RFP SaaS

Arquitetura No Comments

Prompt

Criar um questionário abrangente para avaliar fornecedores de software como serviço (SaaS) é uma tarefa complexa que requer uma abordagem estruturada. Abaixo está um exemplo de como criar um questionário que aborde os requisitos especificados, mantendo o formato e a estrutura necessários.

Estrutura do Questionário

  1. Introdução e Informações do Fornecedor

    • Nome do Fornecedor
    • Descrição do Serviço
    • Plataforma/Soluções Oferecidas

  2. Requisitos de Segurança

    • Autenticação e Autorização
    • Criptografia de Dados
    • Conformidade com Normas de Segurança (ISO 27001, etc.)

  3. Disponibilidade e Suporte

    • Níveis de Serviço Oferecidos (SLAs)
    • Horário de Suporte
    • Canais de Suporte (e-mail, telefone, chat)

  4. Conformidade e Certificações

    • Certificações de Segurança (SOC 2, ISO 27001)
    • Conformidade com Regulamentações (LGPD, GDPR)

  5. Escalabilidade e Flexibilidade

    • Capacidade de Escala
    • Flexibilidade em Modificar Configurações

  6. Custo e Transparência de Preços

    • Estrutura de Preços
    • Custos Adicionais Possíveis

  7. Experiência do Usuário (UX) e Interface do Usuário (UI)

    • Clareza na Interface
    • Facilidade de Uso

  8. Integração e APIs

    • Opções de Integração
    • Documentação de APIs

  9. Suporte ao Cliente e Recursos

    • Níveis de Suporte Oferecidos
    • Recursos de Autoajuda Disponíveis

  10. Conformidade com Regulamentações e Leis

    • Conformidade Legal
    • Políticas de Privacidade

Exemplo de Questionário:

Seção 1: Introdução

  1. Qual é o nome da sua empresa?
  2. Descreva brevemente o serviço ou produto que você oferece.

Seção 2: Segurança

  1. Quais medidas de segurança você implementa para proteger os dados dos usuários?
  2. Você é compatível com quais padrões de segurança (ISO 27001, etc.)?

Seção 3: Conformidade e Certificações

  1. Você possui certificações relevantes (SOC 2, ISO 9001)?
  2. Como você garante a conformidade com regulamentações relevantes?

Seção 4: Funcionalidades e Integrações

  1. Quais são as principais funcionalidades do seu produto?
  2. Quais integrações você oferece (APIs, etc.)?

Seção 5: Suporte e Documentação

  1. Que tipo de suporte você oferece?
  2. Qual é a qualidade da documentação fornecida?

Seção 6: Conformidade e Ajustes

  1. Você pode personalizar o produto/serviço de acordo com as necessidades do cliente?
  2. Qual é o processo de feedback e melhoria contínua?

Seção 7: Finalização

  1. Quais são os próximos passos após o envio deste questionário?
  2. Como você notificará o cliente sobre o andamento do processo?

Para o Respondedor:

  • Certifique-se de que todas as seções sejam preenchidas completamente.
  • Forneça informações de contato para esclarecimentos adicionais, se necessário.

Formato de Entrega:

  • Preenchido em formato digital (e.g., PDF preenchível)
  • Enviado por e-mail para [inserir e-mail]

Com este modelo, você pode criar um questionário detalhado e estruturado para avaliar fornecedores de SaaS, garantindo que todas as informações necessárias sejam coletadas de maneira clara e organizada.

Adapta

Questionário Abrangente para Avaliação de Fornecedores SaaS

Abaixo está um modelo completo, estruturado e pronto para uso, que você pode enviar a fornecedores de software como serviço (SaaS). Ele cobre segurança, privacidade, disponibilidade, integração, suporte, aspectos comerciais, viabilidade do fornecedor, entre outros. Inclui escalas de maturidade, perguntas “knockout” (eliminatórias), indicações de evidências a anexar e uma matriz de pontuação sugerida.

Você pode utilizar todo o conteúdo como base para criar uma versão preenchível em PDF ou um formulário online. Se quiser, posso transformar este questionário em um roteiro estruturado para planilha (com pontuação automática) ou em um texto pronto para formulário digital.

Instruções ao Respondente

  • Preencha todas as questões marcadas como [Obrigatório].
  • Onde indicado, anexe evidências/documentos. Caso não possa anexar, descreva o motivo e prazo para disponibilização.
  • Utilize a escala de maturidade quando solicitada: 0 (não aplicável/ausente), 1 (iniciante), 2 (básico), 3 (intermediário), 4 (avançado), 5 (excelente/otimizado).
  • Se uma pergunta não se aplicar, informe “Não se aplica” e explique brevemente.
  • Ao final, confirme a veracidade das informações.

