Simples Solução TI | Suporte Técnico e Serviços de TI no RJ e SP
Voltar ao blog
Fabiano Lucio, autor do blog da Simples Solução TI

Fabiano Lucio

24 de maio de 202613 minutos de leitura

Contratar empresa de TI RJ: critérios para avaliar custo, segurança e SLA

Contratar empresa de TI RJ: critérios para avaliar custo, segurança e SLA

Uma contratação de TI deve ser comparada por custo total, requisitos de segurança/LGPD e um SLA com métricas objetivas, prazos e penalidades — esse conjunto é o que sustenta decisões consistentes entre fornecedores no Brasil (IN02_30042008). Quando esses três eixos não são avaliados juntos, “barato” tende a virar retrabalho, filas de atendimento e aumento de risco operacional.

 

Na prática, a complexidade aparece porque custo e serviço não ficam “separados”: mudanças de escopo, repasses de licenças e variações de esforço alteram o gasto, enquanto a falta de métricas no SLA impede medir efetividade. Em paralelo, segurança vira lacuna quando o contrato define apenas responsabilidades genéricas, sem obrigações de medidas técnicas e administrativas alinhadas à LGPD (LNCC).

 

Ao final, a decisão deve ficar objetivamente defensável: o contratante terá critérios para somar horas, licenças e taxas sem misturar itens, detalhar métricas de atendimento e exigências de segurança para acesso a dados e continuidade, e identificar quando o fornecedor não comprova cumprimento. Com isso, o risco de “apagar incêndio” diminui porque prazos e evidências passam a ser exigência contratual, não expectativa informal.

 

O que significa contratar uma empresa de TI no RJ com custo, segurança e SLA comparáveis

 

Para comparar propostas de diferentes empresas de TI no RJ de forma justa, a contratante deve exigir padronização de escopo, unidade de medição e governança de execução: horas efetivas por perfil (júnior/sênior), matriz de serviços (o que está incluso no suporte e o que é projeto) e critérios de aceite. Também precisa constar o modelo de SLA em tabela por tipo de chamado, com severidade, prazos, disponibilidade coberta e rotina de reporte.

 

Por fim, deve haver trilha documental de LGPD e segurança (acessos, responsabilidades e evidências) vinculada a cada entrega.

 

Como interpretar custo total (hora x esforço, licenças e taxas) sem misturar itens

 

A proposta comparável entre fornecedores deve padronizar o “custo total” em itens observáveis: horas por perfil (ex.: analista, suporte, gestor), esforço estimado por atividade, premissas de volume e o que é cobrado à parte (licenças, hospedagem, redes, deslocamento). Assim, cada empresa informa exatamente a base de cálculo do suporte técnico e das solução completas, evitando que um preço menor “esconda” custos depois.

 

O detalhamento precisa separar taxas recorrentes e não recorrentes. Se houver licenças, a proposta deve indicar tipo, quantidade (ex.: usuários, endpoints, servidores) e vigência; se houver taxas, informar se são administrativas ou de operação. Para manter comparabilidade, o documento também deve declarar o modelo de consumo (fixo mensal, por chamado, por ronda) e as premissas de SLA, como janelas de atendimento e número estimado de chamados por mês.

 

Quando a contratação envolve tratamento de dados, a precificação deve incluir o que não pode ficar “genérico”. Um contrato alinhado à LGPD exige cláusulas de proteção de dados, sigilo, medidas técnicas e administrativas e continuidade, e isso costuma impactar custo de processo (ex.: controles de acesso, trilhas de auditoria e rotinas documentadas).

 

A orientação de referência de compras públicas ressalta essa lógica de critérios na composição do contrato (IN02_30042008), então a proposta deve listar entregáveis e evidências esperadas para justificar o valor por esforço.

 

O que compõe um SLA utilizável (métricas, prazos, níveis e penalidades) na prática

 

Uma proposta comparável exige que o SLA descreva, de ponta a ponta, o que será medido, em quanto tempo o fornecedor reage e resolve, e quais penalidades são acionadas quando as metas falham. Na padronização, cada chamado deve ter uma severidade definida (ex.: Crítica, Alta, Média, Baixa) com tempo de resposta e tempo de resolução distintos, além de um fluxo de escalonamento registrável.

