Por que minha empresa precisa de uma política de backup documentada?

Sem documentação formal, o backup depende do conhecimento de indivíduos específicos, fica inconsistente e vulnerável a falhas. A política garante padronização, continuidade (independente de pessoas), compliance regulatório (LGPD exige) e capacidade de auditoria.

Quem deve ser responsável pela política de backup?

A política deve ter um responsável formal (geralmente o gestor de TI ou CISO), mas sua elaboração deve envolver TI, áreas de negócio, jurídico e compliance. A aprovação final geralmente é da diretoria, dado o impacto nos negócios.

Com que frequência a política de backup deve ser revisada?

A política deve ser revisada no mínimo anualmente, ou sempre que houver mudanças significativas como novos sistemas, alterações regulatórias, incidentes de segurança, mudanças na infraestrutura ou no modelo de negócio da empresa.

A LGPD exige uma política de backup?

A LGPD não exige explicitamente uma 'política de backup', mas exige medidas técnicas e administrativas para proteção de dados pessoais, o que na prática inclui backup documentado e gerenciado. Auditores e a ANPD esperam ver políticas formais.

Como adaptar a política de backup ao tamanho da empresa?

Microempresas (até 10 funcionários) podem ter uma política de 2-3 páginas cobrindo o essencial: quais dados proteger, frequência e responsável. PMEs (10-200 funcionários) precisam de 5-10 páginas com classificação de dados, RTO/RPO por sistema e procedimentos de restauração. Grandes empresas devem ter políticas detalhadas de 15+ páginas com comitê de governança, integração com ITIL e auditorias trimestrais.

Quais regulações brasileiras exigem política de backup além da LGPD?

Diversas regulações setoriais exigem política formal: BACEN (Resolução 4.893) para instituições financeiras, ANS para operadoras de saúde, SUSEP para seguradoras, CVM para empresas de capital aberto, CFM para clínicas e hospitais (prontuários digitais), e CFC/CRC para escritórios de contabilidade. Além disso, a ISO 27001 (controle A.12.3) exige política documentada de backup para certificação.

Política de Backup Corporativo: Modelo Prático + Checklist [2026]

Uma política de backup bem documentada é essencial para garantir proteção consistente dos dados. Veja o passo a passo para criar a sua, com modelo prático incluído.

Pontos-Chave deste Artigo

Uma política de backup é o documento formal que define regras, procedimentos e responsabilidades de proteção de dados

A LGPD exige medidas técnicas e administrativas — na prática, isso inclui política de backup documentada

Revisão obrigatória no mínimo anual ou após mudanças significativas

Inclui definição de RTO/RPO, retenção, classificação de dados e testes de restauração

Modelo prático com checklist completo para criar sua política do zero

O que é uma Política de Backup?

Uma política de backup corporativo é o documento formal que estabelece regras, procedimentos, responsabilidades e padrões para a proteção de dados da organização por meio de cópias de segurança. Ela responde cinco perguntas fundamentais: o que proteger (classificação de dados), quando (cronograma e frequência), onde armazenar (local, nuvem ou híbrido), como (tipo de backup, criptografia, retenção) e quem é responsável por cada etapa. Sem uma política documentada, o backup fica dependente de pessoas específicas — e qualquer mudança de equipe pode comprometer toda a proteção.

Uma política de backup é o documento formal que define todas as regras, procedimentos, responsabilidades e padrões relacionados à proteção de dados de uma empresa através de cópias de segurança. É o "código de conduta" do backup corporativo.

Sem uma política documentada, o backup depende de decisões individuais, conhecimento informal e processos inconsistentes. Isso cria vulnerabilidades graves: quando a pessoa responsável sai da empresa, quando um novo sistema é implantado ou quando um incidente exige restauração urgente.

Por que Documentar a Política de Backup?

