Seus agentes detêm as chaves dos sistemas dos seus clientes. Você não tem como retomá-las.

Os agentes veem as senhas. Eles podem compartilhá-las. Podem vendê-las. A MyCena resolve isso na arquitetura e cria uma nova linha de receita para BPOs.
Agende um briefing comercial →
0
Taxa anual de rotatividade de agentes em contact centers BPO típicos — cada desligamento representa uma janela de credencial ativa
0
Média do setor para revogar completamente o acesso de um agente desligado em todos os sistemas do cliente
0
Credenciais ativas de ex-funcionários em qualquer momento — em um BPO de 2.000 agentes com 35% de rotatividade
0
Aumento no prêmio de seguro cibernético atribuído à governança inadequada de acesso de terceiros
Os incidentes

Três casos documentados. Todos ocorreram por meio de credenciais de um BPO ou contact center.

As violações em BPOs frequentemente não são relatadas como tais. Elas aparecem como “incidentes de fornecedores terceiros” nas divulgações corporativas. Em todos os casos, o ponto de entrada foi uma credencial de agente ou engenheiro de suporte que o cliente corporativo não tinha um mecanismo estrutural para controlar.

Sitel Group / Okta — 2022
366
O LAPSUS$ comprometeu um engenheiro de suporte da Sitel Group — um grande BPO que fornece suporte ao cliente para empresas — e utilizou essa credencial para acessar o sistema de gerenciamento de casos de suporte da Okta.
Como os engenheiros da Sitel acessavam rotineiramente múltiplos ambientes corporativos, uma única credencial comprometida afetou 366 clientes empresariais da Okta. Não foi um ataque técnico. Foi uma credencial nas mãos de um humano.
Ponto de entrada — credencial de engenheiro de suporte BPO, efeito cascata em clientes corporativos
Violação de parceiro Booking.com — 2021, recorrente até 2026
532
Atacantes comprometeram credenciais de agentes de contact center de hotéis com acesso ao portal de parceiros da Booking.com.
Com essas credenciais, acessaram dados reais de reservas e enviaram pedidos de pagamento fraudulentos a viajantes. A Action Fraud recebeu 532 denúncias entre junho de 2023 e setembro de 2024 — £370.000 em perdas. A autoridade holandesa multou a Booking.com em €475.000. O padrão continua.
Ponto de entrada — credenciais de agentes para portal de parceiros
BPO de serviços financeiros — padrão composto
$4.1M
O relatório IBM Cost of a Data Breach 2024 identifica ambientes de BPO como cenários de alto custo, pois uma credencial comprometida afeta múltiplos clientes simultaneamente.
A média de $4.1M no Reino Unido é apenas o mínimo. Penalidades SLA podem multiplicar esse valor.
Ponto de entrada — credencial de agente, exposição multi-cliente

Em todos os casos, a BPO não foi a vítima declarada — o cliente corporativo foi. Esse é o problema estrutural. A violação ocorre por meio da BPO. O prejuízo recai sobre o cliente. A responsabilidade contratual — penalidades por descumprimento do SLA, cláusulas de indenização, disposições de rescisão por justa causa — recai sobre a BPO. A BPO arca com a consequência comercial de um risco que atualmente não possui nenhum mecanismo estrutural para prevenir.

Cenário de risco

Seis riscos de credenciais específicos das operações de BPO

O risco de credenciais em BPO não é principalmente um risco de segurança. É um risco comercial. As consequências recaem em contratos com clientes, cláusulas de SLA, renovações de seguros e auditorias — não apenas em divulgações de incidentes.

