Recuperação Pós-Incidente em 2026: 9 Exigências Regulatórias Que Podem Paralisar Sua Empresa

TL;DR — Leia em 60 segundos

• Em 2026, falhar na recuperação pós-incidente pode gerar multas milionárias com base na LGPD, bloqueio de operações por exigências regulatórias e responsabilização direta de executivos.
• Reguladores exigem hoje planos formais de resposta, evidências documentadas de testes, trilhas de auditoria, comunicação tempestiva e governança técnica comprovável.
• Empresas que não conseguem restaurar sistemas dentro dos prazos contratuais e regulatórios podem sofrer suspensão de contratos, bloqueio de dados e paralisação operacional.
• Recuperação pós-incidente deixou de ser apenas técnica: é um requisito jurídico, regulatório e estratégico de sobrevivência empresarial.

O que é Recuperação Pós-Incidente e por que é crítico em 2026

Recuperação pós-incidente é o conjunto estruturado de processos técnicos, jurídicos e operacionais adotados por uma organização após a ocorrência de um evento de segurança da informação, como ransomware, vazamento de dados, indisponibilidade sistêmica ou comprometimento de infraestrutura crítica. Diferentemente da resposta imediata ao incidente, que busca conter e erradicar a ameaça, a recuperação envolve restaurar operações, garantir integridade de dados, atender exigências legais, reconstruir confiança e implementar melhorias para evitar recorrência.

Em 2026, esse tema tornou-se ainda mais sensível devido ao amadurecimento regulatório no Brasil e no exterior. A Autoridade Nacional de Proteção de Dados intensificou fiscalizações, exigindo comprovação documental de planos de resposta, comunicação tempestiva a titulares e evidências de mitigação. O Banco Central ampliou obrigações de resiliência cibernética para instituições financeiras e fintechs. A SUSEP reforçou normas para seguradoras quanto à continuidade operacional. Empresas que atuam com dados sensíveis enfrentam escrutínio maior e auditorias técnicas detalhadas.

Estatísticas recentes do mercado brasileiro indicam que o tempo médio de recuperação após um ataque de ransomware pode ultrapassar 21 dias em empresas sem plano estruturado. Esse período representa paralisação de faturamento, perda de contratos e risco de ações judiciais coletivas. Além disso, pesquisas internacionais mostram que organizações que não possuem backups testados regularmente apresentam até 40 por cento mais probabilidade de pagar resgate, aumentando exposição financeira e reputacional.

O ponto central é que recuperação pós-incidente deixou de ser uma questão de tecnologia e passou a ser um pilar de governança corporativa. Conselhos administrativos exigem relatórios formais de maturidade. Investidores avaliam resiliência digital como critério de risco. Parceiros comerciais inserem cláusulas contratuais com penalidades severas por indisponibilidade. Em 2026, a pergunta não é se sua empresa sofrerá um incidente, mas se ela conseguirá provar ao regulador que estava preparada para recuperar-se de forma estruturada e documentada.

Como funciona na prática: Anatomia completa

A recuperação pós-incidente começa ainda durante a fase de contenção. Assim que a ameaça é isolada, inicia-se a coleta forense, a preservação de evidências e a definição de escopo de impacto. Esse momento é crítico porque qualquer erro pode comprometer investigações futuras e gerar questionamentos regulatórios. Empresas maduras possuem procedimentos escritos que definem responsabilidades claras entre equipe técnica, jurídico, comunicação e alta gestão.

O segundo componente é a restauração operacional. Isso envolve restaurar backups íntegros, validar consistência de bancos de dados, reconfigurar ambientes comprometidos e realizar testes de integridade antes de liberar sistemas ao público. A ausência de testes prévios costuma gerar retrabalho e prolongar a indisponibilidade. Reguladores exigem comprovação de que a restauração foi feita com controles adequados.

Outro eixo fundamental é a comunicação. Em caso de vazamento de dados pessoais, a LGPD determina notificação à ANPD e, em certos casos, aos titulares. O prazo razoável vem sendo interpretado como comunicação célere, acompanhada de descrição de medidas adotadas. Falhas nesse processo podem agravar penalidades. Além disso, empresas de capital aberto precisam avaliar impactos na divulgação de fatos relevantes.