Seção 1: Introdução e Informações do Fornecedor

  1. Nome legal da empresa [Obrigatório]
  2. Nome fantasia (se houver)
  3. País de constituição e jurisdições onde opera [Obrigatório]
  4. Descrição breve do serviço/produto SaaS [Obrigatório]
  5. Segmento(s) atendido(s) (ex.: financeiro, varejo, saúde, educação) [Obrigatório]
  6. Principais diferenciais competitivos
  7. Modelo de implantação: 100% SaaS multitenant, SaaS single-tenant, hospedagem dedicada/gerenciada, híbrido [Obrigatório]
  8. Data de início de operação do produto (ano) [Obrigatório]
  9. Tamanho da base de clientes (faixas: <50, 50–200, 200–1.000, >1.000)
  10. Referências de clientes (nomes e contatos, se autorizado)
  11. Ponto focal técnico e comercial (nome, e-mail, telefone) [Obrigatório]

Evidências solicitadas:

  • Folheto/one-pager de produto
  • Diagrama de alto nível da solução

Seção 2: Produto, Arquitetura e Roadmap

  1. Descreva a arquitetura de alto nível (componentes, data stores, serviços) [Obrigatório]
  2. O produto é multitenant? Explique a segregação lógica entre clientes [Obrigatório]
  3. Ambientes disponíveis: desenvolvimento, homologação/sandbox, produção [Obrigatório]
  4. Suporte a multi-região e redundância geográfica
  5. Estratégia de escalabilidade (horizontal/vertical, auto-scaling)
  6. Tecnologias/plataformas principais (ex.: linguagens, frameworks, cloud provider)
  7. Roadmap público/compartilhável dos próximos 12 meses
  8. Política de gestão de mudanças e janelas de manutenção [Obrigatório]
  9. Notificação prévia de mudanças de breaking changes (prazos, canais)

Evidências solicitadas:

  • Diagrama de arquitetura atualizado
  • Política de change management
  • Roadmap resumido (se disponível)

Seção 3: Segurança da Informação e AppSec

3.1. Governança e Controles

  1. Existe um programa formal de segurança da informação (CISO/responsável, comitês)? [Obrigatório]
  2. Políticas documentadas: segurança, classificação de dados, controle de acesso, resposta a incidentes, gestão de vulnerabilidades [Obrigatório]
  3. Treinamento de segurança para colaboradores e desenvolvedores (frequência) [Obrigatório]
  4. Programa de conscientização de phishing/engenharia social
  5. Política de uso de dispositivos pessoais (BYOD) e MDM

3.2. Autenticação e Autorização 6. Suporte a SSO (SAML 2.0, OIDC) [Obrigatório] 7. Suporte a MFA (TOTP, WebAuthn, SMS—desencorajado) [Obrigatório] 8. Modelos de autorização: RBAC, ABAC, custom claims [Obrigatório] 9. Provisionamento/desprovisionamento via SCIM

3.3. Criptografia e Gestão de Chaves 10. Criptografia em repouso (algoritmos, serviços KMS/HSM) [Obrigatório] 11. Criptografia em trânsito (TLS 1.2+/1.3, ciphersuites) [Obrigatório] 12. Gestão de chaves: rotação, segregação, acesso, logs [Obrigatório] 13. Opção de BYOK/CSE (bring your own key/customer-supplied encryption)

3.4. Desenvolvimento Seguro (SSDLC) 14. Práticas: revisão de código, SAST/DAST, análise de dependências, escaneamento de contêineres [Obrigatório] 15. SBOM gerado e disponível sob solicitação [Obrigatório] 16. Política de correção de vulnerabilidades (SLA por criticidade) [Obrigatório] 17. Testes de intrusão externos periódicos (freq., escopo, sumário executivo) [Obrigatório] 18. Programa de divulgação responsável/bug bounty

3.5. Monitoramento, Logs e Resposta a Incidentes 19. Centralização de logs, retenção e imutabilidade [Obrigatório] 20. Detecção de ameaças, EDR/XDR, alertas e 24×7 (se existir) 21. Plano de resposta a incidentes, RACI, comunicação a clientes e autoridades [Obrigatório] 22. Histórico de incidentes relevantes nos últimos 24 meses (resumo)

3.6. Segurança de Terceiros e Supply Chain 23. Processo de due diligence para suboperadores/fornecedores [Obrigatório] 24. Acordos de segurança e DPAs com suboperadores [Obrigatório] 25. Lista de suboperadores e funções (link ou anexo) [Obrigatório]

Escala de maturidade (0–5) para cada subitem acima.

