Contrato de Manutenção de TI e Suporte Técnico — Brasil

O Contrato de Manutenção de TI e Suporte Técnico é o documento empresarial firmado no Brasil com base na Código Civil Arts. 593–609 (Contrato de Serviço).

O Art. 593 do Código Civil define o contrato de prestação de serviços como aquele em que uma das partes se obriga a prestar serviço ao outro, em atividade que não constitua relação de emprego, podendo ter por objeto qualquer espécie de serviço ou trabalho lícito, material ou imaterial. O Art. 594 estabelece que toda espécie de serviço ou trabalho lícito pode ser contratada, salvo as proibições legais. O Art. 596 estabelece que não havendo prazo estipulado, nem se podendo inferir da natureza do contrato ou do costume do lugar, qualquer das partes pode, a qualquer tempo, resolver o contrato, mediante aviso prévio — dispositivo especialmente relevante para contratos de manutenção de TI por prazo indeterminado.

O mercado de manutenção de TI no Brasil é estruturado em três grandes modalidades de serviço: (a) manutenção corretiva — atendimento reativo a falhas e defeitos (hardware com defeito, sistemas fora do ar, vírus e ransomware, erros de software); (b) manutenção preventiva — atendimento programado e periódico para evitar falhas (limpeza física de equipamentos, atualização de firmware e drivers, auditoria de segurança, revisão de configurações de rede e firewall, verificação de capacidade de armazenamento e desempenho dos servidores); e (c) manutenção preditiva — monitoramento contínuo de indicadores de desempenho (temperatura de CPUs, espaço em disco, tráfego de rede, alertas de SIEM — Security Information and Event Management) para antecipar falhas antes que ocorram. O Contrato de Manutenção de TI pode abranger uma ou todas essas modalidades, conforme o escopo negociado.

A NBR ISO/IEC 20000-1:2020, norma de gestão de serviços de TI emitida pela ABNT (Associação Brasileira de Normas Técnicas), define os requisitos para sistemas de gestão de serviços de TI e é a referência técnica adotada pelos principais provedores de serviços de TI no Brasil para estruturar processos de atendimento, SLA, gerenciamento de incidentes, problemas e mudanças. A norma ABNT NBR ISO/IEC 27001:2022 (Segurança da Informação) é referência para contratos de manutenção de TI que incluam gestão de segurança da informação e tratamento de dados do cliente nos sistemas gerenciados.

O setor de tecnologia da informação no Brasil é o maior da América Latina, com faturamento estimado em R$ 590 bilhões em 2024 (ABES — Associação Brasileira das Empresas de Software), sendo que serviços de TI (incluindo manutenção, suporte e outsourcing) respondem por aproximadamente 45% do total do setor. O Contrato de Manutenção de TI é o instrumento jurídico fundamental para formalizar a prestação desses serviços e definir as responsabilidades de provedores de serviços gerenciados (MSP — Managed Service Providers) perante seus clientes. A forms-legal.com disponibiliza este modelo como ponto de partida, recomendando revisão por advogado inscrito na OAB e adequação técnica por profissional de TI para garantir que o escopo dos serviços seja preciso e as responsabilidades estejam claramente distribuídas.

O Contrato de Manutenção de TI e Suporte Técnico no Brasil é necessário sempre que uma empresa ou profissional de tecnologia assume a responsabilidade pela manutenção e suporte de equipamentos, sistemas ou infraestrutura de terceiros, independentemente do porte do cliente ou do escopo dos serviços.

O contrato é necessário quando empresas de TI, provedores de serviços gerenciados (MSP — Managed Service Providers), técnicos especializados em informática e prestadores de suporte de helpdesk estabelecem relação de prestação de serviços continuada com clientes corporativos — pequenas empresas com 2 a 20 computadores, médias empresas com data center próprio e infraestrutura de rede complexa, ou grandes empresas com múltiplos sites e ambientes heterogêneos (on-premises + cloud). Sem contrato formal, o prestador de serviços de TI fica exposto a disputas sobre o que está e o que não está incluído no escopo dos serviços, sobre o tempo de resposta esperado pelo cliente, e sobre a responsabilidade por danos causados durante as intervenções técnicas.