Por fim, há a fase de aprendizado e remediação estrutural. Auditorias internas e externas analisam causas raiz, falhas de controle e oportunidades de melhoria. Essa etapa não é opcional. Reguladores esperam ver evidências de que a empresa evoluiu seus controles após o incidente. Sem isso, qualquer reincidência pode ser interpretada como negligência sistêmica.

Governança e responsabilidade executiva

A governança da recuperação exige participação ativa da diretoria. Não se trata apenas de delegar ao time de TI. Conselheiros precisam compreender métricas de RTO e RPO, riscos regulatórios e impactos financeiros. Em diversos casos internacionais, executivos foram responsabilizados por omissão em controles de segurança.

No Brasil, a responsabilização administrativa pode atingir dirigentes quando há comprovação de negligência grave. A ausência de políticas formais ou de testes periódicos pode ser interpretada como falha de governança. Portanto, a recuperação deve estar integrada ao programa de compliance corporativo.

Documentação e trilhas de auditoria

Sem documentação, não há defesa regulatória. Relatórios técnicos, atas de reuniões de crise, evidências de testes de backup e registros de comunicação precisam ser preservados. Muitas empresas falham não por ausência de ação, mas por incapacidade de provar o que fizeram.

Ferramentas de gestão de incidentes ajudam a consolidar logs e decisões. Em auditorias, a capacidade de demonstrar cronologia precisa é determinante para reduzir penalidades.

Passo a passo: Implementação profissional

Fase 1: Diagnóstico e mapeamento

O primeiro passo é identificar ativos críticos, fluxos de dados e dependências operacionais. Sem esse mapeamento, não é possível definir prioridades de recuperação. Empresas frequentemente subestimam integrações com terceiros, o que pode ampliar o impacto real de um incidente.

É essencial conduzir análise de impacto nos negócios, identificando tempo máximo tolerável de indisponibilidade. Esse estudo orienta definição de RTO e RPO realistas. Ignorar essa etapa leva a expectativas desalinhadas entre áreas técnicas e executivas.

Também é necessário avaliar maturidade atual: existência de backups, frequência de testes, documentação de procedimentos e treinamento de equipes. Um diagnóstico honesto evita surpresas durante crises reais.

Fase 2: Planejamento e arquitetura

Com base no diagnóstico, define-se arquitetura de backup, redundância e contingência. Isso pode incluir replicação geográfica, armazenamento imutável e segmentação de rede. O planejamento deve considerar cenários de ransomware, falhas físicas e ataques internos.

O plano formal de recuperação precisa detalhar responsabilidades, fluxos de aprovação e critérios de comunicação externa. Documentos genéricos copiados da internet não resistem a auditorias.

Além disso, contratos com fornecedores devem prever níveis de serviço compatíveis com metas de recuperação. Muitos incidentes se agravam por dependência excessiva de terceiros sem SLA adequado.

Fase 3: Implementação e testes

Implementar sem testar é criar falsa sensação de segurança. Testes periódicos de restauração devem simular cenários reais, incluindo indisponibilidade total de data center. É comum descobrir falhas apenas durante exercícios práticos.

Testes também precisam envolver áreas de negócio. A restauração técnica não garante continuidade operacional se processos internos não estiverem alinhados.

Reguladores valorizam evidências de testes documentados. Relatórios formais, com data e responsáveis, são parte essencial da defesa regulatória.

Fase 4: Monitoramento contínuo

Recuperação não é projeto pontual, mas processo contínuo. Mudanças em sistemas exigem atualização do plano. Fusões e aquisições alteram escopo de riscos.

Indicadores de desempenho devem ser monitorados regularmente. Tempo de restauração, taxa de sucesso de backups e incidentes simulados são métricas relevantes.

Revisões anuais ou semestrais ajudam a manter aderência regulatória e tecnológica.

Erros críticos e como evitá-los

Um erro recorrente é confiar exclusivamente em backups online conectados à rede principal. Em ataques de ransomware, esses backups costumam ser criptografados junto com os dados originais. A solução é adotar armazenamento imutável e segmentado.

Outro erro é não envolver o jurídico desde o início. A falta de orientação pode levar a comunicações inadequadas e agravamento de penalidades.

Muitas empresas negligenciam testes reais de restauração. Descobrem tarde demais que backups estavam corrompidos.

Subestimar o fator humano também é problemático. Treinamento insuficiente gera respostas descoordenadas.

