5 Mentiras de Fornecedores de Backup — Como Não Cair

Pontos-Chave deste Artigo

• "Storage ilimitado" quase sempre tem limites escondidos — throttling, fair use, exclusão de tipos de arquivo
• "Proteção contra ransomware" sem Object Lock real é marketing, não segurança
• Verifique certificações independentes (ISO 27001, SOC 2), não apenas prêmios e selos
• Leia o contrato: SLA, retenção, reajuste e propriedade dos dados definem a relação real

Escolher um fornecedor de backup corporativo exige atenção a promessas que parecem boas demais. Termos como "storage ilimitado", "100% seguro" e "backup automático" são usados com frequência no mercado brasileiro, mas raramente significam o que o comprador imagina. Este artigo analisa as 5 afirmações mais enganosas de fornecedores de backup e oferece perguntas práticas para verificar cada uma antes de assinar o contrato.

Por Que Estamos Publicando Isto

A indústria de backup tem um problema de credibilidade. Muitos fornecedores vendem promessas vagas em vez de capacidades reais. O resultado: empresas contratam serviços que parecem completos no PowerPoint, mas falham quando o ransomware chega ou quando o servidor precisa ser restaurado com urgência.

Este artigo expõe as 5 mentiras mais comuns — não para atacar concorrentes, mas para ajudar gestores de TI a fazer as perguntas certas antes de contratar. Sim, somos um fornecedor de backup. Sim, temos viés. Mas cada afirmação abaixo pode ser verificada independentemente.

Mentira #1: "Storage Ilimitado"

A promessa mais sedutora — e a mais enganosa. Storage tem custo real: HDs, SSDs, energia, refrigeração, redundância. Ninguém oferece storage ilimitado sem limitações.

O que acontece na prática:

• Throttling: velocidade de backup reduzida após certo volume — seu backup de 1TB que deveria levar 4 horas leva 4 dias
• Fair use: cláusula no contrato que permite ao fornecedor limitar ou cancelar contas com "uso excessivo" (definido por eles)
• Exclusão de tipos: VMs, bancos de dados, vídeos e imagens DICOM podem ser excluídos da política "ilimitada"
• Retenção limitada: "ilimitado" refere-se ao espaço, mas a retenção é de 30 dias — dados antigos são apagados automaticamente

Como verificar: Pergunte: "Se eu fizer backup de 5TB com retenção de 1 ano, quanto vou pagar? O contrato garante que não haverá throttling?" Se a resposta for evasiva, o "ilimitado" tem asterisco.

O que a DataBackup faz diferente: Planos com volume explícito (250GB, 500GB, 1TB) a preço fixo publicado. Sem surpresas. Com deduplicação, 1TB de plano protege significativamente mais que 1TB de dados brutos.

Mentira #2: "Proteção 100% Contra Ransomware"

Nenhuma solução oferece proteção 100% contra nada. Mas a diferença entre marketing e segurança real é específica e verificável.

O que muitos fornecedores oferecem:

• Backup com senha de acesso (ransomware com credenciais admin acessa normalmente)
• Backup em disco dedicado (ransomware que se propaga na rede acessa discos de rede)
• "Air gap" que é na verdade um NAS desconectado manualmente (esqueceram de desconectar no dia do ataque)

O que realmente protege:

• Backup imutável com Object Lock em modo Compliance — ninguém pode deletar ou alterar, nem o admin, nem o fornecedor
• Backup offsite em data center Tier III+ isolado da rede do cliente
• Verificação de integridade contínua (detecta corrupção antes que você precise restaurar)

Como verificar: Pergunte: "Se um ransomware obtiver credenciais de administrador da sua plataforma, ele consegue deletar meus backups?" Se a resposta não for "não, porque usamos Object Lock em modo Compliance", a proteção tem falhas.

Mentira #3: "Backup Totalmente Automático — Configure e Esqueça"

O backup automático existe e funciona. A mentira está no "esqueça". Backup que ninguém monitora é backup que falha em silêncio.

