Delve – serviço de compliance falso

 (deepdelver.substack.com)
1 pontos por GN⁺ 2026-03-21 | 1 comentários | Compartilhar no WhatsApp
  • Foi revelado que a plataforma Delve vem sendo operada como um “sistema que faz parecer que há conformidade” sem controles de segurança reais
  • Segundo uma investigação interna e a análise de planilhas vazadas, relatórios de auditoria, testes e conclusões eram gerados automaticamente pela Delve, e organismos de certificação baseados na Índia apenas assinavam isso de forma protocolar
  • Clientes passaram a adotar evidências falsas, atas de reunião fraudulentas e documentos de política preenchidos automaticamente, exibindo-se como se tivessem certificações SOC 2, ISO 27001, HIPAA e GDPR
  • A Delve divulga automação baseada em IA, mas na prática é um sistema de formulários centrado em entrada manual e upload de capturas de tela, e a maior parte das funcionalidades de “integração” não funciona
  • Com isso, centenas de empresas estão divulgando externamente um estado de segurança falso, ficando expostas a violações de HIPAA e GDPR e a riscos de responsabilidade legal

Problemas estruturais da Delve e principais revelações

  • A Delve foi promovida como uma plataforma de automação de compliance para SOC 2, ISO 27001, HIPAA e GDPR, mas na prática violava o princípio de independência da auditoria e redigia ela mesma as conclusões de auditoria
    • Rascunhos de relatórios de auditoria já incluíam conclusões e procedimentos de teste redigidos pela Delve, e os clientes apenas preenchiam nome, assinatura e diagramas
    • Todos os relatórios compartilhavam a mesma estrutura de frases e os mesmos erros de digitação, com mais de 99% de 575 documentos contendo texto idêntico
  • Uma planilha do Google vazada incluía links para relatórios de auditoria de centenas de clientes, expondo informações sensíveis como assinaturas pessoais e diagramas de sistema
    • O CEO da Delve alegou que se tratava de “e-mails falsos gerados por IA”, mas os documentos reais foram confirmados em arquivos públicos

Violação da independência da auditoria e sistema de auditoria fraudulento

  • A Delve executava diretamente o papel de auditor, violando regras da AICPA
    • As conclusões da auditoria eram redigidas antecipadamente, em uma estrutura que impossibilitava verificação independente
    • Organismos de certificação sediados na Índia, como Accorp, Gradient, BQC e Glocert, assinavam relatórios por meio de estruturas de fachada com pessoa jurídica nos EUA
    • Alguns relatórios incluíam números de licença de auditor incorretos, indicando cópia do mesmo template
  • Jayshree Dutta, indicada como responsável pela auditoria, não é CPA nos EUA e foi identificada como vinculada às empresas indianas CyberTryZub e BQC

Falsidade do produto e do processo

  • A “automação por IA” da Delve é, na prática, um sistema manual baseado em formulários, com pouca ou nenhuma funcionalidade real de IA
    • A maior parte das “integrações” apenas exige upload de capturas de tela, sem procedimento de autenticação
    • Políticas, avaliação de riscos e simulações de segurança são compostas por templates com valores padrão, que podem ser concluídos apenas com cliques
  • O módulo Pathways teria sido desenvolvido internamente pela Delve, mas foi identificado como uso não autorizado do open source SimStudio
  • Os clientes precisam adotar atas falsas, resultados de testes de segurança falsos e documentos de política artificiais; se recusarem, precisam fazer manualmente a maior parte do trabalho

Relatórios falsos e manipulação da página de confiança

  • A Trust Page da Delve marca como “concluídos” controles de segurança que na realidade não foram implementados
    • Entre 322 clientes SOC 2, 321 usavam o mesmo conjunto de 51 itens de controle
    • Medidas de segurança inexistentes, como MDM, detecção de intrusão, backup e exclusão de dados, eram exibidas automaticamente
  • Relatórios SOC 2 Type II afirmam conformidade com todos os critérios, incluindo “segurança, disponibilidade, confidencialidade e privacidade”, mas na prática apenas um item de segurança era testado
    • Todos os relatórios terminavam de forma idêntica com a frase “No exceptions noted”