Empresas que operam sem política formal de backup enfrentam riscos concretos:

Inconsistência: Cada técnico faz de um jeito, sem padrão definido
Pontos cegos: Sistemas novos podem ficar sem backup por meses até alguém perceber
Dependência de pessoas: Se o "cara do backup" sair, ninguém sabe como funciona
Falha em auditorias: A LGPD e outras regulações exigem evidências de proteção de dados
Restauração caótica: Em uma emergência, sem procedimentos claros, o tempo de recuperação explode
Responsabilidade indefinida: Quando todos são responsáveis, ninguém é responsável

Estrutura de uma Política de Backup Completa

Uma política eficaz cobre os seguintes componentes. Vamos detalhar cada um:

1. Objetivo e Escopo

Defina claramente o propósito do documento e o que está coberto:

Objetivo: garantir a proteção, integridade e disponibilidade dos dados corporativos
Escopo: quais sistemas, servidores, aplicações, bancos de dados e tipos de dados estão incluídos
Exclusões: o que explicitamente não está coberto pela política (e por quê)
Aplicabilidade: a quem a política se aplica (equipe de TI, fornecedores, todos os colaboradores)

2. Classificação dos Dados

Nem todos os dados têm a mesma importância. Classifique-os em categorias:

Críticos: Dados cuja perda paralisa a operação (bancos de dados de produção, sistemas financeiros, dados de clientes)
Importantes: Dados necessários para operação normal mas recuperáveis parcialmente (e-mails, documentos de projeto)
Operacionais: Dados úteis mas não essenciais no curto prazo (logs, relatórios históricos)
Dispensáveis: Dados que podem ser recriados ou obtidos novamente (caches, temporários)

Cada classificação terá RTO e RPO diferentes, que determinam a frequência e o tipo de backup.

3. Estratégia de Backup

Para cada classe de dados, defina:

Tipo de backup: Completo, incremental, diferencial ou combinação
Frequência: Contínuo, horário, diário, semanal, mensal
Janela de backup: Horários permitidos para execução (ex: 22h-6h)
Retenção: Por quanto tempo cada cópia será mantida
Destinos: Onde cada cópia será armazenada (local, nuvem, fita)

Exemplo de tabela de estratégia:

Classe	Tipo	Frequência	Retenção	Destino
Crítico	Incremental + Completo semanal	A cada 1h / Semanal	30 dias + 12 meses	Local + Nuvem + Imutável
Importante	Incremental + Completo semanal	Diário / Semanal	30 dias + 6 meses	Local + Nuvem
Operacional	Completo	Semanal	30 dias	Local
Dispensável	Não protegido	N/A	N/A	N/A

4. Conformidade com a Regra 3-2-1

A política deve explicitar como a regra 3-2-1 (ou 3-2-1-1-0) é atendida para cada classe de dados. Documente:

Quantas cópias existem de cada tipo de dado
Quais mídias/tecnologias são utilizadas
Onde está a cópia offsite
Qual cópia é imutável (se aplicável)

5. Segurança do Backup

Backups contêm dados sensíveis e precisam de proteção robusta:

Criptografia: AES-256 para dados em trânsito e em repouso
Controle de acesso: Quem pode executar, monitorar e restaurar backups
Credenciais separadas: Contas de backup independentes das contas de produção
MFA: Autenticação multifator para acesso ao sistema de backup
Logs de auditoria: Registro de todas as operações de backup e restauração
Proteção contra ransomware: Cópias imutáveis e air-gapped

6. Procedimentos de Restauração

A política precisa detalhar como restaurar dados em diferentes cenários:

Restauração de arquivo individual: Processo para recuperar um arquivo específico excluído ou corrompido
Restauração de sistema completo: Procedimento para recuperar um servidor inteiro (bare-metal)
Restauração de banco de dados: Processo específico para cada SGBD utilizado
Restauração em caso de desastre: Procedimento de disaster recovery completo
Quem pode solicitar: Definição de quem tem autoridade para solicitar restauração
Fluxo de aprovação: Para restaurações de grande escala, quem aprova