Cenários comuns:

• Agente de backup parou de funcionar após uma atualização do SO — ninguém percebeu por 3 meses
• Disco de destino encheu — novos backups não são criados, alertas foram para o spam
• Credenciais de acesso ao banco de dados expiraram — backup do ERP roda mas captura 0 dados
• Job de backup "completou com sucesso" mas os dados estão corrompidos — nunca testaram restauração

Como verificar: Pergunte: "Vocês monitoram proativamente se meus backups estão rodando com sucesso? Se um backup falhar, em quanto tempo eu sou notificado? Vocês fazem teste de restauração automático?"

O que a DataBackup faz diferente: Monitoramento proativo 24/7. Se um backup não executa no horário esperado, nossa equipe é notificada automaticamente e entra em contato. Restore Drill automático valida a integridade dos backups sem intervenção manual.

Mentira #4: "Recuperação Instantânea"

A palavra "instantânea" é usada com muita liberdade. Na realidade, o tempo de restauração depende de muitos fatores.

O que "instantânea" geralmente significa:

• Restaurar 1 arquivo: sim, pode ser instantâneo (minutos)
• Restaurar 1 e-mail do Microsoft 365: minutos a 1 hora
• Restaurar um banco de dados de 100GB: 30 minutos a 4 horas
• Restaurar um servidor inteiro: 2 a 24 horas (depende da banda e do volume)

Como verificar: Peça o SLA de restauração por escrito, com cenários específicos: "Quanto tempo para restaurar 1 arquivo? E 1 servidor de 500GB? E toda a infraestrutura?" Se o fornecedor não tem SLA documentado, a promessa de "instantâneo" é marketing.

Mentira #5: "Nosso Data Center é Tier III"

Muitos fornecedores afirmam operar em data centers "padrão Tier III" ou "equivalente a Tier III". Isso não existe oficialmente. A certificação Tier é emitida exclusivamente pelo Uptime Institute após auditoria rigorosa.

Diferença entre:

• "Padrão Tier III": auto-declaração sem verificação — pode ser qualquer coisa
• "Certificado Tier III": auditado pelo Uptime Institute — verificável publicamente

Como verificar: Pergunte o nome do data center e verifique no site do Uptime Institute se a certificação é real e está ativa.

---

Bônus: 3 Bandeiras Vermelhas em Propostas Comerciais

Além das mentiras técnicas, existem sinais de alerta nas propostas comerciais que indicam problemas antes mesmo de assinar contrato. Se você identificar qualquer uma dessas bandeiras vermelhas durante a negociação, aumente o nível de cautela — ou procure outro fornecedor.

Bandeira Vermelha #1: Preço Bom Demais Para Ser Verdade

Se um fornecedor oferece backup corporativo com storage ilimitado, monitoramento 24/7, suporte dedicado e compliance total por R$99/mês, algo está muito errado. Storage em data center Tier III custa dinheiro real. Monitoramento proativo exige equipe treinada. Suporte prioritário exige plantão. Nenhum desses custos desaparece magicamente.

Fornecedores que praticam preços absurdamente baixos geralmente estão em uma dessas situações: (a) vão aumentar o preço drasticamente na renovação, quando você já migrou seus dados e trocar de fornecedor parece inviável; (b) vão cortar custos operacionais em áreas que você só descobre quando precisa — como suporte que demora 48 horas para responder durante uma crise; ou (c) estão revendendo um serviço de terceiros com margem tão baixa que não conseguem investir em melhorias ou manter a operação no longo prazo.

O que fazer: Solicite a composição do preço. Pergunte quanto do valor corresponde a storage, quanto a suporte, quanto a licenciamento. Compare com pelo menos 3 fornecedores para entender a faixa de mercado. Se uma proposta está 70% abaixo da média, pergunte explicitamente como o fornecedor sustenta essa operação. Se a resposta for vaga ("escala", "eficiência operacional" sem detalhes), considere isso um sinal de risco. Confira também nosso guia sobre como contratar backup corporativo para ter uma base de comparação sólida.