O Contrato de Manutenção de TI é necessário quando empresas de todos os setores terceirizam a gestão da infraestrutura de TI para provedores especializados em modelo de outsourcing de TI — entregando ao provedor a responsabilidade integral pela disponibilidade dos sistemas (servidores on-premises, firewall, switches, roteadores, storage NAS/SAN, servidores virtualizados em VMware ou Hyper-V, ambientes cloud na AWS, Azure ou GCP). Nesse modelo, o Contrato de Manutenção de TI é complementado por um SLA detalhado que define percentuais de disponibilidade, tempos de resposta e penalidades por descumprimento.

O contrato é especialmente necessário em setores regulados: (a) saúde — clínicas, hospitais e operadoras de planos de saúde que terceirizam o suporte aos sistemas de prontuário eletrônico (PEP), aos equipamentos de diagnóstico por imagem (PACS — Picture Archiving and Communication System) e às redes de comunicação internas, devendo observar as normas da ANS (Resolução Normativa 452/2020) e as diretrizes do CFM (Conselho Federal de Medicina — Resolução CFM 1821/2007 sobre prontuários eletrônicos); (b) setor financeiro — bancos, corretoras e fintechs que terceirizam o suporte a sistemas críticos de processamento transacional, devendo observar os requisitos da Resolução CMN 4.658/2018 sobre segurança cibernética e continuidade de serviços no Sistema Financeiro Nacional (SFN); e (c) indústria e automação — empresas do setor industrial que terceirizam a manutenção de sistemas SCADA (Supervisory Control and Data Acquisition), PLCs (Programmable Logic Controllers) e MES (Manufacturing Execution Systems) em linhas de produção.

O Contrato de Manutenção de TI é necessário quando empresas contratam o serviço de monitoramento remoto e gestão 24x7 de sua infraestrutura (NOC — Network Operations Center e SOC — Security Operations Center), pois nesses contratos o prestador tem acesso privilegiado aos sistemas do cliente, incluindo credenciais de administrador, VPN (Virtual Private Network) para acesso remoto e ferramentas de monitoramento instaladas nos servidores. A formalização desse nível de acesso privilegiado por meio de contrato com cláusulas de confidencialidade e de responsabilidade é essencial para proteger ambas as partes e para cumprir as exigências da LGPD (Art. 46° — medidas de segurança) em relação ao acesso de terceiros a sistemas que tratam dados pessoais.

Um Contrato de Manutenção de TI e Suporte Técnico válido e eficaz no Brasil deve conter os seguintes elementos para proteger ambas as partes e definir com precisão o escopo, os níveis de serviço e as responsabilidades.

Identificação das Partes — Prestador e Cliente: Qualificação completa do prestador de serviços de TI — razão social, CNPJ, endereço da sede, nome do representante legal com cargo, registro profissional (se aplicável — para serviços de engenharia de redes, o CREA — Conselho Regional de Engenharia e Agronomia exige registro do profissional responsável; para serviços de segurança da informação, o CGSI — Comitê Gestor de Segurança da Informação pode exigir certificações específicas). Qualificação completa do cliente — razão social, CNPJ, endereço, nome do responsável técnico interno (gerente de TI ou gestor de infraestrutura) que supervisionará a execução do contrato.

