Controles de Manuseio de Dados que Todo Administrador Deve Configurar
Antes que qualquer equipe comece a usar o Claude no dia a dia, um punhado de configurações de espaço de trabalho deve ser revisado e deliberadamente definido, não deixado em seus padrões.
Este checklist percorre essas configurações em uma ordem lógica, desde as fundamentais até as que dependem de ter os básicos já implementados.
Como Usar Este Checklist
- Percorra os níveis em ordem - itens posteriores assumem que os anteriores já estão configurados.
- Registre cada decisão e o motivo por trás dela, não apenas a configuração final - revisões e auditorias futuras precisarão desse contexto.
- Releia este checklist sempre que uma nova equipe, projeto ou tipo de dado for adicionado ao espaço de trabalho, não apenas durante a configuração inicial.
- Atribua um único proprietário para manter essas configurações atualizadas, para que elas não se desviem silenciosamente após o lançamento inicial.
Nível 1: Configurações Fundamentais
- Confirme se o acesso ao espaço de trabalho/administrador está limitado às pessoas certas: revise quem atualmente detém direitos de administrador e remova qualquer pessoa que não precise mais deles.
- Defina a janela de retenção de dados deliberadamente: não a deixe no padrão da plataforma sem verificar se ela se adequa à sensibilidade de dados da sua organização.
- Ative o opt-out de treinamento se seus dados justificarem: para espaços de trabalho que lidam com dados regulamentados ou proprietários, exclua conversas de serem usadas para treinamento de modelos.
- Verifique essas duas configurações independentemente: retenção e opt-out de treinamento são controles separados, e confirmar que um está definido corretamente não confirma o outro.
- Documente o raciocínio por trás de cada configuração: uma nota de uma linha sobre por que a janela de retenção é o que é economiza tempo durante uma auditoria posterior.
Nível 2: Controles de Acesso e Identidade
- Revise como novos usuários são provisionados no espaço de trabalho: confirme se há um processo definido, não um ad hoc.
- Confirme se as permissões baseadas em função correspondem às funções de trabalho reais: administradores devem ser administradores porque precisam ser, não porque foi conveniente durante a configuração.
- Defina uma cadência para revisões periódicas de acesso: trimestralmente é um ponto de partida razoável para a maioria das organizações.
- Remova o acesso prontamente quando alguém deixar a equipe ou organização: acesso obsoleto é uma das descobertas mais comuns em uma revisão de segurança.
Nível 3: Monitoramento e Responsabilidade
- Ative e localize o log de auditoria: confirme que você sabe onde ele está e o que ele está capturando atualmente antes que você precise dele durante um incidente.
- Atribua a propriedade da revisão do log de auditoria: um log que ninguém revisa fornece pouco valor prático.
- Defina uma cadência de revisão para o log de auditoria: revisão trimestral mais revisão ad hoc após qualquer mudança inesperada é uma linha de base razoável.
- Confirme o que o log de auditoria cobre e o que não cobre: ele captura ações administrativas e eventos de acesso, não o conteúdo da conversa, portanto, planeje seus outros controles de acordo.
Nível 4: Orientação sobre Dados em Uso
- Escreva uma breve nota interna sobre quais categorias de dados podem ser coladas no Claude e quais não podem: cubra PII de clientes, credenciais e finanças não lançadas, no mínimo.
- Distribua essa orientação durante o onboarding, não após um incidente: o ponto é a prevenção, não a limpeza.
- Identifique quais equipes lidam com os dados mais sensíveis e dê a elas atenção extra: jurídico, financeiro e suporte ao cliente geralmente justificam orientação mais rigorosa do que equipes gerais.
- Revise a orientação sempre que um novo tipo de dado regulamentado entrar no fluxo de trabalho da organização: um novo contrato de cliente ou uma nova linha de produto pode alterar o que está em escopo.
Nível 5: Alinhamento de Conformidade
- Confirme quais frameworks de conformidade realmente se aplicam à sua organização: SOC2, GDPR, ambos ou nenhum em um sentido formal - isso determina o quão rigoroso o restante deste checklist precisa ser.
- Mapeie suas configurações de retenção e treinamento às obrigações de proteção de dados declaradas pela sua organização: seja capaz de explicar, por escrito, por que as configurações atuais satisfazem essas obrigações.
- Mantenha evidências dessas configurações junto com outra documentação de risco de fornecedor: para que possa ser produzida rapidamente durante uma auditoria ou revisão de cliente.
- Agende uma revisão recorrente de todo este checklist: anualmente, no mínimo, e novamente sempre que o uso de dados da organização mudar significativamente.
