Conformidade de TI para MSPs: como criar uma empresa que se adapte ao crescimento

A conformidade tornou-se, discretamente, uma das competências comercialmente mais importantes que um MSP pode desenvolver. A combinação entre a crescente complexidade regulatória, os requisitos cada vez mais exigentes das aquisições corporativas e a conscientização dos clientes sobre suas próprias obrigações de conformidade criou uma demanda por serviços de gestão de conformidade que a maioria das pequenas e médias empresas simplesmente não consegue atender internamente.

De acordo com o Relatório Kaseya sobre a Situação dos MSPs de 2026, 71% dos MSPs afirmam que as questões de segurança cibernética representam um dos principais desafios comerciais. A gestão da conformidade tem se tornado cada vez mais a forma como os MSPs demonstram que estão enfrentando esse desafio em nome dos clientes. Os MSPs que compreendem o panorama da conformidade, quais estruturas se aplicam, como elas se sobrepõem e como oferecer conformidade como um serviço gerenciado escalável estão conquistando clientes corporativos, obtendo preços diferenciados e construindo relações de serviço com alta retenção.

A plataforma de conformidade e segurança da Kaseya é utilizada por milhares de MSPs em todo o mundo, o que nos dá uma visão clara de onde as práticas de conformidade têm sucesso operacional e onde elas enfrentam dificuldades.

Este guia aborda o tema em sua totalidade: o que a conformidade de TI significa para os MSPs, as estruturas que você e seus clientes precisam compreender e como desenvolver uma prática de conformidade que gere margem real.

O que é conformidade de TI?

A conformidade de TI refere-se às políticas, controles e processos que as organizações devem seguir para atender aos requisitos legais, regulatórios e contratuais relativos à forma como gerenciam e protegem os dados e os sistemas de TI. Órgãos reguladores nos âmbitos federal, estadual e internacional estabelecem esses requisitos com base no setor, no tipo de dados e na localização geográfica.

Para os MSPs, a conformidade de TI opera em dois níveis simultaneamente. Em primeiro lugar, há as obrigações de conformidade que se aplicam à sua própria empresa, na qualidade de prestador de serviços que lida com dados de clientes. Em segundo lugar, há as obrigações de conformidade que se aplicam às empresas dos seus clientes, e para as quais você pode ter sido contratado ou estar em posição de ajudá-los a cumprir.

A maioria dos MSPs está sendo questionada sobre ambos os aspectos ao mesmo tempo. E, cada vez mais, a capacidade de responder a essas perguntas com evidências, em vez de meras garantias, é o que distingue os MSPs que conquistam negócios corporativos daqueles que são descartados logo no início.

Qual é o objetivo da conformidade de TI?

O objetivo é proteger a segurança e a integridade dos ativos digitais de uma organização e transmitir aos órgãos reguladores, clientes e parceiros a confiança de que existem controles adequados em vigor. A não conformidade não é apenas um risco legal: ela gera exposição direta para os negócios por meio de multas, perda de contratos, exclusões de seguros cibernéticos e danos à reputação. As violações do GDPR acarretam multas de até € 20 milhões ou 4% da receita global anual, o que for maior. As penalidades criminais da HIPAA podem chegar a US$ 250.000 por violação e incluem pena de prisão. As multas por violação de segurança do PCI DSS podem chegar a US$ 500.000 por incidente.

Além das penalidades, os clientes em setores regulamentados não trabalharão com prestadores de serviços que não possam comprovar práticas em conformidade. A conformidade é, cada vez mais, um requisito comercial básico, e não apenas uma exigência regulatória.

Por que a conformidade se tornou uma oportunidade fundamental para os MSPs

Várias tendências convergentes transformaram a conformidade de TI de uma especialização em uma linha de serviços essencial para MSPs competitivos.