Escopo dos Serviços — Ativos Cobertos: Lista detalhada dos equipamentos, sistemas e infraestrutura cobertos pelo contrato — identificados por tipo, fabricante, modelo, número de série e localização física (endereço do datacenter ou filial). As categorias típicas incluem: servidores físicos e virtuais (especificar sistema operacional — Windows Server, Linux — e hypervisor — VMware, Hyper-V, Proxmox); equipamentos de rede (switches, roteadores, firewalls — com marca e modelo — Cisco, Fortinet, Palo Alto, MikroTik); armazenamento (NAS, SAN — marca, modelo e capacidade); estações de trabalho e notebooks (quantidade e especificação mínima); sistemas operacionais e software base (especificar versões); impressoras e periféricos (se incluídos). A lista deve ser anexada ao contrato e atualizada formalmente quando houver inclusão ou exclusão de ativos.

Tipos de Manutenção e Serviços Incluídos: Definição precisa dos serviços incluídos no contrato: (a) Manutenção Corretiva — atendimento a falhas e incidentes (hardware com defeito, sistema operacional corrompido, ransomware, falha de conectividade), com classificação de prioridade por criticidade (P1/P2/P3/P4) e tempos máximos de resposta e resolução; (b) Manutenção Preventiva — visitas técnicas presenciais periódicas (mensal, bimestral, trimestral — conforme acordado) para limpeza física de equipamentos, verificação de temperatura, atualização de firmware e patches de segurança, auditoria de configurações, revisão de capacidade de armazenamento e desempenho; (c) Monitoramento Remoto — monitoramento 24x7 via ferramentas de RMM (Remote Monitoring and Management — ex.: Zabbix, PRTG, N-able, Datto RMM) com alertas automáticos e resposta proativa a eventos; (d) Backup e Recuperação — gestão das rotinas de backup (conforme política do cliente), teste mensal de restore, relatório de status dos backups; e (e) Helpdesk — atendimento a chamados dos usuários do cliente por telefone, e-mail, chat ou portal de tickets (ITSM — IT Service Management — ex.: Jira Service Management, Freshdesk, GLPI).

SLA — Acordo de Nível de Serviço: Tabela de prioridade de incidentes com tempos máximos de resposta inicial e de resolução, claramente definidos: Prioridade 1 (P1 — Crítico: sistemas de produção fora do ar, impacto total no negócio) — resposta inicial em até 1 hora, resolução em até 4 horas; Prioridade 2 (P2 — Alto: funcionalidade crítica impactada, negócio parcialmente interrompido) — resposta inicial em até 2 horas, tempo de resposta durante horário comercial (seg-sex, 8h-18h, BRT); Prioridade 3 (P3 — Médio: funcionalidade não crítica impactada, solução de contorno disponível) — resposta inicial em até 8 horas úteis; Prioridade 4 (P4 — Baixo: problema menor, sem impacto operacional imediato) — resposta inicial em até 2 dias úteis. Definir penalidades por descumprimento do SLA (ex.: crédito de horas de serviço ou desconto percentual na mensalidade).

Horário de Atendimento e Atendimento de Emergência: Definição dos horários regulares de atendimento (ex.: segunda a sexta, 8h às 18h, fuso BRT) e do regime de plantão para atendimentos de emergência fora do horário comercial, nos fins de semana e feriados (nacionais e municipais da sede do cliente). O contrato deve especificar: canal de acionamento de emergência (número de WhatsApp exclusivo, número 0800, ou portal de chamados com marcação de urgência), tempo máximo de resposta para emergências fora do horário comercial, e se há custo adicional pelo atendimento emergencial (cobrança por hora de sobreaviso — valor da hora técnica fora do horário comercial).

Confidencialidade e Segurança da Informação: Obrigação do prestador de manter sigilo absoluto sobre todas as informações do cliente acessadas durante a prestação dos serviços — dados de negócio, informações financeiras, dados pessoais de clientes e funcionários do cliente (sujeitos à LGPD — Lei 13.709/2018), credenciais de acesso, topologia da rede, configurações de segurança e qualquer outra informação técnica ou comercial identificada como confidencial. Proibição de uso das informações para qualquer finalidade diversa da execução do contrato. Definição do prazo de vigência da confidencialidade após o término do contrato (normalmente 2 a 5 anos). O prestador de serviços de TI que acessa sistemas que tratam dados pessoais de titulares brasileiros é operador na acepção do Art. 5°, VII da LGPD, sujeito às obrigações do Art. 46° (segurança) e do Art. 48° (notificação de incidentes).

