Como este tema funciona na sua empresa
Conformidade é frequentemente reativa: surge quando cliente grande exige ISO 27001, ou quando LGPD é mencionada por consultor. Poucas normas se aplicam — tipicamente LGPD (obrigatória). Foco é conhecer requisitos mínimos, implementar rapidamente, sem burocracia. Desafio: com equipe reduzida, estruturar conformidade é caro.
Conformidade é estruturada: LGPD obrigatória, ISO 27001 desejável se cliente exigir ou setor requer. Há responsável ou coordenador dedicado. Auditorias internas anuais verificam aderência. Programa de conformidade mais formal, com políticas documentadas. Desafio: integrar conformidade com processos de TI existentes.
Conformidade é multinivelada: LGPD, ISO 27001, regulação setorial (BACEN, ANVISA), possível SOX se listada. Equipe de compliance dedicada, integrada com RH, legal, auditoria. Monitoramento contínuo, auditoria mista (interna+externa). Programa de GRC (Governance, Risk, Compliance) integrado. Desafio: manter conformidade contínua em organização complexa.
Conformidade de TI é o cumprimento de leis, regulações, normas e políticas que governam segurança de dados, privacidade, governança e risco em sistemas de informação. No Brasil, conformidade mínima inclui LGPD; pode incluir normas internacionais (ISO 27001), regulações setoriais (BACEN para financeiro, ANVISA para saúde) e políticas corporativas internas.
O panorama de conformidade no Brasil
Conformidade em TI no Brasil é complexa porque há múltiplos drivers — lei federal, regulação setorial, requisitos de cliente, normas internacionais. Gestor de TI precisa conhecer quais se aplicam à sua empresa.
LGPD: Lei Geral de Proteção de Dados (Lei 13.709/2018)
Obrigatória para toda empresa que processa dados pessoais de indivíduos no Brasil. Regulada pela ANPD (Autoridade Nacional de Proteção de Dados). Requisitos principais:
- Consentimento explícito: Coletar dados apenas com aprovação do titular. Exceções: contrato, obrigação legal.
- Direitos do titular: Acesso, correção, exclusão de dados pessoais.
- Segurança: Medidas técnicas e administrativas para proteger dados (criptografia, controle de acesso, backup).
- Notificação de incidente: Se dados são vazados, notificar ANPD e afetados (em alguns casos).
- Data Protection Officer (DPO): Profissional responsável por conformidade LGPD. Obrigatório para órgão público e grande empresa; recomendado para média/pequena.
Multa por não-conformidade: até 2% da receita anual (máximo R$ 50 milhões por infração) ou 10% da receita (caso grave). ANPD já aplicou multas de milhões a grandes empresa por inadequação[1].
ISO/IEC 27001:2022 — Segurança da Informação
Norma internacional que estabelece requisitos para Sistema de Gestão de Segurança da Informação (SGSI). Não obrigatória, mas desejável para:
- Empresas que lidam com dados sensíveis (financeiro, saúde, pessoal)
- Fornecedoras para grandes clientes (frequentemente exigida contratualmente)
- Setores regulados (financeiro, saúde)
Domínios de controle: gestão de riscos, controle de acesso, criptografia, backup, gestão de incidentes, auditorias, etc. Certificação (por auditoria independente) válida por 3 anos, requer auditoria anual.
Normas Setoriais Brasileiras
Empresas em setores específicos têm regulação adicional:
- Financeiro (BACEN): Resolução 4.658/2018 de Segurança de Informações. Requisitos de backup, disaster recovery, segregação de ambiente produção/desenvolvimento.
- Saúde (ANVISA, CNJ): Proteção de dados de saúde, requisitos de auditoria, retenção de registros.
- Educação: Lei de Proteção de Dados Pessoais com diretrizes para instituições educacionais.
- Telecomunicações (ANATEL): Proteção de privacidade em serviços telecom.
