Segurança para fornecedores

A 2CLIX sabe que sua segurança e privacidade são importantes e se preocupa
muito com isso.

SEGURANÇA DA INFORMAÇÃO NA CADEIA DE FORNECIMENTO

É importante para a organização garantir que os pilares da Segurança da
Informação mantidos internamente sejam respeitados em suas relações
externas. Desse modo, a contratação de serviços externos deve ser feita com
cuidado e o conhecimento de que toda parte externa trazida para o negócio é
um risco em potencial para a Segurança da Informação.

Requisitos base da Segurança de Informação na cadeia de fornecimento

Ciclo de Vida dos Fornecedores

Todo fornecedor deverá funcionar de acordo com as restrições e escopos
definidos em contrato sendo a duração dos seus acessos definidos pela
duração definida em contrato.

Durante o primeiro contato com um fornecedor deve-se ser apresentado quais
os serviços que pretende-se contratar em conjunto com os requisitos de
segurança aos quais o fornecedor deverá seguir durante o cumprimento dos
serviços. Nesta fase somente pode-se ser compartilhado documentos auxiliares
e uma visão superficial da estrutura onde o fornecedor irá trabalhar.

Após definidos e acordados os requisitos, um NDA e o Contrato devem ser
assinados para finalizar e oficializar a contratação, somente após essas
assinaturas que os acessos devem ser criados. Para isso, o fornecedor deve
providenciar uma lista de acessos que vai precisar, juntamente com o nome
dos funcionários que irão exercer as funções contratadas.

Durante o prazo do Contrato extensões podem ser formalizadas, assim como
mudanças caso necessário. Sejam ela para expansão dos serviços contratados
assim como no caso de mudanças nas políticas de segurança da organização que
deverão ser adaptadas e consequentemente seguidas pelo fornecedor.

Ao fim do contrato, caso não haja extensão, os acessos serão removidos assim
que as transições necessárias finalizem com o prazo de remoção de todos os
acessos até o dia final definido no contrato.

Tipos de Acesso

Os fornecedores devem ser avaliados conforme o nível real e
potencial de acessos aos dados que o fornecedor terá para o cumprimento dos
serviços contratados.

  • Alto: um acesso do tipo alto significa que o fornecedor terá acesso
    ou ao banco de dados ou aos servidores de alguma forma. Geralmente
    envolvendo acesso à VPN pelo fornecedor e principalmente acessos com
    permissões que permitem a execução de tarefas de manutenção, edição ou
    atualização desses ativos.
  • Moderado: Um acesso do tipo moderado significa que o fornecedor não terá
    acesso direto ao servidor ou ao banco de dados, porém as suas tarefas
    permitem que ele tenha acesso à informações ou ativos da organização e
    seus colaboradores assim como acesso a documentos internos.
  • Baixo: um acesso do tipo baixo significa que os dados dos quais os
    fornecedores têm acesso são dados primariamente públicos ou anonimizados,
    focando em serviços mais superficiais ou temporários.

Requisitos mínimos de segurança.

Todos os fornecedores devem seguir os requisitos de segurança definidos em
contrato. Embora diferentes serviços vão exigir diferentes níveis de risco à
segurança da informação é correto imaginar que os riscos aumentam junto com
o nível do acesso, dessa forma os requisitos básicos de segurança da
informação para cada nível serão gradativamente maiores.

  • Baixo: o fornecedor deverá assinar um acordo de confidencialidade,
    fornecer uma lista de pessoal autorizado a cumprir o serviço contratado e
    estar em conformidade com a Lei Geral de Proteção de Dados;
  • Moderado: engloba os requisitos do nível baixo, com o acréscimo de
    precisar ter uma política de Segurança de Informação, trilha de auditoria
    interna capazes de gerar reportes caso solicitado;
  • Alto: engloba os requisitos anteriores com o acréscimo da necessidade de
    políticas de controle de acesso maduros, possuir um Sistema de
    Gerenciamento de Segurança da Informação implementado, fazer o uso da VPN
    apenas quando necessário para o cumprimento das funções contratadas,
    realizar auditorias internas, ser aderente com a Política de Segurança da
    Informação da 2clix e possuir um Plano de Continuidade de Negócio e Gestão
    de Riscos e Incidentes.

Monitoramento

O monitoramento do cumprimento dos requisitos pode ser realizado com base
nas trilhas de auditoria internas tanto da organização quanto do fornecedor,
a equipe de Segurança pode ser acionada para a realização de uma auditoria
no fornecedor com o escopo dos requisitos acordados em contratos.

Relatórios também podem ser gerados pela equipe de Segurança a partir da
avaliação dos serviços prestados e seus resultados para a organização.

Treinamentos

A organização deverá realizar treinamentos com seus colaboradores em relação
ao uso dos serviços do fornecedor, assim como quais os tipos de informação e
acessos que o pessoal do fornecedor deverá ter ciência e quais tipos de
dados e acesso não estão no escopo dos serviços do fornecedor. Dessa forma,
visa-se garantir que o escopo das funções e acessos seja mantido por todos
os colaboradores assim como o acesso a informações seja restrito apenas
àquilo que foi acordado em contrato.