Evidências solicitadas:

  • Políticas de segurança (sumário)
  • Sumário executivo de pen test recente
  • Política de resposta a incidentes
  • Política de gestão de vulnerabilidades
  • SBOM amostral (se possível)

Seção 4: Privacidade e Proteção de Dados (LGPD/GDPR)

  1. Papéis conforme LGPD/GDPR: controlador, operador ou ambos? [Obrigatório]
  2. Base legal típica para tratamento de dados (contrato, legítimo interesse, consentimento etc.) [Obrigatório]
  3. Tipos de dados tratados (pessoais, sensíveis, crianças/adolescentes) [Obrigatório]
  4. Finalidades, retenção e minimização de dados [Obrigatório]
  5. Localização dos dados e transferências internacionais (SCCs, países, mecanismos de adequação) [Obrigatório]
  6. DPO indicado (contato) [Obrigatório]
  7. Atendimento a direitos dos titulares (acesso, correção, exclusão, portabilidade). SLAs [Obrigatório]
  8. DPIA/ROPA disponíveis sob solicitação (se aplicável)
  9. Política de privacidade pública e específica para clientes [Obrigatório]
  10. Uso de dados para treinar modelos/analytics: é opcional? Opt-out disponível? [Obrigatório]
  11. Subprocessadores e governança de privacidade (lista e notificações) [Obrigatório]
  12. Notificação de incidentes de dados a clientes/autoridades (prazos/fluxo) [Obrigatório]

Evidências solicitadas:

  • Política de privacidade
  • DPA (Data Processing Addendum) modelo
  • Lista de subprocessadores
  • Modelos de SCCs (se aplicável)

Seção 5: Disponibilidade, Continuidade e Recuperação de Desastres

  1. SLA de disponibilidade (percentual e janelas de manutenção) [Obrigatório]
  2. SLOs internos e objetivos de erro
  3. Histórico de disponibilidade dos últimos 12 meses (link para status page) [Obrigatório]
  4. Estratégia de alta disponibilidade (zonas/regiões, failover) [Obrigatório]
  5. Plano de continuidade de negócios (BCP) e recuperação de desastres (DRP) [Obrigatório]
  6. RTO e RPO por serviço/componente [Obrigatório]
  7. Testes de DR (frequência e resultados)
  8. Mitigação de DDoS e proteção de borda (WAF, CDN)

Evidências solicitadas:

  • BCP/DRP sumário
  • Relatório de teste de DR (sumário)
  • Link da status page

Seção 6: Identidade, Acesso e Auditoria

  1. Contas administrativas separadas e privilegiadas (PAM) [Obrigatório]
  2. MFA obrigatório para administradores [Obrigatório]
  3. Princípio de menor privilégio e revisões periódicas de acesso [Obrigatório]
  4. Trilhas de auditoria (quem fez o quê, quando; exportáveis) [Obrigatório]
  5. Retenção e integridade de logs (evidências de acesso/alteração)

Seção 7: Integrações e APIs

  1. Tipos de APIs: REST, GraphQL, gRPC; estabilidade e versionamento [Obrigatório]
  2. Autenticação das APIs: OAuth2, OIDC, API keys, mTLS [Obrigatório]
  3. Limites e políticas de rate limit e quotas [Obrigatório]
  4. Webhooks (assinatura/verificação de integridade)
  5. SDKs oficiais e linguagens suportadas
  6. Catálogo de integrações nativas (ERP/CRM/IDP/etc.)
  7. Documentação pública e ambientes sandbox [Obrigatório]
  8. Eventos/streaming (webhooks, event bus, CDC) e garantias de entrega

Evidências solicitadas:

  • Link da documentação de API
  • Guia de autenticação e exemplos de código

Seção 8: Dados – Importação, Exportação, Backup e Exclusão

  1. Importação de dados (formatos, ferramentas, suporte) [Obrigatório]
  2. Exportação self-service em formatos abertos (CSV/JSON/Parquet, API) [Obrigatório]
  3. Frequência de backups, retenção e testes de restauração [Obrigatório]
  4. Exclusão/anonimização segura mediante solicitação (SLAs) [Obrigatório]
  5. Data ownership: quem é o titular/ proprietário dos dados? [Obrigatório]
  6. Data residency configurável por cliente (se aplicável)
  7. Suporte a criptografia por cliente/tenant (opção de chave por cliente)

Seção 9: Conformidade e Certificações

  1. Certificações vigentes: SOC 2 (Tipo I/II), ISO 27001, ISO 27701, ISO 27018, PCI DSS (se aplicável), HIPAA (se aplicável) [Obrigatório se alegado]
  2. Escopo das certificações (serviços/data centers) [Obrigatório]
  3. Auditorias independentes e frequência
  4. Política de auditoria de clientes e direito de auditoria contratual
  5. Evidências sob NDA (ex.: relatório SOC 2, cartas de atestação)