Expansão regulatória. A certificação CMMC passou a ser exigida contratualmente nas cadeias de suprimentos do Departamento de Defesa (DoD) a partir de 2024. A NIS2 entrou em vigor em outubro de 2024, abrangendo explicitamente os MSPs como entidades sujeitas à regulamentação. A norma PCI DSS v4.0 tornou-se obrigatória em março de 2024. As atualizações da Regra de Segurança da HIPAA estão em andamento. O escopo regulatório está se ampliando, e não se estabilizando.

Requisitos de aquisição para grandes empresas. Cada vez mais, os clientes corporativos exigem comprovantes documentados de conformidade, relatórios SOC 2 Tipo II, certificação ISO 27001 e acordos de parceria comercial HIPAA antes de contratar prestadores de serviços. Os MSPs que não possuem essas credenciais ficam de fora dos ciclos de vendas corporativas antes mesmo de eles começarem.

Requisitos de seguro cibernético. Atualmente, as seguradoras exigem comprovação de controles de segurança específicos, autenticação multifatorial (MFA) em todas as contas, detecção e resposta em terminais (EDR), backups testados, gerenciamento de patches e planos de resposta a incidentes documentados como condições para a cobertura. Ajudar os clientes a implementar e documentar esses controles é um serviço de conformidade que lhes traz valor financeiro direto.

Conscientização dos clientes. As organizações em setores regulamentados estão cada vez mais conscientes de que suas obrigações de conformidade se estendem aos seus prestadores de serviços. Elas estão fazendo perguntas que nunca fizeram antes, e os MSPs que não conseguem respondê-las estão perdendo negócios para aqueles que conseguem.

As obrigações de conformidade do próprio MSP

Antes de oferecer serviços de conformidade aos clientes, um MSP precisa avaliar sua própria situação em termos de conformidade. As obrigações são significativas e, muitas vezes, subestimadas.

HIPAA. Qualquer MSP que gerencie TI para clientes do setor de saúde que lidam com informações de saúde protegidas (PHI) é considerado um parceiro comercial nos termos da HIPAA. É obrigatório por lei a assinatura de um Acordo de Parceria Comercial. A Regra de Segurança, que abrange autenticação multifatorial (MFA), criptografia, registros de auditoria e resposta a incidentes, aplica-se diretamente ao seu ambiente.

NIS2. Os MSPs estão explicitamente incluídos no âmbito de aplicação da NIS2 como prestadores de managed services. Se você tem clientes na UE em setores abrangidos pela norma ou opera dentro da UE, as obrigações da NIS2 se aplicam diretamente à sua organização.

CMMC. Os MSPs que prestam serviços de TI a contratados do Departamento de Defesa (DoD) em ambientes que contêm informações não classificadas controladas (CUI) podem ter de cumprir os requisitos do CMMC para seus próprios sistemas, e não apenas para os de seus clientes.

PCI DSS. Os MSPs cujos serviços envolvem a segurança de ambientes de dados de titulares de cartões são classificados como prestadores de serviços nos termos da norma PCI DSS e têm suas próprias obrigações específicas de conformidade previstas nessa norma.

Requisitos contratuais. Clientes corporativos e governamentais costumam impor requisitos de conformidade por meio de contratos. Esses requisitos são vinculativos, independentemente de qualquer exigência regulatória direta.

O programa de conformidade do próprio MSP não é um projeto separado dos serviços de conformidade que você comercializa. É a base da credibilidade. Um MSP que não cumpre os padrões que vende aos clientes fica comercialmente vulnerável no momento em que um cliente solicita comprovação de sua própria conformidade. Começar por si mesmo é uma atitude tanto ética quanto comercialmente inteligente.

Estruturas de conformidade de TI que os MSPs precisam conhecer

Entender quais estruturas se aplicam em cada caso é a base de qualquer projeto de conformidade. Aqui está uma referência prática às estruturas mais relevantes no contexto dos MSPs.

