Como a hospedagem influencia diretamente na segurança, no desempenho e na estabilidade do seu site, escolher um provedor de hospedagem confiável é uma decisão que deve ser feita com muito cuidado.

Além disso, a hospedagem também pode ajudar sua empresa a atender exigências legais importantes, como o GDPR, CCPA, SOC 2, HIPAA, PCI-DSS e outras normas específicas de determinados setores.

Como há muitos fatores a serem considerados, fazer uma auditoria estruturada dos provedores de hospedagem ajuda você a tomar decisões mais seguras e alinhadas com os objetivos da sua organização.

Neste artigo, vamos mostrar como conduzir uma auditoria de provedor de hospedagem, garantindo segurança e conformidade, além de analisar áreas importantes como suporte, tempo de atividade e desempenho, e identificar armadilhas e sinais de alerta comuns.

Principais áreas a serem avaliadas em uma auditoria de provedor de hospedagem

Para começar, veja uma visão geral das áreas mais importantes que devem ser avaliadas durante a auditoria de um provedor de hospedagem. Embora existam várias perguntas específicas que você possa fazer, as auditorias geralmente se concentram em cinco pilares principais:

  1. Segurança. Avalie a segurança geral da infraestrutura do provedor de hospedagem, incluindo certificados, criptografia, firewalls, proteção contra DDoS, backups, etc. Você também deve considerar como os recursos de segurança do provedor podem se alinhar com as políticas internas da sua organização.
  2. Conformidade. Considere se o provedor pode ajudar você a obter conformidade com normas e estruturas importantes, incluindo GDPR, SOC 2, HIPAA e quaisquer requisitos de conformidade específicos do setor.
  3. Desempenho e confiabilidade. Verifique os locais do centro de dados, a escalabilidade, as garantias de tempo de atividade, os contratos de nível de serviço e outros detalhes sobre o desempenho e a confiabilidade do provedor.
  4. Suporte e transparência. Considere os canais de suporte disponíveis para você, os horários de suporte, os tempos de resposta (tempos de resposta médios e tempos de resposta mínimos garantidos pelo contrato de nível de serviço), a clareza do contrato, etc.
  5. Custos e contratos. Não se atenha apenas ao preço principal, avalie também possíveis taxas ocultas (como cobranças extras, complementos, etc.), a flexibilidade contratual e as cláusulas de cancelamento.

A seguir, abordaremos como você pode avaliar detalhadamente cada um desses pontos críticos:

  • Segurança e conformidade
  • Contratos de nível de serviço para tempo de atividade, desempenho e suporte
  • As políticas da sua organização e como alinhá-las com o provedor
  • Sinais de alerta e possíveis armadilhas, incluindo custos ocultos
  • Algumas dicas gerais sobre como reunir tudo isso para auditar os provedores de hospedagem

Para cada seção, também incluiremos uma lista de verificação de perguntas essenciais a serem respondidas para cada provedor de hospedagem em sua auditoria.

Segurança e conformidade: o que observar

A segurança e a conformidade devem estar entre as áreas mais importantes em uma auditoria de provedor, pois qualquer problema pode afetar seriamente seus negócios e o relacionamento com os clientes.

Ao avaliar a postura de segurança de um provedor de hospedagem, procure certificações reconhecidas pelo setor, como SOC 2 e ISO 27001, medidas proativas, como firewalls, proteção DDoS de nível empresarial e backups automatizados. Alguns provedores, como a Kinsta, também oferecem uma infraestrutura isolada baseada em contêineres que aumenta a segurança e o desempenho.

Você pode aprofundar sua avaliação usando um checklist de segurança de sites confiável para garantir que todas as funcionalidades essenciais estão presentes.

A infraestrutura de segurança da Kinsta explicada.
Um exemplo da infraestrutura baseada em contêineres da Kinsta.

Você pode tornar sua avaliação mais completa utilizando um checklist de segurança de sites confiável, garantindo que todos os recursos essenciais estejam incluídos.