Evidências solicitadas:

  • Certificados (vigentes)
  • Carta do auditor/relatório sumário

Seção 10: Suporte, Operação e Sucesso do Cliente

  1. Planos de suporte e horários: padrão/estendido/24×7 [Obrigatório]
  2. Canais: portal, e-mail, telefone, chat [Obrigatório]
  3. SLAs de suporte por severidade (S1–S4), tempos de resposta e resolução [Obrigatório]
  4. Processo de escalonamento e gestão de problemas (RCA pós-incidente) [Obrigatório]
  5. Base de conhecimento/FAQ, tutoriais e documentação [Obrigatório]
  6. Treinamento e onboarding (inclui admin e usuários finais)
  7. Comunicações proativas: status page, newsletter técnica, roadmap updates

Evidências solicitadas:

  • Catálogo de suporte
  • Amostra de RCA anonimizada (se possível)

Seção 11: Performance, Observabilidade e SRE

  1. Indicadores de performance monitorados (p99/p95 latência, throughput) [Obrigatório]
  2. Orçamentos de erro, SLIs/SLOs e práticas SRE
  3. Observabilidade: métricas, logs, tracing distribuído [Obrigatório]
  4. Testes de carga e resultados (últimos 12 meses)
  5. Tuning automatizado/escalonamento elástico

Seção 12: Experiência do Usuário, Acessibilidade e Localização

  1. UX/UI: princípios, design system, consistência
  2. Acessibilidade: conformidade com WCAG 2.1 AA (ou superior). Evidências de testes [Obrigatório]
  3. Idiomas/Localização suportados
  4. Compatibilidade com navegadores, dispositivos móveis e apps nativos
  5. Recursos de administração delegada, perfis e configurações por tenant

Seção 13: Comercial, Preços e Contratos

  1. Modelo de licenciamento (por usuário, uso, volume, transação, feature) [Obrigatório]
  2. Estrutura de preços, pacotes e descontos (inclua exemplos de cálculo) [Obrigatório]
  3. Overage: limites, políticas e alertas preventivos [Obrigatório]
  4. Termos contratuais: prazo, renovação, rescisão e saída (offboarding) [Obrigatório]
  5. Limitações de responsabilidade, indenizações, IP e direito de uso [Obrigatório]
  6. DPA e anexos de privacidade/segurança disponíveis [Obrigatório]
  7. Direitos de auditoria, pen test de cliente, evidências sob NDA

Evidências solicitadas:

  • Proposta comercial modelo
  • Minuta contratual e DPA

Seção 14: Viabilidade do Fornecedor e Seguros

  1. Estrutura societária e principais investidores (se aplicável)
  2. Indicadores de saúde financeira (faixas de receita, crescimento, runway estimado) [Opcional sob NDA]
  3. Apólices de seguro: responsabilidade civil, ciber, E&O (limites e vigência) [Obrigatório se exigido contratualmente]
  4. Planos de continuidade do negócio do fornecedor (caso de M&A ou encerramento)
  5. Programas de compliance corporativo e ética

Evidências solicitadas:

  • Certificado de seguro
  • Carta de conformidade ética/compliance

Seção 15: Gestão de Mudanças, Versões e Deprecações

  1. Versionamento de APIs/SDKs e política de depreciação (prazos de aviso) [Obrigatório]
  2. Notificação de mudanças relevantes (canais, antecedência) [Obrigatório]
  3. Ambiente sandbox para validação antecipada
  4. Compatibilidade retroativa e estratégias de migração

Seção 16: Métricas de Valor, Referências e Casos

  1. Principais KPIs de valor para clientes (ex.: redução de custos, tempo de ciclo, NPS) [Obrigatório]
  2. Estudos de caso e resultados quantificados
  3. Referências de clientes para contato (se autorizado)

Evidências solicitadas:

  • Estudo de caso/whitepaper
  • Métricas de adoção/sucesso (sumário)

Seção 17: Uso de IA e Segurança de Modelos (Se Aplicável)

  1. O produto utiliza IA/ML em alguma funcionalidade? Quais casos de uso? [Obrigatório se aplicável]
  2. Dados do cliente são usados para treinar modelos? Há opt-in/opt-out granular? [Obrigatório]
  3. Controles contra exfiltração de dados via prompts e filtragem de conteúdo
  4. Avaliação de vieses, explicabilidade e registros de decisões automatizadas
  5. Proteções contra injeção de prompt e ataques de supply chain de modelos
  6. Gestão de modelos: versionamento, dataset cards, model cards
  7. Conformidade com normas setoriais (quando aplicável)

Seção 18: Sustentabilidade e Responsabilidade

  1. Estratégia ESG e metas públicas (se houver)
  2. Uso de data centers com energia renovável (percentual, regiões)
  3. Programas de acessibilidade para clientes e ações de inclusão
  4. Políticas de uso responsável de tecnologia e privacidade por design

Seção 19: Perguntas Knockout (Eliminatórias)

Responda Sim/Não e detalhe quando necessário.