Bandeira Vermelha #2: SLAs Vagos e Sem Penalidades

Um SLA (Service Level Agreement) sem penalidade é apenas uma declaração de intenções. Se o contrato diz "disponibilidade de 99,9%" mas não especifica o que acontece quando esse nível não é atingido, o compromisso é apenas de fachada. Sem consequências financeiras, não há incentivo real para o fornecedor investir em redundância e manutenção preventiva.

Preste atenção especial a SLAs que usam linguagem como "melhor esforço", "até X horas" ou "tempo estimado de resposta". Essas formulações não criam obrigação concreta. Um SLA sério especifica: tempo máximo de resposta por severidade do incidente (ex.: P1 crítico: 15 minutos, P2 alto: 1 hora, P3 médio: 4 horas), tempo máximo de resolução, percentual de disponibilidade mensal garantido, e créditos ou descontos automáticos quando o SLA é violado.

O que fazer: Antes de assinar, peça o documento de SLA completo — não o resumo comercial, mas o anexo contratual. Verifique se existe uma tabela de severidades com tempos de resposta e resolução definidos. Confirme que existe cláusula de penalidade (geralmente créditos sobre a mensalidade). Se o fornecedor diz que "não trabalha com penalidades", entenda que ele também não se compromete com os níveis de serviço que está prometendo verbalmente.

Bandeira Vermelha #3: Sem Período de Teste ou POC

Um fornecedor confiante no próprio produto oferece teste gratuito. Se a empresa exige compromisso contratual de 12 ou 24 meses sem permitir um período de avaliação (POC — Proof of Concept), existem duas explicações possíveis: ou o produto não sobrevive a uma avaliação prática, ou o modelo de negócio depende de prender clientes antes que descubram as limitações.

Uma POC adequada para backup corporativo deve incluir: configuração do agente no seu ambiente real (não em um ambiente de demo do fornecedor), backup de pelo menos um servidor de produção com dados representativos, teste de restauração completa (não apenas parcial), medição real de throughput de backup e restore, e validação de todas as funcionalidades prometidas na proposta comercial. Isso leva no mínimo 7 dias — idealmente 14.

O que fazer: Exija um período de teste de pelo menos 14 dias com acesso completo às funcionalidades. Teste cenários de falha: desconecte o agente e veja se o monitoramento detecta. Faça um restore de um volume grande e meça o tempo real. Configure a retenção e confirme que os dados antigos são preservados conforme prometido. Se o fornecedor recusar a POC ou oferecer apenas uma "demo assistida" controlada por eles, é um sinal claro de que o produto não entrega o que promete em condições reais.

---

Checklist: 10 Perguntas Para Fazer Antes de Contratar

1. Qual o volume real de storage incluído? Há throttling?
2. O backup é imutável com Object Lock em modo Compliance?
3. Vocês monitoram proativamente se os backups estão rodando?
4. Qual o SLA de restauração por escrito (1 arquivo, 1 servidor, tudo)?
5. O data center tem certificação Tier do Uptime Institute?
6. Qual a criptografia usada (trânsito e repouso)?
7. Posso exportar meus dados a qualquer momento?
8. Qual a política de reajuste de preço?
9. Vocês têm SOC 2 Type II ou ISO 27001?
10. Posso falar com 3 clientes atuais como referência?

Se o fornecedor responde às 10 perguntas com clareza e segurança, provavelmente é confiável. Se hesita, evade ou não tem respostas documentadas — é sinal de alerta.

A DataBackup publica preços, funcionalidades e SLAs abertamente no site. Oferecemos teste grátis de 14 dias para você verificar tudo na prática antes de comprometer qualquer centavo.