Checklist de perguntas sobre segurança e conformidade

  • Infraestrutura de segurança. O provedor oferece criptografia, firewalls, proteção contra DDoS, backups automáticos e outros recursos essenciais?
  • Certificações gerais de segurança. O provedor possui certificações reconhecidas como SOC 2, ISO 27001 ou outras relevantes?
  • Normas de privacidade. A empresa ajuda você a se manter em conformidade com leis como GDPR, CCPA e similares?
  • Requisitos de conformidade específicos do setor. Caso seu setor exija conformidade com normas como HIPAA ou PCI-DSS, o provedor está preparado para atender a essas demandas?
  • Conformidade contínua. O provedor possui políticas e processos para manter a conformidade ao longo do tempo?
  • Proteções de segurança proativas. Há práticas de segurança para lidar com vulnerabilidades de dia zero e outras ameaças futuras?
  • Política de violação de segurança. O que acontece em caso de incidente de segurança? Quais protocolos o provedor tem para resolver o problema e notificar os clientes?

Compreendendo os acordos de nível de serviço (SLAs) e garantias de desempenho

A maioria dos provedores de hospedagem de sites de qualidade oferece pelo menos algumas garantias em relação ao tempo de atividade, desempenho e suporte. No entanto, pode haver muitas diferenças quanto ao conteúdo dessas garantias e o quanto elas são realmente cumpridas.

Veja algumas áreas nas quais você deve focar ao auditar as garantias de um provedor:

  • Acordo de nível de serviço (SLA). Uma “garantia” não tem muito significado se não houver requisitos e recursos específicos para respaldar essa garantia. No espaço de hospedagem, um SLA (Service Level Agreement) é um acordo entre você e o provedor que define as responsabilidades específicas, as métricas e as soluções. Se um provedor não oferecer SLAs claros e transparentes, isso pode ser um sinal de alerta.
  • Garantias de tempo de atividade. Procurar por “99,9% de tempo de atividade” no texto de marketing não é suficiente quando se trata de tempo de atividade. Também é importante que você entenda a que se aplica a garantia de tempo de atividade, como o “tempo de atividade” é calculado, quais são as compensações se a garantia não for cumprida, entre outros detalhes.
  • Desempenho em escala. É essencial compreender como o desempenho prometido pelo provedor se comporta sob demanda crescente e como ele lida com picos de tráfego. O provedor oferece algum tipo de escalonamento automático ou seu site ficará lento, ou inoperante diante de um grande volume de acessos?
  • Limitações ocultas. Verifique se existem limitações relevantes que não estejam visíveis de imediato. Por exemplo: redução intencional de desempenho, taxas adicionais elevadas, quedas inesperadas (como a ausência de escalabilidade), etc.
  • Tempo de resposta do suporte. Além da disponibilidade 24/7 (imprescindível), verifique os tempos médios de resposta e se esses tempos são garantidos por SLA. Caso existam diferentes níveis de suporte, entenda também como os tempos de resposta variam entre eles.

De modo geral, procure por provedores que ofereçam SLAs transparentes, com garantias claras de tempo de atividade e respostas proativas a incidentes. Um bom provedor de hospedagem também garante monitoramento em tempo real, escalabilidade automática e uma rede global para reduzir a latência, recursos priorizados por plataformas como a Kinsta.

Como exemplo de SLA, veja as garantias da Kinsta com base em SLA para 99,9% e 99,99% de tempo de atividade, ambas com soluções específicas para diferentes situações.

Uma captura de tela do SLA de tempo de atividade da Kinsta em abril de 2025.
SLA de tempo de atividade da Kinsta em abril de 2025.

Checklist de perguntas para SLAs e garantias de desempenho:

  • Garantias de tempo de atividade e desempenho. Quais são as garantias específicas quando se trata de tempo de atividade e desempenho?
  • 99.9% vs 99,99%. Qual é o nível de tempo de atividade que o provedor pode garantir? É apenas 99,9% ou há opções superiores (como 99,99%)?

  • Picos de tráfego. Como o provedor lida com picos de tráfego? Quais garantias de desempenho estão disponíveis nesses períodos?

  • Compensações. Quais são as compensações previstas se as garantias não forem cumpridas? Se for um reembolso, qual é a política e como ele é calculado?

  • Tempo de resposta do suporte. Quais são os tempos de resposta garantidos por SLA para diferentes níveis de suporte?

  • Clareza contratual. Os SLAs e outras obrigações contratuais são claros e específicos? Ou incluem isenções amplas e linguagem vaga?

Alinhando as capacidades do provedor com as políticas da sua organização

Além de verificar se o provedor de hospedagem cumpre os regulamentos necessários, também é importante garantir que ele esteja alinhado com as políticas e padrões internos da sua organização.