  1. Suporte a SSO via SAML 2.0 ou OIDC para ambientes de produção? [Obrigatório]
  2. Criptografia em repouso e em trânsito (TLS 1.2+ ou 1.3) implementada? [Obrigatório]
  3. Exportação self-service dos dados do cliente em formato aberto? [Obrigatório]
  4. SLA de disponibilidade igual ou superior a 99,9% (ou informe seu SLA)? [Obrigatório]
  5. DPA padrão disponível para assinatura? [Obrigatório]
  6. Lista de subprocessadores disponível e atualizada? [Obrigatório]
  7. Plano de resposta a incidentes formalizado, com notificação ao cliente? [Obrigatório]
  8. Política de correção de vulnerabilidades com prazos para críticas (ex.: ≤ 15 dias)? [Obrigatório]

Observação: respostas “Não” podem exigir plano de ação com prazos.

Seção 20: Declaração e Assinatura

  1. Declaro que as informações prestadas são verdadeiras e refletem o estado atual da solução e da empresa. [Obrigatório]
  2. Nome, cargo, assinatura e data [Obrigatório]

Checklist de Anexos Solicitados

  • Diagrama de arquitetura de alto nível
  • Políticas-chave: segurança, privacidade, gestão de vulnerabilidades, resposta a incidentes
  • Sumário executivo de pen test (recente)
  • Certificados/relatórios: SOC 2 (sumário), ISO 27001/27701/27018, PCI (se aplicável)
  • DPA modelo e lista de subprocessadores
  • BCP/DRP (sumário) e resultados de teste de DR
  • Evidência de SLA/uptime (status page)
  • Catálogo de suporte e amostra de RCA
  • Documentação de API (link)
  • Certificado(s) de seguro cibernético/E&O
  • Estudo(s) de caso/métricas de sucesso
  • Política de depreciação/versionamento de APIs

Modelo de Escala de Maturidade (0–5) por Domínio

  • 0: Não aplicável ou inexistente
  • 1: Prática ad hoc, documentação mínima
  • 2: Básico, parcialmente documentado, execução inconsistente
  • 3: Intermediário, processos definidos e executados com regularidade
  • 4: Avançado, métricas, automação, auditorias internas regulares
  • 5: Excelente, melhoria contínua, auditorias externas, resultados comprovados

Use esta escala para: Segurança, Privacidade, Disponibilidade/DR, Integrações, Suporte, Observabilidade, Acessibilidade, Gestão de Mudanças, entre outros.

Matriz de Pontuação Sugerida

  • Segurança da Informação e AppSec: 30%
  • Privacidade e Proteção de Dados: 15%
  • Disponibilidade, Continuidade e DR: 15%
  • Integrações e APIs: 10%
  • Identidade, Acesso e Auditoria: 8%
  • Dados (import/export/backup/exclusão): 7%
  • Suporte e Operações: 7%
  • Conformidade e Certificações: 4%
  • UX/Acessibilidade/Idiomas: 2%
  • Comercial e Contratos: 2%

Dica de pontuação:

  • Atribua pesos por pergunta. Use a escala 0–5 e multiplique pelo peso.
  • Defina limites mínimos para knockout (ex.: Segurança ≥ 3, Privacidade ≥ 3, Disponibilidade ≥ 3).
  • Documente exceções com planos de remediação e prazos.

Formato de Entrega

  • Formulário digital preenchível ou PDF preenchível
  • Envio por e-mail para [inserir e-mail] ou por portal seguro
  • Anexos obrigatórios incluídos ou links sob NDA

Próximos Passos Após o Envio

  1. Análise técnica e de compliance (estimativa: 5 a 15 dias úteis, conforme complexidade).
  2. Solicitação de esclarecimentos ou evidências adicionais (se necessário).
  3. Reunião técnica para deep dive e demonstração (opcional).
  4. Avaliação de risco com recomendações/condições.
  5. Negociação de termos contratuais (DPA, SLAs, preços) e, se aplicável, PoC/piloto.
  6. Decisão e comunicação formal ao fornecedor.