---

Comparativo: O Que Fornecedores Prometem vs. O Que Entregam

Para facilitar a avaliação, compilamos as discrepâncias mais comuns entre o discurso comercial e a entrega real. Use esta tabela como referência rápida durante reuniões com fornecedores — imprima ou salve no celular e confronte cada item.

Promessa Comum	Realidade	O Que Exigir
Storage ilimitado	Limites escondidos em fair use, throttling após certo volume, exclusão de tipos de arquivo grandes (VMs, vídeos, bancos de dados). O fornecedor pode cancelar ou rebaixar a conta unilateralmente se considerar o uso "excessivo".	Volume explícito em contrato (ex.: 1TB, 5TB) com preço fixo por GB excedente. Perguntar se há throttling e qual a velocidade garantida de upload/download. Pedir a lista completa de tipos de arquivo excluídos.
100% seguro contra ransomware	Backup protegido por senha ou em disco de rede — vulnerável a ransomware que compromete credenciais de admin. "Air gap manual" depende de ação humana e frequentemente falha. Muitos fornecedores não oferecem imutabilidade real.	Object Lock em modo Compliance (WORM) — onde nem o administrador nem o fornecedor podem deletar dados dentro do período de retenção. Verificação de integridade contínua com relatórios acessíveis ao cliente.
Recuperação instantânea	Restaurar 1 arquivo pode levar minutos, mas 1 servidor de 500GB pode levar 12-24 horas dependendo da banda e do tipo de storage. Fornecedores medem tempo de início do restore, não tempo total até a operação normalizada.	SLA de restauração por escrito com cenários específicos: tempo para 1 arquivo, 1 banco de dados de 50GB, 1 servidor completo de 500GB, e infraestrutura inteira. Incluir penalidades contratuais se o SLA for violado.
Compliance automático (LGPD, ISO)	Ter dados em data center no Brasil não significa compliance com a LGPD. Compliance exige processos documentados, controle de acesso, registro de operações, política de retenção e descarte, e resposta a incidentes. Certificações como ISO 27001 e SOC 2 exigem auditorias anuais.	Cópia das certificações vigentes com data de validade. Relatório de auditoria SOC 2 Type II (não apenas Type I). Documentação de como o fornecedor auxilia o cliente no cumprimento da LGPD: logs de acesso, relatórios de retenção, processo de exclusão de dados pessoais.
Backup totalmente automático	A automação de agendamento existe, mas falhas silenciosas são comuns: agente parado, disco cheio, credencial expirada, rede instável. Sem monitoramento proativo, o cliente só descobre que o backup não está funcionando quando precisa restaurar.	Dashboard de monitoramento com acesso em tempo real. Alertas automáticos por e-mail e/ou SMS quando um job de backup falha ou não executa no horário previsto. Relatórios semanais com status de todos os jobs. Teste de restauração automático periódico (Restore Drill).
Data center Tier III	"Padrão Tier III" ou "equivalente Tier III" são auto-declarações sem verificação independente. Apenas a certificação oficial do Uptime Institute, obtida após auditoria presencial, garante os padrões de redundância, uptime e manutenção concorrente que Tier III exige.	Nome do data center e número da certificação para verificação no site oficial do Uptime Institute. Se o data center não consta na lista oficial, a certificação não existe — independentemente do que a proposta comercial afirme.
Suporte prioritário	Muitos "suportes 24/7" são chatbots fora do horário comercial, ou plantões que levam horas para responder. O tempo de primeira resposta em horário comercial pode ser 15 minutos, mas às 3h da manhã de um domingo pode ser 6 horas — exatamente quando você mais precisa, em um cenário de desastre.	SLA de tempo de primeira resposta discriminado por horário (comercial vs. não-comercial) e por severidade do incidente. Perguntar quantas pessoas compõem o time de plantão noturno e em fins de semana. Testar o suporte fora do horário comercial DURANTE a POC.
Preço fixo para sempre	Contratos com "preço fixo" geralmente têm cláusula de reajuste anual atrelada ao IGPM, IPCA ou outro índice. Alguns fornecedores aplicam reajuste acima da inflação a cada renovação, e o custo de migração impede que o cliente troque. Promoções iniciais mascaram o preço real a partir do segundo ano.	Cláusula contratual com índice de reajuste definido (IPCA é o mais comum e razoável). Limite máximo de reajuste por período. Preço de lista publicado no site (não apenas em proposta individual). Direito de cancelamento sem multa se o reajuste ultrapassar o índice contratado. Veja nosso guia completo sobre preço de backup corporativo.

