Bloco E · Semana 11 (fecha o bloco) Tempo estimado: 22 min de leitura + ~3h de prática (mapear postura compliance Team Studio) Output prático: você responde questionário de segurança/compliance de cliente grande sem ajuda

TL;DR

Você já entendeu LGPD básico na trilha George (controlador, operador, ROPA, DPA). Essa semana é o nível profissional: como sustentar compliance numa empresa média/grande que vai auditar você antes de fechar contrato. Cobre:

  1. LGPD em detalhe - DPO obrigatório?, comunicação à ANPD, direitos do titular com prazos, transferência internacional (art 33), multas reais desde 2024
  2. GDPR - quando se aplica, diferenças vs LGPD, Schrems II, SCCs, como cliente brasileiro vendendo na Europa se posiciona
  3. SOC 2 - o relatório que destrava enterprise B2B nos EUA. Type I vs Type II, 5 trust criteria, custo real
  4. ISO 27001 - equivalente internacional, ISMS + Annex A controles (versão 2022)
  5. HIPAA - só healthcare US, PHI vs PII, BAA, multas pesadas
  6. Como passar por auditoria de cliente grande - Vendor Security Review, questionários CAIQ/SIG/SIG-Lite, 3 níveis de resposta
  7. Data residency vs sovereignty - onde dado pode morar, hyperscaler vs cloud nacional
  8. Posicionamento Team Studio como operador idôneo - princípios não-negociáveis, documentos prontos, roadmap pra SOC 2

Essa semana fecha o Bloco E (Segurança e Compliance).

Como chegamos aqui (recap Semana 10)

Na Semana 10 você viu Zero Trust, IAM avançado, OWASP Top 10, threat modeling STRIDE, pentest, SAST/DAST/SCA, supply chain attacks. Você sai dali sabendo proteger sua aplicação tecnicamente.

Mas tem um problema: cliente grande não vai assinar contrato porque você fala bonito sobre segurança. Eles querem prova. E prova vem em três formas:

  1. Relatório de auditoria externa (SOC 2 Type II, ISO 27001) - alguém sério atestou sua postura
  2. Questionário de segurança preenchido com honestidade verificável (CAIQ, SIG)
  3. Documentação operacional (DPA, procedimentos, evidências)

Essa semana é sobre como produzir essas três coisas - e como sobreviver à auditoria que vem com elas.

1. LGPD: além do mapa de dados

A Semana 2 da Trilha George cobriu o ROPA e o conceito controlador/operador. Aqui vamos pro próximo nível: o que realmente acontece quando cliente exige compliance LGPD do Team Studio como operador.

DPO obrigatório? Quem precisa de DPO

A LGPD (Art 41) diz que controlador deve nomear um Encarregado (DPO). Operador não tem essa obrigação no texto da lei, mas:

  • Resolução CD/ANPD nº 2/2022 (regulamento de sanções) cria a figura do "agente de tratamento de pequeno porte" - startup, micro empresa, pessoa física - que pode dispensar DPO se aplicar boas práticas.
  • Empresas médias/grandes (que vão contratar Team Studio) têm DPO. E o DPO do cliente vai querer falar com alguém do Team Studio sobre incidentes.

Postura Team Studio: mesmo não sendo obrigado, ter um ponto focal de privacidade declarado (o próprio George inicialmente) vale ouro em reunião com cliente. Coloca isso no DPA: "Encarregado de privacidade: George Arliani, contato@teamstudio.com.br, +55 11 94752-5176".

Comunicação à ANPD em caso de incidente

LGPD Art 48: controlador deve comunicar à ANPD e ao titular afetado em prazo razoável (a Resolução CD/ANPD nº 15/2024 detalhou: até 3 dias úteis do conhecimento, em incidentes de alto risco).

Como operador, Team Studio não comunica à ANPD diretamente. Mas Team Studio precisa:

  1. Notificar o controlador (cliente) em prazo curto (DPA padrão Team Studio diz 24 horas)
  2. Cooperar tecnicamente com a investigação (logs, evidências, timeline)
  3. Cumprir orientações do controlador sobre comunicação ao titular

Procedimento que tem que existir no Team Studio: documento curto de "Como reportar incidente" que diz quem aciona quem em quanto tempo. Isso já está em templates/legal/procedimento-incidente.md na trilha George.

