O risco invisível no desenvolvimento de APIs
Um desenvolvedor copia um request real do Postman para o histórico do mock server. O request tem o campo cpf de um cliente real. Esse dado agora está em logs, no banco de dados do servidor de desenvolvimento e potencialmente em backups não criptografados.
Segundo a LGPD (Art. 46), as empresas devem adotar medidas técnicas para proteger dados pessoais em todas as fases do ciclo de vida — incluindo desenvolvimento e testes.
O que o httpdrop mascara automaticamente
Tipo de dadoAçãoResultado
CPF / CNPJmask123.456.***-**
Emailmaskan*****@email.com
Cartão de créditomask**** **** **** 1234
Authorization headerredact[REDACTED]
Bearer tokenredact[REDACTED]
Telefonemask(11) 9****-****
Campos customizadosconfigurávelmask / hash / remove / redact
Modos de mascaramento
mask — Substitui parte do valor por asteriscos. Preserva o formato para debugging sem expor o dado real.
hash — Aplica SHA-256. Determinístico: o mesmo CPF sempre gera o mesmo hash, permitindo correlacionar logs sem expor o dado original.
remove — Remove o campo completamente do registro. Use quando o campo não é necessário para debugging.
redact — Substitui por
[REDACTED]. Mantém a estrutura do JSON mas torna o valor irrecuperável.Compliance: O mascaramento é aplicado antes de salvar no banco de dados do httpdrop. Mesmo que o servidor seja comprometido, os dados sensíveis não estarão armazenados. Isso facilita a demonstração de conformidade para auditores e a ANPD.