Cloud vs. On-Premise: O que muda de verdade
A principal diferença entre Bitrix24 Cloud e On-Premise não está nos recursos — que são essencialmente os mesmos — mas na localização dos dados e no controle do ambiente: no on-premise para até 50 usuários, a renovação anual cai para 25–30% do primeiro ano, tornando o TCO de 3 anos favorável ao self-hosted em equipes de médio porte.
A principal diferença não está nas funcionalidades — o conjunto de recursos do Bitrix24 é essencialmente o mesmo nas duas modalidades. O que muda é onde os dados residem e quem controla o ambiente.
| Critério | Bitrix24 Cloud | Bitrix24 On-Premise |
|---|---|---|
| Localização dos dados | Servidores do fornecedor | Servidor da própria empresa |
| Controle do banco de dados | Nenhum | Total (acesso root) |
| Customizações de código | Limitadas | Ilimitadas |
| Conformidade de dados (LGPD, GDPR) | Depende do contrato SaaS | Configurável diretamente |
| Atualizações | Automáticas | Controladas pela equipe de TI |
| Custo recorrente | Assinatura anual por usuário | Renovação reduzida após o primeiro ano |
Com base em projetos que implementamos, a versão on-premise para até 50 usuários tem um custo de aquisição inicial mais elevado, mas a renovação anual subsequente cai para aproximadamente 25–30% do valor do primeiro ano — o que muda o TCO de 3 anos em favor do on-premise a partir de equipes de médio porte. Para uma análise completa de custos ao longo do tempo, consulte nossa comparação de TCO em 3 anos entre self-hosted e cloud.
Por que setores regulados preferem o self-hosted
Setores como saúde, finanças e educação pública preferem o Bitrix24 self-hosted porque ele permite saber exatamente onde cada dado está armazenado — portal, banco CRM, arquivos e e-mails ficam em servidores controlados pela própria empresa, eliminando ambiguidades críticas para auditorias de LGPD e GDPR.
Empresas de saúde, serviços financeiros, educação pública, defesa e qualquer setor sujeito à LGPD ou a regulações setoriais específicas têm uma exigência comum: saber exatamente onde o dado do cliente está armazenado — e poder auditar isso.
No modelo self-hosted, cada elemento do sistema tem um endereço físico (ou de nuvem privada) controlado pela empresa:
- Portal Bitrix24 → servidor da empresa ou nuvem privada contratada
- Banco de dados CRM → instância MySQL/Percona sob controle da equipe de TI
- Arquivos e documentos → disco local do servidor ou storage interno
- E-mails e notificações → servidor SMTP próprio configurado pelo integrador
Isso elimina a ambiguidade sobre onde os dados trafegam, que é justamente o ponto crítico para demonstrar conformidade a auditores. Para empresas que precisam atender ao GDPR europeu, esse argumento é ainda mais direto — veja o artigo CRM em conformidade com GDPR: por que o Bitrix24 self-hosted vence para empresas da UE.
Como os dados fluem em um portal Bitrix24 on-premise
Em uma instalação Bitrix24 on-premise típica, todo o tráfego entra via HTTPS pelo nginx (proxy reverso), é processado pelo Apache + PHP-FPM, acessa o banco Percona/MySQL e segue para backup automatizado — todos os componentes dentro do perímetro controlado pela empresa, cada um configurável e auditável individualmente.
O diagrama abaixo representa a arquitetura típica de um portal Bitrix24 on-premise implantado em um servidor dedicado ou VM privada. Todo o tráfego de usuário entra pelo proxy reverso nginx, passa pelo Apache para requisições dinâmicas, e acessa o banco de dados Percona/MySQL — tudo dentro do perímetro controlado pela empresa.
flowchart LR
U[Usuário / Navegador] -->|HTTPS 443| NX[nginx - Proxy Reverso]
NX -->|Requisições estáticas| FS[Sistema de Arquivos]
NX -->|Requisições dinâmicas| AP[Apache + PHP-FPM]
AP -->|SQL| DB[(Percona MySQL)]
AP -->|Push/Pull| PP[Servidor Push & Pull]
AP -->|SMTP| ML[Servidor de E-mail Interno]
DB --> BK[Backup Automatizado]
BK --> ST[Storage Seguro]
Cada componente desta cadeia é configurável e auditável. O integrador define política de backup, retenção de logs, restrição de IP para o painel administrativo e certificado SSL — elementos que no modelo cloud ficam sob responsabilidade do fornecedor.
