Qual a diferença entre Segurança e Conformidade e Adequação à LGPD na Zulti?

Os dois serviços têm gatilhos e escopos diferentes. S&C estrutura o programa integrado — ISO 27001 + LGPD juntas — partindo da pressão de cliente, investidor ou auditor que cobra postura ampla de segurança. Quando o gatilho é específico de LGPD (notificação da ANPD, titular pedindo acesso a dados, mapeamento de tratamento por incidente de privacidade), a página de Adequação à LGPD cobre o escopo dedicado: DPO, RIPD, mapeamento de tratamentos, relacionamento com ANPD. Os dois caminhos se cruzam mas têm pontos de partida distintos: S&C parte da governança ampla, LGPD parte do dado pessoal. Cliente que precisa dos dois compra os dois sem sobreposição.

Quem implementa o programa no ambiente? A Zulti faz a parte técnica?

S&C estrutura, documenta e organiza as evidências — não executa parafuso técnico no ambiente do cliente. Implementação dos controles (hardening, MFA, segregação de rede, backup, monitoramento) acontece em três caminhos possíveis, escolha do cliente. (1) TI interno do cliente: Zulti documenta, treina os donos de processo e valida a implementação no fechamento de cada ciclo. (2) MSP Zulti em contrato separado: o time de Serviços Gerenciados da Zulti executa no ambiente o que foi documentado, com contrato e cobrança independentes do programa S&C — sem pacote forçado. (3) Outro fornecedor: o programa documental vale por si só, e qualquer MSP competente consegue executar a partir das políticas escritas. A Zulti não obriga, declara a divisão no onboarding.

Se o auditor ou cliente pedir algo que não estava no escopo inicial, a Zulti cobra extra?

Depende do tipo de pedido. Pedidos que se encaixam no escopo documentado — uma nova evidência derivada de processo já mapeado, uma política existente atualizada, resposta a questionário usando o dossiê já montado — entram no projeto ou no retainer sem cobrança adicional. Pedidos que claramente expandem escopo — novo domínio de controle não mapeado, sistema novo entrou em operação depois do projeto, certificação contra norma adicional não prevista, novo programa de compliance — viram orçamento à parte, conversado antes. A regra é simples: o escopo é declarado por escrito no início, e qualquer expansão precisa de aceite formal antes da execução. Sem surpresas em fatura.

ISO 42001 também entra no programa? Como funciona governança de IA na Segurança e Conformidade?

Entra quando o cliente usa IA em processos que merecem governança formal — modelos próprios em produção, sistemas que decidem ou recomendam de forma automatizada, dados sensíveis em treinamento ou inferência. ISO 42001 (gestão de sistemas de IA) é tratada como camada adicional ao programa ISO 27001 da Zulti, com sobreposição máxima de evidência: controles de gestão, gestão de risco, gestão de fornecedores são compartilhados; o que muda são os controles específicos de IA (governança de modelo, uso responsável, transparência, supervisão humana). Quando o cliente ainda não usa IA num grau que justifique 42001, o programa fica em ISO 27001 + LGPD e a Zulti não infla escopo. A inclusão ou não da 42001 é decidida no diagnóstico inicial.

O que é o PESI? Como ele se diferencia das políticas de segurança da informação?

O PESI (Plano Estratégico de Segurança da Informação) é o documento de mais alto nível do programa — define visão, objetivos, prioridades e iniciativas de segurança da informação alinhadas à estratégia do negócio, geralmente com horizonte de 2 a 3 anos. É o que orienta o que vai ser feito, em que ordem, e por que aquela ordem faz sentido pra essa empresa. As políticas (PSI, Política de Acesso, Política de Backup, Política de Incidente, etc.) são as regras táticas/operacionais derivadas do PESI — o que cada papel da empresa pode e não pode fazer no dia a dia. Em resumo: o PESI define a direção, as políticas implementam a direção. A Zulti entrega o PESI como parte do projeto fechado de S&C e, no retainer mensal, revisa o PESI anualmente conforme o negócio muda (crescimento, novo produto, novo mercado, novo regulador).