Riscos regulatórios e legais

  • O processo fraudulento da Delve coloca seus clientes em situação de violação de GDPR e HIPAA
    • Violações de HIPAA podem gerar sanções criminais, e violações de GDPR podem resultar em multas de até 4% da receita global
    • Como há empresas que lidam com dados de saúde e defesa, isso cria riscos em nível de segurança nacional
  • Clientes da Delve podem ter enviado relatórios de certificação falsos a terceiros sem saber, ficando sujeitos a responsabilidades contratuais e reputacionais

Conclusão e recomendação

  • A Delve é um caso de industrialização de uma estrutura de “automação de compliance falsa”, expondo clientes a riscos legais
  • Clientes atuais devem registrar por escrito todas as comunicações com a Delve e questionar com clareza a geração de auditorias, a independência do auditor e a extensão do vazamento de dados
  • O suposto “processo de confiança baseado em IA” da Delve não passa de um sistema formal de geração de documentos, sem capacidade real de validação de segurança
  • O caso mostra o colapso de confiança no mercado de automação de compliance e volta a destacar a importância de auditorias independentes e controles de segurança efetivos

Leituras relacionadas

1 comentários

 
GN⁺ 2026-03-21
Comentários do Hacker News

  • Muitas startups têm a característica de se mover rapidamente com equipes pequenas
    Se criam um bom produto, grandes empresas querem assinar, mas aí passam a exigir processos de certificação
    Checklists são úteis, mas estão excessivamente adaptados à burocracia ao estilo europeu
    Você acaba recebendo perguntas como “Onde está o registro de riscos de uma empresa com 7 pessoas?” e ficando preso a trabalho documental em vez de tocar o negócio
    A situação vira a de produzir documentos que ninguém vai ler, inventar processos que não existem e traduzir uma empresa ágil para a linguagem de uma corporação gigante
    Precisamos de padrões práticos e proporcionais adequados para equipes pequenas

    • Concordo completamente. Mas também penso que, se grandes empresas aplicassem esses padrões de forma mais inteligente, isso poderia até lhes dar vantagem competitiva
      Minha empresa é da Fortune 500, mas o processo de compras é tão complicado que fica difícil adotar SaaS
      Enquanto isso, concorrentes com processos mais flexíveis conseguem contratar bons vendors rapidamente. No fim, essa diferença vira competitividade
    • Tenho a impressão de que o CIS Controls v8.1 é realista e ajuda de fato na segurança
      O Level 1 já é um bom básico, e o Level 2 pode ser aplicado seletivamente conforme o risco do negócio
      Também vale olhar os CIS Benchmarks. É um conjunto de boas práticas para segurança em cloud, SaaS e sistemas operacionais
    • Se a equipe não estiver pronta, não deveria tentar forçar a aprovação em uma due diligence
    • O objetivo de um negócio, no fim, é gerar lucro
      Se esse “teatro corporativo” resulta em receita, então isso também faz parte do negócio
      Se você não entregar o produto da forma que o cliente exige, acaba sendo excluído do mercado
    • Acho que esses processos complexos de certificação são mecanismos desenhados para que certos grupos controlem o acesso aos clientes
      A estrutura beneficia quem controla os checklists

  • Compliance não é tão difícil assim se você dedicar tempo de verdade, sem tentar achar atalhos
    Acho que a AWS é uma fornecedora real de CaaS (Compliance as a Service)
    Por meio do AWS Artifact, ela ajuda clientes a passar mais facilmente por processos complexos de certificação
    Claro, software e políticas continuam sendo responsabilidade do usuário, mas segurança física, gestão de hardware, recuperação de desastres etc. são fornecidos praticamente “de graça”

    • Esses benefícios não valem só para a AWS, mas para todos os grandes provedores de cloud
      Só que, em comparação com fornecedores de infraestrutura mais simples como a Hetzner, existe um prêmio de custo considerável

  • Fico pensando qual é a probabilidade de fundadores na casa dos 20 anos quererem resolver com entusiasmo o problema de auditorias de compliance
    Parece uma área tão entediante que é difícil se interessar. Ou será que entram nisso simplesmente pela oportunidade?