Requisitos de servidor e ambiente
Um portal Bitrix24 on-premise de médio porte (dezenas a centenas de usuários ativos) opera bem com 4–16 núcleos de CPU, 12–48 GB de RAM e banco de dados de 28 GB; portais com mais de dois anos frequentemente rodam versões desatualizadas de PHP e Percona, gerando avisos críticos no scanner de segurança nativo da plataforma.
Com base em instalações que realizamos, um portal de porte médio (dezenas a algumas centenas de usuários ativos) opera bem dentro das seguintes especificações:
| Componente | Especificação observada em produção |
|---|---|
| CPU | 4–16 núcleos (Intel Xeon ou equivalente) |
| RAM | 12–48 GB DDR4 |
| Banco de dados | 28 GB em portais de médio porte |
| Sistema operacional | CentOS Stream 9 (versões antigas como CentOS 7 apresentam vulnerabilidades conhecidas) |
| Web server | nginx 1.26+ + Apache 2.4.62+ |
| PHP | 8.2+ |
| SGBD | Percona Server 8.0+ |
Um ponto que encontramos frequentemente em auditorias de portais existentes: ambientes implantados há mais de dois anos costumam rodar versões desatualizadas de PHP, nginx e do próprio Percona — o que gera avisos críticos no scanner de segurança nativo do Bitrix24. A atualização do ambiente é um dos primeiros passos de qualquer hardening. Para um guia detalhado de dimensionamento, veja Self-Hosted Bitrix24: Guia de dimensionamento de hardware para 50 a 1.000 usuários.
Segurança: pontos críticos que toda instalação precisa endereçar
Auditorias em portais Bitrix24 on-premise revelam recorrentemente 10 vulnerabilidades críticas: display_errors ativo em produção, até 6 erros no banco de dados, 2FA desativado, acesso administrativo sem restrição por IP, ausência de HSTS e proteção contra iframes — todos corrigíveis com um checklist estruturado de hardening.
Em auditorias de segurança que realizamos em portais on-premise de clientes, os problemas mais recorrentes são:
Configuração de PHP
display_errorsedisplay_startup_errorshabilitados em produção — expõe caminhos de arquivos, queries SQL e estrutura do banco de dados diretamente no navegador. Deve ser desativado nophp.ini.
Banco de dados
- Erros na estrutura do banco de dados (encontramos até 6 erros em um único portal, dos quais 5 podem ser corrigidos automaticamente e 1 exige intervenção manual).
- Parâmetros do MySQL/Percona não otimizados:
query_cacheativo,local_infilehabilitado,innodb_log_file_sizeinsuficiente.
Autenticação e acesso
- Autenticação em dois fatores desativada para todos os usuários — o Bitrix24 on-premise tem módulo OTP nativo, basta habilitar.
- Acesso ao painel administrativo sem restrição por IP — um simples bloqueio por lista de IPs confiáveis elimina a superfície de ataque mais comum.
Cabeçalhos HTTP
- Ausência do cabeçalho HSTS e redirecionamento HTTP→HTTPS não configurado.
- Portal sem proteção contra uso em iframes (clickjacking).
Checklist rápido de hardening
- [ ] Desativar
display_errorsno PHP - [ ] Atualizar ambiente web para versões suportadas
- [ ] Habilitar 2FA para todos os usuários
- [ ] Adicionar cabeçalho HSTS no nginx/Apache
- [ ] Restringir acesso à
/bitrix/admin/por IP - [ ] Habilitar web-antivírus do módulo Proactive Protection
- [ ] Configurar blacklist de IPs no firewall
- [ ] Ativar proteção contra iframes
- [ ] Corrigir erros de estrutura do banco de dados
- [ ] Verificar atualização de todos os módulos da plataforma
Para um checklist completo com 25 pontos, consulte Self-Hosted Bitrix24 Security Hardening: 25-Point Checklist.
Migração do Bitrix24 Cloud para on-premise: o que é portado e o que não é
A migração do Bitrix24 Cloud para self-hosted é um projeto estruturado de 17 a 32 horas distribuídas em 6 módulos; o ponto mais crítico é que histórico de atividades — ligações gravadas, comentários e e-mails — não é exportado pelo mecanismo padrão, exigindo extração manual ou via API quando essa rastreabilidade é obrigatória.