Ignorar contratos com terceiros é outro risco. Fornecedores podem não ter obrigações claras de recuperação.

A ausência de documentação detalhada dificulta defesa regulatória.

Não atualizar planos após mudanças estruturais cria lacunas.

Falta de integração entre segurança e continuidade de negócios gera conflitos de prioridade.

Ferramentas e tecnologias essenciais

Ferramenta | Finalidade | Observação Estratégica Soluções de backup imutável | Proteção contra ransomware | Devem suportar retenção offline Plataformas de gestão de incidentes | Registro e coordenação | Fundamentais para auditoria Sistemas SIEM | Correlação de eventos | Auxiliam na análise pós-incidente Ferramentas EDR | Detecção e resposta em endpoints | Reduzem tempo de contenção Soluções de orquestração | Automação de resposta | Aceleram recuperação Serviços de SOC 24x7 | Monitoramento contínuo | Garantem resposta imediata

Cada uma dessas tecnologias deve ser integrada a um plano formal. Ferramentas isoladas não garantem conformidade regulatória. A escolha deve considerar aderência à LGPD e capacidade de geração de relatórios auditáveis.

Checklist completo de implementação

Prioridade Alta

1. Mapear ativos críticos.
2. Definir RTO e RPO.
3. Implementar backup imutável.
4. Testar restauração trimestralmente.
5. Formalizar plano documentado.
6. Definir responsáveis executivos.
7. Integrar jurídico ao processo.
8. Revisar contratos com terceiros.
9. Implementar monitoramento contínuo.
10. Criar protocolo de comunicação regulatória.

Prioridade Média

1. Realizar simulações anuais.
2. Treinar equipes multidisciplinares.
3. Atualizar inventário de ativos.
4. Implementar segmentação de rede.
5. Validar integridade de logs.

Prioridade Contínua

1. Revisar plano após incidentes.
2. Acompanhar atualizações regulatórias.
3. Auditar fornecedores críticos.
4. Monitorar indicadores de desempenho.
5. Reportar métricas ao conselho.

Casos reais e estudos de caso

Um hospital brasileiro sofreu ataque de ransomware que paralisou sistemas por duas semanas. A ausência de backups offline obrigou reconstrução manual de registros. Além do prejuízo financeiro, houve investigação regulatória por exposição de dados sensíveis.

Uma fintech enfrentou indisponibilidade prolongada por falha em fornecedor de nuvem. A falta de plano alternativo gerou multas contratuais e questionamentos do Banco Central.

Uma indústria com plano estruturado conseguiu restaurar operações em 48 horas após ataque. Testes prévios permitiram resposta coordenada, minimizando impacto regulatório.

Como a Decripte Resolve Recuperação Pós-Incidente: Serviços e Diferenciais

A Decripte atua com SOC 24x7, monitoramento contínuo e resposta estruturada a incidentes, integrando tecnologia, governança e compliance. Nossa abordagem combina inteligência de ameaças, análise forense e alinhamento jurídico para reduzir impactos regulatórios.

Nosso serviço de Resposta a Incidentes inclui contenção, erradicação, recuperação e documentação auditável. Atuamos em conformidade com LGPD e normas setoriais.

Realizamos Pentest para identificar vulnerabilidades antes que se tornem crises reais. Também oferecemos suporte em adequação regulatória.

Mini tutorial em três passos

1. Acesse o diagnóstico gratuito no Intelligence Center.
2. Participe de reunião de alinhamento estratégico.
3. Ative o serviço adequado ao seu nível de maturidade.

> Comece Agora Gratuitamente — Acesse o Intelligence Center da Decripte e receba um diagnóstico de exposição da sua empresa em menos de 5 minutos. Sem custo, sem compromisso.

Perguntas frequentes (FAQ)

1. O que é recuperação pós-incidente?

Recuperação pós-incidente é o processo estruturado de restaurar operações após evento de segurança, garantindo integridade de dados e conformidade regulatória. Vai além de simplesmente ligar sistemas novamente. Envolve análise forense, comunicação a autoridades e revisão de controles internos.

Empresas que tratam recuperação apenas como restauração técnica correm riscos jurídicos. Reguladores exigem comprovação de medidas adotadas.

A maturidade nesse processo diferencia organizações resilientes daquelas que sofrem paralisações prolongadas.