Use esta tabela como um checklist vivo. Durante cada reunião com fornecedores, marque quais itens foram respondidos satisfatoriamente e quais ficaram vagos. Se mais de 3 itens permanecerem sem resposta clara, isso indica que a transparência do fornecedor está abaixo do aceitável para uma decisão de contratação.

---

Como Avaliar um Fornecedor de Backup: Framework Prático

Avaliações de fornecedores frequentemente se perdem em funcionalidades de nicho e comparações técnicas que não refletem o que realmente importa na operação do dia a dia. O framework abaixo organiza a avaliação em 4 pilares essenciais, cada um com critérios objetivos e verificáveis. Esse modelo foi desenvolvido a partir da experiência de centenas de implantações corporativas e pode ser adaptado para empresas de qualquer porte.

Pilar 1: Tecnologia

A base tecnológica determina os limites do que o fornecedor pode entregar. Não adianta ter o melhor suporte do mundo se a tecnologia subjacente não suporta imutabilidade, criptografia forte ou deduplicação eficiente.

Verifique se o fornecedor oferece backup imutável com Object Lock em modo Compliance — não apenas "imutabilidade" genérica, mas a implementação WORM que impede deleção mesmo com credenciais de administrador. A criptografia deve ser AES-256 tanto em trânsito (TLS 1.2+) quanto em repouso, com chaves gerenciadas pelo cliente (customer-managed keys) como opção. A deduplicação na origem (source-side dedup) reduz drasticamente o consumo de banda e storage — pergunte se o fornecedor oferece dedup na origem ou apenas no destino. Também avalie o suporte a plataformas: o agente roda em Windows Server, Linux (quais distros?), Microsoft 365, Google Workspace, VMware, Hyper-V, Proxmox? Quanto mais abrangente o suporte nativo, menor a complexidade da operação.

Pilar 2: Operação

Tecnologia sem operação competente é como um carro esportivo sem motorista. O pilar operacional avalia como o fornecedor garante que seus backups estão realmente funcionando — e o que acontece quando não estão.

O monitoramento proativo é o item mais crítico. Pergunte: "Se meu backup não executar às 2h da manhã, em quanto tempo vocês detectam e em quanto tempo eu sou notificado?" Respostas aceitáveis envolvem monitoramento automatizado com alertas em até 15 minutos e notificação ao cliente em até 1 hora. Avalie também a existência de Restore Drill — testes de restauração automáticos que validam periodicamente se os backups são restauráveis. Um backup que nunca foi testado é uma aposta, não uma proteção. Finalmente, verifique se o fornecedor oferece relatórios regulares (semanais ou mensais) com métricas de compliance: percentual de jobs bem-sucedidos, volume protegido, tempo médio de restauração, e incidentes no período.

Pilar 3: Compliance

Com a LGPD em vigor e a ANPD aplicando multas, compliance deixou de ser opcional. O pilar de compliance avalia se o fornecedor pode ajudar sua empresa a atender requisitos regulatórios — ou se vai ser mais um ponto de vulnerabilidade.

