A Resposta Curta: 1 Ano (Mínimo)
Se você chegou aqui querendo um número direto: a lei exige que registros de conexão sejam guardados por no mínimo 1 ano. Isso está no Art. 13 da Lei 12.965/2014 (Marco Civil da Internet).
Mas "1 ano" é só o começo da conversa. Quando se trata de CGNAT, há nuances importantes que podem te colocar em risco se ignoradas. Vamos destrinchar.
O Que a Lei Diz Exatamente
Registros de Conexão — Art. 13, Lei 12.965/2014
"Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento."
Prazo: 1 ano. Responsável: o provedor de conexão (ISP).
Registros de Aplicação — Art. 15, Lei 12.965/2014
"O provedor de aplicações de internet (...) deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses."
Prazo: 6 meses. Responsável: o provedor de aplicação (Google, Facebook, etc.), NÃO o ISP.
Diferença Fundamental
O ISP guarda registros de conexão — quem se conectou, quando, com qual IP. O provedor de aplicação guarda registros de acesso a aplicações — quem acessou tal serviço, quando, de qual IP.
O ISP é inclusive proibido de guardar registros de acesso a aplicações (Art. 14). Ou seja: você não precisa (e não deve) guardar quais sites seus assinantes acessaram. Apenas os dados de conexão.
CGNAT: Por Que Complica Tudo
No cenário pré-CGNAT, cada assinante recebia um IP público único. O registro era simples:
- Cliente João → IP 200.100.50.25 → 14:00 a 22:00
Com CGNAT, a realidade é outra. Dezenas de assinantes compartilham o mesmo IP público, diferenciados apenas pela porta de origem:
- Cliente João → IP privado 100.64.1.15 → IP público 200.100.50.25, portas 1024-2047
- Cliente Maria → IP privado 100.64.1.16 → IP público 200.100.50.25, portas 2048-3071
- Cliente Pedro → IP privado 100.64.1.17 → IP público 200.100.50.25, portas 3072-4095
O que precisa estar no log de CGNAT
Para cada tradução NAT, o registro deve conter:
- IP de origem (privado) — ex: 100.64.1.15
- Porta de origem — ex: 1500
- IP traduzido (público) — ex: 200.100.50.25
- Porta traduzida — ex: 15234
- IP de destino — ex: 142.250.79.14
- Porta de destino — ex: 443
- Timestamp — ex: 2026-03-22T14:30:15.123Z
- Protocolo — TCP/UDP
Sem essas informações completas, é impossível responder a um ofício judicial de forma precisa quando o IP investigado é compartilhado via CGNAT.
Resolva isso automaticamente com NATVault
Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisNAT Determinístico vs NAT por Sessão
Existem duas abordagens principais de CGNAT, e cada uma impacta diferentemente o volume de logs:
NAT Determinístico (Deterministic NAT)
Cada IP privado recebe um range fixo de portas no IP público. A tradução é previsível e estática.
- Vantagem: volume de logs MUITO menor (basta registrar o mapeamento, não cada sessão)
- Desvantagem: menos IPs públicos por bloco, cada assinante recebe menos portas
Com NAT determinístico, você pode manter apenas a tabela de mapeamento (assinante X = portas Y-Z no IP público W) e os logs RADIUS. O volume de armazenamento cai drasticamente.
NAT por Sessão (Session-based NAT)
Cada conexão individual recebe uma tradução dinâmica. É o mais comum em equipamentos como NE8000, ASR9000, MX-series.
- Vantagem: melhor aproveitamento de IPs públicos e portas
- Desvantagem: volume MASSIVO de logs — cada conexão TCP/UDP gera um registro
Com NAT por sessão, o volume pode facilmente chegar a centenas de milhões de registros por dia.
Estimativa de Armazenamento
Vamos fazer as contas para um provedor com NAT por sessão:
Premissas conservadoras
- 5.000 assinantes ativos simultaneamente
- Cada assinante gera ~5.000 sessões NAT por hora (navegação normal)
- Cada registro de log ocupa ~200 bytes (texto syslog)
Cálculo
- Por hora: 5.000 × 5.000 = 25 milhões de registros = ~5 GB brutos
- Por dia: ~120 GB brutos
- Por mês: ~3,6 TB brutos
- Por ano: ~43 TB brutos
Com compressão adequada (gzip, zstd, ou melhor ainda, armazenamento colunar), isso pode cair para 5 a 10 TB por ano. Ainda assim, é um volume significativo.
Com NAT Determinístico
Se você usa NAT determinístico, o cenário muda drasticamente:
- A tabela de mapeamento é fixa e pequena (poucos KB)
- Apenas os logs RADIUS são necessários para correlação
- Volume total por ano: poucos GB
Essa é uma das razões pelas quais muitos provedores estão migrando para NAT determinístico — a economia em armazenamento e a simplicidade operacional são enormes.