Falar com a Zulti →

Z Segurança e Conformidade programa formal · audit-ready

Segurança formal antes do cliente cobrar — não em cima da hora.

Programa formal com ISO 27001 / 42001 e LGPD integrada, evidências organizadas no Anchor. Quando o questionário chega, você responde em dias — não em meses de pânico.

Agendar 15 min → Ver as frentes ↓

dd-q · #284 Information Security Questionnaire submetido 14:32

VENDOR Cliente Atual · Empresa 220 colab.

ACQUIRER Tier-1 BR — confidencial

SCOPE InfoSec + Privacy

Q1. Há Política de Segurança da Informação aprovada e revisada?

Sim · Política v2.3 · revisada 03/mar/2026 ISO 27001 · A.5.1

Q2. Quais normas a empresa atende ou está em adequação?

ISO 27001 · LGPD · 42001 (em adequação) 4 normas

Q3. Tratamento de dados pessoais — mapeamento e bases legais?

18 tratamentos mapeados · base legal por tratamento LGPD · Art. 37

Q4. Houve incidente de segurança nos últimos 12 meses?

Não · evidência: log do SIEM (12 meses) ISO 27001 · A.16

Q5. Controles de acesso (MFA, RBAC, revisão periódica)?

MFA universal · RBAC documentado · revisão trimestral ISO 27001 · A.9

Q6. Governança de IA — gestão de modelos e dados de treinamento?

Adequação em curso · 3 modelos catalogados · políticas em revisão ISO 42001

evidências anexadas 14/14 · respondido em 3 dias úteis

Anchor · dossiê montado, não improvisado

modelo · projeto + retainer opcional normas · ISO 27001 / 42001 + LGPD plataforma · Anchor (read-only)

Antes da cobrança chegar

Você não escolhe quando vão te cobrar. Só escolhe se vai estar pronto quando vier.

Cliente Tier-1 manda questionário com 15 dias de prazo. Investidor abre due diligence depois da carta de intenção. Auditor entra com cronograma fixo. Quando a pressão chega, fazer correndo é caro — e quase sempre mostra evidência fraca, política improvisada, controle que ninguém testou. O programa precisa estar montado antes da pressão, não durante. E mais: programa estruturado por dentro também — PESI com prioridades pra 2–3 anos, políticas que o time conhece, termo de uso aceitável de TI assinado no onboarding, ambiente menos vulnerável que o de ontem. Vale pra empresa de qualquer porte que ainda não tem programa formal de segurança — desde organização estruturando pela primeira vez até empresa grande com baixa maturidade que precisa subir pra responder cliente Tier-1, investidor ou auditor.

Empresa em estruturação que atende cliente Tier-1

Empresa que entrega pra grande conta — banco, varejo, indústria global, plataforma SaaS Tier-1. Cada cliente novo vem com questionário pesado de segurança (40-80 perguntas, prazo curto, exige evidência anexada), e o contrato fica condicionado à resposta. Sem programa formal pronto, é correria — e nem sempre passa.

Empresa em rodada de investimento ou M&A

Startup levantando rodada, empresa sendo comprada ou em joint venture. Due diligence vai pedir políticas escritas, evidências de controle, postura de risco documentada, mapa de incidentes e fornecedores. Sem programa estruturado, o valuation cai ou o deal trava — pior que cair, é negociar sob desvantagem.

Empresa que cresce sem método interno

Empresa de 50 → 200 funcionários, vários sistemas, dados de cliente, fornecedores integrados — mas tudo no Word, na planilha, no chat. Política existe? Sim. Quem leu? Ninguém. Termo de uso aceitável de TI assinado pelos colaboradores? Não tem. Risco interno alto, programa formal ausente — questão de tempo até cobrar caro.

As 4 frentes do programa

Quatro frentes que transformam a empresa em audit-ready — antes do auditor pedir.