A ISO 27001 é a certificação mais reconhecida para segurança da informação e deve ser exigida como mínimo. SOC 2 Type II vai além: demonstra que os controles de segurança foram testados e comprovados em operação durante um período (geralmente 6-12 meses). Para empresas que processam dados de saúde, verifique conformidade com a LGPD especificamente no que tange dados sensíveis. Para dados financeiros, confirme que o fornecedor atende aos requisitos do Banco Central e CVM aplicáveis. Pergunte também sobre a localização dos dados: em quais países seus backups são armazenados? Existe opção de data residency no Brasil? A transferência internacional de dados pessoais tem requisitos específicos na LGPD que o fornecedor precisa endereçar.

Pilar 4: Comercial

O pilar comercial avalia a sustentabilidade e a transparência da relação de longo prazo. Backup é um serviço contratado por anos — e fornecedores que escondem custos ou dificultam a saída criam uma dependência tóxica.

Analise a estrutura de preços: é por volume (GB/TB), por máquina protegida, por usuário, ou modelo misto? Existem custos adicionais para restore, para suporte fora do horário, para relatórios de compliance? Qual o índice de reajuste e está limitado contratualmente? Verifique a portabilidade dos dados: se você decidir trocar de fornecedor, consegue exportar todos os seus backups em formato padrão? Existe custo de saída (egress fee)? Quanto tempo leva a migração? Um fornecedor que dificulta a saída está contando com a inércia do cliente, não com a qualidade do serviço. Consulte nosso guia sobre precificação de backup corporativo para referências de mercado.

Tabela de Avaliação por Pilar

Use esta tabela para pontuar cada fornecedor de 1 a 5 em cada critério. A soma ponderada dá uma nota comparável entre diferentes fornecedores. Um fornecedor que pontue abaixo de 3 em qualquer pilar merece atenção redobrada naquele aspecto antes da contratação.

Critério	Peso	O Que Verificar
Object Lock / Imutabilidade	5	Modo Compliance ativo? Administrador consegue deletar backups dentro da retenção? Solicitar demonstração prática durante a POC.
Criptografia	4	AES-256 em trânsito e repouso? Chaves gerenciadas pelo cliente (BYOK)? Certificado TLS 1.2 ou superior verificável?
Deduplicação	3	Dedup na origem (source-side) ou apenas no destino? Qual a taxa de redução típica para o tipo de dado do cliente? Impacto no throughput?
Monitoramento proativo	5	Tempo de detecção de falha? Alertas automáticos (e-mail, SMS, webhook)? Equipe de monitoramento 24/7 ou apenas horário comercial?
Restore Drill	4	Teste de restauração automático periódico? Relatório de resultado entregue ao cliente? Frequência (semanal, mensal)?
SLA com penalidades	5	Percentual de disponibilidade garantido? Tempo de restauração por cenário? Créditos automáticos em caso de violação?
Certificações (ISO 27001, SOC 2)	4	Certificação vigente e verificável? SOC 2 Type II (não apenas Type I)? Data da última auditoria? Disponibilizam o relatório?
Conformidade LGPD	4	Data residency no Brasil? Processo documentado para exclusão de dados pessoais? Relatório de impacto à proteção de dados (RIPD)?
Transparência de preço	3	Preço publicado no site? Índice de reajuste definido em contrato? Custos ocultos (egress, restore, suporte extra)?
Portabilidade dos dados	4	Exportação em formato padrão? Custo de saída (egress fee)? Tempo estimado para migração de X TB? Lock-in contratual?
Período de teste / POC	3	Oferece teste grátis (mínimo 14 dias)? Acesso completo às funcionalidades ou versão limitada? Ambiente real ou demo controlado?

Como usar: Pontue cada critério de 1 (não atende) a 5 (atende plenamente). Multiplique pela coluna Peso. A pontuação máxima é 220 (44 x 5). Um fornecedor que atinja pelo menos 176 pontos (80%) demonstra maturidade em todos os pilares. Abaixo de 132 pontos (60%), considere fortemente buscar alternativas.