Prazo Legal vs Prazo Recomendado
A lei diz 1 ano. Mas na prática, há bons motivos para guardar mais:
- Processos judiciais demoram: o crime pode ter ocorrido há 8 meses, a investigação começa 3 meses depois, o ofício chega 2 meses depois. Já são 13 meses — seus logs de 1 ano já foram apagados.
- Guarda cautelar: o Art. 13, §2º permite que autoridade policial ou MP solicite guarda por prazo superior. Se você já deletou, não tem como atender.
- Segurança jurídica: ter os dados e não precisar é melhor do que precisar e não ter.
Recomendação prática: guarde por 18 a 24 meses se o armazenamento permitir. É uma margem de segurança razoável.
O Que a ANATEL Espera
A ANATEL, através da Resolução nº 614/2013 e da Resolução nº 632/2014, reforça a obrigação dos provedores (SCM — Serviço de Comunicação Multimídia) de manter registros adequados. Em fiscalizações, a ANATEL pode:
- Solicitar evidência de que o provedor mantém registros de conexão
- Verificar se os registros permitem identificação individualizada de assinantes
- Avaliar se as medidas de segurança do Decreto 8.771/2016 estão implementadas
Embora fiscalizações específicas de logs ainda sejam pouco frequentes, a tendência é de aumento à medida que crimes cibernéticos crescem e o judiciário pressiona por respostas mais rápidas dos provedores.
Política de Retenção: Como Definir
Documente sua política de retenção com os seguintes elementos:
- Tipos de registros mantidos: RADIUS accounting, logs CGNAT, DHCP leases
- Prazo de retenção para cada tipo: ex: RADIUS 24 meses, CGNAT 18 meses
- Local de armazenamento: servidor(es), data center, nuvem
- Medidas de segurança: criptografia, controle de acesso, backup
- Procedimento de expurgo: como e quando os dados expirados são eliminados
- Responsável: nome e cargo do responsável pela guarda
Essa documentação é exigida pelo Decreto 8.771/2016 e é a primeira coisa que um auditor ou juiz vai pedir caso questione sua conformidade.
Resolva isso automaticamente com NATVault
Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisChecklist Rápido
- ☑ Registros de conexão (RADIUS) guardados por no mínimo 1 ano
- ☑ Logs de tradução CGNAT com IP + porta + timestamp guardados por no mínimo 1 ano
- ☑ Correlação RADIUS ↔ CGNAT possível e documentada
- ☑ Armazenamento seguro com controle de acesso
- ☑ Backup dos registros
- ☑ Política de retenção documentada
- ☑ Responsável designado
- ☑ Busca por IP + porta + data/hora funcional e testada
- ☑ Timezone dos logs definido e consistente
- ☑ Teste periódico de recuperação (simular um ofício judicial)
Resolva isso automaticamente com NATVault
Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisPerguntas Frequentes
O prazo de 1 ano começa a contar de quando?
O prazo começa a contar da data do registro, ou seja, da data em que a conexão ocorreu. Um log gerado em 22/03/2026 deve ser mantido até pelo menos 22/03/2027. A exclusão pode ser feita de forma rotativa (rolling), eliminando diariamente os registros que completaram o prazo mínimo.
Se eu uso NAT determinístico, preciso guardar logs de cada sessão?
Não necessariamente. Com NAT determinístico, o mapeamento IP privado → IP público + range de portas é fixo e previsível. Basta guardar a tabela de mapeamento e os registros RADIUS. A combinação dos dois permite identificar o assinante sem necessidade de log por sessão. Isso reduz drasticamente o volume de armazenamento.
Posso guardar os logs compactados (gzip, zstd)?
Sim, desde que você consiga descompactar e consultar os dados quando necessário. A lei exige que os registros estejam disponíveis para fornecimento mediante ordem judicial — o formato de armazenamento é decisão técnica do provedor. Compressão é não apenas aceitável como recomendável para viabilizar o armazenamento de grandes volumes.
O que acontece se meu disco falhar e eu perder os logs?
A lei não prevê exceção para falha técnica. Se você não consegue fornecer os registros dentro do prazo legal, as consequências são as mesmas: possível multa, responsabilização e obstrução de investigação. Por isso, backup é obrigatório na prática — não ter backup dos logs é assumir um risco jurídico desnecessário.
Logs de IPv6 também precisam ser guardados?
Sim. O Art. 13 do Marco Civil fala em "registros de conexão" sem distinção de versão do protocolo IP. Se seu assinante recebeu um prefixo IPv6, o registro dessa atribuição (prefixo, data/hora, assinante) deve ser mantido pelo mesmo prazo de 1 ano. A vantagem do IPv6 é que não há NAT, então os logs são muito mais simples e menores.