O Zoom é seguro? Criptografia, privacidade e segurança em 2026 — uma análise honesta

Este é um guia independente. Não é afiliado nem endossado pela Zoom Communications, Inc.

O time de TI acabou de aprovar o Zoom para uso em toda a empresa, mas uma pesquisa rápida mostra manchetes sobre vazamentos de dados, "Zoombombing" e processos de privacidade. Então, qual é a verdade: o Zoom é seguro o suficiente para as conversas confidenciais do seu time, ou você está correndo risco toda vez que clica em "Entrar na reunião"?

Resposta curta: o Zoom em março de 2026 é significativamente mais seguro do que era durante o caos da pandemia em 2020. A empresa adicionou criptografia de ponta a ponta, reformulou suas práticas de tratamento de dados e obteve certificações de conformidade que não existiam cinco anos atrás. Mas "mais seguro" não significa "à prova de falhas". Suas configurações, seus hábitos e seu plano afetam o quão protegidas suas reuniões realmente são.

Este guia detalha exatamente o que o Zoom protege, onde as brechas permanecem e os passos concretos que você pode tomar. Aqui estão os fatos para você agir.

Como a criptografia do Zoom realmente funciona

O Zoom criptografa reuniões, mas o tipo de criptografia importa. Entender a diferença ajuda a decidir se o Zoom é seguro o suficiente para suas necessidades.

Criptografia padrão (AES 256 bits GCM): Toda reunião do Zoom usa criptografia AES 256 bits em modo Galois/Counter desde março de 2026. Isso significa que os dados são criptografados entre seu dispositivo e os servidores do Zoom. É o mesmo padrão de criptografia usado por bancos e agências governamentais. Um invasor que interceptar o fluxo de dados verá apenas dados ilegíveis.

O porém: os servidores do Zoom podem tecnicamente descriptografar os dados porque detêm as chaves de criptografia. Isso é chamado de "criptografia em trânsito". Para a maioria das reuniões de equipe e check-ins de projeto, esse nível de proteção é mais do que adequado.

Criptografia de ponta a ponta (E2EE): O Zoom introduziu E2EE opcional no final de 2020 e tem expandido desde então. Quando a E2EE está ativada, apenas os participantes da reunião detêm as chaves de descriptografia. Os servidores do Zoom não conseguem ler o conteúdo. Em março de 2026, a E2EE está disponível em todos os planos pagos e no plano gratuito para reuniões com até 200 participantes.

O trade-off: ativar a E2EE desativa gravação na nuvem, transcrição ao vivo, enquetes e salas simultâneas. Você está escolhendo máxima privacidade em troca de conveniência.

Zoom Phone e Zoom Mail: As chamadas do Zoom Phone usam a mesma criptografia AES 256 bits GCM. O Zoom Mail (lançado em 2023) usa E2EE por padrão para mensagens entre usuários do Zoom Mail, com as chaves armazenadas apenas nos dispositivos.

Por exemplo: sua equipe jurídica está revisando um documento de fusão em uma chamada Zoom. Com criptografia padrão, a chamada é protegida contra espionagem externa, mas o Zoom poderia teoricamente acessá-la. Com E2EE ativada, nem funcionários do Zoom conseguem ouvir. Para essa revisão jurídica, a E2EE vale os trade-offs.

Que dados o Zoom coleta (e quem tem acesso)?

A criptografia protege dados em trânsito. Mas e os dados que o Zoom armazena nos servidores? É aqui que o cenário de privacidade fica mais complexo.

Dados coletados pelo Zoom em março de 2026:

• Informações da conta (nome, e-mail, telefone, cargo)
• Metadados de reuniões (data, hora, duração, lista de participantes, endereços IP)
• Informações do dispositivo (versão do SO, tipo de dispositivo, identificadores únicos)
• Conteúdo que você escolhe armazenar (gravações na nuvem, mensagens de chat, quadros brancos)
• Dados de uso (funcionalidades usadas, frequência, métricas de desempenho)

Dados que o Zoom diz não vender: Na política de privacidade atualizada (revisada em janeiro de 2026), o Zoom afirma que não vende dados pessoais a terceiros e não usa conteúdo de áudio, vídeo ou chat de reuniões para treinar modelos de IA sem consentimento do cliente.

A palavra "consentimento" importa. Em agosto de 2023, o Zoom enfrentou críticas quando uma atualização da política de privacidade parecia conceder à empresa o direito de usar dados de clientes para treinamento de IA. O Zoom revisou a política rapidamente após a repercussão pública, adicionando linguagem explícita de opt-in. Em março de 2026, as funcionalidades do AI Companion exigem aprovação do administrador da conta antes de qualquer dado de reunião ser processado para resumos de IA.