01 — Comercial
Agente vende ou compartilha credenciais dos sistemas dos clientes
Um agente de contact center que decide vender suas credenciais para um concorrente, fraude ou corretor de dados tem acesso completo a todos os sistemas dos clientes. O mercado da dark web está ativo. Não há barreira técnica — apenas uma barreira de política.
Quando isso acontece, a cláusula de responsabilidade contratual do cliente é ativada. O BPO é responsável. Não há defesa — o BPO criou a credencial e a entregou ao agente.
02 — Operacional
Ex-agente mantém acesso ativo após saída
Com 35–45% de rotatividade anual, um BPO com 2.000 agentes processa 700–900 saídas por ano. O tempo médio de 3,2 dias para revogação completa significa cerca de 74 credenciais ativas em qualquer momento.
A Colonial Pipeline pagou $4,4M por uma credencial não revogada. Em escala BPO, o risco é significativo — e geralmente não precificado.
03 — Financeiro
Cláusulas de penalidade SLA acionadas em múltiplos contratos
Uma violação afeta múltiplos clientes simultaneamente. Contratos incluem penalidades SLA que podem ser ativadas ao mesmo tempo.
Um BPO pode enfrentar £100.000 de penalidade imediata por um único incidente. Muitos não calculam isso.
04 — Auditoria
Auditoria do cliente encontra credenciais compartilhadas ou acesso não revogado
Clientes corporativos — especialmente aqueles dos setores de serviços financeiros, saúde e varejo — estão realizando auditorias de governança de acesso cada vez mais detalhadas em seus fornecedores de BPO. Credenciais compartilhadas, acesso não revogado de ex-agentes e incapacidade de gerar registros de acesso individuais são as três constatações mais comuns em auditorias. O custo da auditoria é administrável. A consequência de uma constatação — exigência de correção, revisão de contrato ou ativação do direito de rescisão — não é.
Falhas podem levar à perda de contrato. O risco financeiro supera o custo do controle de credenciais.
05 — Seguro
Aumento de prêmio por falhas de governança de acesso
As seguradoras de cibersegurança estão avaliando explicitamente a governança de acesso de terceiros como um fator de precificação. A Aon e a Marsh estão aconselhando seus clientes de BPO que demonstrar controle estrutural de credenciais — e não apenas políticas — é uma alavanca para redução de prêmios. O encargo atual para uma empresa de BPO de cobrança de pagamentos de médio porte varia de £200.000 a £500.000 por ano, atribuído especificamente à lacuna na governança de credenciais.
O custo existe mesmo sem medição. MyCena custa menos — o ROI é matemático.
06 — Regulatório
Obrigações de acesso de terceiros (GDPR, DORA, FCA)
De acordo com o GDPR, o cliente corporativo é o controlador de dados e o BPO é o processador de dados. A obrigação de notificação de violação de dados em 72 horas começa quando o BPO descobre a violação — não quando informa o cliente. De acordo com a DORA, os clientes do setor de serviços financeiros devem demonstrar a governança dos controles de acesso de seus fornecedores de BPO. O BPO que não consegue fornecer evidências técnicas de atribuição de acesso individual e revogação instantânea representa um risco regulatório para seus clientes do setor de serviços financeiros.
Multas recaem sobre o cliente, mas o BPO sofre impacto contratual significativo.
O cálculo das 74 credenciais
O que o seu BPO está carregando neste momento — em uma operação com 2.000 agentes e 35% de rotatividade anual
Credenciais ativas de ex-agentes
74
Em qualquer momento. Fórmula: (700 saídas anuais × 8 sistemas × 3,2 dias) ÷ 365. Execute para sua operação.
Exposição anual a penalidades SLA
£450K
5 contratos a £150K/mês, penalidade SLA de 10%, 30% de probabilidade anual de violação. Dados IBM 2024.
Custo adicional anual de seguro
£200–500K
Relacionado à lacuna de governança de credenciais. Quantificado por Aon e Marsh como fator explícito de subscrição.
Esses números são ilustrativos para um BPO típico. O valor real depende do número de agentes, rotatividade, contratos e valores. A MyCena fornece um modelo de cálculo personalizado sob solicitação.

“Nenhum empregador pede a um funcionário para fabricar sua própria chave de escritório. Ainda assim, todo BPO pede aos seus agentes que criem e gerenciem as credenciais que abrem os sistemas mais sensíveis dos seus clientes — e depois se pergunta por que essas credenciais são vendidas.”

Garantia de Credenciais de Terceiros — nova linha de receita
Quando seus agentes deixam de controlar as credenciais dos seus clientes
Você pode conquistar e reter mais clientes, faturar um serviço gerenciado de acesso governado e reduzir os prêmios de seguro cibernético para você e seus clientes.
Modelo comercial completo e cláusula disponíveis sob solicitação.
A mudança operacional

O que muda em toda a operação do BPO

O problema das credenciais aparece diariamente em tickets de suporte, fricção no onboarding, correria na preparação de auditorias e atrasos no offboarding. A MyCena elimina o mecanismo que gera tudo isso.