Responsabilidade Civil e Limitação de Danos: Definição do regime de responsabilidade do prestador por danos causados ao cliente durante as intervenções técnicas — responsabilidade subjetiva (por culpa — negligência, imprudência ou imperícia, nos termos do CC Art. 186) ou objetiva (pelo resultado — prestador assume o risco da atividade). O contrato deve incluir: limitação máxima de responsabilidade (ex.: valor equivalente a 3 mensalidades do contrato); exclusão de responsabilidade por danos indiretos, lucros cessantes e danos consequentes; e obrigação do cliente de manter backups atualizados dos dados como condição para acionar a responsabilidade do prestador por perda de dados. A forms-legal.com disponibiliza este modelo como ponto de partida, com recomendação de revisão por advogado especializado em tecnologia inscrito na OAB.

Para preencher corretamente o Contrato de Manutenção de TI no Brasil, siga estas orientações práticas para cada seção do formulário da forms-legal.com.

Passo 1 — Identificação das Partes: Informe os dados completos do prestador de serviços de TI (razão social, CNPJ, endereço completo, nome do representante legal e cargo) e do cliente (razão social, CNPJ, endereço completo, nome do responsável técnico interno — gerente de TI, coordenador de infraestrutura, ou o próprio dono da empresa para PMEs). Identifique também o encarregado de dados (DPO) de cada parte, se existente, para fins das obrigações da LGPD.

Passo 2 — Escopo e Lista de Ativos: Elabore uma lista completa de todos os equipamentos e sistemas cobertos pelo contrato, com identificação por tipo, fabricante, modelo e número de série. Para contratos de grande porte, inclua essa lista como Anexo I ao contrato. Defina claramente o que está excluído do escopo (ex.: impressoras de jato de tinta pessoais, notebooks particulares dos funcionários, equipamentos adquiridos após a assinatura do contrato sem aditivo formal). Essa delimitação evita discussões sobre 'você deveria ter incluído esse servidor na manutenção'.

Passo 3 — SLA e Prioridades: Preencha a tabela de SLA com os tempos máximos de resposta e resolução para cada nível de prioridade (P1 a P4). Seja realista — um prestador de TI de pequeno porte com 3 técnicos não pode comprometer-se com resposta P1 em 1 hora para um cliente a 200 km de distância. Defina com precisão o que é um incidente P1 (ex.: servidor de banco de dados fora do ar, impossibilidade de emitir NF-e, sistema ERP inacessível por mais de 30 minutos), P2, P3 e P4 — a subjetividade na classificação de prioridade é a principal causa de conflitos em contratos de manutenção de TI.

Passo 4 — Horário de Atendimento e Emergência: Defina o horário comercial padrão de atendimento, o fuso horário (BRT — UTC-3 para a maior parte do Brasil, AMT — UTC-4 para estados do Amazonas, Acre e Mato Grosso), os dias úteis considerados (incluindo quais feriados municipais da sede do cliente são respeitados) e o procedimento para acionamento emergencial fora do horário comercial. Se o prestador cobra sobreaviso (taxa de plantão), especifique o valor hora adicional fora do horário comercial (normalmente 1,5x a 2x a hora técnica regular).

Passo 5 — Valor, Forma de Pagamento e Reajuste: Informe o valor mensal do contrato em reais, a forma de pagamento (boleto com vencimento no dia 10, PIX, transferência bancária), o índice de reajuste anual (IPCA é o mais comum para contratos de serviços de TI — apurado pelo IBGE) e o aviso prévio mínimo para comunicação do reajuste (normalmente 30 dias antes da data de aniversário do contrato). Para contratos com componentes variáveis (horas adicionais além da franquia mensal), defina o valor da hora técnica adicional e o limite máximo de horas da franquia incluída.