HIPAA

A Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) regula o tratamento de Informações de Saúde Protegidas (PHI) por qualquer organização, incluindo MSPs classificados como parceiros comerciais, no setor de saúde dos Estados Unidos. As medidas de segurança técnicas previstas na Regra de Segurança da HIPAA abrangem controles de acesso, registros de auditoria, criptografia e controles de integridade. A conformidade com a HIPAA não é opcional para MSPs que atendem clientes do setor de saúde; o Acordo de Parceria Comercial torna isso uma obrigação contratual.

PCI DSS

A Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) protege os dados dos titulares de cartões, independentemente de onde estejam armazenados, processados ou transmitidos. Todos os comerciantes que aceitam cartões de pagamento são obrigados a cumprir essa norma, e os prestadores de serviços, incluindo MSPs, com acesso a esses ambientes têm suas próprias obrigações de conformidade. A PCI DSS v4.0 tornou-se a norma obrigatória em março de 2024. As multas por violações podem chegar a US$ 500.000 por incidente.

CMMC

A estrutura da Certificação do Modelo de Maturidade em Cibersegurança (CMMC) protege a base industrial de defesa. A partir de 2024, a CMMC será exigida contratualmente nas cadeias de suprimentos do Departamento de Defesa (DoD). Os MSPs que prestam serviços a empreiteiros do setor de defesa precisam compreender os requisitos do Nível 1 da CMMC (práticas básicas de segurança cibernética) e do Nível 2 (alinhados à norma NIST SP 800-171), tanto para os clientes quanto, potencialmente, para seus próprios ambientes que lidam com Informações Controladas de Importância Nacional (CUI).

GDPR

O Regulamento Geral sobre a Proteção de Dados (RGPD) se aplica a qualquer organização que trate dados pessoais de residentes da UE, independentemente da localização da organização. Para os MSPs, isso normalmente implica a celebração de acordos de tratamento de dados com clientes da UE e o cumprimento dos requisitos relativos à segurança dos dados, notificação de violações e direitos dos titulares dos dados. As multas previstas pelo RGPD podem chegar a € 20 milhões ou 4% da receita global anual.

NIS2

A NIS2, que entrou em vigor em todos os Estados-Membros da UE em outubro de 2024, reveste-se de particular importância para os MSPs, uma vez que inclui explicitamente os prestadores de serviços gerenciados no seu âmbito de aplicação. Os requisitos abrangem a gestão de riscos, a notificação de incidentes, a segurança da cadeia de abastecimento e controles técnicos mínimos, incluindo autenticação multifatorial (MFA), criptografia e tratamento de vulnerabilidades.

NIST CSF

A Estrutura de Cibersegurança do NIST é um quadro voluntário dos Estados Unidos estruturado em torno de cinco funções: Identificar, Proteger, Detectar, Responder e Recuperar. É amplamente citada em contratos, pedidos de seguro cibernético e avaliações de segurança de clientes. A norma NIST SP 800-171 é a versão obrigatória aplicável a organizações que lidam com Informações Controladas de Importância Nacional (CUI) para o governo federal e constitui a base para o Nível 2 do CMMC.

SOC 2

Os relatórios SOC 2 são elaborados por contadores independentes e avaliam os controles de um prestador de serviços em relação à segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade. O SOC 2 Tipo II, que abrange um período de tempo em vez de um momento específico, é cada vez mais exigido por clientes corporativos antes de contratarem um prestador de serviços. Para os MSPs, obter seu próprio relatório SOC 2 Tipo II é um importante diferencial comercial.

SOX

A Lei Sarbanes-Oxley regula a prestação de contas financeiras das empresas de capital aberto dos Estados Unidos e de algumas empresas privadas. Os MSPs que atendem clientes de capital aberto podem se deparar com requisitos da SOX relacionados à integridade dos dados financeiros, trilhas de auditoria e controles de acesso aos sistemas financeiros.

FISMA

A Lei Federal de Gestão da Segurança da Informação (FISMA) se aplica às agências federais dos EUA e aos seus contratados. Os MSPs que atendem clientes do governo federal devem compreender os requisitos da FISMA, que estão em estreita conformidade com as normas do NIST. A autorização FedRAMP é obrigatória para os provedores de serviços em nuvem que atendem agências federais.

