Checklist de RFP

Comparando plataformas de IA regulada com evidência e disciplina

Uma RFP para IA jurídica não deve ser um inventário longo de funcionalidades. Ela deve testar se um fornecedor consegue apoiar trabalho regulado real com governança clara, segurança, disciplina de implantação e valor mensurável.

Use este checklist para estruturar uma avaliação da Forlex ou compará-la com outras plataformas de IA regulada.

1. Antes de emitir a RFP

Confirme:

• O comitê comprador está nomeado.
• O responsável pela decisão ou desempate está nomeado.
• O primeiro fluxo está definido.
• As cinco capacidades obrigatórias estão claras.
• Requisitos de segurança e governança de IA estão separados de funcionalidades desejáveis.
• Premissas de preço e implantação foram solicitadas em formato comparável.
• O cronograma inclui validação de segurança, jurídico, finanças e fluxo.

2. Defina o contexto de negócio

Inclua:

• Tipo e tamanho da organização.
• Equipes principais que usarão a plataforma.
• Sistemas atuais envolvidos.
• Fluxos no escopo.
• Categorias de dados no escopo.
• Jurisdições ou requisitos regulatórios.
• Cronograma esperado de implantação.
• Integrações necessárias.
• Restrições de compras, segurança ou compliance.

3. Diligência pré-compra do fornecedor

Execute esta camada em paralelo com a lista de finalistas para verificar segurança, saúde financeira e SLAs de suporte antes de avaliar funcionalidades em demonstrações:

• Estabilidade financeira e histórico do fornecedor.
• Certificações de segurança ou preparação formal, como SOC 2 e ISO 27001, incluindo SOC 2 para infraestrutura e autenticação centrais.
• Postura de privacidade e compliance (GDPR, LGPD, CCPA).
• SLAs e tempos de resposta de suporte.
• Histórico de implantação e clientes de referência.

4. Defina o cenário do primeiro fluxo

Peça que todos os fornecedores respondam a um cenário real.

Exemplo:

Nossa equipe precisa revisar um contrato de fornecedor contra um playbook aprovado, identificar desvios jurídicos e comerciais, encaminhar temas para responsáveis, preservar contexto de fonte, preparar notas de aprovação e armazenar o registro final.

Peça que mostrem:

• Entrada.
• Coleta de fontes.
• Revisão ou redação assistida por IA.
• Revisão humana.
• Escalonamento.
• Aprovação.
• Caminho de assinatura ou entrega.
• Cofre ou armazenamento de registro.
• Trilha de auditoria.

5. Checklist de aderência da plataforma

• Suporta matérias, projetos, solicitações ou ambientes de trabalho.
• Suporta geração, revisão, comparação e resumo de documentos.
• Suporta pesquisa jurídica ou análise baseada em evidência quando relevante.
• Suporta assinatura ou execução documental quando necessário.
• Suporta cofre governado para modelos, conhecimento, evidências e registros.
• Suporta agentes de fluxo ou fluxos repetíveis assistidos por IA.
• Suporta colaboração, responsabilidades, bloqueios, prazos e aprovações.
• Suporta governança e auditoria ao redor de trabalho sensível.
• Suporta integrações ou APIs necessárias ao primeiro fluxo.

6. Checklist de governança de IA

• O fornecedor explica o que a IA pode e não pode fazer.
• O fornecedor identifica limites de dados, modelo, humano, evidência, auditoria e política.
• O fornecedor explica se dados de clientes são usados para treinamento e fornece evidência.
• O fornecedor distingue resultados baseados em fontes de resultados não baseados em fontes.
• O fornecedor mostra como citações, limitações ou incerteza aparecem.
• O fornecedor suporta revisão humana, aprovação, intervenção manual, escalonamento ou rejeição.
• O fornecedor explica governança de modelo/provedor e gestão de mudanças.
• O fornecedor explica como ações de agentes ou fluxos são registradas.

