Onde Guardar as Senhas da Empresa: 4 Opções (e Qual Evitar)

Toda PME brasileira tem o mesmo problema: dezenas de senhas de servidor, contas de cloud (AWS, Azure, GCP), painéis de SaaS, e-Social, gov.br, eSocial, certificados, contas bancárias PJ, painéis de hospedagem. Quem cuida? Geralmente o sócio e o "TI da casa". Onde ficam as senhas? Quase sempre num lugar inadequado.

Este artigo lista as 4 opções mais comuns no Brasil, o risco real de cada uma e a recomendação direta — incluindo o que a LGPD efetivamente exige.

Opção 1 — WhatsApp do dono / grupo da diretoria (a pior)

O cenário mais comum em pequenas empresas: senhas circulam no grupo do WhatsApp dos sócios. "Pessoal, anota a nova senha do roteador: Rua@Empresa2026". Pronto, está em 8 backups (iCloud/Drive de cada participante) eternamente.

Problemas concretos:

• Backup em cloud de cada participante — você não controla onde está
• Quando alguém sai, leva o histórico inteiro para sempre
• Quando um celular é clonado por SIM swap, expõe tudo
• Sem auditoria — você não sabe quem usou cada senha
• Conformidade LGPD: zero. Em incidente, ANPD vai considerar prática inadequada

Opção 2 — Planilha compartilhada (Excel ou Google Sheets)

Versão "profissionalizada" do WhatsApp: planilha "Controle de Acessos.xlsx" no Drive da empresa, compartilhada com 3-5 pessoas. Já é melhor que WhatsApp, mas continua frágil.

Detalhamos os 7 cenários de risco em por que parar de usar planilha de senhas. Os principais para empresas:

• Histórico de versões no Drive guarda todas as edições anteriores por 30+ dias
• Compartilhamento por link "qualquer um com o link" expõe na web por engano
• Ex-funcionário com cópia local (download manual) leva tudo
• Sem auditoria de quem acessou cada credencial
• Senha de proteção do Excel é quebrável em horas

Opção 3 — Google Keep / Notes / Notion sem cifragem dedicada

Algumas empresas usam Notion, Keep, OneNote, Evernote para "centralizar tudo". Aparenta ser organizado.

Risco: nenhum desses serviços oferece cifragem cliente-side (Zero-Knowledge) por padrão. O operador do serviço (Google, Microsoft, Notion Labs) pode tecnicamente ler. Em caso de invasão da conta da empresa, atacante baixa tudo.

Notion lançou cifragem opcional para "secure notes" recentemente, mas ainda não é o default e exige plano pago.

Opção 4 — Cofre de senhas dedicado (a recomendação)

Categorias de produto:

• Cofre cloud Zero-Knowledge: Virtuault e outras opções consagradas no mercado. Dados cifrados client-side, sync entre devices, auditoria, compartilhamento granular.
• Cofre local sincronizado: aplicativos open-source desktop com arquivo no compartilhamento de rede da empresa. Funciona, mas curva alta.
• Cofre corporativo enterprise: HashiCorp Vault, CyberArk. Para empresas grandes com TI dedicado.

Para PME (5-50 funcionários), cofre cloud Zero-Knowledge é o sweet spot.

O que importa numa solução para empresa

1. Chave mestra individual por colaborador

Cada funcionário tem sua própria chave mestra — a empresa não tem como acessar credenciais sem o funcionário. Quando ele sai, a chave dele é descartada e os acessos compartilhados são removidos do perfil dele.

2. Compartilhamento granular

"Senha do servidor X compartilhada com José e Maria, acesso até 31/12, somente leitura". Não vale tudo-ou-nada.

3. Log de auditoria

Quem acessou qual credencial, quando, de qual IP. Vital para LGPD e para investigação de incidentes.

4. Offboarding com 1 clique

Funcionário sai? Revoga acesso a todas as credenciais compartilhadas em segundos. Em planilha, isso é "trocar todas as senhas que ele teve acesso" — exercício que ninguém faz na prática.

5. 2FA obrigatório no cofre

Mesmo que a chave mestra de um funcionário vaze, o 2FA bloqueia o acesso.

6. Conformidade LGPD demonstrável

Em caso de incidente reportado à ANPD, a empresa precisa demonstrar "medidas técnicas adequadas" (Art. 46). Cofre dedicado com cifragem AES-256-GCM e auditoria é demonstrável. Planilha não.

O que a LGPD efetivamente exige

A Lei 13.709/2018, no Art. 46, exige "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais". A ANPD, em sua orientação sobre segurança da informação:

• Recomenda controle de acesso individualizado
• Recomenda cifragem em repouso e em trânsito
• Recomenda registros de acesso (logs de auditoria)
• Recomenda processo formal de offboarding

Se sua empresa armazena dados pessoais de clientes (e quase toda armazena), as senhas que dão acesso a esses dados também precisam atender esses critérios.

Plano de migração para PME (1 dia)

1. Manhã: sócio cria conta no cofre, define chave mestra forte (5+ palavras aleatórias), anota fisicamente
2. Manhã: exporta a planilha atual em CSV, importa no cofre, deleta CSV
3. Tarde: reunião de 30 min com o time mostrando como instalar e usar (extensão, app mobile)
4. Tarde: cada funcionário cria sua conta, sócio compartilha credenciais relevantes para cada um
5. Final do dia: apagar a planilha original e seu histórico no Drive (esvaziar lixeira)
6. Semana 1: tirar todas as senhas do WhatsApp do grupo. Estabelecer regra: senhas só pelo cofre.

O Virtuault para empresas

• Cada colaborador tem chave mestra individual (Zero-Knowledge real)
• Cofre de senhas + arquivos + segredos + notas, tudo cifrado
• Compartilhamento granular entre membros
• Auditoria de acessos para conformidade LGPD
• Suporte em português (BR)
• R$ 24,90/usuário/mês ou R$ 199,90 anual à vista

Leia também

• 7 riscos de planilha de senhas
• Onde guardar senhas com segurança
• Gerenciador de senhas vale a pena?