oHub Base TI / Infraestrutura e Operações / Outsourcing de TI e MSP / Artigos / Segurança da informação em contratos de outsourcing de TI
Neste artigo: Como este tema funciona na sua empresa O que todo contrato de outsourcing de TI deve incluir ISO 27001: certificação ou ficção LGPD em outsourcing: quem é responsável pelos dados Acesso remoto seguro: MFA é mandatório Incidente de segurança: quem faz o quê Auditoria de fornecedor: como validar sem ser enganado Sinais de que sua empresa não está segura em outsourcing Caminhos para estruturar segurança em outsourcing Precisa revisar segurança em seus contratos de outsourcing? Perguntas frequentes Que cláusulas de segurança meu contrato de outsourcing deve incluir? Como garantir conformidade LGPD quando terceirizo TI? ISO 27001 é obrigatória para contratar MSP ou fornecedor de TI? Como auditar segurança de fornecedor terceirizado? Responsabilidade de dados: quem é responsável se vaza dado em outsourcing? MFA, criptografia, acesso remoto seguro — o que exigir de fornecedor? Fontes e referências
oHub Base TI Infraestrutura e Operações Outsourcing de TI e MSP

Segurança da informação em contratos de outsourcing de TI

Como garantir que o fornecedor de TI trate os dados da empresa com o nível de proteção exigido — cláusulas contratuais, auditorias e conformidade com a LGPD.
Atualizado em: 24 de abril de 2026
Neste artigo: Como este tema funciona na sua empresa O que todo contrato de outsourcing de TI deve incluir ISO 27001: certificação ou ficção LGPD em outsourcing: quem é responsável pelos dados Acesso remoto seguro: MFA é mandatório Incidente de segurança: quem faz o quê Auditoria de fornecedor: como validar sem ser enganado Sinais de que sua empresa não está segura em outsourcing Caminhos para estruturar segurança em outsourcing Precisa revisar segurança em seus contratos de outsourcing? Perguntas frequentes Que cláusulas de segurança meu contrato de outsourcing deve incluir? Como garantir conformidade LGPD quando terceirizo TI? ISO 27001 é obrigatória para contratar MSP ou fornecedor de TI? Como auditar segurança de fornecedor terceirizado? Responsabilidade de dados: quem é responsável se vaza dado em outsourcing? MFA, criptografia, acesso remoto seguro — o que exigir de fornecedor? Fontes e referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona na sua empresa

Pequena empresa

Segurança básica em contrato: antimalware, backup automático, acesso com senha. ISO 27001 é "nice to have", não mandatório. Desafio: fornecedor ignora segurança para economizar (deixa backup desatualizado, não atualiza patches). Abordagem: colocar cláusulas mínimas no contrato (mesmo que simples), documentar, fazer check-in anual simples com fornecedor.

Média empresa

Segurança moderada: MFA obrigatória, acesso remoto via VPN, backup imutável, logging de acesso, ISO 27001 recomendada. Desafio: múltiplos fornecedores, documentar compliance LGPD em cada um. Abordagem: contrato padrão com cláusulas de segurança, audit anual, matriz de responsabilidade clara.

Grande empresa

Segurança robusta: ISO 27001 mandatória, SOC 2 Type II anual, pentest anual, segregação de dados por cliente, notificação de incidente em 24h. Desafio: custo de compliance é alto, precisa estar no contrato (MSP paga, não cliente). Abordagem: governance framework, audit contínua, SLA de segurança agressivo.

Segurança da informação em outsourcing de TI é o conjunto de cláusulas e procedimentos contratais que garantem a proteção de dados da empresa quando terceirizada para MSP ou fornecedor externo. Inclui requisitos técnicos (MFA, VPN, criptografia), conformidade legal (LGPD, ISO 27001), auditoria, e plano de resposta a incidentes de segurança.

O que todo contrato de outsourcing de TI deve incluir

Contrato insuficiente em segurança deixa empresa vulnerável. Cláusulas mínimas obrigatórias:

  • Antimalware e patch management: Fornecedor mantém sistemas atualizados (patches de segurança aplicados em 30 dias de lançamento mínimo). Sem isso, vulnerabilidades conhecidas não são corrigidas.
  • Backup automático com teste periódico: Backup é inútil se não é testado restaurar (teste trimensal mínimo). Contrato deve especificar RPO (Recovery Point Objective = quanto tempo de dados é aceitável perder) e RTO (Recovery Time Objective = quanto tempo leva restaurar).
  • Acesso remoto seguro: VPN com certificado + MFA obrigatória (autenticador app, não SMS que é fraco). Sem MFA, credencial roubada abre acesso total.
  • Logging de acesso a dados sensíveis: Quem acessou arquivo de clientes, quando, o quê. Log auditável, não deletável por operador.
  • Criptografia: Em trânsito (HTTPS/TLS 1.2+), em repouso (dados em repouso encriptados). Sem isso, dados que vazam são legíveis.
  • Segregação de redes: Dados do cliente isolado de dados de outros clientes / fornecedor. Um cliente não acessa estrutura de outro.
  • Política de senhas: Complexidade mínima, expiração, proibição de reutilização. Força o operador a manter credenciais seguras.
  • Treinamento de segurança: Equipe do fornecedor recebe treinamento anual em segurança (phishing, social engineering). Risco humano é maior que risco técnico.

