de armazenamento que seja ao mesmo tempo eficiente em compressão e rápida em consultas.
O Papel da ANATEL
A ANATEL, como agência reguladora, pode fiscalizar o cumprimento das obrigações do Marco Civil. Embora as fiscalizações focadas em logs ainda não sejam frequentes, a tendência é de aumento — especialmente com a crescente judicialização de crimes cibernéticos.
A Resolução nº 614/2013 da ANATEL (Regulamento do SCM) e a Resolução nº 632/2014 (Regulamento Geral de Direitos do Consumidor) reforçam a obrigação de os provedores manterem registros adequados.
Além disso, delegacias especializadas em crimes cibernéticos estão cada vez mais ativas, e a primeira coisa que fazem em uma investigação é solicitar registros de conexão ao provedor. Se você não tem, o problema é seu.
Erros Comuns dos Provedores
- Guardar só o IP sem porta: com CGNAT, o IP sozinho não identifica ninguém
- Usar horário errado: logs com timezone incorreto tornam a identificação impossível
- Não correlacionar RADIUS com CGNAT: você sabe o IP, mas não sabe quem é o cliente
- Armazenar em texto puro sem indexação: na hora de buscar, leva horas ou dias
- Não ter backup dos logs: disco corrompeu, perdeu tudo
- Ignorar o Decreto 8.771: cumprir o Marco Civil parcialmente não é cumprir
- Delegar tudo ao técnico sem processo formal: quando o técnico sai, o conhecimento vai junto
Resumo das Obrigações Legais
| Obrigação | Base Legal | Prazo |
|---|---|---|
| Guardar registros de conexão | Art. 13, Lei 12.965/2014 | 1 ano (mínimo) |
| Sigilo e segurança dos dados | Art. 10, Lei 12.965/2014 + Art. 13, Decreto 8.771/2016 | Permanente |
| Controle de acesso aos registros | Art. 13, Decreto 8.771/2016 | Permanente |
| Fornecimento mediante ordem judicial | Art. 10, §1º, Lei 12.965/2014 | Conforme prazo do ofício |
| Retenção mínima de dados | Art. 14, Decreto 8.771/2016 | Conforme tipo de registro |
Resolva isso automaticamente com NATVault
Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisPerguntas Frequentes
O Marco Civil se aplica a provedores de qualquer porte?
Sim. A Lei 12.965/2014 não faz distinção por porte. Seja um provedor com 100 ou 100.000 assinantes, a obrigação de guardar registros de conexão por 1 ano é a mesma. Provedores pequenos frequentemente são os mais vulneráveis, pois não possuem infraestrutura adequada de logs.
Posso guardar os logs em servidor fora do Brasil?
O Decreto 8.771/2016 exige que os dados estejam acessíveis para fornecimento mediante ordem judicial brasileira. Embora não haja proibição explícita de armazenamento no exterior, manter os dados em território nacional simplifica o cumprimento das obrigações e evita questionamentos judiciais sobre jurisdição.
O que é considerado "registro de conexão" vs "registro de aplicação"?
Registro de conexão é o log da sessão de acesso à internet (IP, data/hora, duração) — obrigação do ISP. Registro de acesso a aplicações são os logs de uso de serviços específicos (qual site acessou, qual app usou) — obrigação do provedor de aplicação, NÃO do ISP. O provedor de conexão é inclusive proibido de guardar registros de aplicação (Art. 14).
Preciso guardar logs de CGNAT mesmo se já tenho IPv6?
Sim. Enquanto houver tráfego IPv4 passando pelo CGNAT, os logs de tradução NAT devem ser mantidos. O IPv6 elimina a necessidade de NAT apenas para o tráfego IPv6. Na prática, a maioria dos destinos ainda é acessada via IPv4, então os logs de CGNAT continuam sendo essenciais por vários anos.
Qual o prazo para responder um ofício judicial solicitando logs?
O prazo varia conforme determinado pelo juiz, mas tipicamente é de 5 a 15 dias úteis. Em casos urgentes (investigação criminal em andamento), o prazo pode ser de 24 a 72 horas. Ter um sistema de busca eficiente não é luxo — é necessidade operacional para cumprir esses prazos.