Direitos do titular: 8 direitos detalhados (Art 18)

LGPD lista 8 direitos do titular:

  1. Confirmação da existência de tratamento - "vocês têm dado meu?"
  2. Acesso aos dados - "me mostra"
  3. Correção - "atualiza"
  4. Anonimização, bloqueio ou eliminação de dados desnecessários
  5. Portabilidade - "me dá em formato exportável"
  6. Eliminação - "apaga tudo" (com exceções legais)
  7. Informação sobre compartilhamento - "pra quem vocês mandam"
  8. Revogação do consentimento - "tira meu consentimento"

Prazos: - Resposta inicial: 15 dias (Art 19) - Atendimento completo: "no menor prazo possível", a ANPD vem detalhando caso a caso

Como operador, Team Studio: - Não responde diretamente ao titular (responsabilidade do controlador) - Mas tem que ter ferramenta técnica pra atender pedido do controlador rapidamente (export, delete, anonymize) - DPA padrão Team Studio define SLA: 5 dias úteis pra processar solicitação do controlador

Bases legais raras: interesse legítimo e exercício regular

Você já viu consentimento, execução de contrato, obrigação legal. Mas existem duas bases que aparecem em reunião com cliente grande:

Interesse legítimo (Art 7, IX): tratamento sem consentimento porque a empresa tem interesse legítimo que prevalece sobre direitos do titular. Exemplos: - Prevenção a fraude (banco analisando transações) - Segurança da informação (logs de acesso) - Marketing direto pra cliente existente (com opt-out)

Requer LIA (Legitimate Interest Assessment): documento que justifica por escrito por que o interesse prevalece. Cliente grande vai pedir.

Exercício regular de direito em processo (Art 7, VI): dados podem ser tratados pra defender direito em processo judicial/administrativo. Aplica quando há litígio. Não confundir com "guardar pra caso de processo" - isso é retenção, não exercício regular.

Transferência internacional de dados (Art 33)

LGPD permite transferência internacional só em casos específicos:

  1. Países com nível adequado (ANPD vai publicar lista - ainda não publicou em 2026)
  2. Garantias contratuais (cláusulas-padrão da ANPD - ainda não publicadas, na prática usa-se cláusulas GDPR/SCC adaptadas)
  3. Consentimento específico do titular
  4. Cooperação jurídica internacional
  5. Proteção da vida
  6. Autoridade pública executando política pública
  7. Execução de contrato com participação do titular
  8. Exercício regular de direito
  9. ANPD autorizou caso específico

Cenário Team Studio típico: cliente brasileiro usa Team Studio que roda em VPS no Brasil. Mas Team Studio também usa OpenAI/Anthropic (servidores EUA) pra os LLMs. Isso é transferência internacional.

Como documentar: lista de subprocessadores (subprocessors) que está em team-studio/site/subprocessadores/ precisa indicar país do servidor e base legal da transferência (geralmente "execução de contrato" ou "consentimento específico via aceite de termos").

Cliente grande vai exigir essa lista. Estar pronto é diferencial competitivo.

Multas reais da ANPD desde 2024

A ANPD começou a aplicar sanções com intensidade em 2024-2025. Casos notáveis:

  • Empresa de bingo online (out/2024): multa de R$ 7.300 + obrigação de implementar consentimento explícito. Pequena, mas marcou jurisprudência.
  • Cooperativa de crédito de MG (mar/2025): multa de R$ 14.400 + obrigação de adequação. Caso de vazamento sem comunicação ao titular em prazo.
  • Marketplace grande (jul/2025): R$ 50 milhões (perto do teto legal de 2% do faturamento), por compartilhamento sem base legal adequada com parceiros publicitários.

Lição: ANPD não está mais avisando. Está multando. E a multa pode chegar a 2% do faturamento limitada a R$ 50 milhões por infração - o que é gigante.

2. GDPR: o irmão mais velho da LGPD

GDPR (General Data Protection Regulation) é a lei europeia de 2018 que inspirou a LGPD. Mas tem diferenças que importam pra cliente que opera na Europa ou vende pra europeu.

Quando GDPR se aplica (extraterritorialidade)

GDPR se aplica a qualquer empresa que:

  1. Está estabelecida na UE (filial, escritório, representante legal); OU
  2. Processa dados de pessoas na UE, mesmo estando fora da UE, se:
  3. Oferece bens/serviços a essas pessoas (mesmo gratuitamente)
  4. Monitora comportamento dessas pessoas (analytics, cookies)

Cenário Team Studio: cliente brasileiro tem clientes europeus que compram dele. Os dados desses clientes europeus passam pelo Team Studio (CRM, atendimento WhatsApp etc). Resultado: GDPR se aplica também.

Postura: tratar com mesmo rigor da LGPD. Quase tudo que você faz pra LGPD já cobre GDPR. Quase.

Diferenças LGPD vs GDPR (que aparecem em auditoria)

Aspecto LGPD GDPR
Multa máxima 2% faturamento BR, até R$ 50M por infração 4% faturamento global, até EUR 20M
Prazo notificação 3 dias úteis (Resolução 15/2024) 72 horas
DPO obrigatório Controlador (com exceções) Mais casos (autoridade pública, monitoramento sistemático, dados sensíveis em larga escala)
Bases legais 10 (Art 7) 6 (Art 6) - LGPD é mais permissiva
Idade consentimento criança 12 anos (com responsável); 18 sem 16 anos (estado-membro pode reduzir a 13)
Direito esquecimento Implícito Explícito (Art 17)
Transferência internacional Lista ANPD pendente Adequacy decisions + SCCs + BCRs

Schrems II: o terremoto de 2020 que ainda ecoa

Em 2020 o Tribunal de Justiça da UE invalidou o "Privacy Shield" que permitia transferência EU → EUA. Razão: governo americano (via FISA 702) podia acessar dados de europeus sem proteção adequada.