Versão Resumida (Opcional) — para triagem inicial

  • Knockout (Seção 19)
  • Segurança: SSO/MFA, criptografia, pen test, gestão de vulnerabilidades
  • Privacidade: DPA, subprocessadores, residência de dados
  • Disponibilidade: SLA, histórico de uptime, DR (RTO/RPO)
  • Integrações: APIs, sandbox, rate limit
  • Comercial: modelo de preço, offboarding
  • Evidências essenciais: lista curta de certificados/políticas

Resumo

  • Este questionário oferece uma visão 360° para due diligence de fornecedores SaaS, com perguntas objetivas, escalas de maturidade e requerimentos de evidência.
  • Inclui knockout para acelerar a triagem e uma matriz de pontuação para decisões consistentes.
  • Cobre segurança, privacidade (LGPD/GDPR), disponibilidade/DR, integração, suporte, comercial, viabilidade e temas contemporâneos como IA e ESG.

Quer que eu:

  • Converta este modelo em um .docx preenchível ou em um formulário com lógica condicional?
  • Monte uma planilha com pesos e cálculo automático de pontuação e semáforos (verde/amarelo/vermelho)?
  • Adapte as perguntas ao seu setor (ex.: financeiro, saúde, educação) ou a exigências específicas (ex.: requisitos de auditoria, residência no Brasil/EU)?

 

Abacus – GPT-5.2

Questionário Abrangente de Avaliação de Fornecedores SaaS (Template)

Instruções ao fornecedor

  • Responda todas as perguntas. Se algo não se aplica, indique N/A e explique por quê.
  • Para itens de segurança/conformidade, inclua evidências (links, relatórios, prints, políticas, certificados) e datas (emissão/validade/última revisão).
  • Quando houver opções, marque uma: Sim / Não / Parcial / Em implementação.
  • Ao final, anexe os documentos solicitados na seção Anexos e Evidências.

Identificação do questionário

  • Nome do fornecedor:
  • CNPJ / País de registro:
  • Site:
  • Nome do produto/serviço SaaS:
  • Versão/edição (se aplicável):
  • Contato comercial: (nome, e-mail, telefone)
  • Contato técnico/segurança: (nome, e-mail, telefone)
  • Responsável pelo preenchimento: (nome, cargo, e-mail)
  • Data do preenchimento:

1) Introdução e Informações do Fornecedor

1.1 Descreva brevemente o serviço/produto e o principal caso de uso.
1.2 Quais módulos/funcionalidades estão incluídos na oferta padrão?
1.3 Quais são os principais clientes/segmentos atendidos (ex.: financeiro, saúde, varejo)?
1.4 O produto é multi-tenant, single-tenant ou ambos? Explique.
1.5 Existe dependência de terceiros críticos (ex.: cloud provider, provedores de e-mail/SMS, analytics)? Liste.
1.6 Há restrições conhecidas (limites técnicos, países suportados, navegadores, versões mobile)?
1.7 Forneça o organograma ou descrição do time responsável por segurança (mesmo que enxuta).

Evidências (se aplicável): apresentação do produto, arquitetura de alto nível, lista de dependências.

2) Requisitos de Segurança

2.1 Governança, políticas e gestão de risco

2.1.1 Possui políticas formais de segurança (SI, controle de acesso, criptografia, backup, resposta a incidentes)?
2.1.2 Com que frequência as políticas são revisadas e aprovadas?
2.1.3 Há programa de gestão de riscos e avaliação periódica? Como é feito?
2.1.4 Há treinamento obrigatório de segurança/privacidade para colaboradores? Periodicidade?

2.2 Autenticação e autorização

2.2.1 Quais métodos de autenticação são suportados?

  • Usuário/senha
  • SSO (SAML 2.0 / OIDC)
  • MFA (TOTP/SMS/Push/Chave física)
  • SCIM (provisionamento)
  • Outros:
    2.2.2 MFA é obrigatório? Pode ser imposto por cliente/tenant?
    2.2.3 Há políticas de senha (tamanho mínimo, complexidade, bloqueio, expiração)?
    2.2.4 Suporta RBAC (papéis), ABAC (atributos) e permissões granulares? Descreva.
    2.2.5 Existe segregação de funções (ex.: admin vs auditor) e trilhas de auditoria?
    2.2.6 Há recursos de sessão (timeout, logout global, revogação de token, detecção de anomalias)?

2.3 Criptografia e proteção de dados

2.3.1 Criptografia em trânsito: quais protocolos/cifras (ex.: TLS 1.2/1.3)?
2.3.2 Criptografia em repouso: quais mecanismos (disco/DB/objeto) e algoritmos (ex.: AES-256)?
2.3.3 Gestão de chaves (KMS/HSM): quem gerencia? Rotação? Controle de acesso?
2.3.4 Suporta BYOK/HYOK (chave do cliente)? Condições/comercial?
2.3.5 Dados sensíveis ficam mascarados/criptografados no app (ex.: tokens, segredos, logs)?

