Um processo de transação imobiliária é o sonho de qualquer burlão ou ladrão de identidade: documentos de identificação, números de segurança social, dados bancários, assinaturas, moradas, preços de compra e a data exata em que uma grande quantia de dinheiro vai mover-se. Quando o seu escritório adota uma plataforma documental, está a entregar esse processo, de cada cliente, de cada negócio, a um fornecedor. A postura de segurança dele passa a ser a sua postura de segurança e, em muitos aspetos, a sua responsabilidade profissional.
A maioria dos escritórios avalia legal tech pelas funcionalidades e pelo preço, e depois aceita os logótipos da página de segurança pelo valor facial. É o contrário do que devia ser: as funcionalidades mudam todos os meses; uma violação de dados é para sempre. Eis a due diligence que uma prática imobiliária ou jurídica devia realmente executar, as perguntas, o aspeto das boas respostas e os sinais de alarme. (E sim, vamos dando as respostas da VeriCasa pelo caminho, porque achamos que os fornecedores deviam ter de responder à sua própria checklist.)
1. Certificação independente, «Quem vos auditou?»
Autodescrições como «segurança de nível bancário» são marketing. O que conta é a atestação independente:
- SOC 2, a auditoria padrão nos EUA aos controlos de uma organização de serviços em segurança, disponibilidade e confidencialidade, realizada por uma firma de auditores independente. Peça o relatório sob acordo de confidencialidade, não apenas o selo; um relatório Type II (controlos testados ao longo do tempo) é mais forte do que um Type I (fotografia de um momento).
- ISO 27001, a norma internacional para sistemas de gestão de segurança da informação. Certifica que a segurança é gerida como um processo contínuo e auditado, não como um projeto pontual de endurecimento.
Boa resposta: certificações em vigor, relatórios disponíveis mediante pedido, uma pessoa nomeada responsável pela segurança. Sinal de alarme: «seguimos as melhores práticas do setor» sem nada verificável por trás. A VeriCasa tem certificação SOC 2 e está alinhada com a ISO 27001.
2. Encriptação, «Onde é que os meus dados estão desprotegidos?»
O modelo mental certo: os dados têm três estados, em trânsito (a circular em redes), em repouso (armazenados) e em processamento. Pergunte por cada um:
- Em trânsito: TLS em todas as ligações, sem exceções.
- Em repouso: encriptação forte dos documentos e bases de dados armazenados, encriptação de 256 bits (AES-256) é a resposta de referência.
- Gestão de chaves: quem guarda as chaves, como são rodadas, e uma credencial comprometida consegue desencriptar tudo?
A VeriCasa encripta com 256 bits em todo o processo, e os contratos assinados vivem numa base de dados segura e centralizada em vez de espalhados pelo email, o que nos leva ao ponto que a maioria das checklists ignora:
3. Arquitetura, «O próprio fluxo de trabalho tem fugas?»
Uma plataforma pode estar perfeitamente encriptada e, ainda assim, empurrar a sua prática para comportamentos inseguros. A falha clássica: o sistema «seguro» envia documentos como anexos de email, pelo que cada ficheiro passa a existir também numa dúzia de caixas de correio não encriptadas. Avalie o fluxo, não apenas o cofre:
- Os documentos permanecem dentro da plataforma durante a análise, a redação, a assinatura e o arquivo, ou fazem ida e volta pelo email em cada passo?
- Existem controlos de acesso por função, para que um novo colaborador veja os seus processos e não todo o histórico do escritório? (A VeriCasa suporta utilizadores ilimitados com funções e permissões geridas.)
- Existe um registo de auditoria completo, quem viu, editou, enviou e assinou o quê, e quando? Num litígio ou numa investigação de violação, o registo de auditoria é a diferença entre respostas e suposições.