Resultado: empresas europeias não podem mandar dado pessoal pra serviço americano sem medidas adicionais (criptografia que provedor não consegue quebrar, pseudonimização, etc).

Em 2023 surgiu o EU-US Data Privacy Framework substituindo o Privacy Shield. Tá vivo, mas vulnerável a Schrems III (já tem grupos preparando contestação).

Por que importa pro Team Studio: cliente europeu que usa OpenAI ou Anthropic via Team Studio precisa documentar Standard Contractual Clauses (SCCs) com o provedor americano. Senão tá descumprindo GDPR.

Standard Contractual Clauses (SCCs)

Cláusulas-padrão da Comissão Europeia. São templates jurídicos que dois lados de uma transferência internacional assinam, declarando como vão proteger dados. Atualizados em 2021 pra cobrir Schrems II (módulos 1-4).

Mais provedores cloud já assinam SCCs por padrão (AWS, GCP, Azure, OpenAI Enterprise). Mas é responsabilidade do cliente verificar que o SCC certo está assinado pro caso dele.

Como cliente brasileiro vendendo na Europa fica

Cenário: cliente Team Studio é uma SaaS brasileira que tem 30% dos clientes na Europa. Vai operar com:

  1. DPO formal (não opcional pra esse cliente)
  2. Aviso de privacidade bilíngue (PT/EN no mínimo)
  3. Mecanismo de exercício de direitos acessível em inglês (formulário + email DPO)
  4. SCCs assinados com todos subprocessadores fora da UE (incluindo Team Studio se infra é BR)
  5. Notificação 72h prevista no fluxo de incidente (não 3 dias)
  6. Registro de processamento (Art 30 GDPR - similar ao ROPA da LGPD)
  7. DPIA (Data Protection Impact Assessment) pra processamentos de alto risco

Team Studio se posiciona como operador GDPR-aware: oferece DPA bilíngue, SCCs já preparados, atende prazo de 72h.

3. SOC 2: o relatório que destrava enterprise nos EUA

SOC 2 é um relatório de auditoria externa criado pela AICPA (American Institute of CPAs) que atesta que sua empresa segue controles operacionais de segurança/privacidade. Em 2026, virou de fato pré-requisito B2B em qualquer venda enterprise pra empresa americana.

SOC 1 vs SOC 2 vs SOC 3 (diferenças rápidas)

  • SOC 1: foco em controles financeiros (relevante pra empresa que processa transações financeiras, payroll). Não é o que Team Studio precisa.
  • SOC 2: foco em controles de segurança, disponibilidade, confidencialidade, integridade e privacidade. Esse é o relevante.
  • SOC 3: versão "marketing" do SOC 2 - relatório resumido que pode ser publicado no site. Audit é o mesmo, mas você mostra menos.

5 Trust Service Criteria (TSC)

SOC 2 audita contra 5 critérios:

  1. Security (obrigatório) - proteção contra acesso não autorizado
  2. Availability (opcional) - sistema disponível conforme acordado (SLA)
  3. Confidentiality (opcional) - dados confidenciais protegidos
  4. Processing Integrity (opcional) - processamento completo, válido, autorizado, oportuno
  5. Privacy (opcional) - coleta, uso, retenção, divulgação e descarte de dados pessoais

Cliente escolhe quais critérios audita. Mínimo: Security. Comum em SaaS B2B: Security + Availability + Confidentiality. Em healthcare: adiciona Privacy.

Type I vs Type II

  • Type I: snapshot. "Em uma data específica, os controles foram desenhados adequadamente."
  • Type II: período (geralmente 6 ou 12 meses). "Durante o período X, os controles foram desenhados E operaram efetivamente."

Cliente enterprise sério só aceita Type II. Type I é etapa intermediária pra começar.

Quanto custa, quanto demora (real)

Estimativas em 2026:

  • Type I (primeiro): USD 15k–35k em audit firm + 3-6 meses de preparação
  • Type II (primeiro): USD 30k–80k em audit firm + ~24 meses no total (6 meses prep + Type I + 6-12 meses de observation window + audit)
  • Type II (anual): USD 20k–60k + esforço contínuo

Mais custo escondido: ferramentas (Vanta, Drata, Secureframe - USD 10k–30k/ano), pessoa interna dedicada (ou consultora terceirizada R$ 3k–10k/mês).

Pra Team Studio: SOC 2 hoje (2026) é mais aspiracional. Faz sentido começar Type I quando houver primeiro cliente enterprise que exigir (e topar pagar por isso). Antes disso, postura honesta (atestar postura sem report formal) supre 80% dos casos.