2.4 Segurança de aplicação e SDLC

2.4.1 Existe SDLC seguro (revisão de código, testes automatizados, gates de segurança)?
2.4.2 Realizam SAST/DAST/SCA? Quais ferramentas e frequências?
2.4.3 Política de correção de vulnerabilidades (SLA por severidade)?
2.4.4 Realizam pentest externo? Periodicidade? Pode compartilhar sumário executivo?
2.4.5 Possuem programa de bug bounty ou canal de reporte responsável?
2.4.6 Como protegem contra OWASP Top 10 (WAF, rate limiting, validação, CSP, etc.)?

2.5 Infraestrutura, rede e hardening

2.5.1 Em qual provedor/região cloud o serviço opera (ex.: regiões/países)?
2.5.2 Como é feito hardening e baseline de servidores/containers?
2.5.3 Segmentação de rede, firewall, IDS/IPS, WAF: quais controles existem?
2.5.4 Como é feito o gerenciamento de patches do SO/middleware?
2.5.5 Há controle de acesso administrativo (bastion, MFA, JIT/JEA)?

2.6 Logging, auditoria e monitoramento

2.6.1 Quais eventos são logados (login, alteração de permissões, exportação, deleção, falhas)?
2.6.2 Logs possuem imutabilidade e retenção configurável? Por quanto tempo?
2.6.3 Cliente pode exportar logs (SIEM) via API/integração? Formatos suportados?
2.6.4 Monitoramento 24×7? Detecção de ameaças? Alertas?

2.7 Resposta a incidentes e notificações

2.7.1 Existe plano de resposta a incidentes (IRP)? Último teste/simulação?
2.7.2 Prazo de notificação de incidente ao cliente (horas/dias)? Canal de comunicação?
2.7.3 Mantém registro pós-incidente (RCA) e ações corretivas?

Evidências sugeridas: políticas, relatório SOC2/ISO, sumário de pentest, arquitetura, matriz RBAC, exemplos de logs.

3) Disponibilidade, Continuidade e Suporte

3.1 SLAs e confiabilidade

3.1.1 Qual é o SLA de disponibilidade mensal (%) por plano?
3.1.2 Como é medida a disponibilidade (ponto de medição, exclusões, janelas)?
3.1.3 Existe página pública de status? (link)
3.1.4 Possui arquitetura HA/DR? RPO e RTO por serviço?

3.2 Backup e recuperação

3.2.1 Há backups automáticos? Frequência? Retenção?
3.2.2 Backups são criptografados? Testam restore periodicamente?
3.2.3 O cliente pode solicitar restore parcial (ex.: por tenant/intervalo)? Condições?

3.3 Suporte

3.3.1 Horários e idiomas suportados.
3.3.2 Canais: e-mail, telefone, chat, portal.
3.3.3 Tempos de resposta e resolução por severidade (P1–P4).
3.3.4 Existe gerente técnico/CSM? Em quais planos?

4) Conformidade e Certificações

4.1 Certificações atuais (marque e anexe evidências):

  • SOC 2 Type I/II (período coberto: ___)
  • ISO 27001 (escopo: ___)
  • ISO 27701 (privacidade)
  • PCI DSS (se aplicável)
  • Outras:
    4.2 Existe auditoria independente anual? Quais relatórios podem ser compartilhados sob NDA?
    4.3 Existem subprocessadores/terceiros com certificações? Liste.
    4.4 Possui política de retenção de evidências e trilhas de auditoria?

5) Privacidade e Regulamentações (LGPD/GDPR e afins)

5.1 Papel do fornecedor: atua como Operador/Processador? Em quais cenários?
5.2 Existe DPA (Data Processing Addendum)? Pode fornecer modelo?
5.3 Localização dos dados (data residency): quais países/regiões armazenam/processam dados?
5.4 Transferência internacional: quais mecanismos (ex.: cláusulas contratuais, etc.)?
5.5 Suporta direitos do titular (acesso, correção, exclusão, portabilidade, oposição)? Como operacionaliza e em quanto tempo?
5.6 Existe encarregado/DPO? Contato.
5.7 Política de retenção e descarte: como funciona ao fim do contrato?
5.8 O produto utiliza dados para treinamento de modelos/analytics? Se sim:

  • Quais dados?
  • É opt-in/opt-out?
  • Há anonimização/pseudonimização?

Evidências: política de privacidade, DPA, lista de subprocessadores, data map (alto nível).