A migração de cloud para self-hosted é um projeto estruturado. Com base em nossos planos de trabalho padrão, os tempos estimados por módulo são:
| Módulo | Tempo estimado | O que é portado | Limitações conhecidas |
|---|---|---|---|
| Implantação do servidor | 7 horas | Instalação, SSL, Push & Pull, backups | Cliente precisa fornecer acesso SSH root |
| Funcionários e estrutura | 2–5 horas | Dados de usuários, organograma, departamentos | Senhas, 2FA, chats internos e arquivos do "Meu Disco" não são exportados |
| Leads | 2–4 horas | Campos, estágios do funil, automações, permissões | Atividades (comentários, ligações, e-mails, reuniões) da coluna direita do card não são migradas |
| Negócios (Deals) | 2–6 horas | Campos, funis, automações, permissões | Mesmo que leads: atividades históricas não migram |
| Contatos e Empresas | 2–4 horas | Campos e dados do card principal | Atividades históricas não migram |
| Templates de documentos | 2–6 horas | Templates portados + reconfiguração de campos | IDs de campos mudam no on-premise; templates precisam ser reajustados |
O ponto mais crítico para o diretor de TI planejar: histórico de atividades (ligações gravadas, comentários, e-mails) não é exportado pelo mecanismo padrão do Bitrix24. Se essa rastreabilidade é obrigatória, o projeto precisa incluir extração manual ou via API antes da migração. Leia o guia completo em Migrando do Bitrix24 Cloud para Self-Hosted: plano passo a passo.
Estrutura de custos da licença on-premise
A licença Bitrix24 on-premise para até 50 usuários tem custo elevado no primeiro ano, mas a renovação anual subsequente cai para apenas 25–30% desse valor; somados infraestrutura e implementação, o custo recorrente a partir do segundo ano é substancialmente menor do que a assinatura cloud equivalente para o mesmo número de usuários.
Os valores variam por região. Com base em projetos que conduzimos, a estrutura típica de custos do Bitrix24 on-premise para até 50 usuários inclui:
- Licença inicial (ano 1): custo de aquisição da licença + Marketplace
- Renovação anual (anos seguintes): aproximadamente 25–30% do valor da licença do primeiro ano
- Infraestrutura: servidor próprio ou aluguel de VPS/servidor dedicado em provedor de sua escolha
- Implementação: desenvolvimento do plano de trabalho, implantação, configuração de integrações e treinamento — tipicamente cobrado separadamente pelo integrador
A grande diferença em relação ao cloud: a partir do segundo ano, o custo recorrente cai substancialmente, já que a renovação da licença on-premise é significativamente menor do que a assinatura cloud equivalente para o mesmo número de usuários.
Se você está migrando de uma solução como Salesforce ou HubSpot, o diferencial de TCO costuma ser ainda mais evidente — veja Salesforce to Bitrix24: A Lower-TCO Alternative for Growing Companies.
Quando o on-premise realmente vale a pena
O Bitrix24 on-premise vale a pena principalmente para empresas de setores regulados, com equipe de TI interna e mais de 30–50 usuários ativos, necessidade de customizações de código ou integrações profundas com ERP e AD/LDAP; para equipes menores de 20 usuários sem estrutura de TI, o cloud tende a ser mais adequado.
O self-hosted não é a escolha certa para todas as empresas. Com base em nossa experiência de implementação, faz mais sentido quando:
✓ Vale a pena considerar o on-premise: - Setor regulado com exigência de residência de dados no Brasil ou em data center específico - Equipe de TI interna capaz de manter o servidor (ou parceiro gerenciado contratado) - Mais de 30–50 usuários ativos, onde o TCO de 3 anos favorece a licença on-premise - Necessidade de customizações de código que vão além do que o cloud permite - Integração profunda com sistemas internos (ERP, AD/LDAP, SSO) que exige controle de rede - Política de segurança corporativa que proíbe dados em nuvem de terceiros
✗ O cloud pode ser mais adequado se: - Equipe pequena (menos de 20 usuários) sem estrutura de TI interna - Velocidade de implantação é prioridade máxima - Orçamento inicial restrito e preferência por opex sobre capex
Para integrações de infraestrutura como Active Directory, LDAP e SSO, o on-premise oferece flexibilidade total — veja Active Directory, LDAP and SSO Integration with Self-Hosted Bitrix24.