Por que SOC 2 virou pré-requisito B2B em 2026

Combinação de fatores: - Vendor security teams cansaram de revisar questionários customizados - SOC 2 padronizou - Insurers cibernéticos exigem (cyber insurance ficou caro sem SOC 2) - Plataformas de procurement (Vendr, Tropic) marcam fornecedor como "SOC 2" automaticamente - quem não tem, fica fora do filtro

4. ISO 27001: o equivalente internacional

ISO 27001 é a norma internacional pra sistemas de gestão de segurança da informação (ISMS - Information Security Management System). Versão atual: 2022.

Estrutura: ISMS + Annex A controles

ISO 27001 não te dá uma checklist técnica - te dá um framework de gestão. Você desenha um ISMS (escopo, políticas, riscos, controles, melhoria contínua) e o auditor avalia se o sistema funciona.

Annex A (anexo da norma) lista 93 controles (versão 2022, antes eram 114) divididos em 4 temas:

  • Organizational controls (37): políticas, papéis, gestão de fornecedor, classificação de informação
  • People controls (8): screening de funcionário, treinamento, NDA
  • Physical controls (14): controle de acesso físico, segurança de equipamento, descarte
  • Technological controls (34): autenticação, criptografia, backup, logging, gestão de vulnerabilidade

Você não precisa implementar todos os 93. Você faz Statement of Applicability declarando quais aplicam ao seu ISMS e por quê.

Diferença prática SOC 2 vs ISO 27001

Aspecto SOC 2 ISO 27001
Origem EUA (AICPA) Internacional (ISO)
Foco Atestação de controles num período Sistema de gestão certificado
Output Report (com detalhes técnicos) Certificado (resumido)
Validade Report Type II vale 12 meses Certificado vale 3 anos (com surveillance anual)
Custo aprox primeiro ciclo USD 30k–80k USD 30k–60k + tempo interno maior
Auditor CPA firm (US-based) Body acreditado (ABNT no BR, BSI/DNV/SGS internacional)

Onde cada um ganha

SOC 2 ganha: - Vendas pra EUA tech (SaaS B2B Silicon Valley, etc) - Audit mais técnico, report mais detalhado - Fintech/payments americana

ISO 27001 ganha: - Vendas pra Europa, Ásia, Oriente Médio - Vendas pra governo brasileiro (LAI, contratações públicas) - Empresas tradicionais que valorizam "certificação" formal - B2B Europa que prefere ISO

Estratégia comum: empresa que quer máximo alcance faz os dois (overlap de controles é grande, ~70%). Empresa startup começa com SOC 2 Type II.

5. HIPAA: só pra healthcare US

HIPAA (Health Insurance Portability and Accountability Act) é a lei americana de 1996 que regula proteção de PHI (Protected Health Information).

Quando precisa

Se Team Studio for vendido pra: - Clínica/hospital americano - Plano de saúde americano - Empresa que processa dados de saúde americanos

Então HIPAA se aplica como Business Associate (BA - equivalente ao operador na LGPD).

PHI vs PII

  • PII (Personally Identifiable Information): qualquer dado pessoal identificável (nome, CPF, email)
  • PHI (Protected Health Information): subset de PII relacionado a saúde - diagnóstico, tratamento, plano de saúde, identificador de paciente

PHI tem proteção ainda mais rígida que PII. HIPAA define 18 "identifiers" que tornam dado PHI.

Business Associate Agreement (BAA)

Antes de processar PHI, Team Studio precisa assinar BAA com o cliente (Covered Entity). BAA é tipo um DPA, mas com cláusulas específicas HIPAA: notificação de breach em 60 dias, restrição de uso, devolução ao término.

Sanções HIPAA (multas pesadas)

HIPAA tem 4 tiers de violação:

  • Tier 1 (não soube razoavelmente): USD 100–50.000 por violação
  • Tier 2 (com causa razoável): USD 1.000–50.000 por violação
  • Tier 3 (negligência willful, corrigido): USD 10.000–50.000 por violação
  • Tier 4 (negligência willful, não corrigido): USD 50.000–1.500.000 por violação

Por violação. Múltiplas violações → multa multiplicada. Em 2024-2025 casos chegaram a USD 16 milhões pra healthcare provider grande.

Pra Team Studio: a menos que cliente seja healthcare US, não precisa investir nisso. Mas saber que existe e ter posicionamento ("Team Studio não atende healthcare US sem implementação HIPAA específica") é diferencial.

6. Como passar por auditoria de cliente grande

Quando você fechar primeira venda B2B média/grande, vai vir um questionário. Pode ser:

Vendor Security Review (VSR) - formato genérico

Cliente manda planilha/PDF com 50-200 perguntas. Você preenche.

Exemplos de perguntas reais: - "Vocês têm SOC 2 Type II? Anexe report." - "Vocês têm pentest anual? Anexe último relatório." - "Vocês têm DPO? Quem é, contato." - "Listem subprocessadores e países onde dado mora." - "Tempo de notificação em caso de incidente?" - "Vocês criptografam dado at rest? Que algoritmo?" - "Política de senha de funcionário?" - "Como funciona offboarding de funcionário (revogação de acesso)?" - "MFA obrigatório em quais sistemas?" - "Backup tem teste de restore? Frequência?"