2. Quais regulamentos impactam empresas no Brasil?

LGPD é o principal, mas setores regulados seguem normas específicas do Banco Central, ANS e SUSEP. Cada órgão possui exigências próprias de continuidade e comunicação.

Ignorar normas setoriais pode resultar em penalidades adicionais.

Empresas multinacionais ainda precisam considerar regulações internacionais.

3. Quanto tempo uma empresa pode ficar parada?

Depende do setor, mas indisponibilidade superior a poucos dias pode gerar multas e perda contratual.

Definir RTO adequado é essencial.

Empresas críticas devem mirar recuperação em horas.

4. Backup resolve tudo?

Não. Backup sem teste e sem imutabilidade pode falhar.

É necessário plano completo.

5. Quem deve liderar a recuperação?

Alta gestão com apoio técnico.

Governança é fundamental.

6. Como provar conformidade?

Com documentação, relatórios e evidências de testes.

7. Pequenas empresas precisam disso?

Sim, pois também estão sujeitas à LGPD.

8. O que é RTO e RPO?

São métricas de tempo e ponto de recuperação.

9. Incidente precisa ser comunicado sempre?

Depende do impacto, mas análise jurídica é essencial.

10. Como reduzir multas?

Demonstrando diligência e plano estruturado.

11. Testes são obrigatórios?

Reguladores esperam evidências de testes periódicos.

12. Como começar imediatamente?

Realizando diagnóstico especializado.

Comece agora — diagnóstico gratuito em 5 minutos

A maturidade da sua recuperação pós-incidente pode determinar a sobrevivência do seu negócio diante de exigências regulatórias cada vez mais rigorosas. Não espere um ataque para descobrir vulnerabilidades estruturais.

Acesse agora o Intelligence Center da Decripte em https://decripte.com.br/intelligence-center e realize gratuitamente um diagnóstico inicial. Em poucos minutos você terá visão clara do seu nível de exposição.

Conheça também nossos planos em /planos e aprofunde-se em conteúdos técnicos no portal /artigos. A prevenção começa com decisão estratégica.

Análise Técnica Aprofundada: Vetores e Táticas MITRE ATT&CK

A análise de incidentes relevantes em 2025–2026 demonstra forte convergência entre operações de ransomware, espionagem industrial e ataques de destruição de dados, com uso consistente de Táticas, Técnicas e Procedimentos (TTPs) mapeados no framework MITRE ATT&CK. Entre as táticas mais observadas está Initial Access (TA0001), frequentemente explorada via Phishing (T1566), Exploitation of Public-Facing Application (T1190) e abuso de Valid Accounts (T1078). A exploração de vulnerabilidades críticas em appliances VPN e gateways SSO continua sendo vetor primário, especialmente quando combinada com credenciais previamente vazadas em mercados clandestinos.

Após o acesso inicial, agentes maliciosos priorizam Persistence (TA0003) e Privilege Escalation (TA0004). Técnicas como Create or Modify System Process (T1543), abuso de Scheduled Tasks (T1053) e manipulação de Group Policy Objects têm sido amplamente utilizadas para manter presença duradoura no ambiente. Em ambientes híbridos, observa-se crescente exploração de permissões excessivas no Microsoft Entra ID/Azure AD, permitindo persistência baseada em tokens OAuth comprometidos (Token Impersonation – T1134).

A fase de Defense Evasion (TA0005) tornou-se particularmente sofisticada. Atacantes empregam Obfuscated/Encrypted Files (T1027), desativação de soluções EDR (Impair Defenses – T1562) e técnicas de Living off the Land (LOLBins), como uso abusivo de PowerShell, WMIC e rundll32. O uso de binários legítimos reduz a superfície de detecção baseada em assinatura, exigindo monitoramento comportamental avançado.

Na etapa de Lateral Movement (TA0008), técnicas como Remote Services (T1021) e Pass-the-Hash/Pass-the-Ticket (T1550) continuam predominantes. Em ambientes corporativos complexos, a movimentação lateral ocorre de forma silenciosa por semanas, explorando trusts entre domínios e integrações com ambientes OT. O abuso de ferramentas administrativas legítimas, como PsExec e RDP, dificulta a diferenciação entre atividade legítima e maliciosa.

