O regulador pediu o histórico de comunicações de um colaborador dos últimos 2 anos. Sua empresa consegue entregar isso em menos de 24 horas, com rastreabilidade completa e sem depender de ninguém lembrar onde estava cada arquivo?

Essa situação acontece com mais frequência do que parece. Quando ocorre, o problema raramente é a falta de dados. Afinal, esses dados existem, mas estão dispersos em caixas de e-mail, canais do Teams e arquivos do OneDrive, sem nenhuma estrutura que permita localizá-los, preservá-los e exportá-los dentro do prazo que uma solicitação regulatória impõe.

A maioria das corretoras e fintechs brasileiras opera no Microsoft 365, e o eDiscovery está disponível nativamente na plataforma. O que quase nenhuma delas tem é a configuração correta ativa. Infelizmente, essa lacuna só aparece quando o Bacen ou a CVM bate à porta.

A seguir, explicamos o que é eDiscovery, o que o regulador efetivamente exige, quais camadas precisam estar configuradas e por que ter a licença do Microsoft 365 ativa não é suficiente para estar em conformidade.

O que é eDiscovery

eDiscovery é o processo de identificar, preservar, coletar e exportar informações eletrônicas armazenadas em sistemas corporativos para uso em investigações regulatórias, auditorias internas ou processos legais.

Na prática, significa ter a capacidade de responder perguntas como:

  • Quais e-mails esse colaborador trocou sobre a operação X entre janeiro e março do ano passado?
  • Quais mensagens do Teams mencionaram o cliente Y nos últimos 6 meses?
  • Há registros de comunicação sobre esse ativo nos canais internos da empresa?

Sem eDiscovery configurado, responder a essas perguntas exige trabalho manual, acesso a backups desorganizados e tempo que uma solicitação regulatória normalmente não permite.

 

Por que corretoras e fintechs precisam de eDiscovery ativo

A exigência regulatória existe e já está em vigor

O Banco Central do Brasil e a CVM impõem às instituições financeiras obrigações de rastreabilidade e preservação de comunicações corporativas. Isso inclui e-mails, mensagens em plataformas de colaboração como o Microsoft Teams e arquivos compartilhados internamente.

A Resolução BCB 85/2021 estabelece que as instituições devem manter políticas de segurança da informação com controle de acesso, rastreabilidade e capacidade de resposta a incidentes. A CVM, por sua vez, exige que gestoras, corretoras e distribuidoras mantenham registros auditáveis de comunicações relacionadas a recomendações de investimento e operações realizadas.

A LGPD adiciona uma camada adicional: em caso de incidente envolvendo dados pessoais de clientes, a instituição precisa demonstrar quais dados foram acessados, por quem e quando. Sem logs de auditoria ativos e eDiscovery configurado, essa demonstração é impossível.

O problema mais comum: licença ativa, funcionalidade inativa

O Microsoft Purview eDiscovery está disponível nativamente no ecossistema Microsoft 365, a partir dos planos E3 e E5. A maioria das instituições financeiras já opera nesse ambiente.

O que raramente acontece é a configuração correta das seguintes camadas:

  • Políticas de retenção automática para e-mails, mensagens do Teams, arquivos do OneDrive e documentos do SharePoint
  • Holds de preservação que impedem a exclusão de conteúdo relevante mesmo após o desligamento de colaboradores
  • Casos de eDiscovery estruturados com custodians definidos e queries configuradas
  • Logs de auditoria premium com retenção estendida além dos 180 dias padrão

Cada uma dessas configurações precisa ser implementada ativamente já que elas não funcionam por padrão após a ativação da licença.

Como o eDiscovery funciona no Microsoft Purview

As três camadas principais

  1. Pesquisa e coleta: O eDiscovery permite buscar conteúdo em Exchange Online, SharePoint, OneDrive, Teams e outros serviços do Microsoft 365 usando critérios específicos: remetente, destinatário, período, palavras-chave, tipo de arquivo. Os resultados são coletados em um ambiente isolado, sem interferir nos dados originais.
  2. Preservação: Quando um colaborador entra no escopo de uma investigação, é possível aplicar um hold que preserva todo o conteúdo desse usuário, impedindo que e-mails sejam apagados ou mensagens excluídas, mesmo que o próprio usuário tente fazê-lo. Essa preservação opera de forma silenciosa e não afeta a experiência do colaborador.
  3. Exportação e entrega: O conteúdo coletado pode ser exportado em formatos padronizados, com metadados completos, hash de integridade e trilha de cadeia de custódia. Esse pacote é o que uma instituição entrega a um regulador ou utiliza em uma investigação interna.

eDiscovery Standard vs. eDiscovery Premium

O eDiscovery Standard oferece pesquisa básica de conteúdo e exportação, sendo o suficiente para investigações simples.

