Segurança da informação em BPO de RH: o que exigir do fornecedor

O que está em risco: a dimensão dos dados

Para entender por que segurança em BPO de RH é crítica, entenda o que está em risco. Um BPO de RH tem: nomes, CPF, endereço, data de nascimento, estado civil, dados de dependentes, salário bruto, benefícios, conta bancária para depósito, telefone celular, e-mail pessoal, e potencialmente dados de saúde (se empresa oferece plano de saúde com informações de sinistros).

Com essas informações, um criminoso consegue: roubar identidade (abrir conta bancária em seu nome, fazer empréstimo), fraude financeira (acessar sua conta corrente), extorsão (ameaçar publicar salário), roubo de dados para venda em mercado negro. O valor de um registro de pessoa com dados completos em mercado negro é R$50-500 dependendo do histórico financeiro — pode não parecer muito, mas multiplicado por 1.000 colaboradores, é mercado significativo.

Além de risco financeiro direto, vazamento causa dano reputacional: colaboradores veem que empresa não protegeu dados, confiança diminui, retenção cai. Se vazamento vira notícia, marca sofre. Se sindicato move ação, empresa é responsabilizada.

Certificações de segurança: o que exigir

SOC2 Type II. Este é o padrão mínimo. SOC2 (System and Organization Controls) é auditoria de segurança de dados por firma independente. Type II significa que auditoria foi feita durante período mínimo de 6 meses (não snapshot de um dia). Fornecedor deve fornecer relatório completo (geralmente 100+ páginas) mostrando: que controles de segurança existem, se funcionam, histórico de incidentes, remediação. Se fornecedor não tem SOC2 Type II, é sinal de alerta — significa que não quis passar por rigor de auditoria independente.

Validar: relatório deve ter data recente (não mais de 12 meses atrás). Auditoria deve ser feita por Big4 ou firma especializada conhecida (não por amigo do fornecedor). Se relatório é vago ou não cobre áreas críticas (criptografia, acesso, incidentes), questionar.

ISO 27001. Norma internacional de segurança da informação. Diferente de SOC2 (que é auditoria de período), ISO 27001 é certificação que requer processo contínuo de manutenção (recertificação a cada 3 anos, auditoria anual de acompanhamento). ISO 27001 é mais rigorosa que SOC2, mas também mais cara. Fornecedores grandes e maduros têm ISO 27001. Pequenos fornecedores podem ter apenas SOC2.

Validar: certificado deve ser atual (não expirado). Auditor deve ser acreditado. Se fornecedor tem ISO 27001, é bom sinal.

Conformidade LGPD. Lei Geral de Proteção de Dados (Lei 13.709/2018) exige que empresa tenha dado processador (fornecedor) que cumpra obrigações de segurança. Fornecedor deve: manter registros do que processa, implementar medidas de segurança (criptografia, acesso restrito), notificar empresa de incidente em prazo (24h), permitir auditoria, respeitar direitos de titular (acesso, correção, deleção).

Validar: fornecedor deve oferecer Data Processing Agreement (DPA) conforme LGPD, assinado. Se oferece "contrato padrão" sem cláusulas LGPD, é risco. Cláusula crítica: "Empresa é controlador de dados, fornecedor é processador. Fornecedor responde por conformidade e indeniza empresa por violação de LGPD".

Medidas técnicas de segurança: o básico

Criptografia em repouso. Dados armazenados no banco de dados do fornecedor devem estar criptografados. Se alguém conseguir acesso ao servidor (hacker, ex-funcionário), dados estão ilegíveis sem chave. Validar que fornecedor usa criptografia simétrica ou assimétrica com chave bem gerenciada (não "criptografia fraca"). Pergunta: "Como dados estão criptografados?"

Criptografia em trânsito. Dados em movimento (de empresa para fornecedor, de fornecedor para empresa) devem estar criptografados em canal seguro (HTTPS/TLS). Isso é padrão mínimo — toda conexão web deve usar HTTPS. Se fornecedor oferece acesso HTTP (sem S), é risco alto.

Autenticação e controle de acesso. Quem pode acessar dados? Fornecedor deve ter: (a) autenticação robusta (MFA — multi-factor authentication, não apenas senha), (b) acesso por função (RH de empresa A não consegue ver dados de empresa B), (c) log de todas as ações (quem acessou o quê, quando). Se qualquer pessoa em fornecedor consegue acessar dados de qualquer cliente, é risco alto.

Backup e disaster recovery. Se data center do fornecedor queima, onde estão dados? Fornecedor deve ter: backup geograficamente distribuído (não no mesmo prédio), teste regular de restauração (mínimo anual), RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definidos. RTO é tempo máximo para estar online novamente (ex: 4 horas). RPO é perda máxima de dados aceita (ex: 1 hora de transações).^[2]

Validar: pergunte "Quando foi última vez que testou restauração de backup?" Se resposta é "nunca" ou "há mais de doze meses", é risco. Teste deveria ser anual mínimo, e empresa deveria ter prova (relatório).