Questionários padrão da indústria

Pra evitar reinventar VSR, surgiram padrões:

CAIQ (Consensus Assessments Initiative Questionnaire) - Cloud Security Alliance. ~300 perguntas focadas em cloud. Em 2026, versão 4.0 ativa.

SIG (Standardized Information Gathering) - Shared Assessments. Vem em duas versões: - SIG Lite: ~125 perguntas (baseline) - SIG Core: ~850 perguntas (completo)

CIS Controls Self-Assessment - Center for Internet Security. 18 controles, ~150 sub-controles.

Cliente grande já tem ferramenta pra mandar SIG ou CAIQ pra você. Você preenche. Resposta YES/NO/PARTIAL/NA com explicação.

O que cliente realmente quer

Em ordem de preferência:

  1. SOC 2 Type II report + você responde 5 perguntas adicionais específicas dele
  2. ISO 27001 certificate + você responde 10 perguntas adicionais
  3. SIG Lite preenchido + DPA assinado
  4. VSR custom dele preenchido + DPA assinado + carta de comprometimento

Quanto menos prova externa você tem, mais escrutínio interno do cliente.

Como Team Studio responde sem ter SOC 2 ainda

A verdade não machuca, e mente em VSR mata reputação rápido. Princípios:

  1. Honestidade radical: se não tem, diz "não temos ainda". Se tem parcial, diz "implementado parcialmente, escopo X".
  2. Cite roadmap: "SOC 2 Type I previsto para Q3/2026". Mostra direção.
  3. Mostre evidência alternativa: "Não temos SOC 2, mas seguimos OWASP ASVS Level 2. Anexo política de segurança aplicada."
  4. Ofereça calls técnicos: "Posso fazer call de 1h com seu security team pra detalhar postura atual."

3 níveis de resposta (escala honesta)

Quando preenche VSR, use esses 3 níveis:

  • FULL: "Sim, totalmente implementado. Evidência anexa: [documento/política/screenshot]."
  • PARTIAL: "Implementado parcialmente. Escopo atual: [X]. Faltam: [Y]. Roadmap: [Z]."
  • NOT IMPLEMENTED: "Não implementado. Plano: [vai implementar/não vai/depende]. Mitigação atual: [compensating control se houver]."

Cliente entende PARTIAL e NOT IMPLEMENTED com plano. Cliente não tolera mentira que aparece em pentest dele.

Quando dizer "não" e quando dizer "ainda não"

"Não" (definitivo): - "Não atendemos healthcare US (HIPAA fora do escopo)" - "Não armazenamos dado de cartão de crédito (PCI fora do escopo)" - "Não temos certificação FedRAMP (governo americano fora do escopo)"

"Ainda não" (roadmap): - "SOC 2 Type I previsto Q3/2026, Type II em 2027" - "ISO 27001 em planejamento (sem data confirmada)" - "DPIA padrão sendo elaborado, disponível em 30 dias"

"Não" honesto preserva relacionamento - cliente sabe escopo. "Ainda não" com prazo mostra direção.

7. Data residency e sovereignty

Dois conceitos próximos mas diferentes que confundem em reunião.

Residency vs Sovereignty

Data Residency: onde o dado mora fisicamente (em que país está o servidor que armazena).

Data Sovereignty: dado está sujeito às leis do país onde reside. Inclui: - Possibilidade de autoridade local acessar (subpoena, ordem judicial) - Proteção legal aplicável (LGPD se BR, GDPR se EU) - Restrições de transferência

Cenário típico: - Cliente brasileiro exige residency BR: dado tem que ficar fisicamente no Brasil. - Esse cliente automaticamente ganha sovereignty BR: dado sujeito à LGPD, e governo BR pode requisitar com ordem judicial.

Onde provedores têm região BR

Hyperscalers com região BR em 2026: - AWS: sa-east-1 (São Paulo) - desde 2011 - GCP: southamerica-east1 (São Paulo) - desde 2017 - Azure: Brazil South (São Paulo) - desde 2014, e Brazil Southeast (Rio) - desde 2020 - Oracle Cloud: Brazil East (São Paulo), Brazil Southeast (Vinhedo) - IBM Cloud: São Paulo

Cloud nacional: - Magalu Cloud (Magazine Luiza) - desde 2023, foco em residency BR pura - Locaweb Cloud, UOL Host, KingHost - opções tradicionais BR

Cloud regional menor: Hostinger, DigitalOcean, Vultr - alguns têm data center em SP, mas é importante validar antes (alguns só dizem "regional" mas usam EUA na prática).