Finalmente, na tática de Impact (TA0040), além de ransomware (Data Encrypted for Impact – T1486), cresce a incidência de Data Destruction (T1485) e Data Exfiltration (TA0010) para dupla ou tripla extorsão. A exfiltração frequentemente utiliza canais criptografados via HTTPS ou serviços de armazenamento em nuvem comprometidos (Exfiltration Over Web Services – T1567), dificultando bloqueios tradicionais baseados em perímetro.

A correlação dessas TTPs com controles regulatórios demonstra que empresas incapazes de mapear continuamente suas defesas contra o MITRE ATT&CK apresentam maior tempo médio de detecção (MTTD) e recuperação (MTTR), impactando diretamente obrigações legais de notificação e continuidade operacional.

---

Indicadores de Comprometimento e Detecção

Indicadores de Comprometimento (IOCs) permanecem relevantes, mas devem ser tratados como parte de uma estratégia multicamadas. Hashes de arquivos maliciosos, domínios recém-registrados e endereços IP associados a C2 são úteis, porém possuem vida útil curta. Estratégias modernas exigem também Indicadores de Ataque (IOAs) baseados em comportamento, como execução anômala de PowerShell com parâmetros codificados ou criação de contas administrativas fora do horário padrão.

No contexto de SIEM, regras eficazes incluem correlação entre múltiplos eventos: falhas repetidas de autenticação seguidas de login bem-sucedido a partir de geolocalização incomum; criação de nova conta privilegiada seguida de desativação de logs; ou transferência volumétrica atípica para domínios recém-observados. A aplicação de UEBA (User and Entity Behavior Analytics) é essencial para detectar desvios estatísticos de comportamento.

Regras YARA continuam sendo instrumento poderoso para detecção de artefatos maliciosos em endpoints e servidores. Assinaturas devem considerar padrões de ofuscação comuns, como strings base64 associadas a comandos PowerShell, chamadas suspeitas de API de criptografia e estruturas típicas de loaders. A atualização contínua dessas regras, integrada a pipelines de threat intelligence, reduz janela de exposição.

Monitoramento de logs críticos — como eventos 4624, 4625, 4672 e 4688 no Windows — permite identificar escalonamento de privilégios e execução suspeita de processos. Em ambientes Linux, análise de auth.log, sudoers e integridade de arquivos via AIDE ou Wazuh é igualmente relevante. A consolidação desses logs em repositório imutável garante aderência regulatória e integridade probatória.

Além disso, a detecção de exfiltração deve incluir inspeção de tráfego criptografado via análise de metadados, como volume, frequência e reputação de destino. Ferramentas de NDR (Network Detection and Response) com inspeção comportamental são cruciais para identificar beaconing periódico típico de C2.

---

Roadmap de Implementação em 12 Meses

Fase 1: Diagnóstico (Meses 1-3)

O primeiro trimestre deve concentrar-se em avaliação abrangente de maturidade em cibersegurança, incluindo análise de gap regulatório frente a normas aplicáveis (LGPD, NIS2, DORA, ISO 27001). A realização de assessment baseado em MITRE ATT&CK permite identificar lacunas técnicas concretas.

Simultaneamente, conduzir testes de intrusão e exercícios de Red Team fornece visão realista da capacidade de detecção. Métrica-chave nesta fase é estabelecer baseline de MTTD e MTTR atuais, além de percentual de ativos críticos sem monitoramento adequado.

O sucesso da Fase 1 é medido pela produção de relatório executivo validado pelo board, contendo mapa de riscos priorizados, inventário atualizado de ativos e plano orçamentário aprovado para as próximas fases.

Fase 2: Fundação (Meses 4-6)

Nesta etapa, implementam-se controles estruturantes: MFA obrigatório, segmentação de rede, backup imutável e centralização de logs em SIEM. A formalização de Plano de Resposta a Incidentes (PRI) alinhado a requisitos regulatórios é mandatória.

A criação de playbooks automatizados em SOAR reduz tempo de resposta para incidentes comuns, como phishing e malware em endpoint. Métrica essencial é redução de pelo menos 30% no tempo de contenção de incidentes simulados.

Treinamentos técnicos e simulações de crise com executivos fortalecem governança. O êxito da fase é validado por auditoria interna confirmando aderência mínima a frameworks reconhecidos.