Aplicando o Checklist em Ordem
- Nível 1 (1-5) vem primeiro porque a retenção, o opt-out de treinamento e o acesso administrativo são a base sobre a qual todo o resto depende - se errar aqui, os níveis posteriores não importarão.
- Nível 2 (6-9) se baseia nessa fundação, garantindo que apenas as pessoas certas possam alterar essas configurações fundamentais em primeiro lugar.
- Nível 3 (10-13) adiciona visibilidade - uma vez que o acesso e as configurações estão corretos, você precisa de uma maneira de confirmar que eles permanecem corretos ao longo do tempo.
- Nível 4 (14-17) muda o foco para o que os funcionários realmente fazem no dia a dia, já que as configurações sozinhas não impedem alguém de colar dados sensíveis em uma conversa.
- Nível 5 (18-21) vincula tudo de volta às obrigações de conformidade reais da organização, fechando o ciclo entre as configurações técnicas e a postura documentada.
FAQs
Preciso completar todos os níveis antes de lançar o Claude para minha equipe?
Os Níveis 1 e 2 são quase inegociáveis antes de qualquer lançamento.
Os Níveis 3 a 5 podem ser razoavelmente concluídos nas primeiras semanas após o lançamento, mas não devem ser adiados indefinidamente.
Qual é o item mais comumente pulado nesta lista?
Atribuir a propriedade da revisão do log de auditoria (item 11) - o log é ativado durante a configuração e, em seguida, ninguém realmente o olha novamente até que algo dê errado.
Com que frequência todo este checklist deve ser revisitado?
Pelo menos anualmente, mais qualquer vez que uma nova equipe, projeto ou tipo de dado regulamentado for introduzido - esses eventos são gatilhos naturais para verificar novamente se as configurações ainda se adequam.
A configuração de opt-out de treinamento é relevante para todas as organizações?
É mais claramente relevante para organizações que lidam com dados regulamentados ou proprietários.
Espaços de trabalho de menor sensibilidade e de uso geral podem razoavelmente decidir que isso importa menos, mas a decisão ainda deve ser deliberada em vez de padrão.
Por que o checklist separa "configurações" de "orientação para funcionários"?
Porque eles resolvem problemas diferentes - as configurações controlam o que a plataforma faz com os dados, enquanto a orientação controla o que os funcionários escolhem colar em primeiro lugar.
Ambos são necessários; nenhum substitui o outro.
O que devo fazer se herdar um espaço de trabalho onde nada disso foi configurado?
Comece no Nível 1 e trabalhe em ordem - trate como um lançamento totalmente novo, já que um espaço de trabalho não configurado está funcionalmente rodando com os padrões que a plataforma envia.
As equipes menores devem pular o nível de alinhamento de conformidade?
Não inteiramente - mesmo uma equipe pequena deve saber se algum framework de conformidade formal se aplica a ela, pois essa resposta determina o quanto do restante do checklist realmente importa.
Como este checklist se relaciona com o checklist de lançamento em toda a empresa?
Este checklist são as configurações básicas que todo administrador deve configurar para um único espaço de trabalho; o checklist de lançamento em toda a empresa se baseia nisso ao expandir o Claude por toda uma organização.
Qual é a maneira mais rápida de saber se as configurações de um espaço de trabalho se desviaram?
Compare a janela de retenção atual, o opt-out de treinamento e a lista de acesso administrativo com o que foi documentado na última revisão - qualquer diferença inexplicada vale a pena investigar.
Quem deve ser o proprietário deste checklist dentro de uma organização?
Geralmente um administrador do espaço de trabalho em coordenação com partes interessadas de segurança ou conformidade - as configurações técnicas ficam com o administrador, mas o "porquê" por trás delas muitas vezes precisa de contribuição da conformidade ou do jurídico.
Relacionado
- Noções Básicas de Governança e Conformidade - o guia que este checklist expande
- Como o Claude Lida com Retenção de Dados e Opt-Outs de Treinamento - o modelo mental por trás do Nível 1
- O Que os Logs de Auditoria Capturam no Console do Claude - detalhes por trás do Nível 3
- Checklist de Conformidade Antes de Lançar o Claude em Toda a Empresa - a versão em escala empresarial deste checklist
Versões de Stack: Escrito contra a linha de modelos Claude atual em ~junho de 2026 - Claude Fable 5, Claude Opus 4.8, Claude Sonnet 5 (o padrão) e Claude Haiku 4.5. Nomes de modelos, preços e recursos de produtos mudam rapidamente - verifique as especificações atuais em platform.claude.com/docs antes de confiar nelas.