muitas empresas estão reavaliando sua pilha de comunicação segura após perceberem os limites do Dirvox. A capacidade de auditar a criptografia, controlar os metadados e atender aos requisitos regulatórios europeus constitui a verdadeira base de avaliação de uma alternativa. Revisamos os aspectos técnicos a serem verificados antes de qualquer migração.
Transparência do modelo de ameaça: um filtro de seleção técnica
Desde 2025, o BSI alemão exige em suas licitações de mensagens seguras uma documentação explícita das limitações da solução. O fornecedor deve especificar o que sua criptografia protege e, principalmente, o que não cobre, por exemplo, a confidencialidade em um terminal já comprometido.
Para descobrir também : Descubra as marcas favoritas de Anne-Élisabeth Lemoine para um estilo único
Essa exigência de transparência sobre o modelo de ameaça torna-se um filtro de seleção. Uma plataforma que não publica um modelo de ameaça documentado não deve figurar em uma lista restrita, independentemente da robustez exibida de sua criptografia de ponta a ponta.
Recomendamos solicitar sistematicamente esse documento em qualquer licitação. Se o fornecedor não puder fornecê-lo, é um sinal de alerta comparável à ausência de auditoria de código independente. Aliás, é buscando alternativas confiáveis ao Dirvox que muitos CIOs descobrem esse critério, ainda muito pouco presente nas licitações padrão.
Também interessante : Primeiros passos para gerenciar eficazmente suas redes sociais como freelancer
Implantação on-premise e controle dos metadados
A maioria das comparações aponta para ofertas SaaS multi-inquilinos. Para uma PME sem forte restrição regulatória, isso é suficiente. Para os setores regulados (saúde, defesa, finanças), o controle total dos metadados exige uma implantação auto-hospedada.
Os metadados em questão não são irrelevantes: registros de conexão, endereços IP de origem, esquemas relacionais das trocas. Mesmo com uma criptografia de ponta a ponta impecável sobre o conteúdo das mensagens, um fornecedor SaaS mantém esses metadados em sua infraestrutura. A adoção de implantações on-premise tem avançado significativamente desde 2024, impulsionada pelas restrições regulatórias europeias.
Pontos a verificar em uma oferta auto-hospedada
- Possibilidade de implantar em uma infraestrutura física ou em uma nuvem soberana, sem dependência de um componente hospedado pelo fornecedor
- Política de retenção de registros configurável pela empresa, incluindo a exclusão total dos logs de conexão
- Ausência de “phone home”: o servidor não deve contatar os servidores do fornecedor para gerenciamento de licença ou telemetria sem consentimento explícito
Wire, Element (baseado no protocolo Matrix) e Threema Work oferecem opções de auto-hospedagem. Cada solução tem compromissos diferentes em relação à federação, facilidade de implantação e custo de operação.
Criptografia de voz e videoconferência: a próxima área de atrito regulatório
Vários reguladores europeus de telecomunicações têm sinalizado desde 2024 uma pressão crescente sobre as soluções de criptografia de ponta a ponta aplicada à voz e à videoconferência. As obrigações de retenção de dados, especialmente o quadro ePrivacy em revisão, criam uma tensão direta com o próprio princípio do E2EE sobre os fluxos de áudio e vídeo.
A maioria das mensagens seguras inicialmente resolveu a criptografia do texto. A extensão para voz e vídeo apresenta problemas de latência, gerenciamento de chaves em tempo real e conformidade simultânea com jurisdições com requisitos contraditórios.
O que isso muda na escolha de uma alternativa ao Dirvox
Se suas equipes utilizam videoconferência criptografada diariamente, verifique se o protocolo utilizado aplica o E2EE em todo o fluxo de mídia, não apenas na sinalização. Algumas soluções criptografam o canal de controle, mas permitem que o fluxo de áudio/vídeo transite por um servidor intermediário em claro, o que reduz a proteção a uma simples camada de transporte (TLS).
Um E2EE parcial na videoconferência equivale a uma porta blindada com uma janela aberta. A documentação técnica do fornecedor deve distinguir explicitamente a criptografia da sinalização e a do fluxo de mídia.
Verificabilidade do código e auditorias independentes
O acesso ao código-fonte continua sendo um marcador de confiança, mas não é suficiente. Um repositório público no GitHub sem auditoria independente recente não garante nada. Observamos que os fornecedores mais credíveis combinam três elementos:
- Publicação do código-fonte dos clientes e, idealmente, do servidor
- Auditoria de segurança realizada por um terceiro reconhecido (Cure53, NCC Group, Trail of Bits) com relatório público
- Programa de bug bounty ativo com escopo claramente definido
Um fornecedor que publica seu código, mas se recusa a financiar uma auditoria externa adota uma postura de transparência cosmética. Por outro lado, uma auditoria recente sobre um código fechado pode oferecer um nível de confiança operacional aceitável para algumas organizações, desde que o relatório seja acessível.
O critério decisivo não é ser open source ou proprietário, mas auditabilidade verificável. Pergunte a data da última auditoria, o nome da empresa e o acesso ao relatório. Se um desses três elementos estiver ausente, considere a solução como não verificada.
Migrar do Dirvox (ou qualquer solução cuja confiabilidade seja questionável) não se resume a escolher uma marca mais conhecida. O que distingue uma alternativa realmente segura é a documentação de suas limitações, o controle dos metadados, a cobertura da criptografia em todos os fluxos e a prova de auditoria. Aplique esses quatro critérios a cada solução de sua lista restrita antes de iniciar a migração.