Quando dado pode sair do país

LGPD Art 33 lista as 9 hipóteses (vimos na seção 1 desta semana). Na prática Team Studio:

  • Operação principal: hospedar tudo em região BR (VPS Hostinger SP, Supabase BR ou AWS sa-east-1)
  • LLMs: OpenAI/Anthropic estão nos EUA. Documentar como "execução de contrato com o titular" via aceite de termos.
  • Subprocessadores estrangeiros listados no /subprocessadores/ com país e justificativa

Hyperscaler vs cloud nacional

Aspecto Hyperscaler em região BR Cloud nacional
Residency BR Sim Sim
Sovereignty BR Parcial (CLOUD Act EUA pode aplicar via empresa-mãe) Sim (jurisdição BR pura)
Catálogo serviços Enorme Limitado
Preço Mais caro em região BR (sa-east-1 ~30-40% acima de us-east-1) Competitivo
Cliente público/governo Aceito em maioria Preferido
Latência Excelente Excelente

Em 2024-2026 começou movimento de "Brazilian Sovereign Cloud" - clientes governamentais e bancos sob regulação BACEN/ANPD começaram a exigir cloud sem CLOUD Act (lei americana de 2018 que permite governo US requisitar dados a empresas americanas mesmo armazenados fora dos EUA).

8. Como Team Studio se posiciona como operador idôneo

Cliente médio/grande não conhece o Team Studio. A primeira impressão é sua chance de mostrar profissionalismo. Princípios não-negociáveis:

8 princípios não-negociáveis

  1. DPA assinado antes de qualquer dado fluir - sem DPA, Team Studio não toca em dado real do cliente
  2. Lista de subprocessadores transparente - /subprocessadores/ pública no site
  3. Notificação rápida em incidente - 24h pro cliente, 72h ou 3 dias úteis pra ANPD/autoridade
  4. Residência primária BR - dados em região BR por padrão; estrangeiros só com base legal documentada
  5. Princípio do menor privilégio - Team Studio tem acesso só ao necessário pra função; nada de "root universal"
  6. Logs auditáveis - toda ação relevante em dado de cliente é logada com timestamp + identidade
  7. Retenção contratual - Team Studio mantém dado só pelo prazo do contrato + período de transição (30 dias)
  8. Devolução ao término - fim de contrato = export completo entregue ao cliente + delete confirmado

Documentos já prontos no Team Studio

Da Semana 3 da Trilha George (Templates legais):

  • templates/legal/dpa-operador.md - DPA padrão Team Studio
  • templates/legal/contrato-team-studio.md - Contrato de serviço com cláusulas LGPD
  • templates/legal/subprocessadores.md - Lista pública (já está publicada em /subprocessadores/)
  • templates/legal/procedimento-incidente.md - Procedimento operacional incidente
  • templates/legal/procedimento-direitos-titular.md - Como Team Studio processa pedido do controlador

Esses documentos sozinhos já passam Team Studio à frente de 90% dos concorrentes que vão pedir "DPA" depois de assinatura e tentam improvisar.

Roadmap pra SOC 2 (Type I em ~12 meses, Type II em ~24 meses, faseado)

Não dá pra fazer SOC 2 em 1 mês. Plano realista:

Fase 1 - Preparação (Meses 1-3): - Documentar políticas escritas (Acesso, Senha, Backup, Incidente, Onboarding/Offboarding, Vendor Risk, Change Management, BCP/DR) - Implementar MFA obrigatório em todos sistemas críticos - Logs centralizados (CloudWatch, Datadog, ou Loki) - Endpoint protection (antivírus + EDR) - Treinamento de segurança anual (Hoxhunt, KnowBe4, ou interno) - Ferramenta GRC (Vanta, Drata, Secureframe - USD 15k/ano startup)

Fase 2 - Type I (Meses 4-9): - Auditor escolhido e contratado - Auditor faz "readiness assessment" (gap analysis) - Você corrige gaps - Audit Type I (snapshot em data X) - Report Type I emitido (~3 meses depois da data X)

Fase 3 - Type II (Meses 10-24): - Observation window de 6-12 meses (controles têm que estar operacionais o tempo todo) - Coleta contínua de evidência (ferramenta GRC automatiza) - Audit Type II ao final do período - Report Type II emitido (~3 meses depois)

Investimento total fase 1+2+3: - Ferramenta GRC: USD 30k–60k ao longo do ciclo - Auditor (Type I + Type II): USD 50k–100k - Pessoa dedicada: 1 FTE parcial (50%) ou consultor R$ 8k/mês ao longo do ciclo - Total estimado: USD 130k–250k ou R$ 700k–1.3M no primeiro ciclo pra um Team Studio sozinho

Pra Team Studio sem cliente enterprise pagando por isso, faz sentido? Não em 2026. Faz sentido quando primeiro contrato enterprise valer R$ 500k+/ano.

Como vender posição honesta vs concorrente que mente

Concorrente A diz: "Sim, somos SOC 2 compliant!" (sem report - está mentindo) Concorrente B diz: "Estamos em processo de certificação SOC 2!" (sem data - é vapor) Team Studio diz: "Não temos SOC 2 hoje. Aqui está nossa postura de segurança em detalhe [link DPA + política + subprocessadores + procedimento incidente]. SOC 2 Type I previsto quando tivermos primeiro cliente que justifique. Posso passar 30 minutos detalhando nossa postura atual."