Análise: qual conformidade sua empresa precisa
Matriz simples:
| Critério | Sua empresa... | Conformidade mínima |
|---|---|---|
| Processa dados pessoais? | Sim | LGPD (obrigatória) |
| Setor regulado? | Financeiro, saúde, telecom | Regulação setorial (BACEN, ANVISA, ANATEL) |
| Cliente exige ISO 27001? | Grande cliente, setor público | ISO 27001 (cliente-driven) |
| Ativo crítico para operação? | Sistema que seria desastre se cair | Controles de segurança (mesmo sem norma formal) |
| Listada em bolsa? | Sim | SOX (Sarbanes-Oxley) - menos comum no Brasil |
Resultado: mapeie sua empresa nessa matriz. Isso determina esforço de conformidade.
Esforço de conformidade por porte de empresa
Esforço mínimo, foco LGPD: mapeamento de dados pessoais, consentimento de clientes, backup, senha forte, DPO não-formal (gestor de TI acumula). Custo: 0-5k em consultoria; 20-40 horas/ano de conformidade contínua. Sem auditoria externa obrigatória.
LGPD + ISO 27001 (se cliente exigir ou setor exigir). Coordenador de conformidade (parcial) ou responsável de TI dedicado. Políticas documentadas, auditoria interna anual. Certificação ISO opcional. Custo: 10-30k em consultoria inicial; 10-30 horas/semana contínuas em conformidade.
LGPD, ISO 27001, regulação setorial, possível SOX. Equipe de compliance (3-5 pessoas). Plataforma GRC integrada. Auditoria interna contínua, auditoria externa anual. Monitoramento automatizado. Custo: 50-200k/ano em consultoria + interno.
Os 5 passos para estruturar conformidade
Passo 1: Diagnóstico (Semanas 1-2)
Responda: Quais normas se aplicam? Estamos em conformidade? Onde há gaps? Método: auditoria rápida (interna ou com consultor). Resultado: lista de gaps por prioridade.
Passo 2: Priorização (Semana 3)
Nem tudo é urgente. Priorize por: (1) obrigatoriedade legal (LGPD antes de ISO), (2) risco operacional (falha pode derrubar operação?), (3) pressão de cliente/auditoria. Resultado: roadmap de 12-24 meses, faseado.
Passo 3: Políticas e Procedimentos (Semanas 4-8)
Documente: política de segurança, política de dados pessoais (LGPD), plano de incidente, plano de disaster recovery, política de acesso. Resultado: documentação de referência, comunicada a toda empresa.
Passo 4: Implementação (Semanas 9-24)
Implemente controles: backup automatizado, criptografia de dados sensíveis, controle de acesso, monitoramento, logging. Treine equipe. Resultado: sistemas e processos em conformidade.
Passo 5: Monitoramento Contínuo
Auditorias internas regulares, testes de segurança, atualizações de política. Resultado: conformidade mantida ao longo do tempo.
Gestão de risco de conformidade
Conformidade nunca é "100%" — é gestão de risco. Dois cenários:
- Risco aceitável: Implementamos 80% de ISO 27001. Risco residual: 20% de controles não implementados. Aceitável porque custo de implementar último 20% > benefício.
- Risco inaceitável: Não temos backup. Risco: perda de dados catastrófica. Inaceitável porque impacto é alto e probabilidade é real.
Matriz de risco: probabilidade × impacto = nível de risco. Acima de certo limiar, ação é obrigatória.
Integração de conformidade com TI operacional
Conformidade não é departamento separado — precisa estar integrada com processos de TI:
- Desenvolvimento: Code review para segurança, teste de penetração, validação LGPD antes de lançar.
- Infraestrutura: Criptografia obrigatória para dados sensíveis, backup testado regularmente, controle de acesso rigoroso.
- Suporte: Processo de incidente documentado, logging obrigatório, comunicação de segurança com usuários.
Sinais de que sua empresa precisa estruturar conformidade de TI
Se você se reconhece em três ou mais cenários abaixo, programa de conformidade é necessário.