---

Perguntas Que Fornecedores Não Querem Responder

As perguntas mais reveladoras são aquelas que geram desconforto. Se um fornecedor responde com naturalidade e dados concretos, isso demonstra maturidade e transparência. Se a resposta é evasiva, genérica ou defensiva, você acaba de descobrir uma fraqueza que pode custar caro.

1. "Se eu quiser sair, como exporto todos os meus dados?"

Portabilidade de dados é o teste definitivo de confiança. Um fornecedor que prende seus dados cria uma dependência artificial — você fica refém não pela qualidade do serviço, mas pelo custo de migração.

Por que importa: Empresas mudam de fornecedor por diversos motivos: preço, qualidade, mudança estratégica, fusão corporativa. Se a migração dos backups leva meses ou custa mais do que um ano de contrato, a troca se torna economicamente inviável. Isso dá ao fornecedor poder de barganha desproporcional nas renovações.

Boa resposta: "Seus dados são exportáveis em formato padrão (VHD, VMDK, ou dump nativo do banco). Oferecemos um período de coexistência de 30 dias para migração. Não cobramos egress fee. Temos documentação de migração e suporte técnico durante a transição."

Resposta ruim: "Nosso formato é proprietário, mas podemos avaliar caso a caso." / "A exportação é tecnicamente possível, mas tem um custo por GB." / Qualquer resposta que comece com "por que você quer sair?"

2. "O que acontece com meus backups se a sua empresa falir?"

Startups de tecnologia fecham. Empresas estabelecidas são adquiridas. Fornecedores mudam de estratégia e descontinuam produtos. Seu plano de contingência precisa contemplar o cenário em que o fornecedor de backup deixa de existir.

Por que importa: Se o fornecedor opera exclusivamente em nuvem própria e não existe plano de continuidade, seus backups podem se tornar inacessíveis da noite para o dia. Isso não é paranoia — é gestão de risco básica. Empresas sujeitas a regulação (financeiro, saúde, governo) frequentemente precisam documentar esse cenário para auditores.

Boa resposta: "Nossos dados são armazenados em cloud pública (AWS S3 / Azure Blob) — mesmo que nossa empresa deixe de operar, seus dados continuam acessíveis via credenciais de acesso que são suas. Temos um plano de continuidade documentado que inclui período de 90 dias de acesso após encerramento das operações."

Resposta ruim: "Isso não vai acontecer." / "Somos uma empresa sólida." / Qualquer resposta que não inclua um mecanismo concreto de acesso independente aos dados.

3. "Vocês já testaram a restauração contra um ransomware real? Qual foi o resultado?"

Backup é como seguro de vida: você espera nunca precisar, mas quando precisa, tem que funcionar. Fornecedores que nunca enfrentaram um cenário real de ransomware com um cliente estão vendendo uma teoria — não uma garantia testada.

Por que importa: Em um ataque real de ransomware, a pressão é enorme, o tempo é crítico e variáveis inesperadas aparecem. O ransomware pode ter criptografado os snapshots locais. O agente de backup pode ter sido comprometido. A rede pode estar instável. Um fornecedor que já passou por isso sabe o que funciona e o que falha sob pressão. Confira mais sobre cenários de disaster recovery e como se preparar.

Boa resposta: "Sim, atendemos X clientes em cenários de ransomware nos últimos 12 meses. Em Y% dos casos, o restore foi completo em Z horas. Nosso processo documentado inclui: isolamento, verificação de integridade do backup, restauração em ambiente limpo, e validação pós-restore."

Resposta ruim: "Nosso backup é imutável, então ransomware não é problema." (Imutabilidade protege o backup, mas o processo de restauração envolve muito mais do que ter dados íntegros.) / "Não podemos divulgar informações de clientes." (Dados agregados e anonimizados são suficientes.)

4. "Qual é a lista completa de tipos de arquivo, sistemas e cenários excluídos da cobertura?"

Todo produto tem limitações. A questão é se o fornecedor as comunica proativamente ou se você descobre no pior momento possível — quando precisa restaurar algo que nunca foi protegido.