Cliente sério prefere o terceiro. Cliente que cai pelo primeiro fecha contrato com Team Studio depois quando concorrente A é descoberto.

9. 5 perguntas pra reunião com DPO/Compliance

Como sempre, use essas perguntas em primeira reunião com o time de compliance/DPO do cliente:

1. "Qual é o framework de compliance que vocês operam? LGPD-only, GDPR também, SOC 2 com TSC quais, ISO 27001?"

Por que: define escopo de tudo que vem depois. Cliente brasileiro 100% nacional opera só LGPD. Cliente com operação europeia precisa GDPR. SaaS B2B com clientes EUA precisa SOC 2.

Por que: força conversa sobre mapeamento concreto. Sem isso, DPA vira genérico inútil. Cliente bom já tem isso documentado (ROPA dele). Cliente ruim vai improvisar - perfeito momento pra ajudar (você cobra por essa ajuda).

3. "Qual o tempo de notificação em caso de incidente que vocês exigem do operador?"

Por que: padrão Team Studio é 24h. Cliente pode exigir 6h (raro), 12h (alguns), 24h (comum), 48h (alguns). Negociar antes de assinar evita briga depois.

4. "Vocês exigem auditoria periódica do Team Studio? Frequência? Tipo?"

Por que: cliente pode pedir: - Direito a auditoria anual presencial (geralmente sim, com pré-aviso 30 dias) - Direito a auditoria via questionário (geralmente sim) - Direito a pentest do Team Studio às custas do cliente (negociar) - Direito a SOC 2 Type II reportado anualmente (se cliente exige, Team Studio precisa)

5. "Em caso de fim de contrato, qual o procedimento de devolução de dados e prazo?"

Por que: cliente bom tem isso planejado. Padrão Team Studio: export entregue em 7 dias úteis após fim de contrato, em formato negociado (CSV/JSON/SQL dump), com delete confirmado em 30 dias após entrega.

10. Exercício prático: cliente brasileiro com filial europeia

Cenário: SaaS brasileira de gestão escolar (com 18 mil escolas clientes) está expandindo pra Portugal e Espanha. Vai usar Team Studio pra implantar agentes de IA pra: - Atendimento WhatsApp 24h em PT-BR e PT-PT/ES - Geração de relatórios automatizados pros diretores escolares - Insights de dados de alunos (com consentimento dos pais)

DPO do cliente manda email: "Antes de fechar Team Studio, precisamos avaliar postura LGPD+GDPR. Anexei nosso questionário (~80 perguntas) e o template DPA dele. Solicitamos: 1. Resposta ao questionário em 10 dias úteis 2. DPA revisado pra acomodar GDPR (especialmente transferência internacional) 3. Call técnico de 1h pra apresentar postura"

O que você faz, na ordem:

Passo 1: Análise do questionário (Dia 1)

Lê as 80 perguntas. Categoriza: - 40 perguntas FULL (Team Studio já atende): MFA, princípio menor privilégio, criptografia at rest, residency BR, DPA disponível, subprocessadores listados - 25 perguntas PARTIAL (atende parcial, com escopo claro): logs centralizados (parcial - só Mission Control), pentest (último em data X), treinamento (formal não, prática sim) - 10 perguntas NOT IMPLEMENTED (não tem, mas tem plano): SOC 2 Type II (planejado), ISO 27001 (sem plano firmado), DPIA padrão (em elaboração) - 5 perguntas NA (não se aplica): PCI DSS (não processa cartão), HIPAA (não healthcare), FedRAMP (não governo US)

Passo 2: Resposta ao questionário (Dia 2-4)

Preenche com honestidade radical. Pra cada PARTIAL e NOT IMPLEMENTED, escreve roadmap. Anexa evidência onde possível (políticas escritas, DPA, subprocessadores list, screenshot Mission Control logs).

Passo 3: Revisão do DPA do cliente (Dia 5)

Cliente mandou template dele. Você compara com DPA padrão Team Studio. Identifica: - Cláusulas mais rigorosas no template do cliente (notificação em 6h, auditoria semestral presencial) - Cláusulas faltando no template do cliente (escopo subprocessadores, modificações) - Cláusulas em conflito (cliente diz "Team Studio assume responsabilidade integral por incidente"; LGPD diz responsabilidade compartilhada por culpa)

Negocia em call (Dia 6) com DPO do cliente: aceita auditoria anual (não semestral), notificação 12h (não 6h), responsabilidade compartilhada conforme LGPD, escopo subprocessadores explicitado, modificações com 30 dias de aviso.

