«Soberano» tornou-se uma palavra de marketing, o que a torna inútil para decidir seja o que for. Por isso, eis um teste concreto. Passe a sua configuração atual por estas doze verificações. Levam cinco minutos, não pedem e-mail, e dir-lhe-ão com honestidade quanto do seu stack está genuinamente sob o seu controlo — em vez de apenas alojado no sítio certo.
A autoavaliação de 12 pontos
Para cada ponto, um «sim» confiante é bom sinal. Um «não» ou um «não tenho a certeza» é onde vive a sua exposição.
- 1. Jurisdição do fornecedor — cada fornecedor que detém os seus dados está constituído ao abrigo de uma lei em que confia, e não é uma filial de outra estrangeira?
- 2. Exposição ao CLOUD Act — para cada sistema, consegue afirmar que nenhum fornecedor com sede nos EUA controla os dados, mesmo numa região da UE?
- 3. Localização dos dados — sabe mesmo em que país cada conjunto de dados está armazenado, e consegue prová-lo?
- 4. Chaves de cifragem — detém as suas próprias chaves, para que o acesso seja decisão sua e não uma omissão do fornecedor?
- 5. Portabilidade de fornecedor — poderia mudar de fornecedor sem uma reconstrução, e existe uma via de saída escrita?
- 6. Controlo do e-mail — o seu e-mail está em infraestrutura que controla ou num fornecedor europeu, com SPF, DKIM e DMARC aplicados?
- 7. Cópias de segurança — as cópias estão guardadas algures que controla, restauráveis sem o fornecedor original, e são mesmo testadas?
- 8. Fluxo de dados de IA — quando a sua equipa usa IA, sabe se os seus documentos saem do seu perímetro, e para onde vão?
- 9. Identidade & acesso — gere a sua própria identidade (contas, MFA, entradas/saídas) em vez de depender de uma única plataforma estrangeira?
- 10. Dependência — os seus sistemas centrais são open source ou assentes em normas abertas, para não ser refém do roteiro e dos preços de um único fornecedor?
- 11. Documentação — um novo parceiro conseguiria assumir o seu stack a partir de documentação escrita que lhe pertence, sem o fornecedor atual na sala?
- 12. Subcontratantes — tem uma lista atual de quem toca realmente nos seus dados, e ao abrigo de que lei operam?
Que pontuação fez?
Ninguém pontua doze em doze, e não precisa de o fazer. O objetivo não é uma pontuação perfeita — é saber onde está a sua exposição real, e decidir que lacunas vale a pena fechar. O perfil de risco de um banco é diferente do de um estúdio de design.
Maioria de «sim»
Está genuinamente em boa forma — mais soberano do que a maioria. Vale uma reavaliação periódica à medida que acrescenta ferramentas, já que cada novo SaaS acrescenta silenciosamente subcontratantes e fluxos de dados.
Alguns «não» ou «não tenho a certeza»
Normal, e resolúvel. Os «não tenho a certeza» são os primeiros a perseguir — a incerteza costuma esconder a maior exposição. Escolha os dois ou três que mais importam para o seu setor e feche-os de propósito.
Se quiser um segundo par de olhos, é exatamente isso que a nossa auditoria gratuita de soberania e IA faz: passamos o seu stack por isto em profundidade e entregamos-lhe um conjunto escrito e priorizado de próximos passos — sem compromisso.
Perguntas frequentes
- Tenho de dar o meu e-mail para obter isto?
- Não. A autoavaliação completa está nesta página, gratuita, sem nada a preencher — é esse o princípio da privacidade primeiro. Se quiser que seja aplicada ao seu stack específico, a auditoria gratuita faz exatamente isso.
- Qual é a diferença entre alojado na Europa e soberano?
- O alojamento na Europa satisfaz a residência dos dados — onde os dados estão. A soberania trata de controlo e de jurisdição: quem pode obrigar ao acesso, se detém as chaves, e se pode sair. A região na UE de uma cloud norte-americana é residente, mas não soberana.
- O objetivo é uma pontuação perfeita?
- Não. O objetivo é um mapa honesto da sua exposição para que possa fechar as lacunas que importam para a sua empresa. Setores diferentes justificam níveis de rigor diferentes.