ISO 27001: certificação ou ficção

Fornecedor diz "temos ISO 27001" — frequentemente é falso ou expirado. Validação correta:

  1. Pedir certificado: Documento que lista empresa, escopo (quais processos estão certificados), data de expiração, auditor (deve ser credencial INMETRO no Brasil)
  2. Verificar data: Certificados expiram. Se expiração é antes de hoje, não está válido.
  3. Verificar auditor: Auditoria deve ser por órgão independente acreditado (DNV, EY, KPMG — não "certificado pela própria empresa")
  4. Confirmar escopo: ISO 27001 pode cobrir "processo de TI" mas não incluir "outsourcing para clientes" (escopo é importante)

Cuidado: fornecedor pode ter ISO 27001 genuína mas escopo não inclui atividade que você contrata. Validar explicitamente.

LGPD em outsourcing: quem é responsável pelos dados

LGPD (Lei Geral de Proteção de Dados) quando dados vão para terceiro:

  • Controlador de dados: Você (empresa) — responsável legalmente pelos dados. Se vaza, você responde à ANPD (multa até 2% do faturamento).
  • Operador de dados: Fornecedor — processa dados em seu nome, segue instruções suas. Se vaza, responsabilidade compartilhada (você não avisou, fornecedor não protegeu).
  • Cláusulas LGPD obrigatórias no contrato:
    • Localização de dados: onde dados residem fisicamente? (Brasil = simples; exterior = complexo e regulado)
    • Direito à auditoria: você pode auditar processamento de dados? (sim ou não deve estar explícito)
    • Direito ao esquecimento: dados podem ser deletados se você pedir? (retenção por quanto tempo?)
    • Notificação de incidente: se vaza, fornecedor avisa em quanto tempo? (LGPD exige "sem atraso").
    • Responsabilidade compartilhada: quem paga multa/indenização se vaza? (deve estar definido)

Acesso remoto seguro: MFA é mandatório

Cenário perigoso: fornecedor acessa seu sistema via VPN com username/password (sem MFA). Credencial vaza. Hacker acessa seu sistema. Você não sabe (sem logging).

Mitigação:

  • VPN com certificado (não username/password): Identidade é chave privada (certificado), não password. Certificado = identidade máquina operador, não pessoa. Menos risco que credential compartilhada.
  • MFA obrigatória: Mesmo com VPN segura, acesso a dados sensíveis requer segundo fator (autenticador app, não SMS). Reduz risco de acesso não autorizado mesmo se credencial vaza.
  • Timeout de sessão: Após 30–60 min inativo, logout automático. Operador esquece notebook aberto em público, alguém acessa — timeout mitiga.
  • Log de acesso detalhado: Quem acessou (identificação do operador), quando, de qual IP, o quê. Auditável para investigação se houver incidente.

Incidente de segurança: quem faz o quê

Se dados vazam (malware, roubo, erro operacional), contrato deve definir:

  • Notificação em 24h: LGPD exige "sem atraso" — contrato deve especificar máximo 24h. Fornecedor deve avisar cliente, cliente avisa ANPD.
  • Plano de ação: Como vai resolver? Isolamento de sistema afetado, investigação de causa, notificação de clientes (se dados pessoais vazaram).
  • Análise de causa raiz: Por que aconteceu? Falta de patch? Acesso não autorizado? Erro humano? Sem causa raiz, risco de repetir.
  • Medidas preventivas: Como evita de novo? Fechou vulnerability? Treinamento foi feito? Processo foi corrigido?

Contrato deve deixar claro: fornecedor está obrigado cooperar em investigação, fornecer logs, submeter sistema a análise forense.

Auditoria de fornecedor: como validar sem ser enganado

Audit de conformidade pode ser: (1) documental (você pede checklist, fornecedor responde), (2) visita presencial (você visita escritório), (3) independente (auditor externo).

  • Audit documental: Rápido, barato. Fornecedor responde perguntas (antimalware: sim. Backup testado: sim. MFA: sim). Pode ser fabricado. Validade: baixa.
  • Audit presencial: Você visita, tira print de tela (antimalware ligado), vê logs. Consome tempo. Válido se você sabe o que procurar. Validade: média.
  • Audit independente: Auditor terceiro (KPMG, EY) valida. Caro (R$ 10–20k). Resultado é SOC 2 Type II (conformidade de segurança/operação). Validade: alta.