7. Testes e Validação

Defina a rotina obrigatória de testes:

Testes automatizados: Verificação de integridade após cada backup (diário)
Testes de restauração parcial: Restauração de arquivos aleatórios (mensal)
Testes de restauração completa: Simulação de recovery de servidor inteiro (trimestral)
Simulação de disaster recovery: Teste completo do plano de DR (semestral ou anual)
Documentação dos resultados: Relatório formal de cada teste realizado

8. Monitoramento e Alertas

Especifique como o backup será monitorado:

Dashboard centralizado com status de todos os jobs
Alertas automáticos por e-mail/SMS para falhas
Relatórios semanais de status do backup
Métricas monitoradas: taxa de sucesso, tempo de execução, volume, taxa de deduplicação
Escalação: o que acontece quando uma falha não é resolvida em X horas

9. Papéis e Responsabilidades

Defina claramente quem faz o quê:

Gestor da política: Responsável por manter o documento atualizado
Equipe de operação: Responsável pela execução e monitoramento diário
Equipe de segurança: Responsável pela criptografia e controle de acesso
Gestor de TI: Aprovação de mudanças e alocação de recursos
DPO (LGPD): Validação de conformidade com proteção de dados pessoais
Diretoria: Aprovação final da política e do orçamento

10. Compliance e Regulação

Documente os requisitos regulatórios aplicáveis:

LGPD: Requisitos de proteção de dados pessoais
Marcos Regulatórios do Setor: BACEN para financeiras, ANS para saúde, etc.
Contratos com clientes: SLAs que exigem backup/recovery
Certificações: A ISO 27001 define controles específicos de backup que servem como referência internacional para políticas de proteção de dados. SOC 2 e outras normas também podem se aplicar.
Retenção legal: Prazos mínimos de retenção exigidos por lei

11. Gestão de Mudanças e Revisão

A política é um documento vivo:

Revisão obrigatória anual (no mínimo)
Revisão sempre que houver novos sistemas, mudanças de infraestrutura ou incidentes
Controle de versão: quem alterou, quando e por quê
Comunicação de mudanças a todos os envolvidos

Processo de Criação da Política

Para criar sua política de backup do zero, siga estas etapas:

Inventário: Liste todos os sistemas, dados e aplicações da empresa
Classificação: Categorize por criticidade (Crítico, Importante, Operacional, Dispensável)
BIA (Business Impact Analysis): Calcule o impacto financeiro e operacional da perda de cada tipo de dado
Defina RTO e RPO: Para cada classe, baseado na BIA
Projete a estratégia: Tipos, frequências, retenções e destinos
Defina segurança: Criptografia, acesso, imutabilidade
Documente procedimentos: Backup, restauração, testes, monitoramento
Atribua responsabilidades: Papéis claros para cada atividade
Valide com stakeholders: TI, negócio, jurídico, compliance
Aprove formalmente: Assinatura da diretoria
Comunique e treine: Todos os envolvidos precisam conhecer a política
Implemente e monitore: Coloque em prática e acompanhe a aderência

Modelo de Seções da Política: O Que Cada Parte Deve Conter

A tabela abaixo detalha as seções essenciais de uma política de backup corporativo completa, com o conteúdo esperado em cada uma. Use como template para criar ou auditar sua política.