 

No componente de métricas, o texto deve separar “tempo de resposta” (quanto até o primeiro retorno) de “tempo de resolução” (quanto até o restabelecimento). Para reduzir disputa interpretativa, é útil exigir medição por tickets (com ID e timestamps) e volume tratado por mês, indicando como o contador é interrompido quando o contratante responde e quando o chamado fica “aguardando terceiros”.

 

As penalidades precisam ser descritas com gatilho verificável e forma de compensação (ex.: desconto proporcional no mês seguinte, extensão de horas de suporte, ou abatimento no próximo ciclo), sem depender de negociação ad hoc após o incidente. Para segurança e rastreabilidade, a proposta deve alinhar o processo do suporte com requisitos de proteção de dados e sigilo previstos em contratos, seguindo critérios de LGPD para fornecedores (como orienta o Serpro).

 

Que cláusulas de segurança/LGPD precisam estar no escopo para evitar lacunas

 

A proposta deve padronizar, para cada fornecedor, o que será protegido, como será protegido e como isso será comprovado. Em cláusulas de segurança/LGPD, o escopo precisa descrever responsabilidades pelo tratamento de dados, sigilo dos envolvidos, medidas técnicas e administrativas, rotinas de continuidade e a forma de auditoria ou verificação de conformidade (Serpro). Sem isso, as “soluções completas” viram promessa genérica difícil de comparar na contratação.

 

Para reduzir lacunas, a padronização deve exigir que o modelo operacional inclua evidências documentais e gatilhos verificáveis de entrega. Um exemplo objetivo é pedir que o fornecedor informe como controla acesso a dados (papéis, registros e revogação), como trata incidentes (prazo de comunicação, trilha de registro) e como realiza backups e testes de restauração quando houver dados críticos, conectando essas obrigações a cláusulas contratuais.

 

Essa amarração evita que o suporte técnico fique restrito a “atender chamados” sem compromisso mensurável de segurança.

 

Quando a contratação envolver acesso a ambientes internos, a proposta também deve restringir o uso de dados ao necessário para a execução do serviço e prever responsabilidades por subcontratados e cadeia de fornecimento, com requisitos de segurança alinhados às políticas internas da contratante (LNCC).

 

Uma forma prática de padronizar é solicitar que a proposta traga matriz de responsabilidades e itens mínimos de conformidade em linguagem operacional, incluindo quem aprova mudanças e como será feita a validação antes de colocar “novas versões” em produção.

 

Como avaliar o SLA: prazos, métricas e penalidades que evitam “apagar incêndio”

 

No SLA para contratar empresa de TI RJ, as métricas precisam cobrir tempo de resposta, tempo de resolução e taxa de reabertura, com faixas de prazo definidas por severidade (ex.: P1/Crítico com resposta mais rápida e resolução em prazo menor, P2/Alto intermediário, P3/Médio e P4/Baixo conforme criticidade).

 

A checagem de “faz sentido” envolve comparar esses prazos com a capacidade de atendimento declarada (plantão/turnos, service desk e escalonamento) e validar a coerência entre janela de atendimento, canal de abertura do chamado e periodicidade de relatórios de SLA para manutenção preventiva e corretiva. Também ajuda pedir evidência operacional: histórico recente de métricas, registro de incidentes com classificação e evidência de tratamento de chamados pendentes.

 

Quais compromissos de atendimento pedir (tempo de resposta, resolução e escalonamento)

 

  1. Meça o tempo de resposta por severidade (ex.: 1º retorno em minutos/horas) e exige registro do horário de abertura e do primeiro contato, com comprovante no ticket.

  2. Defina o tempo de resolução por tipo de chamado (ex.: incidente crítico, solicitação padrão, manutenção) e exija conclusão com evidência: ação executada, mudança aplicada ou motivo documentado.

  3. Registre o escalonamento com gatilhos objetivos (ex.: tempo sem resposta, SLA rompido, indisponibilidade recorrente) e indique responsável por nível (L1/L2/L3) e prazo de chegada do próximo.