Cada frente entrega uma parte do programa. Diagnóstico identifica o gap contra a norma. Programa documental escreve políticas, controles e termo de uso aceitável de TI pra colaboradores. Evidências organiza tudo no Anchor. Preparação pra cobrança monta o dossiê pra entregar — questionário de cliente, due diligence ou auditor. Juntas, fazem a empresa responder em dias ao que viria correndo em semanas.

— Frente 01

Diagnóstico de postura

Gap analysis contra ISO 27001 (com LGPD integrada). Onde a empresa está hoje vs onde precisa estar — base pra direção do programa.

Mapa de não-conformidades

PESI (2–3 anos, prioridades)

Ponto zero documentado

— Frente 02

Programa documental

PESI aterrado em políticas escritas, controles documentados e termo de uso aceitável de TI — direção que vira documento, documento que vira rotina.

8-12 políticas (SI, Acesso, Backup, Incidente)

14+ controles documentados

Termo de uso aceitável de TI

— Frente 03

Evidências no Anchor

Plataforma de GRC própria da Zulti. Zulti opera, cliente acessa read-only — evidência sincronizada e sempre pronta.

Anchor configurado + domínios ISO

Logs, registros e assinaturas sincronizados

Cliente acessa read-only do programa

— Frente 04

Preparação pra cobrança

Quando a cobrança vier — questionário, DD ou auditor — a Zulti monta a resposta do Anchor.

Resposta a questionário em dias

Dossiê de due diligence montado

Pacote pra auditor interno/externo

— Como conviver com o time interno

A Zulti estrutura e dirige; o time interno do cliente executa o programa diário. Política é escrita pela Zulti mas distribuída e cobrada por quem mora dentro. Evidência é organizada no Anchor pela Zulti, mas alimentada pelo time interno (logs, registros, comprovantes). Sem competição com TI, RH ou jurídico interno — papéis separados, combinados no onboarding.

papéis separados · combinados no onboarding

Como compõe

Projeto fechado pra estruturar. Retainer opcional pra manter vivo.

O programa cabe em projeto fechado — semanas, não anos. Diagnóstico, documentação e dossiê inicial no Anchor entregues com escopo e prazo definidos. O retainer só faz sentido quando você quer manter o programa atualizado entre auditorias, sem montar tudo de novo no susto. E a Zulti diz na largada se você cabe nesse modelo ou não.

— modalidade 01

Projeto fechado

diagnóstico + estruturação inicial

o que entra

Diagnóstico de postura contra ISO 27001 (LGPD integrada)
PESI — Plano Estratégico de SI com prioridades pra 2–3 anos
Conjunto de políticas, controles e procedimentos documentados
Termo de uso aceitável de TI pra colaboradores (RH anexa ao contrato)
Evidências organizadas no Anchor — dossiê pronto pra entregar
Treinamento mínimo da liderança e dos donos de processo
Carta de prontidão pra responder questionário / DD / auditor

faz sentido quando

Você precisa estar pronto pra uma cobrança identificada — cliente Tier-1 fechando, rodada em conversa, calendário de auditoria definido — e quer encerrar o capítulo com programa montado, sem contrato aberto depois.

continuidade opcional — modalidade 02

Projeto + retainer

estruturação + sustentação contínua

o que entra além do projeto

Anchor mantido vivo — evidências atualizadas mês a mês
Revisão anual do PESI conforme o negócio muda
Revisão de políticas conforme o programa amadurece
Resposta a questionários e DDs novos durante o ano
Avaliação de fornecedores críticos em novos contratos
Preparação pra recertificação ou auditoria anual
Pareceres escritos sob demanda em decisões de segurança

faz sentido quando

Você atende clientes que pedem revalidação anual, vai entrar em ciclo de auditoria recorrente, ou quer manter o programa vivo sem reativar projeto cada vez que algo muda no negócio.

Estruturação ≠ Execução

A Zulti documenta. Quem implementa, você escolhe.