Seção da Política	Conteúdo Obrigatório	Responsável pela Redação	Exemplo Prático
1. Objetivo e Escopo	Finalidade do documento, sistemas cobertos, exclusões explícitas	Gestor de TI	"Esta política cobre todos os servidores de produção, bancos de dados e estações de trabalho da matriz e filiais."
2. Classificação de Dados	Categorias (Crítico, Importante, Operacional, Dispensável), critérios de classificação, exemplos de cada categoria	TI + Áreas de Negócio	Crítico: banco de dados do ERP, dados de clientes. Operacional: logs de sistema.
3. Estratégia de Backup	Tipo, frequência, janela, retenção e destino por classe de dados	Equipe de Infraestrutura	Dados críticos: incremental a cada 1h + full semanal, retenção 12 meses, nuvem + local.
4. Segurança e Criptografia	Algoritmos de criptografia, controle de acesso, MFA, logs de auditoria	Equipe de Segurança / CISO	AES-256 em repouso e trânsito, acesso restrito a 3 administradores com MFA obrigatório.
5. Procedimentos de Restauração	Passo a passo para cada cenário (arquivo, sistema, banco de dados, DR)	Equipe de Operação	Restauração de arquivo: abrir console > selecionar ponto no tempo > restaurar > validar integridade.
6. Testes e Validação	Calendário de testes, tipos (integridade, parcial, completo, DR), template de relatório	Gestor de TI	Mensal: restauração aleatória de 5 arquivos. Trimestral: restauração completa de 1 servidor.
7. Monitoramento e Alertas	Ferramentas, métricas, escalação, relatórios periódicos	Equipe de Operação	Dashboard centralizado, alerta por e-mail/SMS em até 15 min após falha, escalação após 2h sem resolução.
8. Papéis e Responsabilidades	Matriz RACI para cada atividade de backup, contatos de emergência	Gestor de TI + RH	Operação diária: equipe de infra. Aprovação de restauração massiva: gestor de TI. Validação LGPD: DPO.
9. Compliance e Regulação	Requisitos da LGPD, regulações setoriais, prazos de retenção legal	Jurídico + DPO	LGPD: dados pessoais criptografados e retidos conforme finalidade. Fiscal: NF-e retida por 5 anos.
10. Gestão de Mudanças	Controle de versão do documento, calendário de revisão, comunicação de alterações	Gestor da Política	Revisão anual em janeiro, ou após incidente/mudança de infraestrutura. Comunicação via e-mail + intranet.

Checklist de Auditoria da Política de Backup

Use este checklist para auditar a política de backup da sua empresa. Ele cobre os pontos que auditores internos e externos (incluindo auditorias de LGPD e ISO 27001) verificam com mais frequência.

Documentação e Governança

A política está formalmente documentada e aprovada pela diretoria?
Existe controle de versão com histórico de alterações?
A política foi revisada nos últimos 12 meses?
Todos os sistemas e dados estão mapeados no escopo?
Existe um responsável formal (nome, cargo) designado como gestor da política?
Os papéis e responsabilidades estão definidos em uma matriz RACI?

Estratégia e Execução

Cada sistema tem tipo de backup, frequência, retenção e destino definidos?
A regra 3-2-1 está implementada para dados críticos?
Existe cópia offsite (em nuvem ou data center remoto)?
Os RTO e RPO estão definidos por classe de dado e validados pelas áreas de negócio?
O cronograma de backup está configurado e automatizado?
Os backups estão rodando dentro da janela definida, sem conflito com sistemas em produção?

Segurança

Criptografia AES-256 ativa em trânsito e em repouso?
Credenciais de backup são independentes das credenciais de produção?
MFA habilitado para acesso ao console de backup?
Existe backup imutável para proteção contra ransomware?
Logs de auditoria registram todas as operações de backup e restauração?
O acesso ao backup é restrito ao princípio do menor privilégio?

Testes e Restauração

Existe calendário formal de testes de restauração?
Testes de integridade automatizados rodam após cada backup?
Restauração parcial é testada pelo menos mensalmente?
Restauração completa de servidor (bare-metal) é testada trimestralmente?
Simulação de disaster recovery é realizada pelo menos anualmente?
Os resultados dos testes são documentados com data, responsável e resultado?

Compliance

Requisitos de LGPD para dados pessoais estão endereçados?
Prazos de retenção legal por tipo de dado estão documentados?
Regulações setoriais aplicáveis estão mapeadas (BACEN, ANS, SUSEP, CVM)?
Existe evidência de compliance para apresentar em auditorias?
O DPO validou a política de backup?