    • Resolver problemas entediantes é justamente o manual clássico de startups
      Dizem que, quanto mais comum o problema parece, maior a chance de dar dinheiro
      Como no texto do Joel Spolsky, “Where there’s muck, there’s brass”
    • Trabalho em uma empresa que desenvolve software sob medida para setores regulados
      Engenheiros talentosos na faixa dos 20 anos estão desenvolvendo monitoramento de Compliance Management System
      Estão usando IA para resolver problemas de negócio antigos. Na costa leste dos EUA, há um mercado grande em bancos, energia e saúde
    • Acho que, mais do que paixão, há muitos jovens de 20 e poucos anos com uma forte vontade de ganhar dinheiro
    • Também atuo nesse setor, e o domínio é realmente seco e sem graça
      Felizmente, a parte técnica é interessante
      Do ponto de vista do cliente, compliance é tão doloroso que qualquer automação mínima já entrega muito valor
    • Isso parece uma espécie de novo modelo de consultoria
      Reúne-se um grupo de jovens inteligentes e capta-se investimento com o discurso de que vão “revolucionar a indústria”
      É parecido com a forma como consultores da McKinsey ganham influência mais pelo nome da marca do que pelo trabalho em si
      O YC também parece cumprir esse papel

  • Mesmo que esse texto seja um ataque de um concorrente, as evidências apresentadas são muito fortes
    Se forem falsas, os danos por difamação chegariam a dezenas de milhões de dólares
    Respeito a coragem de assumir um vazamento desses

  • É curioso que o autor e sua rede só levantem o problema depois que as próprias certificações deles foram expostas como inválidas
    Agora tentam se apresentar como os ‘justos que desmascararam a Delve’

  • Passei por esse processo pessoalmente
    Acho que a falha fundamental foi o fato de a entidade certificadora emitir certificados sem verificação, em troca de dinheiro
    Intermediários como a Delve apenas amplificaram essa falha
    Quem era do setor já sabia que isso tudo era apenas teatro de segurança (security theater)

  • Fiquei impressionado com a profundidade do texto
    Nós também estávamos avaliando a Drata recentemente, e à primeira vista parecia bem boa
    Mas sempre que acontece um caso desses, fico pensando quantas fraudes ainda não reveladas devem existir

  • O único objetivo de um teste é descobrir falhas
    Em um ambiente onde todos simplesmente seguem o fluxo, é revigorante ver alguém apontando esse tipo de problema publicamente

  • Vi esse texto no LinkedIn e achei realmente interessante
    Um texto com esse nível de investigação já deveria estar no topo do HN a esta altura

    • Talvez a exposição esteja sendo suprimida de propósito
      Considerando que este é um site do Y Combinator, isso é possível
      Ouvi dizer que algumas empresas conseguiram um relatório SOC 2 Type 2 em 5 dias por meio da Delve
      Inclusive usam exatamente o slogan de marketing “SOC 2 in days”. Difícil de acreditar

  • Compliance é algo que ninguém quer, mas de que todos precisam
    No fim, acaba sendo visto como um serviço de transferência de responsabilidade
    Se o regulador perguntar, basta mostrar um certificado de uma empresa como a Delve e pronto

    • Eu não gostaria de trabalhar em um lugar assim
      Um provedor de SaaS deve ter senso de responsabilidade para proteger os dados dos clientes
      Frameworks de compliance são ferramentas para apoiar esse esforço
      Servem para encontrar lacunas, identificar riscos, impulsionar melhorias e explicar aos parceiros o nosso nível de maturidade
      O comportamento descrito no texto do Medium é simplesmente fraude
      Como fundador, quero oferecer aos clientes o mais alto nível de confiança possível
    • Ninguém quer pagar imposto ou lavar roupa, mas são coisas que precisam ser feitas
      Compliance é a mesma coisa
    • Quando eu estava no setor de cibersegurança, era parecido
      Na maioria dos casos, nos contratavam mais para cumprir exigências de seguro do que para melhorar a segurança
      No fim, era uma estrutura de repasse de responsabilidade
    • Isso parece fala de quem não conhece o setor B2B
      Na prática, muitos fundadores ouvem repetidamente: “Queremos comprar seu produto, mas não podemos porque vocês não têm a certificação”
      Então a pessoa acorda de manhã pensando: “Hoje vou conseguir a certificação XYZ-123”
      Compliance não é empurrar responsabilidade para outros, mas a condição mínima para provar confiança ao cliente
      Todo jogo que vale a pena jogar tem seu custo de entrada (table stakes)
    • Ninguém quer fazer compliance por vontade própria, mas,
      se você fundou uma empresa que tem obrigações legais e morais, essa é uma responsabilidade que você mesmo deve assumir
      Passá-la para outra empresa é agir de forma irresponsável