  4. Comprove o cumprimento do SLA usando relatórios de métricas por período (percentual de chamados atendidos por faixa) e exija trilha de auditoria do suporte para amarrar o cálculo de penalidades.

 

Como definir janela de atendimento e critérios de severidade para chamados

 

  • Defina Janelas por severidade: P1 imediato (ex.: início em 15–30 min), P2 em até 4–6 h, P3 em 1–2 dias. Exija registro do horário de abertura e confirmação do aceite pelo service desk.

  • Critério objetivo de Severidade: P1 afeta operação crítica ou indisponibilidade parcial com impacto em usuários/sistemas; P2 degrada desempenho; P3 é falha funcional com contorno. Vincule cada severidade a exemplos no SLA.

  • Mensure “tempo até resolução” com categorias: contorno temporário (workaround) e solução definitiva. O SLA deve dizer quando o atendimento pode encerrar com contorno e como documentar evidências para auditoria interna.

  • Cheque se faz sentido por simulação: pegue 10 chamados reais dos últimos meses, classifique por severidade e compare o histórico com os prazos propostos; ajuste escalonamento e cobertura on-site/on-call.

 

Como verificar penalidades e evidências de cumprimento antes de assinar

 

O SLA deve definir penalidades com gatilhos objetivos e evidências verificáveis, para evitar “cláusula decorativa”. Um modelo prático é atrelar a multa ao não cumprimento de metas de tempo por tipo de chamado e à ausência de registro no service desk (exemplo: chamado de severidade alta sem evidência de triagem no prazo acordado). Assim, o contrato deixa claro o que será medido e com quais artefatos o cumprimento será demonstrado.

 

As métricas precisam separar prazos de resposta de prazos de resolução, porque falhas comuns acontecem em um e não no outro. Para checar a coerência, a contratante pode exigir que cada meta venha acompanhada de definição operacional (como “tempo de resposta” contado a partir de abertura, e “resolução” validada por aceite), além de critérios de severidade por impacto e urgência; isso reduz divergências na hora da cobrança.

 

O texto contratual também deve prever um fluxo de escalonamento e reparo quando a contratada repetir atraso, inclusive com revisão do backlog.

 

Em segurança e LGPD, a evidência deve ir além de declarações: a contratante pode exigir que as obrigações do fornecedor incluam políticas de controle de acesso, registros de atividades e mecanismos de auditoria, alinhados às práticas internas, com documentação entregue em ciclos definidos. Esse ponto é reforçado por diretrizes de segurança em acordos com fornecedores e cadeia de suprimentos (LNCC), que indicam necessidade de medidas preventivas e participação da área de segurança no desenho do contrato.

 

Quando houver acesso a ambientes internos, o escopo deve especificar o que entra e o que fica fora do contrato para evitar lacunas de continuidade.

 

Segurança e LGPD no contrato: requisitos mínimos que protegem dados e continuidade

 

No contrato, a segurança da informação e a LGPD precisam ficar explícitas em cláusulas de sigilo e classificação de dados, no detalhamento das medidas preventivas e de controle de acesso (por exemplo, credenciais individuais, trilhas de auditoria e segregação de ambientes) e na obrigação de continuidade de negócios (ex.: plano de resposta a incidentes e restauração). Para garantir evidência, deve haver previsão de auditoria e acesso a relatórios operacionais e comprovações de conformidade, com responsabilidades claras entre contratante e contratada.

 

Quais medidas técnicas e administrativas incluir para acesso a dados, sigilo e continuidade

 

O contrato deve amarrar segurança da informação em três frentes: acesso a dados com controle de autorização e trilhas de auditoria, sigilo com responsabilidades formais e continuidade de negócios com planos testáveis. No eixo de acesso, é preciso exigir que qualquer base de produção seja usada por perfis definidos, com procedimento de concessão e revogação, registro de consultas e armazenamento mínimo de credenciais (ex.: cofre ou mecanismo equivalente). Isso reduz acessos “sob demanda” sem controle.