Fase 3: Operação (Meses 7-9)

Com a fundação estabelecida, inicia-se operação contínua orientada por inteligência de ameaças. Integração com feeds confiáveis permite atualização dinâmica de IOCs e TTPs emergentes.

Exercícios de tabletop com C-Suite testam prontidão decisória sob pressão regulatória. Métrica-chave: capacidade de emitir relatório preliminar de incidente em menos de 24 horas, conforme exigências legais.

Implementação de monitoramento 24/7 (interno ou SOC terceirizado) reduz lacunas fora do horário comercial. O sucesso é medido por melhoria contínua em KPIs como taxa de falsos positivos e tempo médio de erradicação.

Fase 4: Otimização (Meses 10-12)

A fase final concentra-se em automação avançada, testes de resiliência e auditorias independentes. Implementação de Purple Teaming garante alinhamento entre defesa e ofensiva simulada.

Métricas evoluem para indicadores estratégicos, como redução anualizada de risco cibernético quantificado financeiramente. Avaliações de maturidade demonstram evolução mensurável frente ao diagnóstico inicial.

Ao final dos 12 meses, a organização deve ser capaz de demonstrar conformidade documentada, capacidade de resposta comprovada e governança integrada ao planejamento estratégico.

---

Perguntas Aprofundadas de Executivos Seniores

1. Estamos financeiramente preparados para absorver um incidente de grande escala?

A preparação financeira para um incidente cibernético vai além da contratação de seguro. Envolve análise detalhada de impacto potencial em receita, valor de mercado, multas regulatórias e perda de confiança. Estudos recentes indicam que empresas que não possuem plano estruturado de continuidade sofrem impactos prolongados na avaliação de mercado. O cálculo de risco deve considerar cenários de indisponibilidade total por dias ou semanas, incluindo custos indiretos como litígios e churn de clientes. A integração entre CFO, CISO e CRO é essencial para modelagem de risco baseada em dados reais de ameaça. Empresas maduras utilizam frameworks de quantificação como FAIR para traduzir risco técnico em impacto financeiro compreensível pelo board.

2. Nossa responsabilidade pessoal como executivos pode ser questionada?

Reguladores globais têm ampliado responsabilização individual de executivos por negligência em governança de segurança. A ausência de diligência comprovável — como falha em aprovar orçamento mínimo necessário ou ignorar relatórios de risco — pode resultar em sanções pessoais. Portanto, é fundamental manter registros de decisões estratégicas, aprovações orçamentárias e revisões periódicas de risco. A governança deve demonstrar supervisão ativa e informada, com métricas claras e acompanhamento regular. Transparência e documentação são elementos centrais para mitigação de responsabilidade civil e administrativa.

3. Como equilibrar inovação digital e redução de risco?

A transformação digital acelera exposição a novas superfícies de ataque. O equilíbrio depende da adoção de abordagem secure by design, incorporando requisitos de segurança desde a concepção de novos produtos e serviços. DevSecOps, testes automatizados e revisão contínua de código reduzem vulnerabilidades sem comprometer velocidade de entrega. A liderança deve enxergar segurança como habilitador de negócios, não como barreira. Investimentos em arquitetura resiliente permitem inovação sustentável com risco controlado.

4. Qual é o impacto reputacional real de uma falha pública?

A percepção pública de falhas de segurança é amplificada por redes sociais e cobertura midiática imediata. Empresas que respondem com transparência e rapidez tendem a recuperar confiança mais rapidamente. Já organizações que ocultam ou atrasam comunicação enfrentam danos reputacionais duradouros. Estratégia de comunicação integrada ao plano de resposta é tão crítica quanto a contenção técnica. A reputação, embora intangível, influencia diretamente valor de mercado e retenção de clientes.

5. Estamos medindo o que realmente importa em cibersegurança?

Métricas superficiais, como número de ataques bloqueados, não refletem necessariamente redução real de risco. Indicadores estratégicos devem incluir tempo médio de detecção, tempo de contenção, cobertura de ativos críticos monitorados e percentual de vulnerabilidades críticas corrigidas dentro do SLA. A maturidade é alcançada quando métricas técnicas são traduzidas em impacto financeiro e risco corporativo. O board deve receber relatórios objetivos, comparáveis e orientados a decisão, permitindo priorização adequada de investimentos e avaliação contínua de eficácia.