Controles de residência de dados: Administradores de contas pagas podem escolher em quais regiões os data centers processam seus dados. As opções incluem EUA, Europa, Ásia-Pacífico e outras regiões. Contas gratuitas têm seus dados roteados para o data center mais próximo.

Integrações de terceiros: O marketplace de apps do Zoom inclui centenas de integrações. Cada app de terceiro tem sua própria política de privacidade. Ao instalar um app do Zoom, você está concedendo ao desenvolvedor acesso a certos dados de reunião. Revise essas permissões com cuidado. Uma ferramenta de agendamento pode solicitar mais dados do que realmente precisa.

Histórico de segurança do Zoom: incidentes e correções

Não dá para avaliar se o Zoom é seguro hoje sem entender o que deu errado antes. Aqui está uma linha do tempo dos incidentes mais relevantes e como o Zoom respondeu.

Abril de 2020: epidemia de Zoombombing. Quando a pandemia levou milhões ao Zoom da noite para o dia, pessoas não convidadas começaram a invadir reuniões com conteúdo ofensivo. A causa: reuniões não tinham senhas ou salas de espera por padrão, e os IDs eram fáceis de adivinhar. O Zoom respondeu ativando senhas e salas de espera por padrão para todas as novas reuniões. A empresa informou que essas mudanças reduziram significativamente o acesso não autorizado.

Abril de 2020: alegações enganosas sobre criptografia. Pesquisadores de segurança descobriram que o Zoom divulgava "criptografia de ponta a ponta" quando na verdade usava criptografia TLS padrão em trânsito. A FTC investigou, e em novembro de 2020, o Zoom chegou a um acordo para implementar um programa de segurança com auditorias bienais de terceiros. A E2EE real foi lançada em outubro de 2020.

Abril de 2020: dados roteados pela China. Algumas chamadas de usuários fora da China foram roteadas por data centers chineses. O Zoom atribuiu isso a um erro de capacidade durante o pico pandêmico e rapidamente adicionou controles de roteamento de dados para que administradores pudessem escolher as regiões de processamento.

2020: SDK do Facebook compartilhando dados do dispositivo. O app do Zoom para iOS enviava dados analíticos do dispositivo ao Facebook mesmo para usuários sem conta no Facebook. O Zoom removeu o SDK do Facebook dias após o relatório. O incidente resultou em uma ação coletiva encerrada com acordo de US$ 85 milhões em agosto de 2021.

Março de 2023: vulnerabilidade do Google Project Zero. Uma vulnerabilidade crítica zero-click (CVE-2023-28597) permitia execução remota de código. O Zoom lançou uma correção logo após a divulgação responsável e atualizou automaticamente os clientes afetados.

Anos recentes. A página de boletins de segurança do Zoom mostra correções contínuas de vulnerabilidades, o que é prática padrão para grandes plataformas de software. Nenhuma violação em grande escala ou exposição de dados foi amplamente reportada desde os incidentes de 2020.

O padrão é claro: 2020 foi caótico para o Zoom, impulsionado pelo crescimento explosivo que superou sua infraestrutura de segurança. Desde então, a empresa afirma ter investido pesado em segurança e expandido sua equipe de CISO. A questão não é se o Zoom teve problemas — é se foram resolvidos. As evidências indicam que sim, pelo menos para os problemas conhecidos.

O Zoom é seguro para empresas, saúde e terapia?

Diferentes setores precisam de diferentes níveis de segurança. Veja onde o Zoom se posiciona nas certificações relevantes.

SOC 2 Type II: O Zoom possui um relatório SOC 2 Type II vigente, o que significa que um auditor independente verificou seus controles de segurança durante um período prolongado. É a certificação básica que a maioria das empresas exige de fornecedores SaaS.

ISO 27001: O sistema de gestão de segurança da informação do Zoom é certificado ISO 27001 em março de 2026. É o padrão internacional para gerenciar dados sensíveis.

Conformidade HIPAA: O Zoom oferece uma configuração compatível com HIPAA para provedores de saúde em planos pagos (Business e acima). Isso inclui um BAA (Business Associate Agreement) assinado, gravação na nuvem desativada por padrão e disponibilidade de E2EE. O Zoom afirma que milhares de profissionais de saúde usam a plataforma para telemedicina (veja a página de saúde do Zoom para dados atualizados).

