Tactical RMM é compatível com LGPD e GDPR?

Pode ser, e a arquitetura ajuda. Por ser auto-hospedado, os dados do seu parque ficam no seu servidor e não trafegam para nuvem de terceiro, o que facilita atender aos princípios da LGPD de finalidade, necessidade e controle do dado. Mas a conformidade não é automática: ela depende da configuração, da política de acesso, da retenção de logs e do cuidado com scripts de coleta. A ferramenta dá os meios; a adequação é responsabilidade de quem administra. A UNODATA hospeda o servidor no Brasil e configura com a LGPD em mente.

Como funciona o 2FA do Tactical RMM?

O Tactical RMM usa autenticação de dois fatores baseada em TOTP, gerada pela biblioteca pyotp. Na configuração da conta você escaneia um QR code com um app autenticador como Google Authenticator, Authy ou Microsoft Authenticator, e a partir daí o login pede a senha mais o código de seis dígitos que muda a cada poucos segundos. O segundo fator é exigido desde a instalação.

Os dados do meu parque vão para algum servidor da AmidaWare ou da UNODATA na nuvem?

Não. Por padrão, o inventário, a telemetria e as sessões de acesso remoto não saem do seu servidor Tactical RMM. Não existe coleta centralizada do seu parque por terceiro. No modelo gerenciado, a UNODATA opera o servidor para você, hospedado em infraestrutura no Brasil, e o dado permanece nesse ambiente que você contrata.

O Tactical RMM foi afetado pela falha do Log4j?

Não. O Tactical RMM não utiliza a biblioteca Log4j em sua arquitetura, então não ficou exposto à série de vulnerabilidades Log4Shell que afetou muitos produtos no fim de 2021. Isso não dispensa manter o servidor atualizado, mas significa que essa classe específica de falha não atingiu a plataforma.

Tactical RMM é seguro? Segurança e conformidade com a LGPD

Q: Tactical RMM é seguro?

Sim, quando bem configurado. O Tactical RMM traz 2FA obrigatório no painel, comunicação criptografada entre agente e servidor, assinatura de código nos agentes, log de auditoria detalhado e não depende da biblioteca Log4j. Como é auto-hospedado, a segurança final também depende de quem opera o servidor: atualização em dia, acesso restrito e backup configurado. No modelo gerenciado da UNODATA, essa operação fica por nossa conta.

Q: Por que a assinatura de código do Tactical RMM é paga?

Porque assinar código com certificado de validação de organização (OV) custa caro de verdade. O certificado é emitido por autoridades como a DigiCert e exige infraestrutura de empresa legítima, além de tokens de hardware e módulos de segurança para o processo de assinatura. Esse custo recorrente sustenta o desenvolvimento do projeto e cria uma barreira que dificulta o uso por agentes mal-intencionados. Sem patrocínio ativo, os agentes ainda funcionam, porém sem assinatura.

Sim, o Tactical RMM é seguro quando bem configurado. Ele traz autenticação de dois fatores obrigatória, comunicação criptografada entre agente e servidor, assinatura de código nos agentes, log de auditoria por requisição e não depende da biblioteca Log4j. A ressalva importa: por ser auto-hospedado, a segurança final também depende de quem opera o servidor, atualização em dia, acesso restrito e backup configurado.

Essa mesma característica de ser auto-hospedado é o que aproxima o Tactical RMM da LGPD: os dados do seu parque ficam no seu ambiente e não trafegam para uma nuvem de terceiro. No modelo gerenciado da UNODATA, esse servidor fica hospedado no Brasil e a operação de segurança fica por nossa conta.

Os pilares de segurança do Tactical RMM

Autenticação com 2FA obrigatório

O painel exige segundo fator desde a configuração inicial. O Tactical RMM gera o código TOTP com a biblioteca pyotp, compatível com Google Authenticator, Authy, Microsoft Authenticator e qualquer app padrão. Sem o token de seis dígitos, a senha sozinha não abre sessão.

Agentes com assinatura de código

Os agentes podem ser assinados digitalmente com certificado OV emitido por autoridade reconhecida. A assinatura prova que o executável veio do projeto e não foi adulterado, o que reduz falso positivo de antivírus e permite whitelisting controlado.

Comunicação criptografada em trânsito

A conversa entre agente e servidor trafega cifrada. O painel web roda atrás de TLS com certificado válido, e a mensageria que carrega comandos e resultados não circula em texto puro pela rede.

Auto-hospedado: o dado fica no seu ambiente

Por padrão, nenhuma informação de inventário, telemetria ou sessão remota é enviada para fora do seu servidor Tactical RMM. Não há nuvem de terceiro coletando dados do seu parque. No modelo gerenciado da UNODATA, esse servidor fica hospedado no Brasil.

Log de auditoria por requisição

Cada ação no painel é registrada com endereço IP de origem, data e hora, usuário responsável e user-agent. Isso dá rastreabilidade de quem fez o quê, requisito direto para responder a um incidente e para prestar contas sob a LGPD.

Divulgação responsável e sem Log4j

O projeto mantém canal de divulgação responsável em security@amidaware.com, com janela de 3 dias antes de publicação. E não usa a biblioteca Log4j, então o parque não ficou exposto à classe de falhas Log4Shell que atingiu tantos produtos em 2021.