 

Em sigilo, o texto deve prever obrigação de confidencialidade por prazo determinado, tratamento de material classificado e proibição de uso secundário dos dados fora do escopo contratado, inclusive por subcontratados. Para auditoria, deve haver direito de verificação documental e operacional, com relatórios de conformidade e evidências preservadas; a Serpro reforça que o cumprimento da LGPD envolve medidas técnicas e administrativas e exige articulação com processos e contratos.

 

Para continuidade, o contrato precisa descrever o que acontece quando suporte ou infraestrutura falha: restauração planejada, tempo máximo de recuperação (definir metas por severidade), gatilhos para acionamento e papéis de decisão. Uma forma prática de exigir capacidade é pedir que o fornecedor apresente um plano de continuidade alinhado ao ambiente da contratante e descreva a rotina de testes (ex.: simulações) com registro de resultados e correções, conforme orienta o LNCC em acordos com fornecedores e cadeia de suprimentos.

 

Como exigir possibilidade de auditoria e alinhamento com políticas internas da contratante

 

O contrato deve prever auditoria de segurança e LGPD por evidências objetivas, com regras de acesso, escopo e periodicidade. Uma forma prática é exigir que a contratada mantenha registros operacionais (por exemplo, trilhas de acesso e logs de eventos) e entregue relatórios de conformidade mediante solicitação, sem depender de “declarações gerais”. A exigência de auditoria também precisa ter gatilhos claros para ocorrências fora do padrão.

 

Para alinhamento com políticas internas, o contrato deve amarrar que a contratada respeita as regras documentadas da contratante em pontos específicos: controle de acesso (quem pode ver o quê), classificação de dados, critérios de retenção e descarte e requisitos de sigilo para todo recurso alocado.

 

Segundo o SERPRO, acordos precisam incluir medidas técnicas e administrativas e prever como a segurança será verificada na cadeia de fornecedores, reduzindo lacunas entre o que o contrato promete e o que o fornecedor consegue demonstrar (Serpro).

 

Como exceção operacional, a auditoria não deve ser “aberta” a qualquer instante: defina janela de execução (por exemplo, revisões semestrais e auditorias extraordinárias em caso de incidente ou mudança relevante de escopo) e limite o que pode ser acessado, protegendo segredos comerciais e dados de terceiros. A organização também deve incluir obrigação de atualização documental sempre que houver mudança de processo, ferramenta ou responsável técnico, para que a evidência continue válida (LNCC).

 

Como usar evidências documentais (políticas, relatórios e processo) para reduzir risco

 

No contrato, a segurança da informação e a LGPD precisam aparecer como obrigações operacionais verificáveis: cláusulas de sigilo com vigência, restrição de acessos por perfil, classificação e tratamento de dados, política de uso de credenciais e condições para descarte seguro ao final do contrato. Na parte de auditoria, deve ficar prevista a possibilidade de auditoria (interna ou por terceiro), com trilhas de evidência e prazos para correção de não conformidades, sem “caber no depois”.

 

A contratante também deve exigir que a empresa forneça documentos que sustentem o que está sendo executado, e não só o que está descrito: política de segurança, procedimentos de resposta a incidentes, registros de mudanças (para identificar falhas introduzidas) e relatórios periódicos do atendimento. Um documento de apoio útil é a orientação de fornecedores e cadeia de suprimentos citada pelo LNCC, porque explicita que acordos devem envolver segurança e aderência às políticas internas e à LGPD.

 

Para reduzir risco sem travar a operação, o contrato pode amarrar evidências ao ciclo do suporte: a cada mudança relevante, a empresa entrega um “pacote” mínimo (ex.: justificativa, impacto, validação e evidência de rollback quando aplicável) e, no encerramento de incidentes graves, registra a causa provável, ações corretivas e lições aprendidas. Se houver subcontratação (por exemplo, manutenção externa ou acesso remoto), deve existir autorização prévia e extensão do sigilo e das obrigações de auditoria para o subcontratado (IN02_30042008).

 

Comparar “custo” entre fornecedores: como calcular o custo total de TI no RJ sem cair em iscas

 

Os itens que mais distorcem o custo total do contrato costumam ser horas “non-core” (trocas e deslocamentos), taxas de licenciamento mal descritas e custos de mudança de escopo sem fórmula de reajuste. Para comparar no RJ, a contratante deve pedir planilha com HORA técnica por perfil, excedentes por chamado e regime de reajuste, além de separar materiais de serviços e prever custo de migração/implantação.