- Processam dados pessoais mas não têm política LGPD documentada
- Cliente grande exigiu ISO 27001 ou auditoria de segurança — você não sabe se está em conformidade
- Setor é regulado (financeiro, saúde) mas conformidade com regulador é desconhecida
- Incidente de segurança (vazamento de dados, ransomware) já ocorreu — sem plano de resposta
- Backup é manual ou inexistente — risco de perda de dados é real
- Controle de acesso é informal (não há registro de quem pode acessar o quê)
- Auditoria não foi feita nos últimos 2+ anos
Caminhos para estruturar conformidade de TI
Conformidade pode ser estruturada internamente com recursos e expertise, ou com apoio de consultoria e auditorias.
Viável quando equipe de TI tem expertise em segurança e quando conformidade é "boas práticas" em vez de certificação formal.
- Perfil necessário: profissional de TI/segurança com conhecimento de normas aplicáveis
- Tempo estimado: 6-12 meses para diagnóstico, implementação de controles, maturação
- Faz sentido quando: conformidade é LGPD + boas práticas internas; cliente não exige certificação formal
- Risco principal: sem validação externa, pode haver gaps que não são óbvios
Indicado quando conformidade é obrigatória (regulação, cliente) ou quando certificação é necessária.
- Tipo de fornecedor: Consultoria de conformidade/segurança, auditoria independente (para ISO 27001), especialista em LGPD
- Vantagem: expertise em normas, validação externa, suporte na implementação, certificação (se ISO 27001)
- Faz sentido quando: regulação setorial aplica-se; cliente exige ISO 27001; incidente de segurança ocorreu
- Resultado típico: em 8-16 semanas, diagnóstico, plano de ação, implementação de controles críticos, auditoria de validação
Precisa de apoio para estruturar conformidade de TI?
Se conformidade de TI é necessidade, o oHub conecta você gratuitamente com consultorias especializadas em LGPD, ISO 27001 e conformidade setorial. Em menos de 3 minutos, descreva seu desafio e receba propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a diferença entre compliance e conformidade?
Compliance é conformidade com lei ou regulação específica. Conformidade é termo mais amplo — cumprimento de qualquer lei, norma ou política. Em TI, compliance frequentemente refere-se a LGPD, ISO 27001, BACEN. Conformidade é o conceito geral.
Quais normas de TI são obrigatórias no Brasil?
LGPD é obrigatória para toda empresa que processa dados pessoais. Normas setoriais (BACEN, ANVISA) aplicam-se conforme setor. ISO 27001 não é obrigatória, mas desejável se cliente exigir ou setor exigir. Outras: SOX (se listada), normas regionais.
Como estar em conformidade com LGPD?
Passos: (1) Mapear dados pessoais que processa. (2) Obter consentimento explícito de titulares. (3) Implementar segurança (criptografia, backup, controle de acesso). (4) Notificar incidentes quando necessário. (5) Oferecer direitos de acesso, correção, exclusão. (6) Designar DPO. (7) Auditar periodicamente.
O que é ISO 27001 e quando é necessária?
Norma internacional para Sistema de Gestão de Segurança da Informação. Estabelece requisitos para proteger dados e sistemas. Não obrigatória, mas desejável para: empresas que lidam com dados sensíveis, fornecedoras para grandes clientes, setores regulados. Requer certificação por auditoria independente.
Qual é o custo de estar em conformidade com normas de TI?
PME: 0-30k em consultoria inicial + 20-40 horas/ano de trabalho interno. Média: 10-50k em consultoria + 10-30 horas/semana contínuas. Grande: 50-200k/ano em consultoria + equipe dedicada. Custo é proporcional a complexidade e escala de empresa.
Como preparar TI para auditoria de conformidade?
Antes de auditoria: documente políticas, faça teste de segurança (penetration test, vulnerability scan), valide backup, revise logs, treine equipe. Durante: responda auditores com honestidade, documente gaps, proponha plano de correção. Depois: implemente ações recomendadas, monitore progresso.