Checklist de risco
Em cloud, a pergunta não é só se o fornecedor é bom, mas se ele consegue provar que protege o dado. Sem evidência, compliance fica só no discurso.
Controles mínimos
- Contrato com cláusulas de tratamento de dados.
- Mapa de suboperadores.
- Política de retenção e descarte.
- Plano de resposta a incidente.
- Criptografia em trânsito e em repouso.
- Registro de acessos administrativos.
O que pedir como evidência
| Item | Evidência | Responsável interno |
|---|---|---|
| Segurança | Relatório, política ou certificado | TI / Segurança |
| Privacidade | DPA e base contratual | Jurídico / DPO |
| Operação | Procedimento de suporte e SLA | Operações |
Cláusulas que merecem atenção
- Subcontratação.
- Notificação de incidente.
- Exclusão de dados ao encerrar o contrato.
- Local de processamento e transferência internacional.
Red flags
- Documentos genéricos demais.
- Incerteza sobre onde o dado fica armazenado.
- Falta de SLA para incidentes críticos.
Sem evidência, compliance vira narrativa. Com evidência, vira governança operacional.