01/06/2026
A pejotização, contratação de desenvolvedores como pessoa jurídica ao invés do regime CLT, virou prática recorrente no mercado brasileiro de tecnologia. No entanto, em auditorias de SGSI - Sistema de Gestão de Segurança da Informação baseadas na ISO/IEC 27001:2022, esse modelo tem provocado o debate sobre se o trabalho desses profissionais deve ou não ser tratado sob o controle A.8.30 — desenvolvimento terceirizado.
👉 Há auditores que enquadram desenvolvedores PJ como terceirização de desenvolvimento e exigem o A.8.30.
👉 Outros entendem que o desenvolvedor PJ, integrado aos processos internos da contratante, é colaborador para todos os efeitos de segurança da informação, e o A.8.30 não se aplica.
Criamos um artigo que propõe um caminho técnico para essa decisão, com base no texto da norma e na natureza dos controles envolvidos.
Confira: https://bit.ly/4dFSyVE