Autenticação com 2FA e MFA

O painel do Tactical RMM exige segundo fator desde a configuração inicial. A geração do código segue o padrão TOTP, implementado com a biblioteca pyotp, e funciona com qualquer aplicativo autenticador comum: Google Authenticator, Authy, Microsoft Authenticator e similares. Na prática, mesmo que uma senha vaze, o atacante ainda precisa do código de seis dígitos que muda a cada poucos segundos no celular do operador.

Para uma ferramenta que controla remotamente dezenas ou centenas de máquinas, esse segundo fator não é luxo: é a diferença entre uma senha comprometida virar um susto ou virar um incidente em todo o parque.

Assinatura de código: o que é, por que importa e por que é paga

Assinar código é carimbar digitalmente o executável do agente para provar duas coisas: que ele veio do projeto Tactical RMM e que não foi adulterado no caminho. Isso importa por um motivo prático: o agente roda com privilégio nas máquinas, então um antivírus precisa saber que aquele binário é legítimo. A assinatura reduz falso positivo e permite o whitelisting controlado junto aos fornecedores de segurança.

A assinatura é um recurso patrocinado, e isso tem uma razão concreta. Um certificado de validação de organização (OV), emitido por autoridades como a DigiCert, custa caro e exige infraestrutura de empresa legítima, tokens de hardware e módulos de segurança para o processo de assinatura. Esse custo recorrente sustenta o desenvolvimento e, de quebra, cria uma barreira financeira que dificulta a vida de quem tentaria abusar da ferramenta. Sem patrocínio ativo o agente continua funcionando, apenas sem a assinatura.

Criptografia e o modelo auto-hospedado

A comunicação entre o agente instalado nos endpoints e o servidor trafega criptografada em trânsito. O painel web fica atrás de TLS com certificado válido, e a camada de mensageria que carrega comandos e resultados não circula em texto puro pela rede.

O ponto que mais pesa para conformidade é onde o dado mora. Por padrão, nenhuma informação de inventário, telemetria ou sessão remota é enviada para fora do seu servidor Tactical RMM. Não existe uma nuvem central de terceiro recebendo dados do seu parque. Você é dono do servidor e, portanto, dono do dado.

No modelo gerenciado da UNODATA, esse servidor fica hospedado em infraestrutura no Brasil. Para quem precisa argumentar soberania de dado e LGPD, essa é uma diferença que vale registrar: o dado não atravessa fronteira nem fica sob jurisdição estrangeira por padrão do produto.

Logs de auditoria por requisição

Toda ação relevante no painel é registrada no log de auditoria. Cada entrada guarda o endereço IP de origem, a data e hora, o usuário responsável e o user-agent da requisição. Isso responde à pergunta mais importante depois de um incidente: quem fez o quê, de onde e quando.

Sob a LGPD, essa rastreabilidade deixa de ser conveniência e vira instrumento de prestação de contas. Se houver um pedido de titular ou uma investigação de incidente, o log de auditoria é o que permite demonstrar controle sobre o acesso aos dados.

Divulgação responsável e a questão do Log4j

O projeto mantém um processo de divulgação responsável de vulnerabilidades pelo canal security@amidaware.com, pedindo uma janela de 3 dias antes de qualquer publicação. Esse tipo de processo é sinal de maturidade: existe um caminho claro para reportar falha em vez de expô-la sem aviso.

Vale destacar um ponto que tranquiliza muita equipe de segurança: o Tactical RMM não utiliza a biblioteca Log4j. Por isso não ficou exposto à série de falhas Log4Shell que abalou tantos produtos no fim de 2021. Não é um passe livre para deixar o servidor desatualizado, mas elimina toda uma classe de risco que pesou sobre o setor.

Boas práticas para operar o Tactical RMM com segurança

Ative 2FA para todos os usuários

Não deixe conta de administrador sem segundo fator. O 2FA já vem exigido, mas confirme que todo operador o configurou e que ninguém compartilha credencial.

Mantenha o servidor atualizado

Aplique as atualizações do Tactical RMM e do sistema operacional do servidor. A maioria das brechas reais explora versão antiga, não falha nova.

Restrinja o acesso ao painel

Limite quem alcança o painel por rede, VPN ou lista de IPs. Quanto menor a superfície exposta à internet, menor o risco.

Cuide dos scripts e collectors

Scripts de coleta rodam com privilégio nos endpoints. Revise o que cada um lê e armazena, porque um collector mal feito pode mover dado pessoal para onde a LGPD não permitiria.

Configure backup e retenção

Defina backup do servidor e política de retenção dos logs de auditoria. Sem backup, um incidente vira perda; sem retenção, falta prova na hora de investigar.

A repetição vale: como é auto-hospedado, boa parte da segurança está na operação. Por isso muitas equipes preferem o modelo gerenciado, onde a UNODATA cuida de atualização, certificados, backup e hardening do servidor, e a equipe de TI foca no que importa, atender o cliente final.

Perguntas frequentes

Quer o Tactical RMM seguro, atualizado e hospedado no Brasil?

A UNODATA entrega o Tactical RMM gerenciado, com servidor no Brasil, hardening, atualizações em dia, backup e suporte em português. Conheça o hub completo e a versão gerenciada.

Conhecer o Tactical RMM da UNODATA