Lacunas Comuns na Política de Backup por Tamanho de Empresa

As falhas mais frequentes em políticas de backup variam conforme o porte da organização. Identificar as lacunas típicas do seu perfil ajuda a priorizar correções.

Porte da Empresa	Lacunas Mais Comuns	Risco Principal	Recomendação
Micro (1-10 funcionários)	Nenhuma política documentada; backup manual ou inexistente; sem testes de restauração	Perda total de dados sem possibilidade de recuperação	Adotar BaaS com backup automático; criar política mínima de 2 páginas
Pequena (11-50 funcionários)	Política informal (apenas oral); backup apenas local (sem offsite); sem classificação de dados	Dados perdidos em caso de desastre físico ou ransomware	Documentar política formal; implementar regra 3-2-1; classificar dados por criticidade
Média (51-200 funcionários)	RTO/RPO não definidos por sistema; testes de restauração irregulares; backup de SaaS esquecido (M365, Google Workspace)	Tempo de recuperação muito maior que o tolerável pelo negócio	Realizar BIA; incluir SaaS no escopo; formalizar calendário de testes
Grande (200+ funcionários)	Política desatualizada (não revisada em 2+ anos); falta de integração com gestão de mudanças; ausência de backup imutável	Não compliance em auditoria; vulnerabilidade a ataques sofisticados	Integrar com ITIL/ITSM; implementar imutabilidade; revisar trimestralmente
Enterprise (1000+ funcionários)	Silos entre equipes (cada área faz backup do seu jeito); falta de dashboard unificado; sem DR automatizado	Inconsistência e pontos cegos em infraestrutura distribuída	Centralizar em plataforma única; implementar DRaaS; governança com comitê dedicado

Requisitos Regulatórios de Backup: Comparativo LGPD, ISO 27001, BACEN e Setoriais

Empresas brasileiras precisam atender a diferentes requisitos regulatórios dependendo do setor de atuação. A tabela abaixo compara os principais frameworks e regulações que impactam a política de backup.

Requisito	LGPD (Lei 13.709)	ISO 27001 (A.12.3)	BACEN (Res. 4.893)	ANS/Saúde	CFC/Contabilidade
Política documentada	Implícito (Art. 46)	Obrigatório	Obrigatório	Obrigatório	Obrigatório (NBC ITG 2000)
Criptografia	Recomendado (boas práticas ANPD)	Obrigatório	Obrigatório (dados em trânsito e repouso)	Obrigatório (dados de pacientes)	Recomendado
Retenção mínima	Conforme finalidade (pode ser indeterminado)	Definido pela organização	5 anos (dados de transações)	20 anos (prontuários)	5 anos (documentos contábeis)
Testes de restauração	Implícito (comprovar eficácia)	Obrigatório (periódico)	Obrigatório (semestral)	Obrigatório (anual)	Recomendado
Cópia offsite	Recomendado	Obrigatório	Obrigatório (data center separado)	Obrigatório	Recomendado
Controle de acesso ao backup	Obrigatório (Art. 46)	Obrigatório (A.9)	Obrigatório	Obrigatório	Obrigatório
Logs de auditoria	Recomendado	Obrigatório (A.12.4)	Obrigatório	Obrigatório	Obrigatório
Notificação de incidente	Obrigatório (Art. 48 — ANPD)	Obrigatório (procedimento interno)	Obrigatório (BACEN em 24h)	Obrigatório (ANS)	Conforme LGPD
Plano de DR	Implícito	Obrigatório (A.17)	Obrigatório (testado)	Obrigatório	Recomendado
Revisão da política	Periódica (boas práticas)	Anual (mínimo)	Anual + após incidentes	Anual	Anual

Dica prática: se sua empresa opera em múltiplos setores regulados, adote o requisito mais restritivo de cada linha como padrão. Isso garante compliance com todas as regulações simultaneamente. Para escritórios de contabilidade, clínicas, escritórios de advocacia e indústrias, a DataBackup oferece configurações pré-definidas que atendem aos requisitos setoriais.