Para PME: comece com audit documental anual + visita 1x por ano. Para média/grande: audit independente anual.

Sinais de que sua empresa não está segura em outsourcing

Se você se reconhece em dois ou mais cenários abaixo, segurança em outsourcing é risco.

  • Contrato de outsourcing não inclui cláusulas de segurança — "confiança" é único requisito
  • Fornecedor não tem ISO 27001; você não validou certificado
  • Acesso remoto do fornecedor é username/password, sem MFA
  • Você não sabe onde dados da empresa residem fisicamente (servidor de fornecedor?)
  • Não há backup testado periódico — último teste foi "nunca"
  • Incidente de segurança anterior: fornecedor demorou semanas para avisar (ou não avisou)
  • Fornecedor nunca foi auditado formalmente; você não viu evidência de conformidade

Caminhos para estruturar segurança em outsourcing

Estruturação pode ser interna (equipe de TI + legal) ou com apoio de consultoria.

Implementação interna

Viável se a empresa tem equipe de RH/legal + TI que pode colaborar.

  • Perfil necessário: Responsável de compliance/legal + gerente de TI com conhecimento de segurança
  • Tempo estimado: 4–6 semanas para mapear fornecedores atuais, avaliar riscos, negociar cláusulas com cada um
  • Faz sentido quando: Empresa tem poucos fornecedores (1–2); cláusulas não são complexas
  • Risco principal: Deixar brecha em contrato que cria vulnerabilidade (responsabilidade compartilhada não está clara)
Com apoio especializado

Recomendado quando a empresa não tem expertise interna ou tem múltiplos fornecedores.

  • Tipo de fornecedor: Consultoria jurídica especializada em LGPD/compliance + consultoria de segurança de TI
  • Vantagem: Conhecimento de jurisprudência, melhor práticas, matriz de responsabilidades clara, cláusulas testadas
  • Faz sentido quando: Empresa tem múltiplos fornecedores; dados sensíveis/confidenciais; compliance é crítica
  • Resultado típico: Matriz de risco por fornecedor, template de contrato, audit plano, documentação de governança

Precisa revisar segurança em seus contratos de outsourcing?

Se a empresa quer validar que contratos de outsourcing têm cláusulas de segurança adequadas, o oHub conecta você com consultores de compliance LGPD e especialistas em segurança de TI. Em menos de 3 minutos, descreva seu contexto (quem são fornecedores, dados envolvidos) e receba propostas, sem compromisso.

Encontrar fornecedores de TI no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

Que cláusulas de segurança meu contrato de outsourcing deve incluir?

Mínimo: antimalware/patch management, backup testado, VPN + MFA para acesso, logging auditável, criptografia em trânsito/repouso, segregação de dados, política de senhas, treinamento de segurança. Recomendado adicionar: ISO 27001, auditoria anual, notificação de incidente 24h, SLA de segurança.

Como garantir conformidade LGPD quando terceirizo TI?

Contrato deve especificar: você é controlador (responsável legalmente), fornecedor é operador (segue instruções). Cláusulas: localização de dados (Brasil preferível), direito à auditoria, notificação de incidente "sem atraso", direito ao esquecimento, responsabilidade compartilhada se vaza (deve estar explícito quem paga).

ISO 27001 é obrigatória para contratar MSP ou fornecedor de TI?

Não é lei federal, mas recomendável. Para PME, basta cláusulas de segurança básicas no contrato + audit anual documentação. Para média/grande, ISO 27001 válida reduz risco significativamente. Validar: certificado é atual? Escopo inclui atividade que você contrata? Auditor é credenciado INMETRO?

Como auditar segurança de fornecedor terceirizado?

Audit documental: perguntar (checklist), fornecedor responde (validação baixa). Audit presencial: você visita, tira print (validação média). Audit independente: auditor externo (KPMG, EY) produz SOC 2 (validação alta). Para PME: documental + presencial anual. Para grande: independente anual.

Responsabilidade de dados: quem é responsável se vaza dado em outsourcing?

LGPD: você (controlador) é responsável legalmente. Fornecedor (operador) é responsável por negligência (não protegeu). Contrato deve deixar claro: se vaza por culpa fornecedor, quem paga multa LGPD? Recomendado: fornecedor tem seguro cyber, limite de responsabilidade definido.

MFA, criptografia, acesso remoto seguro — o que exigir de fornecedor?

MFA: obrigatória para acesso a dados sensíveis (autenticador app, não SMS). Criptografia: em trânsito (TLS 1.2+), em repouso (dados encriptados). Acesso remoto: VPN com certificado + MFA, não username/password. Logging: quem acessou, quando, o quê, auditável. Tudo deve estar no SLA (contrato).

Fontes e referências

  1. ISO. ISO/IEC 27001:2022 — Information Security Management Systems. 2022.
  2. Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018). Brasil. 2018.
  3. NIST. Cybersecurity Framework. 2026.

Leia também