O eDiscovery Premium adiciona gestão de custodians, análise preditiva de documentos, workflows de revisão e exportação com cadeia de custódia documentada. Para instituições financeiras sujeitas a auditorias regulatórias frequentes, o nível Premium é o que garante a robustez necessária para responder a solicitações do Bacen e da CVM com a granularidade exigida.

O que acontece quando o eDiscovery não está configurado

Cenário 1: solicitação regulatória

O Bacen solicita o histórico de comunicações de um assessor de investimentos referente a um período específico. A empresa não tem holds configurados e o colaborador excluiu e-mails nos meses anteriores. O conteúdo está parcialmente disponível em backups desorganizados. A entrega leva semanas, com lacunas que precisam ser explicadas ao regulador.

Cenário 2: desligamento de colaborador

Um colaborador com acesso a informações sensíveis de clientes é desligado. Sem políticas de retenção ativas, os dados da conta dele são excluídos automaticamente após o período padrão do Microsoft 365. Se uma investigação surgir 6 meses depois, o conteúdo já não existe.

Cenário 3: incidente de dados

Um incidente de segurança expõe dados de clientes. A LGPD exige que a empresa identifique quais dados foram acessados, por quem e em qual período. Sem logs de auditoria premium configurados, a empresa não consegue reconstruir a linha do tempo do incidente com a precisão exigida pela ANPD.

Perguntas frequentes sobre eDiscovery

O eDiscovery é obrigatório para corretoras e fintechs? A obrigação regulatória é de rastreabilidade e preservação de comunicações, não de uma ferramenta específica. O eDiscovery do Microsoft Purview é o mecanismo que permite cumprir essa obrigação em ambientes Microsoft 365.

O Microsoft 365 E3 já inclui eDiscovery? Sim, o eDiscovery Standard está disponível a partir do E3. O eDiscovery Premium requer licenciamento E5 ou o add-on Microsoft Purview eDiscovery & Audit.

Quanto tempo leva para configurar o eDiscovery corretamente? Depende da complexidade do ambiente. Em instituições com centenas de usuários e múltiplas unidades de negócio, a configuração adequada de políticas de retenção, holds e logs de auditoria pode levar algumas semanas. O risco de fazer isso sem especialização é configurar políticas que parecem ativas mas não cobrem os cenários regulatórios relevantes.

A diferença entre entregar o que o regulador pede e explicar por que não consegue

eDiscovery não é uma funcionalidade opcional para instituições financeiras reguladas. Ele é o mecanismo técnico que transforma a obrigação de rastreabilidade em capacidade operacional real.

Ter o Microsoft 365 licenciado resolve parte do problema. Ter o eDiscovery corretamente configurado, com políticas de retenção ativas, holds estruturados, logs de auditoria premium e casos prontos para responder a solicitações, é o que separa uma instituição que consegue responder ao regulador em 24 horas de uma que passa semanas tentando reconstruir dados incompletos.

A BHS tem mais de 30 anos de experiência em tecnologia e especialização comprovada no setor financeiro, com histórico documentado em instituições como Banco XP, BTG Pactual, Banco Safra e Banco BMG. O Serviço Gerenciado de Microsoft 365 da BHS inclui a configuração, monitoramento e manutenção de todo o stack de conformidade do Microsoft Purview, incluindo eDiscovery, políticas de retenção, DLP e logs de auditoria, com monitoramento contínuo e relatórios periódicos de conformidade.

Quer avaliar se o eDiscovery da sua instituição está configurado para atender uma solicitação regulatória? 

A BHS realiza um diagnóstico do seu ambiente Microsoft 365 com foco em conformidade. Clique aqui e faça o assessment gratuito.