Migrar o ERP para a cloud é hoje a escolha óbvia para a maioria das PMEs — custos previsíveis, atualizações automáticas, acesso de qualquer lado. Mas o bónus vem com uma responsabilidade nova: os dados da empresa ficam num servidor que não é seu. Se o fornecedor é descuidado, é a sua empresa que paga a conta.
Estas são as 6 perguntas de segurança que deve fazer antes de assinar com qualquer fornecedor de ERP cloud.
1. Onde estão os meus dados?
Em termos práticos: em que data center? Em que país? Para PMEs com operação em Portugal ou UE, a resposta deve ser "dentro do Espaço Económico Europeu" — por causa do RGPD. Serviços cujos servidores estão nos EUA ou Ásia exigem Cláusulas Contratuais Tipo e ainda assim deixam zonas cinzentas legais.
2. Qual é a política de backups?
Não aceite respostas vagas. O que quer saber:
- Frequência: backup incremental a cada hora? Diário? O menos é demasiado pouco para dados transaccionais.
- Retenção: 30 dias? 90? 1 ano? Em PT, contabilidade exige 10 anos.
- Localização: os backups estão no mesmo data center que os dados vivos? Se sim, uma falha física apanha ambos.
- Teste de restauro: com que frequência é que o fornecedor testa realmente que consegue restaurar? "Temos backups" e "o restauro funciona" são coisas diferentes.
Vamos transformar esta ideia em realidade
Se este artigo faz sentido para si, provavelmente podemos ajudar. Conte-nos o seu caso em 30 segundos.
3. Quem tem acesso aos meus dados?
Dentro do fornecedor, quem consegue ver o conteúdo da sua base de dados? Idealmente:
- Acesso em produção limitado a uma equipa reduzida com auditoria completa (quem, quando, que queries).
- Dados sensíveis encriptados em repouso — mesmo um DBA mal-intencionado não consegue ler.
- MFA obrigatório para qualquer acesso administrativo.
4. Como é tratada a autenticação dos nossos utilizadores?
Passwords armazenadas com bcrypt/argon2 e não MD5 ou SHA1. MFA opcional para utilizadores e obrigatório para administradores. Sessões com timeout razoável e invalidação imediata ao despedir alguém. Se o fornecedor não fala neste nível de detalhe, é sinal.
5. O que acontece se eu sair?
Cláusula de portabilidade: a qualquer momento, tem direito a receber um export completo dos seus dados em formato standard (CSV ou SQL). E os dados do fornecedor são apagados em quanto tempo após cancelamento? 30 dias? 90? Bons fornecedores dão certificado de destruição.
6. Há histórico de incidentes e como foram comunicados?
Nenhum fornecedor sério diz "nunca tivemos problemas". Todos tiveram. A pergunta certa é: quando houve um incidente, comunicaram aos clientes? Em quanto tempo? Com que detalhe? Se fugem ao assunto, vá-se embora.
E o lado do cliente?
A segurança do seu ERP cloud é uma responsabilidade partilhada. O fornecedor protege a infraestrutura; a sua empresa protege os acessos. Use MFA nos utilizadores, forme a equipa para phishing, revise permissões trimestralmente, e prepare um plano de contingência (contacto de emergência do fornecedor, checklist se perder acesso).
Conclusão
Um ERP cloud confiável é mais seguro do que 90% dos servidores on-premise mal mantidos que se vêem em PMEs. Mas "cloud" não é sinónimo de "seguro" — depende totalmente das práticas do fornecedor. Fazer estas 6 perguntas e exigir respostas específicas, por escrito, separa parceiros sérios de quem vende brochuras.