O Zoom é seguro para terapia? Sim, quando configurado corretamente. Terapeutas precisam usar um plano pago com BAA, ativar a sala de espera, desativar transferência de arquivos e, idealmente, ativar a E2EE. Para um passo a passo detalhado, veja nosso guia de conformidade HIPAA do Zoom.

LGPD/GDPR: O Zoom fornece Adendos de Processamento de Dados (DPAs) para clientes da UE e suporta residência de dados em data centers europeus. Cláusulas contratuais padrão (SCCs) cobrem transferências internacionais de dados.

FedRAMP: O Zoom for Government possui autorização FedRAMP Moderate, atendendo aos padrões federais de segurança dos EUA. Essa versão opera em infraestrutura separada do Zoom para consumidores.

Educação (FERPA/COPPA): O Zoom for Education foi projetado para atender aos requisitos FERPA e não utiliza dados de alunos para publicidade. Escolas devem usar contas Zoom for Education (não contas pessoais) para garantir conformidade.

Organizações de saúde devem consultar um profissional qualificado em conformidade HIPAA antes de depender de qualquer plataforma de vídeo para PHI. O plano gratuito não se qualifica para BAA, e as configurações padrão sozinhas não atendem aos requisitos HIPAA.

8 configurações de segurança do Zoom que você deveria mudar hoje

As configurações padrão do Zoom são razoavelmente seguras, mas "razoavelmente" não é suficiente para reuniões sensíveis. Essas oito mudanças levam cerca de cinco minutos e fecham as brechas mais comuns.

1. Exija códigos de acesso para reuniões. Vá em Configurações > Segurança no portal web do Zoom. Ative "Exigir código de acesso ao agendar novas reuniões". Isso está ativado por padrão na maioria das contas em 2026, mas verifique se não foi desativado.

2. Ative a sala de espera. Em Configurações > Segurança, ative "Sala de espera". Isso obriga cada participante a aguardar a aprovação do anfitrião antes de entrar. É a defesa mais eficaz contra convidados indesejados.

3. Bloqueie a reunião depois que todos entraram. Quando todos estiverem presentes, clique em Segurança na barra de ferramentas da reunião e selecione "Bloquear reunião". Ninguém mais poderá entrar, mesmo com o link e código corretos.

4. Desative transferência de arquivos no chat. Em Configurações > Na reunião (Básico), desative "Transferência de arquivos". Isso impede que participantes enviem arquivos potencialmente maliciosos pelo chat do Zoom.

5. Controle o compartilhamento de tela. Em Configurações > Na reunião (Básico), defina "Quem pode compartilhar?" como "Somente o anfitrião" para reuniões sensíveis. Você pode conceder permissão a participantes específicos durante a chamada.

6. Ative E2EE para reuniões confidenciais. Em Configurações > Segurança, ative "Permitir uso de criptografia de ponta a ponta". Depois, ao configurar uma reunião, selecione "Criptografia de ponta a ponta" na seção Segurança. Lembre-se: isso desativa gravação na nuvem e algumas funcionalidades de colaboração.

7. Desative entrada antes do anfitrião. Em Configurações > Na reunião (Avançado), desative "Permitir que participantes entrem antes do anfitrião". Isso impede que participantes fiquem na sala sem a presença do anfitrião.

8. Exija perfis autenticados. Em Configurações > Segurança, ative "Apenas usuários autenticados podem entrar nas reuniões". Isso exige que os participantes estejam logados em uma conta Zoom, impedindo acesso anônimo.

Essas configurações cobrem 90% dos cenários de segurança que a maioria dos times enfrenta. Para os 10% restantes, o maior fator de risco não é a tecnologia do Zoom — é o comportamento humano: compartilhar links de reunião publicamente, reutilizar o mesmo ID de reunião para todas as chamadas ou clicar em links suspeitos no chat do Zoom.

O Zoom é seguro contra hackers?

Nenhum software é completamente seguro contra hackers — quem disser o contrário está vendendo algo. A pergunta melhor é: quão bem o Zoom se defende contra os vetores de ataque mais comuns?

Credential stuffing: Hackers usam senhas vazadas de outros serviços para tentar acessar contas Zoom. Em abril de 2020, pesquisadores relataram que grandes quantidades de credenciais do Zoom apareceram em fóruns da dark web. Não foram de uma violação do Zoom — vieram de usuários que reutilizaram senhas. A defesa do Zoom: autenticação de dois fatores (2FA), disponível em todas as contas desde setembro de 2020. Se você ainda não ativou a 2FA na sua conta Zoom, faça hoje.

Zoombombing: Resolvido com códigos de acesso padrão, salas de espera e bloqueio de reuniões (detalhado na seção de configurações acima).