S&C entrega o programa documental e o dossiê no Anchor — políticas, controles e procedimentos formalizados. Apertar parafuso técnico no ambiente (hardening, MFA, segregação, backup, monitoramento) é etapa separada. A Zulti não obriga: você decide quem executa.

opção 01

TI interno do cliente

A Zulti documenta, treina os donos de processo e valida a implementação no fechamento de cada ciclo. Funciona quando o time interno tem mão técnica pra executar.

opção 02

MSP Zulti (contrato separado)

Quando você prefere terceirizar a execução, o MSP da Zulti pega o que foi documentado e implementa no ambiente. Mesma casa, contrato separado — sem pacote forçado.

opção 03

Outro fornecedor

Você já trabalha com um MSP que prefere manter, ou quer cotar. O programa documental vale por si só — qualquer fornecedor competente consegue executar a partir das políticas escritas.

O custo do projeto sobe junto com a urgência. Programa estruturado com calendário próprio leva 8–12 semanas e cabe na rotina do time. Programa estruturado depois que o cliente cobrou, com prazo curto, vira plantão noturno — escopo apertado, retrabalho e risco real de o auditor não aceitar evidência produzida de afogadilho.

Quando vale o programa

Programa formal cabe em empresa sem time C-level interno — quando ela está no ponto certo. A Zulti diz na largada se você está nesse ponto.

Funciona quando a empresa tem rotina pra estruturar com calma e reconhece a cobrança que vem aí. Quando a frequência regulatória for diária, quando o problema for execução técnica, ou quando a empresa pedir cadeira fixa em comitê, programa documental sozinho não basta — e a Zulti aponta o caminho certo, sem inflar escopo pra manter contrato.

Vale esse modelo

Quando o programa estruturado de S&C entrega valor real.

Empresa atendendo cliente Tier-1, investidor ou auditor. Você sabe que vão pedir questionário de segurança no próximo ciclo — quer chegar lá com programa montado, dossiê pronto e responder em dias, não em semanas de improviso.

Empresa entrando em ciclo de auditoria recorrente. Cliente pede revalidação anual, fundo pede prova de governança, ou contrato corporativo exige cláusula de compliance — programa precisa virar rotina anual, não evento isolado.

Empresa crescendo "sem método interno" — tudo na cabeça do CEO e do TI. Vai bem até a primeira saída de pessoa-chave, primeiro incidente ou primeira cobrança externa. Estruturar agora é mais barato que estruturar depois, sob pressão.

Cliente que quer termo de uso de TI assinado pelos colaboradores. Documento corporativo que o RH anexa ao contrato ou pede assinatura no onboarding — define o que o colaborador pode e não pode fazer com dados, dispositivos e acessos. Reduz risco interno real, não é só fachada de auditoria. O contrato de trabalho em si é com o jurídico do cliente.

Empresa que prefere projeto fechado a consultoria que mora dentro. Escopo definido, prazo definido, entregas listadas, contrato que encerra. Retainer só se você quiser continuidade — nunca como obrigação pra fechar o projeto inicial.

Talvez não basta

Quando o programa documental sozinho fica curto.

Empresa que precisa do carimbo oficial de certificação ISO. A Zulti deixa a empresa pronta pra auditoria de certificação — mas o selo em si é emitido por organismo certificador credenciado (BSI, Bureau Veritas, BSC). Isso é contrato separado, com auditor externo.

Operação regulada pesada (BACEN, SUSEP, ANS, saúde regulamentada). Frequência regulatória diária pede equipe dentro do compliance todos os dias — esse modelo de programa enxuto não cobre esse ritmo, e o regulador não aceita estruturação por ciclos.

Cliente que quer alguém executando no ambiente dia-a-dia. Aplicação de patches, gestão de MFA, hardening de servidor, monitoramento de log — operação técnica é com MSP, Cibersegurança ou time interno. S&C documenta o "o quê" e o "por quê" — executar parafuso é outro escopo.

Empresa que quer apenas comprar template de política avulsa. Política sem treinamento, sem evidência e sem revisão é decoração. A Zulti não vende documento solto — vende programa que funciona quando o auditor abre.