4. Assinaturas, «Conseguem provar quem assinou?»
Se a plataforma executa documentos, a sua tecnologia de assinatura faz parte da sua postura probatória. O clique-para-assinar é juridicamente válido ao abrigo da ESIGN/UETA, mas as assinaturas digitais certificadas, identidade verificada por uma autoridade de certificação, assinatura criptograficamente ligada ao documento exato, alterações matematicamente detetáveis, são o padrão que quer em instrumentos que movem seis e sete dígitos. Pergunte qual das duas o fornecedor oferece. A VeriCasa recolhe assinaturas digitais certificadas com verificação de identidade, em poucos cliques.
5. Perguntas específicas de IA, a secção nova da checklist
Se a plataforma usa IA (como a VeriCasa, para extração e verificação cruzada legal), acrescente estas:
- «Os dados dos meus clientes são usados para treinar modelos disponíveis a terceiros?» A resposta tem de ser uma política inequívoca, no contrato, não um encolher de ombros.
- «Os resultados da IA podem ser verificados?» Boa IA no trabalho jurídico mostra as fontes. Cada achado das verificações cruzadas da VeriCasa cita o documento e o campo de origem, para que um profissional possa validar qualquer alerta em segundos, sem conclusões de caixa negra.
- «O que acontece aos documentos após o processamento?» Retenção, eliminação a pedido e localização dos dados devem ter respostas concretas.
- «Onde fica o humano?» As plataformas devem posicionar-se como ferramentas de análise e redação cujo resultado um profissional revê e assume, é simultaneamente o desenho responsável e o profissionalmente defensável.
6. Disciplina de privacidade, «Construído para o regime mais exigente?»
O direito da privacidade nos EUA é uma manta de retalhos, leis estaduais como a CPRA da Califórnia, regras setoriais, a atuação da FTC. Um atalho útil ao avaliar fornecedores: pergunte se operam segundo padrões de nível RGPD (o regime europeu, geralmente o enquadramento geral mais rigoroso do mundo, minimização de dados, limitação de finalidade, direito ao apagamento, notificação de violações). Um fornecedor projetado para o RGPD cumpre a maioria dos requisitos estaduais americanos por arrasto. A VeriCasa opera em conformidade com o RGPD por desenho.
7. Perguntas operacionais aborrecidas, mas críticas
- Histórico e notificação de violações: Já tiveram incidentes? Qual é o vosso compromisso de notificação, em horas?
- Cópias de segurança e continuidade: Se a vossa infraestrutura falhar na semana dos meus fechos, o que acontece?
- Saída: Se sairmos, recuperamos todos os nossos documentos e dados, em formatos utilizáveis, e os nossos dados são depois eliminados? Um fornecedor que dificulta a saída está a dizer-lhe alguma coisa.
- Suporte: Quando algo falha num momento crítico, há um humano? (A VeriCasa presta apoio ao cliente contínuo, 24/7.)
A comparação desconfortável: o seu processo atual
Mais uma pergunta, apontada ao espelho: como pontua o seu fluxo atual nesta checklist? Processos em threads de email: sem encriptação em repouso, sem controlo de acessos, sem registo de auditoria. Documentos em discos locais: sem certificação, cópias de segurança incertas. Páginas de tinta a circular por estafeta: sem qualquer prova de inviolabilidade. Para a maioria das práticas, uma plataforma bem avaliada não é um risco novo a aceitar, é a reforma de um risco muito maior que ninguém tinha auditado.
Compliance sem compromissos: privacidade de nível RGPD, assinaturas digitais certificadas, SOC 2, alinhamento ISO 27001 e encriptação de 256 bits, o padrão que os processos dos seus clientes merecem.
A conclusão
Avalie o fornecedor como avaliaria um título: verificado de forma independente, consistente entre documentos e sem nada material por explicar. A plataforma certa não protege apenas os seus ficheiros, eleva a postura de segurança de toda a sua prática num único movimento, ao mesmo tempo que torna o trabalho mais rápido. Essa combinação é o objetivo.
Veja a VeriCasa com os seus próprios processos
Centenas de verificações cruzadas legais com IA, relatórios e contratos em minutos, assinaturas digitais certificadas.
Agendar demonstração