 

Estruture a comparação por itens equivalentes e exigências documentadas para evitar surpresas no custo total.

 

Item que distorce custo

Como distorce

Como comparar nas propostas (RJ)

O que pedir para corrigir

Item que distorce custo

Como distorce

Como comparar nas propostas (RJ)

O que pedir para corrigir

Item que distorce custo

Como distorce

Como comparar nas propostas (RJ)

O que pedir para corrigir

Horas “livres” sem esforço

Carga muda por interpretação

Estimativa por atividade, esforço e entregável

Matriz esforço x entregáveis aprovada

Licenças e suportes “à parte”

Fica fora do pacote

Separar licenças, renovações e suporte

Planilha com itemização e vigência

Viagem/on-site pouco definido

Despesa varia com distância e agenda

Tabela de deslocamento e cobrança

Regra de KM/diárias + SLA on-site

Mudança de escopo e “troca” de prioridade

Mais horas por retrabalho

Registrar itens fora de escopo e CRQ

Fluxo de mudança com preço e prazo

 

Quando parar e pedir ajuste (ou trocar de fornecedor) no suporte e na governança

 

A contratação deve ser interrompida quando a empresa de TI no RJ não consegue comprovar, em documentação e registros, o cumprimento de SLA e a execução de rotinas de segurança: chamados sem histórico verificável, ausência de relatórios de mudança e falhas repetidas sem análise de causa. Também é sinal de risco o escopo de segurança/LGPD tratado como “genérico”, com ausência de evidências de gestão de acessos (logs e revogações) e de continuidade (plano, testes e RTO/RPO).

 

Sinais de falha em SLA: ausência de métricas, prazos inconsistentes e falta de evidências

 

  1. Meça a cobertura de métricas no SLA contratual: só aceite atendimento com campos de tempo de resposta e resolução por severidade e histórico de relatórios mensais; ausência disso bloqueia a comprovação do desempenho.

  2. Compare prazos do SLA com registros operacionais (ticket/ordem de serviço) nos últimos ciclos: divergência recorrente entre “prazo prometido” e “data de fechamento” sem justificativa documentada indica falha de gestão.

  3. Exija evidências de cumprimento antes de pagar faturas: solicite logs de atendimento, registros de escalonamento e documentos de mudança; falta de trilha auditável impede concluir que houve execução.

  4. Interrompa a contratação e troque o fornecedor quando o contrato não mostrar penalidades com gatilhos acionáveis ou quando não houver resposta sob severidade crítica com evidência de causa e tratamento.

 

Sinais de falha em segurança/LGPD: escopo genérico, ausência de auditoria e lacunas de continuidade

 

  1. Exija que o escopo traga atividades detalhadas de segurança (ex.: classificação de dados, controles de acesso, gestão de incidentes) e rejeite propostas genéricas que não apontem evidências e entregáveis.

  2. Solicite e valide relatórios de auditoria e trilhas de acesso (quem acessou, quando, por qual justificativa) e interrompa a contratação se a empresa não apresentar registros auditáveis ou plano de auditoria para terceiros.

  3. Teste a continuidade com um plano operacional documentado (backups e restauração testada, procedimento de resposta a incidente, RTO/RPO indicados no contrato) e interrompa se faltar evidência de testes ou dependências críticas sem alternativa.

  4. Trave a contratação na falta de governança: recuse cláusulas que não preveem tratamento de subcontratados, sigilo, comunicação de incidentes e responsabilidades por falhas, deixando formalmente a lacuna aberta no contrato.

 

O que ajustar antes da assinatura: escopo, níveis, responsabilidades e amarrações contratuais

 

A contratação deve ser interrompida quando o fornecedor não conseguir comprovar cumprimento operacional com evidências e gatilhos de correção no próprio contrato. O primeiro sinal é ausência de indicadores verificáveis para atendimento e resolução, junto de prazos vagos que não viram ação quando um chamado fica “travado”. Sem isso, a empresa tende a negociar “boas intenções” em vez de reduzir recorrência.