Empresa que precisa de cadeira fixa em comitê de board. Quando segurança vira agenda recorrente do conselho — risco semanal, decisão semanal, presença executiva fixa — o serviço é CISO sob demanda, que é cadeira contratada. Programa documental sozinho não preenche essa cadeira.

Quando o programa amadurece, o caminho natural é cadeira de CISO. O objetivo de S&C é deixar a empresa com programa funcionando — políticas vivas, evidências organizadas, processo rodando. Quando esse programa demanda cadeira fixa em comitê e direção de risco recorrente, a Zulti aponta a transição pra CISO sob demanda — sem rebrand do que já existe, sem repetir cobrança do que já foi entregue.

Caso destaque · S&C em ação

Quando a auditoria de uma Big Tech chegou, a Álamo passou com 100%.

Agência de marketing parceira de uma Big Tech precisava passar por adequação ao PESI (Plano Estratégico de Segurança da Informação) e ajustar o ambiente às ISO 27001 / 27002 e LGPD para manter o contrato. A Zulti estruturou o programa antes do prazo apertar — diagnóstico, PESI, políticas, controles e evidências — e levou a empresa pra dentro da auditoria sem improviso. Resultado: 100% de aderência, contrato mantido.

Programa PESI · ISO 27001/27002 · LGPD

Programa de adequação executado em 6 meses, sem ruptura operacional.

Diagnóstico em 30 dias, implementação dos controles em 4 meses, auditoria da Big Tech no sexto. Equipe da Álamo continuou produzindo o tempo todo — a Zulti operou em paralelo, ajustando processo, política, ambiente técnico e treinamento de pessoal. Antecipação fez o que improviso não faria: chegar na auditoria com tudo no lugar.

Álamo · assessment final Aprovado

Organizacional

100%

Pessoas

100%

Físico

100%

Tecnológico

100%

Privacidade

100%

Governança

100%

Aderência total 100%

Perguntas frequentes

Antes de iniciar um projeto de conformidade, todo CEO pergunta o mesmo. Aqui as respostas, sem floreio.

O que é auditável de verdade, o que é teatro, e o que sustenta no dia a dia.

Como funciona o projeto fechado? Em quanto tempo o programa fica pronto? +

~12 semanas, três blocos. Diagnóstico (semanas 1–3): gap analysis contra ISO 27001 com LGPD integrada + PESI (Plano Estratégico de SI) com direção pra 2–3 anos. Estruturação (semanas 4–9): políticas, controles, procedimentos e termo de uso aceitável de TI (que o RH amarra ao contrato), escritos pra esse cliente — não template de prateleira. Carga no Anchor (semanas 10–12): evidências organizadas, dossiê montado, carta de prontidão pra responder questionário / due diligence / auditor. No fim do ciclo o contrato encerra; retainer é opcional pra quem quiser manter o programa vivo entre auditorias.

Vocês emitem o certificado ISO 27001 ou eu preciso de auditor externo? +

Auditor externo, sempre. O selo de ISO 27001 (ou 42001) só pode ser emitido por organismo certificador credenciado — BSI, Bureau Veritas, DNV, BSC, entre outros. Isso é regra do INMETRO/IAF, não escolha comercial. A Zulti faz a parte do meio: estrutura o programa, organiza as evidências e deixa a empresa pronta pra entrar na auditoria de certificação sem improviso. Quando o cliente quer o selo, indicamos certificador e acompanhamos o ciclo de auditoria (contrato à parte, valor do certificador). Quando o cliente só precisa estar pronto pra responder cobrança comercial (Tier-1, M&A), o programa funciona sem o selo — é o caso mais comum.

