Seu site é a vitrine digital do negócio — e, ao mesmo tempo, um ponto de entrada frequente para fraudes, captura de dados e sequestro de contas de administração. Por isso, na hora de contratar (ou trocar) um provedor de hospedagem, segurança precisa ser critério de decisão, não um “extra” que você descobre depois. A Federal Trade Commission recomenda olhar para alguns itens essenciais e fazer perguntas diretas antes de fechar contrato. (Federal Trade Commission)
Abaixo vai um guia prático, baseado na seção Hiring a Web Host, para você comparar serviços com foco em risco (e não só em preço).
1) TLS não é detalhe: é a base da confiança (e do “https://”)
O primeiro item é Transport Layer Security (TLS). O serviço escolhido deve incluir TLS (na versão mais recente) para ajudar a proteger a privacidade dos seus clientes. Quando TLS está corretamente implementado, o endereço do seu site começa com https://, e as informações enviadas ao site ficam criptografadas — algo especialmente importante se você coleta dados sensíveis, como senhas ou cartão de crédito. (Federal Trade Commission)
O que isso muda na prática?
- Se o host “cobra à parte” por TLS, você precisa saber antes (e entender se o custo/renovação é previsível).
- Se você não tem equipe técnica, confirme se o provedor ajuda a configurar (e manter) o TLS corretamente. (Federal Trade Commission)
2) Se o e-mail usa o seu domínio, autenticação é obrigatória
Muitos provedores permitem que sua empresa use e-mail com o mesmo domínio do site (ex.: nome@suaempresa.com). Sem autenticação, golpistas podem se passar pelo seu domínio e disparar mensagens que parecem vir da sua empresa. (Federal Trade Commission)
A orientação é garantir que o provedor consiga oferecer as três tecnologias de autenticação de e-mail: SPF, DKIM e DMARC. (Federal Trade Commission)
E há um alerta prático: serviços de e-mail amplamente usados como Microsoft (ex.: Outlook) ou Google (ex.: Gmail) costumam já contemplar esses métodos — então vale comparar se faz mais sentido separar “hospedagem do site” e “provedor de e-mail”. (Federal Trade Commission)
3) Atualizações de software: quem garante o patch (e como)?
Muitos hosts oferecem sites “prontos” ou pacotes (CMS, lojas, templates) para acelerar a criação. O problema é que, como qualquer software, isso precisa estar na última versão com patches de segurança em dia. A FTC recomenda que você deixe claro como as atualizações acontecerão: você fará, ou o provedor fará por você? (Federal Trade Commission)
Pergunta que separa host bom de host perigoso:
- “Vocês mantêm o software atualizado automaticamente? Se não, é fácil para mim atualizar?” (Federal Trade Commission)
4) Gestão do site: quem mexe, como mexe, e com qual proteção?
Outro ponto ignorado até dar problema: quem administra o site depois de publicado. Se o provedor gerencia tudo, você pode ficar dependente dele para mudanças simples. Se você puder logar e alterar por conta própria, a FTC recomenda checar se existe MFA (autenticação multifator) para o painel administrativo. (Federal Trade Commission)
Aqui, “governança” é segurança: quanto mais gente com acesso de admin (e quanto menos controle sobre isso), maior a chance de invasão por credencial vazada.
As perguntas que você deve fazer (e não ter vergonha de insistir)
A FTC sugere um conjunto de perguntas bem diretas para entrevistar o provedor. Use como roteiro de comparação:
- TLS: está incluído no plano? É grátis ou add-on pago? Quem configura: você ou o provedor? (Federal Trade Commission)
- Quais práticas/tecnologias de segurança existem para manter o site seguro? (Federal Trade Commission)
- Vocês oferecem as versões mais atualizadas do software e mantêm as atualizações? Se a responsabilidade for minha, é fácil fazer? (Federal Trade Commission)
- Se eu usar vocês como provedor de e-mail do domínio: dá para usar meu domínio? Vocês ajudam a configurar SPF, DKIM e DMARC? (Federal Trade Commission)
- Depois do site pronto: quem consegue fazer mudanças? Eu dependo de vocês? Posso logar e alterar? Se sim, há MFA no login? (Federal Trade Commission)
- O provedor teve breaches recentes? Como lidou com eles? (Federal Trade Commission)
- Se o site coleta dados de visitantes: onde os dados ficam, estão criptografados e quem tem acesso? (Federal Trade Commission)
- Se houver atividade suspeita: quem eu contato e qual é o fluxo de atendimento? (Federal Trade Commission)
Se o provedor enrola, dá respostas vagas ou trata essas perguntas como “exagero”, considere isso um sinal de risco: você está comprando não só hospedagem, mas também parte da sua superfície de ataque.
Dica final: transforme isso em critério de contrato, não só conversa
Além de fazer as perguntas, registre por escrito (proposta/contrato/SLA) pontos como: inclusão de TLS, responsabilidade por patches, método de acesso ao painel e exigência de MFA, e canais de resposta para atividade suspeita. Isso ajuda a evitar o clássico “não estava no escopo” quando você mais precisa.