Mudança de Fornecedor

Nos casos em que há a mudança de fornecedor, um período de adaptação deve
ser adotado para que não haja perda de dados ou indisponibilidade do Portal
da Qualidade durante a transição. Caso seja necessário uma extensão de
contrato com o fornecedor anterior pode ser feita para garantir que os dados
e processos tenham sido completamente transferidos para a plataforma do novo
fornecedor.

Documentação e Contratos

Os contratos de fornecedores devem conter os requisitos básicos de segurança
de informação baseados no nível de acesso que o fornecedor terá, assim como
requisitos particulares relacionados ao serviço contratado.

Nesses requisitos deve-se deixar claro quais as os serviços contratados,
qual o nível de acesso que o fornecedor terá assim como quais as informações
que o fornecedor poderá acessar e principalmente quais as informações que
não deverão ser acessadas pelo fornecedor.

O aceite da Política de Segurança da Informação poderá ser incluída no
processo contratual assim como conformidades com as Leis locais referentes à
segurança da informação e proteção de dados.

GERENCIAMENTO DE SI DURANTE O CONTRATO DO FORNECEDOR

Monitoramento das Entregas

As entregas do fornecedor devem ser avaliadas pelas equipes de Segurança e
Administração que devem a intervalos regulares avaliar a eficácia dos
serviços prestados, os riscos apresentados durante o fornecimento dos
serviços e o impacto com a disponibilidade, integridade e confiabilidade do
Portal da Qualidade.

Deve-se também avaliar a adequação do fornecedor com os requisitos de
segurança acordados, assim como fazer uma revisão geral do uso dos acessos
cedidos ao fornecedor. Dessa forma espera-se que, junto com o processo de
melhoria contínua dos demais processos de segurança da organização, os
requisitos de segurança aplicados ao fornecedor evoluam conjuntamente.

No caso de subfornecedores deve-se garantir que os requisitos de segurança
da informação sejam seguidos em toda cadeira, de forma que, todo
subfornecedor envolvido com os serviços prestados à 2CLIX TECNOLOGIA EIRELLI
devem possuir no mínimo os requisitos de segurança acordados no contrato com
o fornecedor.

Relatórios devem ser solicitados aos fornecedores quanto às trilhas de
auditoria e controles de segurança, assim como auditorias podem ser
realizadas pela equipe de segurança caso a organização veja a necessidade.

Por fim, espera-se que haja transparência quanto aos incidentes de segurança
ocorridos no fornecedor para que uma análise correta de riscos seja efetuada
assim como mudanças sejam feitas no contrato de modo a minimizar riscos
observados.

Gestão de Mudanças

Além da previsão quando há troca de fornecedores ainda há a possibilidade de
haver mudanças quanto ao escopo dos serviços do fornecedor conforme a
necessidade da organização.

Desta forma, a revisão dos acordos devem ser feitas não somente quando há
necessidade quanto aos processos e controles de segurança, mas também quanto
aos serviços prestados de modo que a organização pode solicitar por
melhorias nos serviços atuais, mudança ou melhoria na infraestrutura,
mudança na tecnologia utilizada para tecnologias, frameworks ou versões mais
novos, mudança de local físico tanto do fornecedor quanto da organização e
mudança na cadeira de subfornecedores.

A requisição de mudanças pode vir por parte do fornecedor assim como da
organização e as mudanças devem ser acordadas com ambas as partes e
finalizadas em um adendo ou ajuste no contrato formalizado por ambas as
partes.

GESTÃO DE DOCUMENTOS

Este documento é válido a partir da sua aprovação mais recente e é de
responsabilidade da equipe de administração da 2CLIX TECNOLOGIA EIRELI.
O ciclo de atualização deste documento é anual e deve ser realizado
sempre a partir da avaliação de eficácia e adequação deste documento com as
demais políticas e processos da empresa.

Para garantir uma avaliação concisa e clara, os seguintes critérios de
avaliação serão utilizados:

  • Retorno das partes interessadas a respeito da eficácia e impacto do SGSI;
  • Evolução do número de incidentes de segurança causados por falha nos
    controles de segurança dos fornecedores;
  • Evolução dos número de incidentes de segurança causados por acesso
    indevido dos fornecedores;
  • Feedback dos colaboradores e equipes a partir de treinamentos e interação
    com os fornecedores;
  • Evolução do número de incidentes causados por falta de definição de
    parâmetros de segurança nos contratos;

 

Newsletter

Transforme atendimento em resultado.

Receba dicas e conteúdos exclusivos sobre monitoria de qualidade, gestão de CX e eficiência no atendimento

Ao clicar em "Cadastrar", você confirma que concorda com os nossos Termos e Condições.

Rolar para cima