Como Integrar a Política de Backup com Outros Processos de TI

Uma política de backup não existe isolada. Para ser eficaz, ela deve se conectar com outros processos de governança de TI:

Gestão de Mudanças (ITIL): toda mudança em infraestrutura (novo servidor, migração de sistema, atualização de banco) deve acionar revisão da política de backup. O registro de mudanças deve incluir o item "backup configurado e testado" como gate de aprovação.
Gestão de Incidentes: quando ocorre um incidente que exige restauração, o registro deve incluir tempo para localizar o backup, tempo de restauração real, volume restaurado e validação pós-restauração. Esses dados alimentam a melhoria contínua da política.
Gestão de Ativos: o inventário de ativos de TI deve estar sincronizado com o escopo da política de backup. Ativos novos devem ser automaticamente incluídos no cronograma de backup.
Plano de Continuidade de Negócios: os valores de RTO e RPO definidos na BIA alimentam diretamente a estratégia de backup. Mudanças no PCN devem refletir na política de backup.
Política de Segurança da Informação: a política de backup deve ser um anexo ou capítulo da política de segurança, garantindo alinhamento de controles de acesso, criptografia e resposta a incidentes.
Programa de Privacidade (LGPD): dados pessoais no backup devem seguir as mesmas regras de proteção e retenção definidas no mapeamento de dados. O DPO deve validar a política de backup como parte do programa de conformidade.

Erros Comuns a Evitar

Política muito genérica: "Fazer backup de tudo diariamente" não é uma política. Detalhamento por sistema e classe é essencial.
Não envolver o negócio: TI sozinha não sabe o impacto real da perda de cada dado.
Política sem testes: Documentar procedimentos de restauração mas nunca testá-los é o mesmo que não ter.
Ignorar sistemas em nuvem: SaaS, IaaS e PaaS também precisam de backup. A responsabilidade é compartilhada.
Não revisar periodicamente: Uma política desatualizada pode ser pior que nenhuma, por criar falsa sensação de segurança.

Procedimentos de Backup: O Que Documentar na Prática

Os procedimentos de backup são o componente operacional da política — o passo a passo detalhado que a equipe de TI segue no dia a dia. Enquanto a política define o que fazer, os procedimentos definem como fazer. Documentar procedimentos claros é essencial para que qualquer membro da equipe consiga executar o backup mesmo sem o responsável principal.

Um procedimento de backup deve incluir:

Checklist de execução diária: verificar logs do backup anterior, confirmar sucesso/falha, registrar alertas
Procedimento de restore: passo a passo para restauração completa e granular, com tempo estimado por cenário
Teste de restauração: frequência (mensal recomendado), critérios de aprovação, documentação do resultado — veja nosso guia de teste de restore
Escalação de incidentes: quem acionar quando o backup falha, tempos de resposta, canais de comunicação
Procedimento de DR: quando e como acionar o plano de disaster recovery

Próximos Passos

Criar a política é apenas o começo. Para garantir que ela funcione:

Entenda os fundamentos: O que é backup corporativo
Conheça as opções técnicas: Tipos de backup
Defina a frequência ideal: Cronograma de Backup
Implemente a redundância: Regra 3-2-1
Garanta compliance: LGPD e Backup
Proteja contra ameaças: Ransomware no Brasil

Precisa de ajuda para criar ou revisar sua política de backup? Fale com os especialistas da DataBackup. Ajudamos empresas a construir políticas completas e implementar as tecnologias necessárias para cumpri-las.

Implemente Sua Política de Backup com Tecnologia Adequada

Uma política sem ferramenta é só papel. A DataBackup oferece criptografia AES-256, imutabilidade, retenção configurável e relatórios de auditoria prontos para LGPD. Teste 14 dias grátis.

Ver Planos e Preços Falar com Especialista