A confiança começa muito antes de carregar o seu primeiro ficheiro
Quando as empresas avaliam software, normalmente comparam funcionalidades. Consegue gerir clientes? Consegue criar faturas? Suporta reservas? Inclui IA?
Todas são perguntas importantes.
Mas há outra pergunta que é igualmente importante — e muito menos empresas a fazem.
Quem pode realmente aceder aos dados da nossa empresa?
A resposta é muitas vezes mais complexa do que a maioria das pessoas espera.
O seu software é mais do que uma aplicação
Quando inicia sessão numa plataforma empresarial, ela pode parecer uma única aplicação. Nos bastidores, o mesmo produto é normalmente construído a partir de muitos serviços separados que comunicam entre si.
Cada um desses serviços representa um possível ponto de acesso. Cada um pode ser operado pelo seu fornecedor, por um terceiro utilizado pelo seu fornecedor ou, por vezes — através de integrações que autorizou — por um terceiro que escolheu.
O número total de pessoas e sistemas com acesso teórico é normalmente maior do que as empresas assumem.
As três camadas de acesso
Ajuda pensar no acesso em três camadas.
A primeira camada é você e a sua equipa. Decide quem é convidado para o seu espaço de trabalho, que função tem e o que pode ver.
A segunda camada é a equipa do fornecedor. Um pequeno número de engenheiros de operações normalmente tem capacidade para aceder à infraestrutura para manutenção, suporte e resposta a incidentes. Fornecedores reputados limitam quem o pode fazer, registam cada ação e exigem uma razão explícita.
A terceira camada é todos os outros. Subcontratantes de processamento. Integrações. Empresas de auditoria. Operadores de backup. Qualquer parte na cadeia operacional que possa ter contacto indireto com a infraestrutura.
É esta terceira camada que a maioria das empresas subestima.
Como o KIMISUITE aborda o acesso
Concebemos o KIMISUITE para que a terceira camada seja intencionalmente pequena.
A maioria dos componentes principais da plataforma é operada pela nossa própria equipa. Não subcontratamos o nosso apoio ao cliente a outra empresa. Não encaminhamos análises operacionais através de uma plataforma de observabilidade de terceiros. Não permitimos que redes publicitárias vejam o que acontece dentro dos espaços de trabalho.
Não existe rastreamento comportamental nos espaços de trabalho para segmentação publicitária. Não existe revenda de informação de clientes. Não existe qualquer "parceria de dados" com outra empresa SaaS.
Quanto menor for a terceira camada, menor é a superfície para uso indevido — acidental ou não.
O que não fazemos com os seus dados
Por vezes, esta é a lista mais útil.
Não vendemos dados empresariais. Não permitimos que redes publicitárias de terceiros criem perfis da sua equipa. Não treinamos sistemas externos de IA com o conteúdo privado do seu espaço de trabalho. Não agrupamos os seus dados em produtos de estudos de mercado. Não partilhamos as suas informações com empresas associadas ou subsidiárias da holding (a KIMISUITE LTD opera de forma independente).
Nenhuma destas afirmações é engenhosa. São simplesmente escolhas que fizemos — e escolhas que continuamos a fazer sempre que um novo modelo de negócio nos tenta a reconsiderá-las.
O que o acesso realmente exige
Quando um membro da nossa equipa de operações precisa de aceder à infraestrutura, o pedido tem de ser justificável, registado e proporcional. O acesso a qualquer elemento que contenha dados de clientes é reservado a cenários operacionais claramente definidos — por exemplo, restaurar o serviço durante um incidente ou cumprir um pedido documentado do titular dos dados.
Não é casual, nem rotineiro. Um fornecedor que lhe diz que a sua equipa "tem acesso aos seus dados para lhe dar um excelente suporte" está a ser mais honesto do que a maioria, mas um fornecedor cuja equipa consulta rotineiramente o conteúdo dos clientes está a adotar um atalho estrutural.
Nós escolhemos o caminho mais longo.
O papel das integrações
As integrações importam. Também são uma decisão deliberada que toma enquanto cliente.
Quando liga uma ferramenta de terceiros ao KIMISUITE — seja para processamento de pagamentos, sincronização de calendário ou qualquer outro fim — essa ferramenta obtém acesso ao âmbito de dados que autoriza. Não mais do que isso.
Tornamos esses âmbitos visíveis. Documentamo-los. E, se alguma vez revogar uma integração, o acesso da ferramenta de terceiros é removido.
Mantém o controlo sobre o que sai do seu espaço de trabalho.
Porque a arquitetura importa
Não é possível resolver questões de confiança acrescentando um parágrafo a uma política de privacidade.
A resposta fundamental à pergunta "quem pode aceder aos dados da nossa empresa?" é moldada pela arquitetura da plataforma, não pela linguagem dos documentos legais.
Uma plataforma construída sobre vinte serviços externos tem uma superfície de acesso diferente de uma plataforma desenvolvida principalmente internamente. Uma plataforma que vende dados para segmentação tem uma realidade de acesso diferente de outra que não o faz.
A arquitetura cria os limites; a política descreve-os.
Considerações finais
Da próxima vez que avaliar software empresarial, faça três perguntas.
Quem, exatamente, pode aceder aos nossos dados? Como é que esse acesso é registado? Qual é o menor conjunto de pessoas e sistemas que poderia ver o que colocamos nesta plataforma?
Se as respostas forem claras, específicas e curtas, está perante um fornecedor que leva a confiança tão a sério como as funcionalidades.
Acreditamos que esse é o único tipo de fornecedor que uma empresa deve considerar.
Continue a ler a Série Confiança:
← Anterior: Os dados da sua empresa não devem passar por 20 empresas diferentes
→ Seguinte: Privacidade pela arquitetura, não apenas pela política
Comece o seu teste gratuito de 14 dias · Ver preços do KIMISUITE