Passo 6 — Vigência e Rescisão: Defina o prazo de vigência (contrato por 12 meses com renovação automática é o padrão de mercado) e as condições de rescisão — aviso prévio de 30 dias para rescisão imotivada por qualquer das partes, rescisão imediata por inadimplência após 10 dias de cura, e multa rescisória proporcional ao prazo restante em caso de rescisão antecipada pelo cliente (normalmente equivalente a 1 a 3 mensalidades, dependendo do prazo remanescente). Inclua cláusula de transição — o prestador deve manter os serviços por mais 30 dias após a rescisão para permitir a transferência ordenada para o novo prestador ou para equipe interna.

O Contrato de Manutenção de TI e Suporte Técnico no Brasil está sujeito a requisitos legais estabelecidos pelo Código Civil, pela LGPD, pelo CDC (para contratos com consumidores finais) e por normas regulatórias setoriais.

Código Civil — Arts. 593–609 (Prestação de Serviços): O Art. 593 do Código Civil define o contrato de prestação de serviços e o Art. 594 admite qualquer espécie de serviço lícito. O Art. 596 regula a rescisão por prazo indeterminado, com aviso prévio. O Art. 597 veda a prestação de serviços por tempo superior a 4 anos — irrelevante para contratos de manutenção de TI típicos (12 a 24 meses), mas importante para contratos de outsourcing de longo prazo. O Art. 599 estabelece que, salvo ajuste em contrário, o prestador de serviços é contratado para exercer o serviço pessoalmente, sem possibilidade de delegação. Em contratos de manutenção de TI, é recomendável incluir cláusula que autorize o prestador a subcontratar técnicos especializados (ex.: certificados Cisco, VMware ou Microsoft) para atendimentos específicos, mantendo a responsabilidade perante o cliente.

Código Civil — Responsabilidade Civil (Arts. 186, 389 e 927): O prestador de serviços de TI que causa dano ao cliente durante a intervenção técnica — por exemplo, apaga dados acidentalmente durante manutenção de servidor, instala patch de segurança que gera incompatibilidade com sistema crítico, ou configura incorretamente o firewall causando brecha de segurança — responde pelos danos causados nos termos do Art. 186 (ato ilícito por negligência, imprudência ou imperícia) c/c Art. 927 do Código Civil. A responsabilidade é subjetiva (por culpa) na relação B2B; para contratos com consumidores finais (B2C), o CDC Art. 14° impõe responsabilidade objetiva do fornecedor de serviços por defeito, independentemente de culpa.

LGPD — Lei 13.709/2018: O prestador de serviços de TI que acessa sistemas, servidores ou bancos de dados do cliente que contenham dados pessoais de titulares brasileiros enquadra-se como operador na acepção do Art. 5°, VII da LGPD. As obrigações aplicáveis incluem: tratar os dados apenas nas instruções do controlador (cliente) — Art. 26°; implementar medidas técnicas de segurança (criptografia de acessos remotos via VPN com MFA, registros de auditoria de todas as intervenções técnicas, controle de acesso ao mínimo necessário para cada tarefa) — Art. 46°; notificar o cliente em prazo adequado sobre incidentes de segurança que comprometam dados pessoais durante as intervenções — Art. 48°; e assinar DPA (Data Processing Agreement) como aditivo ao Contrato de Manutenção de TI, formalizado nos termos do Art. 26° da LGPD.

Normas ABNT para TI: A ABNT NBR ISO/IEC 20000-1:2020 (Sistema de Gestão de Serviços de TI), a ABNT NBR ISO/IEC 27001:2022 (Sistema de Gestão de Segurança da Informação — SGSI) e a ABNT NBR ISO/IEC 27002:2022 (Controles de Segurança da Informação) são as principais referências técnicas normativas para a estruturação de contratos de manutenção de TI no Brasil. A certificação ISO 27001 do prestador de serviços é exigida por clientes de setores regulados (financeiro, saúde, governo) e deve ser mencionada no contrato como declaração de conformidade.