7. Checklist de segurança e privacidade

• Isolamento de tenant (ambiente isolado da organização) é explicado.
• Controles de acesso por função são explicados.
• Postura de SSO/SAML e MFA é explicada.
• Acesso de suporte é delimitado, aprovado, registrado e revogável.
• Retenção, exclusão, exportação e backup são explicados.
• Lista de subprocessadores e caminho de DPA estão disponíveis.
• Pacote de segurança ou apoio em questionário está disponível.
• Resposta a incidentes e gestão de vulnerabilidades estão documentadas.
• Criptografia em trânsito e em repouso está documentada.
• Declarações de segurança são datadas, atuais e vinculadas a evidência.

8. Checklist de implantação

• O fornecedor propõe um caminho de 30 dias.
• O fornecedor identifica requisitos de preparação de fontes.
• O fornecedor identifica funções, permissões e regras de revisão.
• O fornecedor identifica premissas de integração.
• O fornecedor descreve treinamento e suporte de adoção.
• O fornecedor define sucesso após 30, 60 e 90 dias.
• O fornecedor identifica o que deve ser escopado antes da expansão.
• O fornecedor oferece caminho claro para colaboração com segurança e compras.

9. Checklist de avaliação econômica

• Modelo de preço é explicado.
• Usuários, funções, ambientes de trabalho, organizações ou equipes são considerados.
• Uso de IA e complexidade de fluxos são considerados.
• Premissas de volume de documentos, matérias, assinaturas e cofre são consideradas.
• Esforço de integração e implantação é considerado.
• Modelo de suporte é explicado.
• Lógica de renovação e expansão é explicada.
• Sobreposição com ferramentas atuais é considerada.
• Direcionadores de valor estão ligados a um fluxo real.

10. Checklist de evidência do fornecedor

• O fornecedor apresenta afirmações públicas datadas e rastreáveis.
• Evidência de clientes é aprovada para uso e específica por fluxo, função ou resultado.
• Afirmações de produto estão disponíveis no produto ou claramente escopadas.
• Afirmações de confiança têm responsáveis e evidência.
• Afirmações de segurança ou compliance não são mais fortes que a evidência disponível.
• O fornecedor explica limitações conhecidas sem enfraquecer confiança.

11. Matriz de avaliação ponderada sugerida

Pontue de forma independente antes da discussão em grupo. Depois revise diferenças e documente a decisão.

12. Perguntas para resposta do fornecedor

Pergunte:

• Qual fluxo você recomenda para a primeira implantação e por quê?
• Quais dados, políticas, modelos ou documentos são necessários antes da implantação?
• Como tenants, funções, ambientes de trabalho, matérias e registros são separados?
• Quais provedores de IA ou caminhos de modelo são usados e como são governados?
• Que evidência sustenta declarações de treinamento, retenção e uso de dados?
• Onde a revisão humana acontece no fluxo?
• Qual contexto de auditoria é preservado?
• Como vocês apoiam questionários de segurança e revisão de compras?
• Quais integrações estão disponíveis e quais exigem escopo?
• O que direciona custo e expansão?
• O que tornaria a primeira implantação bem-sucedida após 30 dias?

13. Sinais de alerta

Escale se o fornecedor:

• Mostra apenas uma demonstração de prompt e não um fluxo governado.
• Não explica tratamento de prompts, resultados, logs, embeddings ou dados derivados.
• Usa linguagem ampla de confiança em IA sem evidência.
• Trata revisão humana como marketing opcional.
• Não identifica requisitos de implantação.
• Oculta completamente direcionadores de preço.
• Não encaminha perguntas de segurança ou DPA para um responsável.
• Faz afirmações mais fortes que a evidência atual sustenta.

14. Registro final de decisão

Antes da assinatura, registre:

• Fornecedores avaliados.
• Cenário do primeiro fluxo.
• Resultados da matriz de avaliação.
• Evidências de segurança e compras recebidas.
• Itens contratuais que exigem revisão.
• Escopo de implantação.
• Métricas de sucesso.
• Responsável pela decisão.
• Data de revisão de renovação.

O processo de RFP deve deixar a organização com uma decisão defensável, não apenas um fornecedor preferido.