Glossário IAM

O que é Recertificação?

Recertificação, ou recertificação de acessos, é o processo periódico em que gestores e donos de sistemas revalidam se cada acesso ativo ainda é necessário, registrando a decisão como evidência auditável.

Access Recertification Glossário IAM

O que significa Recertificação?

Recertificação (ou recertificação de acessos) é a campanha periódica em que cada gestor revisa os acessos do time, decidindo manter, modificar ou revogar. Diferente de uma revisão ad-hoc, recertificação é estruturada, documentada e arquivada como evidência. É controle obrigatório em ISO 27001 (5.18), SOX e PCI DSS.

Como Recertificação funciona?

A plataforma IGA dispara campanhas em cadência definida (trimestral é comum em ambientes regulados). Para cada gestor, gera lista de subordinados com seus acessos atuais, dados de uso recente, alertas de SoD e mudanças desde a última revisão. O gestor decide acesso a acesso (ou em lote) e a decisão é arquivada com timestamp.

Por que Recertificação é importante?

Acessos crescem por inércia: pessoas mudam de área, processos mudam, mas permissões ficam. Recertificação é o controle que combate esse acúmulo (privilege creep). Auditores sempre pedem evidência de recertificação recente — ausência é non-conformity automática em SOX e ISO.

Modalidades de Recertificação

  • Por gestor: cada gestor revisa o time direto.
  • Por dono de sistema: dono do ERP revisa todos os usuários do sistema.
  • Por papel (RBAC): dono do papel revisa quem está atribuído.
  • Micro-recertificação: disparada por evento (mudança de cargo, fim de projeto).
  • Risk-based: foca em acessos privilegiados ou usuários de alto risco.

Exemplo prático de Recertificação

No início do trimestre, a AccessOne dispara campanha. Cada gestor recebe e-mail e tarefa no Slack: '32 acessos do seu time precisam de revisão até dia 30'. O gestor abre o portal, vê para cada subordinado os acessos atuais, dados de uso (Maria não usou o módulo X há 60 dias), alertas SoD e mudanças. Decide: aprovar 28, revogar 3, modificar 1. As ações entram em fila para a TI executar; as decisões viram evidência arquivada.

Recertificação x Revisão de Acessos

Os termos são frequentemente intercambiados. Em uso técnico estrito, Revisão de Acessos é o ato (revisar); Recertificação é a campanha estruturada com cadência fixa e documentação para auditoria. Toda recertificação é uma revisão de acessos, mas nem toda revisão de acessos é uma recertificação formal.

Riscos e cuidados

Campanhas mal desenhadas viram 'aprovar tudo': gestor recebe 200 itens, aprova em massa para cumprir SLA. Mitigações: limitar tamanho da campanha, exigir justificativa em revogações, alertar quando 100% das decisões são 'manter', integrar dados de uso para destacar acessos dormentes. Sem qualidade nas decisões, recertificação é teatro.

Termos relacionados

Ir para o Glossário de IAM
Logo da AccessOne no rodapé

FORTALEZA
Av. Washington Soares, 3663, Torre 1, Salas 1107/1108, Edifício WSTC

SÃO PAULO
Alameda Vicente Pinzon, 54 • Vila Olímpia • 04547-130 • São Paulo • SP

Ícone do LinkedIn da AccessOne
Selo de segurança AccessOne

* Quadrante Mágico do Gartner de Identity and Access Governance de 2019. Gartner e Magic Quadrant são marcas comerciais ou marcas registradas de seus respectivos detentores. O uso delas não implica nenhuma afiliação ou endosso por parte deles. O documento é acessível para clientes registrados junto ao Gartner.
©️ AccessOne 2026. Todos os direitos reservados. Política de privacidade