O retainer mensal é obrigatório depois do projeto? +

Não. O projeto fechado encerra no entregável — programa documentado, dossiê no Anchor, treinamento aplicado. Você sai dali com o programa rodando e contrato fechado. O retainer só faz sentido quando você quer manter o programa vivo: evidências atualizadas mensalmente, revisões de política à medida que o negócio muda, resposta a novos questionários ao longo do ano, preparação pra recertificação. Quem está atendendo um único cliente Tier-1 num ciclo único pode não precisar. Quem tem fluxo recorrente de auditoria/DD geralmente quer. A Zulti diz na largada o que faz sentido pro seu caso.

Qual a diferença entre Segurança & Conformidade e a página de Adequação à LGPD? +

Escopo e gatilho diferentes. S&C estrutura o programa integrado — ISO 27001 + LGPD juntas, partindo da pressão de cliente / investidor / auditor que cobra postura ampla de segurança. Quando o gatilho é só LGPD (notificação da ANPD, titular pedindo acesso, mapeamento de tratamento por incidente específico), a página de Adequação à LGPD cobre — DPO, RIPD, mapeamento de tratamentos, ANPD. Os dois caminhos se cruzam mas têm pontos de partida distintos: S&C parte da governança ampla, LGPD parte do dado pessoal. Cliente que precisa dos dois compra os dois sem sobreposição — escopos são desenhados pra não cobrar duas vezes a mesma evidência.

O Anchor é da Zulti. Se eu encerrar o contrato, perco o dossiê? Posso exportar? +

Exporta tudo. O Anchor é a plataforma de GRC da Zulti — operada por nós, com acesso read-only pro cliente durante o contrato. Mas o conteúdo (políticas, controles, evidências, registros) é seu: contratualmente, na rescisão você recebe export completo em formato aberto (PDF + ZIP estruturado, JSON pros metadados), pronto pra subir em qualquer outro GRC ou pra manter num drive corporativo. Sem lock-in. Isso não é boa vontade — é cláusula. O Anchor existe pra organizar, não pra prender.

Para quem NÃO é

Programa de conformidade não é certificado de parede.

Honestidade comercial é o que nos sustenta há quase uma década. Em alguns cenários, outro modelo cabe melhor — listamos abertamente pra você economizar tempo de avaliação.

✕ Você quer comprar template solto de política pra ter "alguma coisa no drive". A Zulti não vende documento avulso. Política sem treinamento, sem evidência e sem revisão é decoração — auditor abre, vê data de criação há 2 anos sem nenhum sinal de uso, e descarta. O que vendemos é o programa rodando, não o arquivo.

✕ Você quer a Zulti executando o programa no ambiente diariamente — aplicando patches, gerenciando MFA, fazendo hardening de servidor, monitorando log. S&C documenta o "o quê" e o "por quê"; execução técnica é com MSP, Cibersegurança ou time interno — contrato e escopo separados.

✕ Você quer o selo oficial de certificação ISO dentro do mesmo contrato. A Zulti deixa a empresa pronta pra entrar na auditoria de certificação — mas o selo é emitido por organismo certificador credenciado (BSI, Bureau Veritas, DNV, BSC). Esses são contratos separados, com auditor externo, valor cobrado pelo certificador.

✕ Sua empresa ainda não tem um patrocínio interno definido pro programa — quem responde por segurança, quem aprova política, quem entra em comitê. A Zulti estrutura programa que precisa de owner pra rodar; se ninguém de dentro está disponível pra assinar políticas e cobrar implementação, o programa fica de pé mas não anda.

✕ Você quer parecer pra justificar decisão já tomada — "validação" encomendada pra cobrir escolha interna de fornecedor ou postura. A Zulti dá leitura honesta da postura; quando a recomendação contraria a decisão preferida do cliente, ela vai assim mesmo. Se o objetivo é referendo, esse modelo vira atrito.

✕ Sua matriz já tem programa corporativo de segurança e você quer só replicar local sem adaptar. A Zulti não faz cópia carbono — programa traduzido pra realidade local, fornecedores brasileiros, contrato de trabalho CLT, ANPD em vez de regulador estrangeiro, exige releitura. Quando a matriz já dá toda a estrutura formal e o local só precisa executar, melhor um MSP que rode a régua da matriz.

Mais da Zulti