Avaliação da conformidade para seus clientes

A prestação eficaz de serviços de conformidade começa com a definição precisa dos marcos normativos aplicáveis a cada cliente. Um questionário de avaliação de conformidade, aplicado durante o processo de integração, evita que sejam detectadas lacunas no escopo durante um incidente ou uma auditoria.

Principais questões a serem abordadas na definição do escopo:

Setor: O setor de saúde está sujeito à HIPAA. Os serviços financeiros em Nova York estão sujeitos ao NY DFS. O processamento de cartões de pagamento está sujeito ao PCI DSS. As empresas contratadas pela defesa estão sujeitas ao CMMC. As organizações que operam na UE estão sujeitas à NIS2. Cada setor possui uma estrutura regulatória principal, e a maioria das organizações precisa cumprir mais de uma.

Titulares dos dados: O tratamento de dados relativos a residentes da UE implica a aplicação do RGPD. Os dados relativos a residentes da Califórnia que excedam os limites estabelecidos pela CPRA implicam o cumprimento das obrigações previstas na CPRA.

Tamanho dos clientes e contratos: Os clientes corporativos quase sempre exigem certificações SOC 2 ou ISO 27001 de seus prestadores de serviços. Os contratos federais incluem as normas FISMA, FIPS e, potencialmente, a FedRAMP. Os contratos do Departamento de Defesa (DoD) incluem a CMMC.

Seguro cibernético: analise cuidadosamente as apólices de seguro dos seus clientes. Atualmente, as seguradoras especificam controles técnicos como condições para a cobertura. O não cumprimento dos requisitos de autenticação multifatorial (MFA) ou de software de detecção e resposta a eventos (EDR) de uma seguradora constitui uma falha de conformidade com consequências financeiras diretas para o cliente, independentemente de quaisquer exigências regulatórias.

Para um MSP típico que gerencia de 40 a 60 clientes nos setores de saúde, serviços financeiros e pequenas e médias empresas em geral, é possível que haja de dez a 15 clientes com obrigações ativas relacionadas à HIPAA, cinco ou seis com exposição à PCI DSS e um número crescente de clientes corporativos que solicitam informações sobre a SOC 2. Definir o escopo de cada um deles adequadamente desde o início é o que torna uma prática de conformidade escalável, em vez de reativa.

Conformidade como serviço gerenciado: os 3 níveis de serviço

A maioria dos MSPs organiza os serviços de conformidade em níveis que refletem um grau crescente de envolvimento e os respectivos preços.

Nível 1: Fundamentos de conformidade

Implemente os controles de segurança que atendem simultaneamente à maioria dos requisitos em grande parte das estruturas. O conjunto básico de controles é consistente: autenticação multifatorial (MFA) em todas as contas, gerenciamento automatizado de patches, EDR, backup e recuperação de desastres com restauração testada, registros de auditoria mantidos pelos períodos exigidos e treinamento de conscientização sobre segurança com simulação de phishing.

Essa camada fundamental atende aos requisitos 6 a 10 da PCI DSS, às salvaguardas técnicas da Regra de Segurança da HIPAA, às medidas mínimas do Artigo 21.2 da NIS2, aos Controles IG1 do CIS e às funções “Proteger” e “Detectar” do NIST CSF em uma única etapa. Para muitos clientes de pequenas e médias empresas, o Nível 1 garante a maior parte de sua conformidade. Além disso, gera as evidências que comprovam que esses controles estão em funcionamento.

Nível 2: avaliação da conformidade e gestão de lacunas

Avaliação de lacunas específica para o framework, em relação aos requisitos aplicáveis do cliente. Um Plano de Segurança do Sistema ou documentação equivalente. Um Plano de Ação e Marcos (POA&M) para acompanhar as medidas corretivas. Reuniões trimestrais de revisão de conformidade. Coleta organizada de evidências para preparação para auditoria. Este nível atende clientes que precisam de um programa de conformidade documentado, e não apenas de controles de segurança.