Sem controle de credenciais — hoje
O agente entra. O TI cria as credenciais ou o próprio agente cria. Desde o primeiro dia, a credencial está em posse do agente — visível, copiável, compartilhável e vendável.
O agente acessa de casa, de uma estação compartilhada ou de um dispositivo pessoal. Não existe um mecanismo estrutural que impeça fotografar ou copiar as credenciais usadas para acessar sistemas dos clientes.
O agente sai. Ticket aberto no TI. Processo manual em 8–14 sistemas. Média de 3,2 dias. Alguns sistemas são esquecidos. Credenciais permanecem ativas. 74 exposições acumuladas.
O auditor solicita logs de acesso de um agente por 90 dias. O TI compila dados do SIEM em 48–72 horas. Evidência incompleta. Não conformidade registrada.
O cliente pergunta: “Você pode garantir que seus agentes não compartilham credenciais?” A resposta honesta é não. O BPO só pode afirmar uma política — não um controle estrutural.
Com o controle de credenciais MyCena
O agente entra. A MyCena gera as credenciais centralmente. O agente apenas clica para acessar — nunca vê nem possui a credencial. Nada pode ser vendido ou compartilhado.
O agente trabalha de qualquer dispositivo. A MyCena injeta a credencial na autenticação. Capturas de tela não mostram nada — a credencial nunca aparece. O mecanismo de roubo não existe.
O agente sai. Um comando. Todo acesso é revogado em segundos. Log automático gerado. Zero credenciais ativas. Zero exposição.
O auditor solicita logs. A MyCena fornece logs completos sob demanda — todas as sessões, sistemas e agentes, com timestamp preciso.
O cliente pergunta: “Você pode provar que os agentes não compartilham credenciais?” A resposta é sim — arquiteturalmente. A cláusula é adicionada, o serviço é valorizado e o BPO se diferencia.
O que a MyCena oferece

Controle estrutural de credenciais — e a capacidade comercial que ele cria

A MyCena é implantada em dias, sem alteração de infraestrutura. Os agentes percebem apenas uma diferença: clicam para acessar em vez de digitar uma senha. Todo o resto — geração de credenciais, logs de acesso e revogação — acontece automaticamente em segundo plano.

Os agentes nunca possuem credenciais — estruturalmente impossível vender ou compartilhar
O BPO gera todas as credenciais. Os agentes apenas clicam para acessar. Nada é visível, copiável ou transmissível. A fraude interna via venda de credenciais é eliminada estruturalmente — não monitorada, não mitigada. Eliminada.
Offboarding em segundos — zero exposição de credenciais inativas
Quando um agente sai, um comando revoga todos os acessos em todos os sistemas dos clientes. Log com timestamp gerado automaticamente. A média de 3,2 dias se torna 4 segundos. As 74 credenciais tornam-se zero. Permanentemente.
Logs de acesso individuais — contínuos, atribuídos e sob demanda
Cada acesso é registrado por agente, sistema e horário. O log não é preparado antes da auditoria — ele é gerado continuamente. Auditores recebem sob demanda. Problemas de auditoria deixam de existir.
Reset de senha eliminado — produtividade recuperada
Agentes não possuem senhas — nada expira ou precisa ser redefinido. Tickets de reset desaparecem. Com 11 minutos perdidos por dia por agente em 1.000 agentes: equivalente a 45 posições recuperadas por ano.
“O cliente bancário não pergunta se seus agentes podem compartilhar credenciais. Ele pergunta se isso é estruturalmente possível. Se a resposta for sim — o BPO tem uma pergunta que não pode responder com política.”
A questão Sitel

Quando o LAPSUS$ comprometeu um engenheiro da Sitel em 2022, a credencial estava em mãos humanas. Ela foi usada — e 366 clientes da Okta foram impactados. Com a MyCena, não haveria credencial para entregar. Não haveria nada para roubar. Essa é a diferença entre política e arquitetura.

Como funciona

Implantado em dias. Os agentes clicam para acessar. Nada mais muda.

A MyCena é implantada como uma camada de software sobre os ambientes existentes dos agentes. Nenhum sistema do cliente é modificado. Nenhum CRM é alterado. Nenhuma infraestrutura de contact center é afetada.