6) Escalabilidade e Flexibilidade

6.1 Limites padrão (usuários, requisições, storage, throughput). Há limites “soft/hard”?
6.2 Como o serviço escala (auto-scaling, limites por tenant, filas)?
6.3 Existe suporte a ambientes separados (prod/homolog/dev)?
6.4 Personalizações/configurações disponíveis (workflows, campos, regras, branding).
6.5 Há customização por código (scripts, plugins)? Como é governada a segurança disso?
6.6 Roadmap: como o cliente solicita features? Existe processo de priorização?

7) UX/UI e Acessibilidade

7.1 O produto segue boas práticas de acessibilidade (ex.: WCAG)? Quais níveis?
7.2 Existe suporte multi-idioma e localização (pt-BR)?
7.3 Há trilhas de auditoria e mensagens claras para ações críticas (deleção/exportação)?
7.4 Existe onboarding guiado, templates, e prevenção de erros (validações, rascunhos)?
7.5 Para ambientes corporativos: há controle de tema/branding e permissões por página/ação?

8) Integrações e APIs

8.1 Quais integrações nativas existem (IdP, SIEM, CRM/ERP, webhooks etc.)?
8.2 Possui API pública? REST / GraphQL / gRPC — detalhe.
8.3 Autenticação da API: API key / OAuth2 / JWT / mTLS?
8.4 Rate limits e quotas: como são definidos? Existe aumento sob demanda?
8.5 Webhooks: existem assinaturas/assinatura de payload, retries, idempotência?
8.6 Documentação: link e nível (exemplos, SDKs, Postman/OpenAPI).
8.7 Versionamento e política de depreciação (quanto tempo de aviso)?

9) Operação, Administração e Gestão

9.1 Painel administrativo: quais ações são possíveis e como são auditadas?
9.2 Suporta gestão de usuários em massa (SCIM/importação)?
9.3 Suporta delegação e perfis de auditoria (read-only)?
9.4 Exportação de dados: formatos disponíveis (CSV/JSON), limites e auditoria.
9.5 Mecanismos anti-fraude/abuso (CAPTCHA, rate-limit, detecção de bots).

10) Comercial, Preços e Transparência

10.1 Modelo de precificação: por usuário, por consumo, por módulos, por volume?
10.2 Existem custos adicionais possíveis?

  • Setup/implantação
  • Treinamento
  • Suporte premium
  • Overages (excedentes)
  • Integrações
  • Armazenamento extra
  • Retenção de logs 10.3 Reajuste: índice, periodicidade, teto e aviso prévio.
    10.4 Condições de cancelamento e multas (se houver).
    10.5 Termos de pagamento e faturamento (NF, moeda, impostos).
    10.6 Existe contrato padrão e aditivos (DPA, SLA, segurança)? Pode fornecer rascunho?

11) Termos Legais, Riscos e Continuidade Contratual

11.1 Propriedade intelectual e licenciamento: quem é dono de quê (dados, configs, customizações)?
11.2 Portabilidade de dados ao término: como exportar, em quais formatos, prazo, custos?
11.3 Exclusão segura: como e em quanto tempo os dados são apagados após término?
11.4 Subprocessadores: lista atual e processo de notificação de mudanças.
11.5 Seguro cibernético (se houver): cobertura e limites (alto nível).
11.6 Cláusulas de confidencialidade e compliance anticorrupção (se aplicável).

12) Encerramento

12.1 Há alguma informação relevante que não foi coberta e impacta risco/uso?
12.2 Informe os próximos passos recomendados pelo fornecedor (POC, workshop técnico, NDA, etc.).
12.3 Confirmação:

  • Nome / Cargo:
  • Assinatura (digital) / Declaração de veracidade:
  • Data:

Anexos e Evidências (Checklist)

Marque o que será anexado/enviado:

  • SOC 2 (Type II preferível) / carta de auditoria
  • Certificado ISO 27001 + escopo
  • Política de Segurança e Resposta a Incidentes (sumário)
  • Sumário executivo de pentest mais recente
  • Lista de subprocessadores
  • DPA / termos de privacidade
  • SLA oficial
  • Documento de arquitetura (alto nível)
  • Matriz de permissões/RBAC
  • Página de status / relatório de uptime (link)

Formato de entrega (sugestão)

  • Documento editável (DOCX) ou formulário (Google/Microsoft Forms) + anexos em PDF.
  • Enviar por e-mail para: [inserir e-mail]
  • Assunto sugerido: Questionário SaaS – <Fornecedor> – <Produto>

Se você me disser (a) o tipo de SaaS (ex.: CRM, RH, financeiro, DevOps), (b) criticidade (baixa/média/alta) e (c) se vocês exigem algo específico (ex.: SOC2 Type II obrigatório, data residency no Brasil, SSO/SAML obrigatório), eu ajusto este template para ficar mais objetivo (menos perguntas irrelevantes) e já deixo um modelo de pontuação (pass/fail + pesos por categoria).