Exploits zero-day: O Zoom mantém um programa de bug bounty através do HackerOne, recompensando pesquisadores que reportam vulnerabilidades. A empresa também faz testes de penetração regulares em parceria com empresas de segurança.

Ataques man-in-the-middle: A criptografia AES 256 bits GCM protege contra interceptação. A E2EE elimina até o risco teórico de interceptação pelo lado do Zoom.

Engenharia social: O elo mais fraco de qualquer cadeia de segurança. E-mails de phishing que imitam convites de reunião do Zoom continuam comuns. O Zoom não consegue impedir que um usuário clique em um link falso de "Entrar na reunião" que leva a uma página de roubo de credenciais. Treine seu time para verificar links de reunião e usar integrações de calendário em vez de clicar em links de e-mails desconhecidos.

O Zoom é seguro contra hackers? É tão seguro quanto qualquer grande plataforma na nuvem quando você usa 2FA, senhas únicas e as configurações de segurança descritas acima. O maior risco não é o código do Zoom — é a higiene das suas senhas.

Como a segurança do Zoom se compara a outras plataformas

O Zoom não é a única opção de videoconferência. Veja como sua segurança se compara às principais alternativas em março de 2026.

Microsoft Teams: Também usa criptografia AES 256 bits e oferece E2EE para chamadas individuais (expandida para chamadas em grupo no final de 2025). O Teams se beneficia do ecossistema de segurança mais amplo da Microsoft, incluindo integração com Azure Active Directory e Microsoft Defender. As certificações de conformidade são comparáveis às do Zoom. Para organizações que já usam Microsoft 365, a segurança do Teams está intimamente integrada ao gerenciamento de identidade existente. Veja nosso guia de alternativas ao Microsoft Teams.

Google Meet: Usa criptografia AES 256 bits para todas as chamadas. O Google não oferece E2EE selecionável pelo usuário para chamadas padrão do Meet (a criptografia do lado do cliente está disponível apenas nos planos Workspace Enterprise Plus). As práticas de dados do Google são regidas por sua política de privacidade mais ampla, que inclui uso de dados para melhoria de serviços.

Plataformas baseadas em WebRTC (incluindo Flat.social): Plataformas construídas sobre WebRTC usam SRTP (Secure Real-time Transport Protocol) com troca de chaves DTLS por padrão. Áudio e vídeo viajam ponto a ponto quando possível, sem passar por um servidor central. Não há gravação na nuvem porque nada é armazenado no servidor. Para times que querem privacidade por arquitetura em vez de privacidade por política, plataformas WebRTC valem a consideração.

Nenhuma plataforma é "a mais segura". Segurança depende do seu modelo de ameaça. O Zoom é uma escolha sólida para organizações que precisam de certificações de conformidade, controles administrativos e funcionalidades corporativas. Para times que priorizam coleta mínima de dados e arquitetura ponto a ponto, plataformas de reuniões espaciais oferecem uma abordagem fundamentalmente diferente.

Zoom é uma marca registrada da Zoom Communications, Inc. Este artigo é uma publicação independente e não é afiliado, endossado ou patrocinado pela Zoom Communications, Inc.

Conclusão: o Zoom é seguro o suficiente para o seu time?

O Zoom em 2026 é um produto fundamentalmente diferente daquele que virou manchete de segurança em 2020. Criptografia AES 256 bits protege cada chamada. E2EE opcional está disponível em todos os planos. Certificações SOC 2, ISO 27001, HIPAA e FedRAMP cobrem as necessidades de conformidade da maioria das organizações.

Mas segurança não é só sobre a plataforma — é sobre como você usa. Aqui está sua lista de ações:

1. Ative a autenticação de dois fatores em todas as contas Zoom da sua organização.
2. Ative salas de espera e códigos de acesso para todas as reuniões agendadas.
3. Use E2EE para qualquer reunião envolvendo informações confidenciais (jurídico, financeiro, saúde, RH).
4. Revise as permissões de apps de terceiros nas integrações do Zoom Marketplace trimestralmente.
5. Mantenha o Zoom atualizado para a versão mais recente em todos os dispositivos.

Esses cinco passos colocam você à frente de 95% dos usuários do Zoom em segurança. Se seu modelo de ameaça exige mais (você lida com informações sigilosas, opera sob leis rígidas de soberania de dados, ou simplesmente prefere uma plataforma que coleta menos dados por design), considere uma alternativa baseada em WebRTC onde o áudio viaja ponto a ponto e nada é armazenado em um servidor central.

Suas reuniões contêm as ideias, estratégias e conversas honestas do seu time. Elas merecem ser protegidas.