Lei Geral das Microempresas e Empresas de Pequeno Porte (LC 123/2006 — Simples Nacional): A maioria dos prestadores de serviços de manutenção de TI no Brasil são microempresas (ME) ou empresas de pequeno porte (EPP) optantes pelo Simples Nacional. O ISS (Imposto sobre Serviços) incide sobre os contratos de manutenção de TI com alíquotas de 2% a 5% conforme o município do prestador (LC 116/2003 — item 14.01 da lista de serviços: manutenção e conservação de máquinas, veículos, aparelhos, equipamentos, motores e bens semelhantes). Para prestadores optantes pelo Simples Nacional, o ISS está incluso na alíquota unificada do Anexo III (atividades de tecnologia da informação).

Os erros mais frequentes no Contrato de Manutenção de TI no Brasil geram disputas sobre o escopo dos serviços, responsabilidade por danos e inadimplência de SLA.

Erro 1 — Escopo Vago ou Lista de Ativos Inexistente: Redigir o contrato com descrição genérica dos serviços ('manutenção de todos os equipamentos de informática') sem uma lista de ativos específica. A ausência de lista de ativos leva a disputas frequentes sobre 'esse equipamento está coberto ou não?' — que geram conflitos, atrasos no atendimento e risco de rescisão por insatisfação do cliente. A lista de ativos deve ser um anexo formal do contrato, atualizada por aditivo sempre que houver inclusão ou exclusão de equipamentos.

Erro 2 — SLA Sem Penalidades Claras por Descumprimento: Definir tempos de SLA sem estabelecer consequências para o descumprimento. O SLA sem penalidades é uma declaração de intenções, não uma obrigação contratual com força de execução. O contrato deve definir créditos de serviço ou descontos progressivos para cada nível de descumprimento do SLA — por exemplo: descumprimento do tempo de resposta P1 em mais de 2 horas gera crédito de 5% da mensalidade; descumprimento em mais de 4 horas gera crédito de 10%.

Erro 3 — Não Regular o Acesso Remoto e as Credenciais de Administrador: Não incluir cláusula específica sobre o gerenciamento de credenciais de acesso privilegiado (senhas de administrador de domínio, chaves SSH, acessos VPN, tokens de MFA) entregues ao prestador para a execução dos serviços. A ausência de regulação pode criar situações em que o prestador retém acessos após a rescisão do contrato — o que constitui acesso não autorizado a sistemas de informática (crime previsto no Art. 154-A do Código Penal, incluído pela Lei 12.737/2012 — Lei Carolina Dieckmann). O contrato deve obrigar o prestador a devolver e cancelar todos os acessos imediatamente após a rescisão.

Erro 4 — Ignorar a LGPD em Contratos de Manutenção com Acesso a Dados Pessoais: Não formalizar o papel de operador do prestador de TI quando o acesso aos sistemas do cliente expõe dados pessoais de titulares brasileiros. O cliente (controlador) que não formaliza as obrigações do operador por contrato adequado pode responder solidariamente perante a ANPD por violações de segurança causadas pelo prestador (Art. 42° c/c Art. 46° da LGPD). O aditivo de proteção de dados (DPA) deve ser parte integrante do Contrato de Manutenção de TI para clientes que tratam dados pessoais.

Erro 5 — Não Prever Procedimento de Transição ao Encerramento: Não incluir cláusula de obrigações de transição ao término do contrato — entrega de documentação técnica (diagrama de rede atualizado, inventário de ativos, credenciais de todos os sistemas), transferência dos backups, desinstalação das ferramentas de monitoramento remoto (RMM) dos servidores e estações do cliente, e período de suporte pós-encerramento de 30 dias para garantir continuidade operacional enquanto o novo prestador assume. A ausência de procedimento de transição formal é a principal causa de litígio ao final de contratos de outsourcing de TI de longo prazo.