Incidentes de segurança: plano de resposta

Se vazamento ocorre (e ocorre — é quando, não se), como fornecedor responde? Fornecedor deve ter plano de incidente com: (a) detecção automática, (b) comunicação em prazo (24h é padrão), (c) investigação, (d) remediação, (e) notificação aos órgãos reguladores (ANPD), se necessário.

Validar em contrato: "Se incidente de segurança ocorre, fornecedor notifica empresa em 24 horas". Se fornecedor oferece "quando conseguir" ou "dentro de 5 dias", é risco. Prazo curto é crítico — quanto mais rápido empresa sabe, mais rápido pode avisar colaboradores antes que dano se materializar.

Além disso, empresa deve ter direito de auditoria de incidente: acessar logs, investigação do fornecedor, prova de remediação. Se fornecedor oferece "confiança", sem prova, é risco.

Auditoria e monitoramento: acesso permanente

Empresa não deve confiar apenas em relatórios que fornecedor oferece. Empresa deve ter acesso permanente a logs de segurança. Isso significa: (a) dashboard para monitorar atividades (acessos, mudanças, alertas), (b) acesso a logs de auditoria (quem acessou o quê), (c) alertas de atividades suspeitas (múltiplos failed logins, acesso fora de horário, transferência de grande volume de dados).

Pequenas empresas podem não ter recursos para monitorar — nesse caso, exigir que fornecedor monitore e envie alertas. Médias e grandes devem ter acesso direto.

Auditoria independente: anual ou bi-anual, contratar firma externa para auditar segurança de fornecedor. Auditoria não é apenas checklist — é análise de logs, testes de penetração (simulate ataque), validação de controles. Custo é alto (R$20-50k), mas reduz risco significativamente.

Conformidade LGPD em detalhe

LGPD é lei federal que governa proteção de dados pessoais. Principais obrigações para empresa que terceiriza RH:

Responsabilidade como controlador. Empresa é "controlador" de dados pessoais. Fornecedor é "processador". Lei é clara: controlador é responsável. Se fornecedor comete erro (vaza dados, não deleta ex-colaborador), empresa é responsável perante ANPD (Autoridade Nacional de Proteção de Dados) e colaborador — não fornecedor.

Data Processing Agreement. Contrato com fornecedor DEVE incluir DPA (Data Processing Agreement) que especifica: que dados são processados, para que finalidade, quem são os responsáveis, obrigações de segurança, direito de auditoria, prazo de notificação de incidente, confidencialidade, responsabilidade por violação. Sem DPA, empresa está exposta.

Direitos do titular. Colaborador pode pedir: acesso a seus dados (empresa deve conseguir de fornecedor em prazo), correção (se dado está errado), deleção (após fim da relação). Empresa deve ter processo para cumprir. Se fornecedor nega acesso ou não consegue deletar dado, empresa é responsável perante colaborador.

Retenção de dados. Lei exige que dados de ex-colaborador sejam deletados após período de retenção (tipicamente 6-12 meses após desligamento, dependendo do motivo). Fornecedor deve ter política clara de retenção. Se fornecedor mantém dados indefinidamente "por segurança", é violação de LGPD.

Transferência para terceiro país. Se fornecedor transfere dados para servidor em outro país (ex: EUA), empresa deve validar conformidade. LGPD permite transferência apenas se país tem "adequação" (proteção legal similar a LGPD) ou com medidas contratais específicas (Standard Contractual Clauses). Se fornecedor transfere dados para país sem adequação e sem contrato, é violação.

Seguro de responsabilidade: cyber liability

Se fornecedor sofre vazamento e dados de empresa são expostos, dano pode ser grande: notificação de colaboradores, crédito monitado, reputação, ações judiciais. Seguro de responsabilidade profissional (cyber liability) cobre danos de vazamento.

Seguro não elimina risco — não impede vazamento. Mas cobre custos: investigação, notificação, credit monitoring de colaboradores, defesa legal, indenizações. Custo de seguro é tipicamente 2-5% da cobertura anual.

Validar: fornecedor deve ter seguro (peça prova). Seguro da empresa pode ter exclusões ou franquia alta — ler letra pequena.

Checklist de segurança: validação antes de assinar

Certificações: Fornecedor tem SOC2 Type II? Tem ISO 27001? Relatórios têm data recente (últimos 12 meses)?

Conformidade LGPD: Fornecedor oferece DPA conforme LGPD? Cláusula de responsabilidade está clara? Prazo de notificação de incidente está definido?

Criptografia: Dados em repouso são criptografados? Dados em trânsito usam HTTPS/TLS? Chaves criptográficas são bem gerenciadas (não hardcoded no código)?

Acesso: MFA é obrigatório? Acesso é por função (RBAC)? Logs de acesso são mantidos? Auditoria pode acessar logs?

Backup e DR: Backup é geograficamente distribuído? Teste de restauração foi feito? RTO/RPO são aceitos pela empresa?

Incidentes: Fornecedor tem processo de detecção? Notificação é em 24h? Empresa tem direito de auditoria de incidente?

Monitoramento: Empresa tem acesso a logs ou alertas de segurança? Fornecedor faz monitoramento contínuo?

Auditoria: Contrato permite auditoria independente? Qual é frequência? Quem paga?