Passo 4: Adendo GDPR (Dia 7)

Adiciona ao DPA módulo específico de transferência internacional GDPR: - Standard Contractual Clauses módulo 2 (controller-to-processor) entre cliente PT/ES e Team Studio - Standard Contractual Clauses módulo 3 (processor-to-processor) entre Team Studio e OpenAI/Anthropic - Notificação em 72h pra cliente em incidente envolvendo dado de titular europeu - Aviso de privacidade do cliente vai mencionar Team Studio + OpenAI + Anthropic como subprocessors

Passo 5: Call técnico (Dia 8)

Apresenta postura ao security team do cliente. 1h: - 10 min: panorama Team Studio (catálogo agentes, casos, equipe) - 30 min: walk-through dos 8 princípios não-negociáveis com evidência - 15 min: pontos PARTIAL e NOT IMPLEMENTED com roadmap - 5 min: Q&A

Passo 6: Assinatura (Dia 9-10)

DPA + adendo GDPR + lista subprocessadores assinados eletronicamente (Clicksign/D4Sign/DocuSign).

Output esperado: Cliente fecha. Você sai do processo com referência forte pra próximas vendas ("já passamos por VSR de SaaS de 18k clientes operando GDPR").

Como Team Studio se posiciona em compliance

Onde Team Studio está bem em 2026: - DPA, contrato, subprocessadores, procedimentos: todos prontos e publicados - Residency BR por padrão - Princípio do menor privilégio aplicado tecnicamente - Comunicação rápida em incidente (24h pro cliente) - Honestidade radical em VSR

Onde Team Studio está em construção: - SOC 2 Type I (planejado pra Q3/2026 se houver primeiro enterprise cliente) - DPIA padrão pra processamentos de alto risco - Treinamento formal de funcionário (hoje é informal, internalizado na operação solo) - Ferramenta GRC (hoje é trabalho manual no Mission Control)

Onde Team Studio diz "não" hoje: - HIPAA (healthcare US fora do escopo) - PCI DSS (não processa cartão - usa Asaas/Hotmart/Stripe via cliente) - FedRAMP (governo US fora do escopo)

Onde Team Studio diz "ainda não, conversa primeiro": - ISO 27001 (sem cronograma - depende de demanda de cliente) - Cliente bancário sob regulação BACEN (precisa entender Resolução 4.893 antes) - Cliente sob regulação ANS (planos de saúde - Resolução Normativa 509)

Resumo de uma frase

Compliance moderno é menos sobre "ter certificado bonito" e mais sobre postura demonstrável, honestidade radical em questionário, documentos prontos antes da venda e roadmap claro pro que ainda falta - Team Studio ganha cliente médio/grande hoje com honestidade + documentos prontos, e ganha enterprise quando justificar investimento em SOC 2 Type II.

Próximos passos

Esta semana fecha o Bloco E - Segurança e Compliance. Próximas semanas abrem o Bloco F - Arquitetura e Comercial:

  • Semana 12: Arquitetura de software (monolito vs microserviços, event-driven, padrões e anti-padrões, ADR)
  • Semana 13: Métricas, SLA, RPO/RTO, métricas DORA, p95/p99
  • Semana 14: Custo, pricing, TCO, modelos de pricing (fixed/usage/value)
  • Semana 15: Reuniões com TI corporativo - táticas e armadilhas
  • Semana 16: Vendor lock-in, exit strategy, checklist do CTO maduro

Bloco F é o mais comercial - tradução do que aprendemos nos Blocos A-E em conversas que fecham negócio.

Glossário rápido (termos novos desta semana)

  • DPO (Data Protection Officer): encarregado de proteção de dados, função LGPD/GDPR
  • DPIA (Data Protection Impact Assessment): avaliação de impacto à proteção de dados, obrigatório em processamento de alto risco
  • SCC (Standard Contractual Clauses): cláusulas-padrão da Comissão Europeia pra transferência internacional GDPR
  • Schrems II: decisão do TJUE de 2020 que invalidou Privacy Shield EU-US
  • PHI (Protected Health Information): subset de PII relativo a saúde, protegido por HIPAA
  • BAA (Business Associate Agreement): equivalente HIPAA do DPA da LGPD
  • ISMS (Information Security Management System): sistema de gestão de segurança, núcleo do ISO 27001
  • Annex A: anexo do ISO 27001:2022 com 93 controles em 4 temas
  • TSC (Trust Service Criteria): 5 critérios do SOC 2 (Security, Availability, Confidentiality, Processing Integrity, Privacy)
  • Type I vs Type II: snapshot vs período (6-12 meses) no SOC 2
  • CAIQ (Consensus Assessments Initiative Questionnaire): questionário padrão Cloud Security Alliance
  • SIG (Standardized Information Gathering): questionário padrão Shared Assessments, em versões Lite e Core
  • VSR (Vendor Security Review): processo genérico de auditoria de fornecedor por cliente
  • Residency: onde o dado mora fisicamente (país do servidor)
  • Sovereignty: jurisdição legal aplicável ao dado
  • CLOUD Act: lei americana de 2018 que permite governo US requisitar dados de empresas americanas mesmo em servidor estrangeiro
  • GRC (Governance, Risk, Compliance): categoria de ferramenta (Vanta, Drata, Secureframe) que automatiza coleta de evidência pra certificações