Por que importa: Exclusões comuns incluem: arquivos temporários do sistema operacional (aceitável), mas também podem incluir bancos de dados em uso sem agente específico (grave), VMs em determinados hypervisors (grave), arquivos acima de certo tamanho (perigoso para backups de vídeo/DICOM), ou tipos de arquivo específicos que o fornecedor decidiu não suportar por complexidade técnica. Se você opera um hospital e os arquivos DICOM estão excluídos, seu backup de imagens médicas não existe.

Boa resposta: Documentação pública e atualizada com todas as exclusões, limitações conhecidas e workarounds oficiais. Lista clara de sistemas operacionais, hipervisores, bancos de dados e aplicações suportados com versões específicas. Roadmap público de suporte a novas plataformas.

Resposta ruim: "Fazemos backup de tudo." (Impossível — todo software tem limites.) / "As exclusões estão na documentação técnica." (Se o vendedor não sabe de cor, provavelmente o time comercial nunca leu.)

5. "Quanto tempo leva, na prática, para restaurar 1TB de dados do zero?"

A pergunta parece simples, mas a resposta revela muito sobre a arquitetura e a honestidade do fornecedor. Tempo de restore depende de variáveis reais que não podem ser ignoradas: velocidade de leitura do storage, throughput de rede entre data center e cliente, overhead de decriptação e descompressão, e tipo de dados (milhões de arquivos pequenos são muito mais lentos que poucos arquivos grandes).

Por que importa: Se seu servidor de produção caiu e o restore de 1TB vai levar 18 horas, seu negócio fica parado por quase um dia inteiro. Para muitas empresas, isso significa perda de receita, SLA violado com clientes finais, e dano reputacional. Saber o tempo real — não o teórico — permite dimensionar estratégias complementares como Run Direct (iniciar a VM direto do backup enquanto o restore completo acontece em paralelo) ou manter réplicas locais para cenários críticos. Para uma análise mais completa de ferramentas e estratégias, consulte nosso artigo sobre a melhor solução de backup corporativo.

Boa resposta: "Para 1TB, com a banda média dos nossos clientes (100Mbps dedicados ao restore), o tempo típico é de 2-4 horas. Com banda de 1Gbps, reduz para 20-40 minutos. Oferecemos Run Direct para iniciar a operação em minutos enquanto o restore completo roda em background. Aqui está nosso SLA documentado por cenário."

Resposta ruim: "Depende." (Verdade, mas um fornecedor maduro tem benchmarks por cenário.) / "Nosso restore é instantâneo." (Para 1TB? Com certeza não é.) / "Podemos estimar depois de avaliar o ambiente." (Aceitável na proposta, mas inaceitável se já estiver no contrato sem SLA.)

---

Conclusão: Confiança Se Constrói Com Transparência

As 5 mentiras que listamos neste artigo não são exclusividade de fornecedores mal-intencionados. Muitas vezes, são resultado de equipes comerciais que simplificam demais para fechar a venda, e equipes técnicas que não participam do processo comercial. O problema não é a intenção — é o resultado: empresas que contratam achando que estão protegidas, e descobrem a verdade no pior momento.

A defesa contra isso é simples, mas exige disciplina: faça as perguntas difíceis antes de assinar. Use o checklist de 10 perguntas, aplique o framework de 4 pilares, confronte as promessas com a tabela comparativa, e observe como o fornecedor reage às perguntas que não quer responder. Um fornecedor confiável não apenas responde — agradece a diligência.

Na DataBackup, publicamos nossos preços e funcionalidades abertamente. Oferecemos 14 dias de teste grátis com acesso completo — sem cartão de crédito, sem compromisso, sem truque. Se depois de testar você decidir que não somos a melhor opção, respeitamos e facilitamos a saída. Porque confiança se constrói com transparência, não com contratos que prendem.