 

Antes de assinar, o escopo precisa separar claramente o que é suporte contínuo do que é projeto ou demanda sob demanda, incluindo limites de disponibilidade e cobertura (on-site, remoto, janelas de atendimento por severidade). A contratante também deve exigir papéis formais: quem abre, quem aprova exceções, quem escalona e quem responde por cada etapa até o aceite final.

 

Uma amarração prática é incluir no contrato a obrigação de fornecer relatórios periódicos com histórico de chamados e evidência de execução do que foi prometido.

 

Em segurança e continuidade, a decisão deve ser baseada em requisitos executáveis, não em texto genérico: controle de acesso por credenciais individuais, trilhas de auditoria, procedimento de gestão de incidentes e obrigação de tratamento de dados alinhado à LGPD (Serpro). Se o fornecedor não descrever como limita acesso, como registra eventos e como aciona resposta a incidentes dentro dos mesmos prazos do SLA, o risco fica “fora do prazo” e a operação passa a depender de improviso.

 

Se o contrato não contiver escopo separando suporte e projeto, papéis de responsabilidade e evidências auditáveis de segurança e SLA, a contratação deve ser travada até a empresa ajustar essas amarrações; a ação imediata é devolver a minuta com cláusulas objetivas de medição, escalonamento e comprovação documental.

 

Perguntas Frequentes

 

O que fazer quando o fornecedor oferece “suporte incluso” mas não define métricas de atendimento no SLA?

 

Nessa situação, o contratante tende a ficar sem base para comparar efetividade entre propostas e para exigir prazos consistentes. O caminho é exigir métricas objetivas no contrato (por exemplo, tempo de resposta, tempo de resolução e critérios de severidade) antes de assinar, vinculando também evidências de cumprimento para verificação posterior.

 

Como calcular o custo total sem cair em “itens que parecem inclusos” (licenças, horas extras e mudanças de escopo)?

 

O ponto crítico é separar o que é unidade de cobrança do que é apenas promessa operacional. Vale pedir uma matriz de composição do preço (hora x esforço quando houver, licenças e taxas, e como mudanças de escopo serão precificadas), para que o custo não varie por interpretação durante o contrato.

 

Vale contratar a empresa para TI RJ por demanda (projeto pontual) em vez de SLA contínuo?

 

Depende da criticidade do ambiente e da frequência de incidentes e manutenções: quando há necessidade de resposta rápida e previsível, SLA contínuo reduz incerteza. Já em demandas realmente eventuais, um modelo por projeto pode funcionar, desde que o contratante defina prazos mínimos, responsabilidades e o que acontece em caso de falha durante o período de garantia/aceite.

 

Quais sinais indicam que a parte de segurança/LGPD do contrato está “genérica demais” e pode virar risco na prática?

 

Sinais comuns são obrigações sem descrição de medidas técnicas e administrativas, ausência de requisitos de acesso a dados (quem acessa, como acessa e com que controles) e falta de mecanismos de evidência e auditoria. Antes da assinatura, o contratante deve exigir que essas obrigações sejam verificáveis no decorrer do contrato, não apenas declaradas como intenção.

Posts sugeridos

Cabeamento estruturado: como planejar rede e infraestrutura com padrão

Cabeamento estruturado: como planejar rede e infraestrutura com padrão

Suporte TI para escritório contábil em Rio de Janeiro: o que avaliar antes de contratar

Suporte TI para escritório contábil em Rio de Janeiro: o que avaliar antes de contratar

Terceirização de TI contabilidade: critérios para escolher o parceiro certo no Brasil

Terceirização de TI contabilidade: critérios para escolher o parceiro certo no Brasil

TI para contabilidade RJ: critérios para escolher serviços e automatizar rotinas

TI para contabilidade RJ: critérios para escolher serviços e automatizar rotinas

TI gerenciada na contabilidade: critérios para escolher e integrar com segurança

TI gerenciada na contabilidade: critérios para escolher e integrar com segurança

Antivírus corporativo vs EDR: diferenças práticas para reduzir o risco em empresas

Antivírus corporativo vs EDR: diferenças práticas para reduzir o risco em empresas