Considere o exemplo de uma empresa de contabilidade com 200 funcionários que acaba de perder um grande cliente corporativo por não ter conseguido apresentar evidências dos controles SOC 2. Um serviço de Nível 2 oferece a empresa uma avaliação das lacunas em relação aos Critérios de Serviços de Confiança, um sistema de acompanhamento das medidas corretivas e um programa de conformidade documentado que ela poderá apresentar ao próximo cliente corporativo em potencial, enquanto se prepara para uma auditoria formal.

Nível 3: preparação para auditoria e apoio à certificação

Envolvimento profundo no apoio a avaliações realizadas por terceiros. Isso inclui a preparação para uma auditoria de Avaliador de Segurança Qualificado (QSA) para PCI DSS, uma avaliação C3PAO para o Nível 2 do CMMC, uma auditoria CPA para SOC 2 ou uma auditoria de certificação ISO 27001. A compilação de evidências, as revisões de prontidão pré-avaliação e a coordenação com a auditoria estão todas incluídas no escopo. Esse nível exige conhecimento especializado genuíno e justifica preços mais elevados. Nem todo MSP começa por aqui, mas é um destino lógico para aqueles que desenvolvem uma prática de conformidade séria.

Criação do mecanismo de evidências

A parte mais exigente do ponto de vista operacional na gestão da conformidade é a coleta contínua de evidências. As evidências são a documentação que comprova que os controles estão em funcionamento, e não apenas que foram projetados. Sem elas, a conformidade existe apenas no papel e desmorona diante do escrutínio de qualquer auditor.

Tipos de evidência relevantes nas estruturas mais comuns:

Evidências de gerenciamento de patches: relatórios de conformidade de patches que mostram o que foi corrigido, quando e o que ainda está pendente, acompanhados de documentação de exceções. O VSA gera esses relatórios automaticamente. Essas evidências atendem ao Requisito 6 do PCI DSS, aos controles de salvaguardas técnicas da Regra de Segurança da HIPAA e aos requisitos CMMC AC.1.001 e SI.1.210.

Comprovação da implementação da autenticação multifatorial (MFA): Relatórios de autenticação que demonstrem o acesso protegido por MFA em todas as contas de usuário e interfaces administrativas. Atualmente, esse é um requisito básico para o seguro cibernético e consta explicitamente nas normas NIS2, CMMC e HIPAA.

Verificação de backup: registros de conclusão de backup, resultados de verificação por captura de tela e registros de testes de recuperação. O Datto BCDR gera esses documentos automaticamente. A restauração testada é um requisito específico previsto no Artigo 21 da NIS2 e uma condição padrão dos seguros cibernéticos.

Resultados da análise de vulnerabilidades: Relatórios que apresentam as vulnerabilidades identificadas, o status da correção e a documentação de exceções com justificativa comercial. Exigido pelas normas PCI DSS, CMMC e NIST SP 800-171.

Registros de auditoria: Registros de acesso são mantidos pelos períodos exigidos. A HIPAA exige seis anos. O PCI DSS exige 12 meses, com 90 dias imediatamente disponíveis. Os períodos de retenção dos registros variam; conhecer os requisitos de cada norma à qual seu cliente está sujeito faz parte do serviço.

Registros de treinamento em conscientização sobre segurança: porcentagens de conclusão dos treinamentos e resultados das simulações de phishing do BullPhish ID. Exigidos pelas normas HIPAA, CMMC e NIS2. As seguradoras solicitam esses registros regularmente.

Resposta a incidentes: registros de incidentes, cronogramas de resposta e análises pós-incidente. Exigidos em praticamente todas as estruturas.