Sua organização pode ter exigências próprias, mas aqui estão alguns pontos a considerar:

  • Políticas internas de segurança e TI. Certifique-se de que o provedor possa atender às políticas e aos padrões de sua organização. Por exemplo, você pode exigir restrições de acesso baseadas em funções, registro de atividades, etc.
  • Requisitos de residência de dados. Você pode precisar de dados armazenados em um determinado local físico (por exemplo, na União Europeia para simplificar a conformidade com o GDPR) e/ou de uma determinada forma. É importante verificar se o provedor pode atender a esses requisitos. A maioria dos provedores de hospedagem de qualidade oferece múltiplas localizações de centros de dados; por exemplo, a Kinsta permite que você escolha entre 37 localizações diferentes.
  • Gestão de riscos de terceiros. A maioria dos provedores de hospedagem depende de determinados prestadores de serviços terceirizados. Você deve entender como o provedor gerencia esses fornecedores e se essas relações estão em conformidade com os padrões internos da sua organização.

Em caso de dúvida, entre em contato com o provedor de hospedagem para obter respostas específicas sobre políticas organizacionais importantes.

Checklist de perguntas para alinhamento organizacional

  • Documentação de conformidade. O serviço de hospedagem pode fornecer documentação que comprove a conformidade com as certificações e regulamentações exigidas pela sua organização?
  • Localização de dados. Quais ferramentas e opções o provedor de hospedagem oferece para ajudar na conformidade com os requisitos de localização de dados da sua organização?
  • Integrações com terceiros. Com quais serviços terceirizados o provedor de hospedagem se integra? Como essas relações são gerenciadas e quais medidas de segurança estão em vigor para essas integrações?
  • Acesso à conta de hospedagem. Quais ferramentas você tem para controlar o acesso à sua conta de hospedagem e implementar restrições baseadas em funções da sua organização?
  • Funcionalidade de registros. É possível registrar as ações dos usuários dentro da sua conta de hospedagem? Quais outras ferramentas você tem para monitorar o acesso à conta de hospedagem da sua organização?

Armadilhas comuns e sinais de alerta aos quais você deve estar atento

Embora tenhamos focado nos “sinais verdes” de um provedor, também existem alguns “sinais vermelhos” e problemas comuns que você deve observar ao conduzir uma auditoria de provedor.

Veja a seguir algumas das questões mais frequentes às quais vale a pena ficar atento:

  • Acordos de nível de serviço vagos ou frágeis. Já abordamos a importância dos SLAs anteriormente. No entanto, desconfie de provedores com SLAs fracos ou vagos, que não oferecem garantias significativas e/ou soluções adequadas.
  • Taxas de excedente punitivas ou outros custos adicionais. Embora as taxas por uso excedente não sejam necessariamente um problema, elas podem ser prejudiciais se forem aplicadas de forma excessiva em situações comuns para a sua organização. Também é importante analisar outros custos extras, como cobranças por complementos, taxas de cancelamento e quaisquer outras tarifas que possam surgir.
  • Problemas de escalabilidade. Se o provedor não consegue escalar os recursos durante períodos de alta demanda, você poderá enfrentar quedas ou lentidão em momentos de pico de tráfego, ou uso intensivo de recursos.
  • Falta de transparência. Um provedor de qualidade deve ser transparente em relação à sua infraestrutura e à documentação de segurança – caso contrário, isso é um sinal de alerta. Por exemplo, a Kinsta possui uma página dedicada à transparência, onde compartilha detalhes sobre conformidade, infraestrutura, segurança, etc.
Uma captura de tela do Centro de Confiança da Kinsta
O Centro de Confiança da Kinsta oferece transparência sobre sua infraestrutura e conformidade.

Checklist de perguntas sobre armadilhas e sinais de alerta

  • SLAs pouco claros. O SLA possui garantias de tempo de atividade vagas e diversas exclusões de responsabilidade?

  • Custos ocultos punitivos. Quais são os custos por excedente, complementos e taxas de saída? Eles são justos ou excessivamente punitivos?

  • Contratos inflexíveis. O provedor impõe cláusulas ou taxas de saída que dificultam a mudança de serviço?

  • Escalabilidade limitada. Existem restrições à escalabilidade de recursos? Se sim, como essas limitações podem impactar sua organização em cenários reais?