Etapa 01
O BPO gera todas as credenciais dos agentes centralmente
Todas as credenciais para cada sistema do cliente são geradas pelo BPO por meio do MyCena. Nenhum agente cria seu próprio acesso. Nenhuma credencial é compartilhada por meio de um gerenciador de senhas de equipe ou copiada de um PAM do cliente. A propriedade das credenciais pertence ao BPO — e não ao agente — desde o momento da criação. O BPO agora pode comprovar isso por escrito.
Etapa 02
O agente clica para acessar — nada visível, nada armazenado
Os agentes veem um ícone do sistema do cliente em sua área de trabalho. Eles clicam. O MyCena injeta a credencial na autenticação — ela nunca é exibida na tela, nunca é digitada, nunca é armazenada na memória ou na área de transferência. Nenhum software de monitoramento, nenhuma gravação de tela, nenhuma captura de tela consegue registrá-la. O mecanismo interno de prevenção a fraudes é removido, não é detectado.
Etapa 03
Logs contínuos — evidência gerada automaticamente
Cada evento de acesso é registrado — qual agente, qual sistema do cliente, qual sessão, com registro de data e hora preciso. O pacote mensal de evidências de conformidade é montado automaticamente e formatado para envio ao auditor do cliente. A resposta para a solicitação de “mostrar o registro” está disponível em segundos, não em dias. O tempo gasto na preparação da auditoria cai para praticamente zero.
Etapa 04
Revogação com um comando — qualquer agente, todos os sistemas
Agente sai: um comando, todo o acesso revogado em todos os sistemas do cliente, registro com data e hora gerado. Cláusula de penalidade do SLA: não pode ser ativada porque não há mecanismo para violação de credenciais. Constatação de auditoria sobre acesso não revogado: impossível. As 74 credenciais inativas: permanentemente zeradas. Risco comercial: estruturalmente eliminado.
Requisitos de auditoria do cliente

As perguntas que seus clientes estão prestes a fazer

Clientes corporativos nos setores financeiro, viagens e saúde estão reforçando os requisitos de governança de acesso de BPOs. Estas são as perguntas de auditoria que a MyCena permite responder com evidências — e não apenas com políticas.

FCA / DORA — acesso de terceiros
SYSC 8 e o Artigo 28 do DORA exigem que organizações financeiras demonstrem governança sobre os controles de acesso de seus fornecedores BPO — incluindo revogação imediata e logs individuais. O cliente do BPO é a entidade regulada. A capacidade de governança do BPO é a evidência regulatória do cliente. A MyCena fornece isso continuamente.
✓ Evidência de governança DORA Artigo 28 — contínua e sob demanda
PCI DSS v4.0
Para BPOs que lidam com dados de cartões: IDs únicos, revogação imediata e logs completos são obrigatórios. Credenciais compartilhadas e atrasos de 3,2 dias falham nos três pontos. A MyCena resolve estruturalmente.
✓ Conformidade estrutural PCI DSS — identificação individual e revogação imediata
GDPR — obrigações do processador
O BPO é o processador de dados. O cliente é o controlador. O Artigo 28 exige medidas técnicas para garantir acesso apenas a pessoas autorizadas. Política não é suficiente. Controle estrutural sim.
✓ Artigo 28 — controle técnico, não apenas procedimental
ISO 27001:2022 — A.9 controle de acesso
El apartado A.9 exige la eliminación inmediata de los derechos de acceso en caso de cambio de contrato o baja, la autenticación individual de los usuarios (sin credenciales compartidas) y el registro de auditoría de los eventos de acceso. MyCena cumple con estos tres requisitos desde el punto de vista arquitectónico. Para las empresas de externalización de procesos de negocio (BPO) que prestan servicios a clientes con certificación ISO 27001, esta evidencia es obligatoria, y MyCena la genera automáticamente.
✓ ISO 27001 A.9 — acesso individual e logs contínuos
OCC / FFIEC — supervisão bancária
Los reguladores bancarios estadounidenses exigen una supervisión continua de los controles de acceso de los proveedores externos. Las empresas de externalización de procesos de negocio (BPO) que prestan servicios a bancos estadounidenses se enfrentan a riesgos de auditoría si no pueden aportar pruebas demostrables y auditables de la gobernanza del acceso. La guía de gestión de riesgos de terceros de la OCC exige que las BPO demuestren —no solo afirmen— que el acceso está controlado y es revocable. MyCena es la prueba de ello.
✓ Evidência comprovável — não apenas política
Renovação de seguro cibernético
En cada renovación, los suscriptores evalúan la gobernanza del acceso de terceros como un factor de calificación importante. La falta de gobernanza de credenciales genera un recargo explícito de entre 200 000 y 500 000 libras esterlinas anuales para una empresa de externalización de procesos de negocio (BPO) de tamaño mediano. MyCena elimina esta brecha. El paquete de evidencias —registros de revocación con fecha y hora, resúmenes trimestrales de acceso— constituye la evidencia de suscripción que respalda la renegociación de la prima.
✓ Evidência para reduzir custos de seguro
Apresentação comercial BPO
Uma apresentação de 45 minutos sobre risco de credenciais, nova linha de receita e implantação — adaptada à sua operação.
Agendar apresentação →
MyCena
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.