O fator que faz a diferença em termos de eficiência na prestação de serviços de conformidade é a automação da coleta de evidências, em vez da elaboração manual de relatórios. Os MSPs que extraem evidências diretamente de ferramentas operacionais, RMM, plataformas de backup e ferramentas de segurança para um fluxo de trabalho de gerenciamento de conformidade têm uma vantagem estrutural em termos de custos em relação àqueles que elaboram relatórios de evidências manualmente. Essa vantagem se acumula a cada cliente e a cada ciclo de renovação.

Serviços de conformidade de preços e embalagens

Os serviços de conformidade apresentam preços significativamente mais elevados do que managed services padrão managed services proporcionam uma redução mensurável dos riscos e garantem as atividades comerciais, a elegibilidade contratual e a cobertura de seguro de que os clientes precisam e não conseguem obter em outros lugares. Alguns pontos de referência práticos para a definição de preços:

Camada básica de conformidade: Oferecida a todos os clientes gerenciados como um complemento de linha de base de segurança. O preço é calculado como um acréscimo por dispositivo ou por usuário ao contrato básico. Posiciona os controles de conformidade como padrão, e não como opcionais, o que constitui a estrutura comercial adequada.

Avaliação específica da estrutura: Contrato de projeto com preço fixo, cujo escopo se limita à estrutura e ao ambiente específicos. O valor típico varia entre US$ 5.000 e US$ 25.000, ou mais, para uma avaliação completa com documentação, dependendo da complexidade do ambiente e dos requisitos da estrutura.

Gestão contínua da conformidade: Honorários mensais para gestão contínua do programa, coleta de evidências, acompanhamento de lacunas, manutenção de políticas e revisões trimestrais. O preço é baseado no número de estruturas gerenciadas e no tamanho do ambiente do cliente.

Apoio à preparação para auditorias: serviço prestado no âmbito de um projeto antes de uma auditoria realizada por terceiros. O valor agregado é elevado, o preço reflete isso e o resultado é tangível: um cliente que é aprovado na auditoria.

Os MSPs que apresentam a conformidade como um serviço de redução de riscos vinculado a resultados específicos (é isso que garante sua elegibilidade para o seguro, é isso que garante sua qualificação para aquele contrato governamental) conseguem definir os preços e manter esses contratos com muito mais sucesso do que aqueles que a apresentam como um mero exercício de verificação de itens.

O conjunto de ferramentas para a implementação da conformidade com o MSP

Uma pilha completa de soluções de conformidade reúne quatro funcionalidades.

Plataforma de gestão de conformidade. Compliance Manager GRC da Kaseya oferece avaliação de múltiplas estruturas, mapeamento de controles, gerenciamento de evidências, acompanhamento de POA&M e geração de relatórios. Ela oferece suporte a HIPAA, GDPR, CMMC, NIST, PCI DSS, SOC 2, ISO 27001, CIS Controls, NY DFS, NIS2 e outras estruturas a partir de uma única interface, desenvolvida especificamente para o modelo MSP multicliente.

Implementação de controles de segurança. A Kaseya 365 oferece as ferramentas operacionais que geram evidências de conformidade como resultado da prestação managed services: VSA para gerenciamento de patches e varredura de vulnerabilidades, Datto EDR para detecção em terminais, Datto BCDR para backup e recuperação, BullPhish ID treinamento em conscientização de segurança e Inky para segurança de e-mail. Cada uma dessas soluções gera os registros de evidência exigidos pelas estruturas de conformidade.

Documentação de TI. IT Glue armazenamento de políticas, documentação de controle, registros de ativos e documentação de configuração específica para cada cliente, itens exigidos pelas estruturas de conformidade como parte de um programa documentado.

Vantagem da integração. As evidências coletadas por ferramentas operacionais podem ser transferidas diretamente para Compliance Manager GRC, convertendo dados operacionais em evidências de conformidade sem a necessidade de compilação manual. Para um MSP que gerencia 30 ou 40 clientes em programas de conformidade ativos, essa integração é o que torna o modelo econômico viável.

Explore a plataforma de conformidade e segurança da Kaseya