  • Falta de transparência. O provedor se recusa a compartilhar detalhes específicos sobre sua infraestrutura ou documentação de segurança?

Comparando provedores e tomando uma decisão

Se você estiver considerando múltiplos provedores, ter uma forma objetiva de compará-los pode ser útil. No entanto, isso pode ser um desafio, já que diferentes provedores podem ter pontos fortes e fracos distintos.

Aqui vão algumas sugestões para filtrar as opções e escolher o provedor certo para sua organização:

Crie um modelo de planilha de auditoria

Para comparar provedores de forma objetiva, levando em conta seus pontos fortes e fracos, você pode criar uma planilha de auditoria baseada nos critérios mais relevantes para o seu negócio.

Um bom ponto de partida é classificar os provedores com base nos seguintes critérios:

  1. Segurança
  2. Conformidade
  3. Suporte
  4. Desempenho e escalabilidade
  5. Custos

Se houver outras áreas essenciais para o seu negócio, você também pode incluí-las como categoria adicional na planilha de auditoria.

Dependendo das necessidades específicas da sua organização, talvez você queira atribuir pesos maiores a determinadas áreas. Por exemplo, se sua empresa exige conformidade com uma regulamentação específica do setor, é importante priorizar esse item na sua avaliação.

Use períodos de teste para avaliar o desempenho em cenários reais

Depois de restringir sua lista a alguns candidatos, você pode usar os períodos de teste para avaliar o desempenho em cenários reais e a qualidade do suporte antes de tomar uma decisão final.

Embora nem todos os provedores ofereçam testes gratuitos, a maioria oferece algum tipo de garantia de reembolso. A Kinsta oferece ambos: um mês de teste gratuito nos planos Single 35k e WP 2, além de uma garantia de reembolso de 30 dias válida para todos os planos.

Aproveite esses períodos de teste para realizar seus próprios testes de desempenho e verificar se o desempenho real do provedor corresponde ao que foi prometido. Você também pode interagir com o suporte para avaliar os tempos de resposta e a qualidade do atendimento.

Como a Kinsta atende aos padrões de conformidade e segurança

A Kinsta oferece hospedagem de WordPress e de aplicativos web com conformidade com padrões essenciais de segurança e conformidade.

Os planos da Kinsta incluem recursos de segurança essenciais, como contêineres isolados, criptografia, firewalls, proteção contra DDoS, proteção contra malware, backups automáticos, entre outros. A Kinsta também está em conformidade com certificações essenciais, como ISO 27001 e SOC 2.

Para oferecer mais transparência sobre segurança, conformidade e outros aspectos, a Kinsta disponibiliza um Trust Center detalhado com informações claras sobre sua infraestrutura e conformidade. Você também conta com suporte de nível único, com tempo médio de resposta inicial inferior a dois minutos, além de SLAs claros e precisos.

Muitas organizações têm obtido sucesso com a Kinsta, inclusive aquelas com requisitos rigorosos de conformidade. Você pode ler essas histórias nos diversos estudos de caso da Kinsta. Aqui estão algumas experiências notáveis de clientes:

  • Organic Media Group melhorou o relacionamento com seus clientes graças à garantia de tempo de atividade de 99,99% apoiada pelo SLA da Kinsta, além de melhorias em segurança e desempenho.
  • Naplab obteve melhorias significativas em desempenho, segurança e suporte ao migrar para a Kinsta.
  • DARTdrones suportou seu momento viral no Shark Tank graças à escalabilidade da Kinsta.

Resumo

Conduzir uma auditoria completa de provedores de hospedagem é essencial para garantir segurança, conformidade e desempenho.

Ao avaliar os provedores com base nesses critérios-chave, sua organização pode minimizar riscos e otimizar sua estratégia de hospedagem. Este processo também pode servir como estrutura para revisões regulares do seu provedor de hospedagem, à medida que surgem novas regulamentações e ameaças.

Se você está em busca de uma solução de hospedagem gerenciada que priorize segurança, conformidade e uma infraestrutura de alto desempenho, a Kinsta é um excelente exemplo de provedor que atende a esses padrões.

Jeremy Holcombe Kinsta

Editor de Conteúdo & Marketing na Kinsta, Desenvolvedor Web WordPress e Escritor de Conteúdo. Fora do universo WordPress, eu curto praia, golfe e filmes. Também enfrento problemas de gente alta ;).