O mercado de conformidade digital (compliance) foi atingido por uma bomba neste domingo (22). A Delve, uma das plataformas que mais cresceu nos últimos anos ao prometer “agilizar” certificações como SOC 2 e ISO 27001, está sendo acusada de enganar clientes com processos fraudulentos. Segundo uma investigação publicada originalmente em um Substack e repercutida pelo TechCrunch, o “segredo” da rapidez da empresa seria o uso de evidências pré-preenchidas e parcerias com “fábricas de certificação” suspeitas.
O impacto é imediato: milhares de empresas que exibem o selo da Delve em seus sites agora enfrentam questionamentos sobre a real segurança de seus dados.
As graves acusações: ‘Fábricas de Selos’ e evidências forjadas
De acordo com o dossiê que deu origem à crise, a Delve não estaria apenas automatizando a coleta de dados, mas sim “criando” conformidade onde ela não existe. As principais denúncias incluem:
- Auditores de ‘Fachada’: A empresa estaria utilizando uma rede de auditores (muitos baseados na Índia com endereços falsos nos EUA) que garantem relatórios favoráveis em troca de pacotes fechados de serviços.
- Evidências Automatizadas: O sistema teria ferramentas para gerar automaticamente atas de reuniões de diretoria e registros de segurança que nunca ocorreram, apenas para “preencher os requisitos” da auditoria.
- Falsas Integrações: Enquanto a Delve promete centenas de automações, o relatório alega que a maioria dos processos ainda é feita manualmente ou através de dados fictícios para acelerar a aprovação.
“O mercado de conformidade depende totalmente da confiança. Se o selo que você exibe pode ser comprado e forjado, todo o ecossistema de segurança do SaaS desmorona”, afirma um analista de risco ouvido pelo TechCrunch.
A resposta da Delve: ‘Ataques de concorrentes’
Em comunicado oficial publicado em seu blog, a Delve negou veementemente todas as acusações. A empresa afirma que não emite os relatórios de conformidade (o que é feito por auditores independentes) e que os modelos e templates fornecidos são “padrões da indústria” para ajudar as empresas a se organizarem.
A Delve descreveu as denúncias como “imprecisas e mal-intencionadas”, sugerindo que os ataques fazem parte de uma estratégia agressiva de concorrentes em um mercado altamente saturado. Segundo a empresa, eles possuem mais de 1.700 clientes e seguem rigorosamente os frameworks do AICPA e da ISO.
O impacto para os clientes: O que fazer agora?
Para as empresas que utilizam a Delve, o momento é de alerta. Se os relatórios SOC 2 forem invalidados ou considerados não confiáveis por parceiros comerciais (TPRM – Third-Party Risk Management), o prejuízo financeiro e de reputação pode ser incalculável.
Especialistas sugerem que as empresas que dependem dessas certificações façam uma revisão independente de seus controles de segurança imediatamente, antes que sejam questionadas por seus próprios clientes ou investidores. O caso da Delve serve como um lembrete amargo de que, na cibersegurança, “atalhos” costumam levar a destinos perigosos.
🤩 Gostou do conteúdo? Acompanhe o Nation POP em todos os canais e não perca nenhuma novidade!
Facebook | Instagram | TikTok | YouTube
📲 Acompanhe também nosso canal exclusivo no Instagram e siga o Nation POP no Google News.