Política de segurança da informação – fornecedores, parceiros e prestadores de serviços

OBJETIVOS

Este documento tem como objetivo definir todas as regras e princípios básicos de Segurança da Informação e Privacidade que devem ser repassados a fornecedores, parceiros tecnológicos, parceiros de negócio, prestadores de serviço e freelancers da IBLISS Digital Security para garantir, de forma consistente e eficiente, a proteção das informações disponibilizadas pela IBLISS Digital Security.

Esta Política é aplicável a todos os fornecedores, parceiros tecnológicos, parceiros de negócio, prestadores de serviço e freelancers da IBLISS Digital Security que vierem a fornecer soluções e/ou utilizar recursos e informações do ambiente da IBLISS Digital Security.

Definições

Considera-se:
i. Prestador de Serviços: são as empresas que apoiam as atividades internas da IBLISS, sem contato direto com os clientes;
ii. Parceiro de Negócios: são as empresas prestadoras de serviço que apoiam diretamente na entrega das atividades aos clientes;
iii. Freelancer: pessoa física ou jurídica contratada para apoiar pontualmente em entrega das atividades aos clientes;
iv. Parceiro Tecnológico: são empresas terceiras que estabelecem com a IBLISS Digital Security uma troca mútua de benefícios, onde o objetivo é levar aos
clientes as melhores soluções;
v. Fornecedor: são empresas terceiras que atuam junto à IBLISS Digital Security e podem tratar informações de clientes e colaboradores, refletindo na execução de
projetos internos ou externos da organização.

Toda informação criada, trafegada ou processada na IBLISS Digital Security é rotulada e classificada de acordo com nosso Procedimento de Gestão de Documentos1.

De maneira geral, as informações na IBLISS Digital Security recebem as seguintes classificações:

  • Interno: documento acessado internamente por toda a IBLISS Digital Security;
  • Restrito: documento direcionado a determinadas equipes da IBLISS Digital Security;
  • Confidencial: documento direcionado restritamente a partes interessadas em determinadas negociações/processos;
  • Público: documento disponível publicamente para qualquer acesso.

O fornecedor, parceiro tecnológico, parceiro de negócio, prestador de serviço ou freelancer, se vier a ter acesso a informações da IBLISS Digital Security ou de seus clientes obrigatoriamente, devem respeitar a classificação aqui exposta

O canal de comunicação para a troca de documentos corporativos é o e-mail corporativo e, eventualmente, por meio de serviço de compartilhamento de arquivos em ambiente externo controlado, os quais não devem ser utilizados para outras finalidades, tais como assuntos pessoais. 

  • Interno: documento acessado internamente por toda a IBLISS Digital Security;
  • Restrito: documento direcionado a determinadas equipes da IBLISS Digital Security;
  • Confidencial: documento direcionado restritamente a partes interessadas em determinadas negociações/processos;
  • Público: documento disponível publicamente para qualquer acesso.

O fornecedor, parceiro tecnológico, parceiro de negócio, prestador de serviço ou freelancer, se vier a ter acesso a informações da IBLISS Digital Security ou de seus clientes obrigatoriamente, devem respeitar a classificação aqui exposta.

O fornecedor, parceiro de negócio, parceiro tecnológico e freelancer reconhece e afirma estar em conformidade com a Lei Geral de Proteção de Dados, realizando o tratamento de dados pessoais para finalidades específicas, atrelando-o à base legal adequada. 

6.1 Aplicabilidade da Avaliação  

Os critérios aqui estabelecidos servem para nortear a execução das avaliações de Segurança da Informação e Privacidade dos fornecedores2 de serviços contínuos relacionados à atividade principal da IBLISS Digital Security que tratarem dados pessoais3. 

Estão dispensadas da avaliação as empresas que forem certificadas ISO/IEC 27.001  nas versões 2013 ou 2022 por autoridade competente nacional ou certificadas SOC 2 type II, uma vez que a Alta Gestão entende que, para esses casos, a organização já possui um nível adequado de segurança da informação e anualmente passam por processos de auditoria. 

O CTO pode ainda dispensar a avaliação ou o monitoramento de determinados fornecedores, mediante decisão justificada e apontamento na planilha de riscos. 

Cabe ao gestor da área solicitante informar aos seus fornecedores atuais e os que serão contratados sobre o conteúdo deste documento, o qual está disponibilizado na página principal web da IBLISS Digital Security. 

6.2 Procedimento de Avaliação Inicial 

A avaliação de fornecedores será realizada através do uso de ferramenta de rating cibernético GAT Core. Após a parametrização pela equipe de Serviços da IBLISS, a solução de rating realiza o monitoramento automático e contínuo da postura de segurança do fornecedor, tomando por base o domínio de internet principal da empresa (ex: site.com.br) e retorna uma nota que varia de 0 a 950, semelhante a um rating de crédito. 

A análise sobre a contratação levará em consideração o conteúdo disposto na MT02_001 – Avaliação de Riscos.  

Caso entenda necessário, o gestor solicitante poderá solicitar esclarecimentos adicionais, a fim de complementar as informações já adquiridas para efetuar a análise e decidir pela contratação. 

6.3 Requisitos Mínimos 

Para efetivação da contratação, cabe ao fornecedor garantir à IBLISS Digital Security os seguintes requisitos mínimos: 

  • O rating mínimo aceitável para um fornecedor é de 700.  
  • Conformidade legal e regulatória (Lei n 13.709/2018, por exemplo); 
  • Qualidade do produto/serviço (execução de Provas de conceito, por exemplo); 
  • Estipulação de SLA dentro dos parâmetros admitidos no PROC01_006 – Procedimento de Continuidade de Negócios; 
  • Segurança da informação (governança, políticas, atendimento à resposta de incidentes e continuidade de negócios, por exemplo); e 
  • Privacidade (nomeação de encarregado, políticas, atendimento aos direitos dos titulares e relatório de impacto à proteção de dados pessoais, por exemplo). 

Constatada a aderência, mediante a coleta das evidências pelo gestor solicitante, segue-se para a negociação comercial e formalização do contrato. Caso o fornecedor não atinja os parâmetros de referência e o gestor solicitante entenda pela contratação, por questões como qualidade do serviço e ou conhecimento técnico exclusivo/relevante, ele deverá preencher um Termo de Responsabilidade, a ser aceito pelo CEO, e assim haver a conclusão da contratação. 

6.4 Da Análise Contínua 

Graças ao uso da solução de rating cibernético, o monitoramento dos fornecedores ocorrerá de modo automatizado e contínuo. 

Caso seja verificado aumento de severidade e ou criticidade, a manutenção do contrato com o fornecedor será deliberada em reunião de Comitê SGSI. 

6.5 Conformidade com Leis e Normas 

As atividades e os serviços prestados pelos fornecedores, parceiros tecnológicos, parceiros de negócio, prestadores de serviço e freelancers da IBLISS Digital Security devem garantir a conformidade com obrigações estatutárias e regulatórias, assegurando que as devidas exigências legais e de segurança da informação sejam levadas em conta em seus processos, atividades e serviços.  

Os contratos com os fornecedores devem cumprir com os princípios da Política de Segurança da Informação (PL01_001) da IBLISS Digital Security. Dessa forma, controles como cláusula de permissão de auditoria para averiguação de exigências de segurança da informação devem ser considerados na minuta contratual. 

A IBLISS Digital Security realiza revisões e auditorias de cláusulas contratuais a fim de constatar que as diretrizes de segurança da informação dos fornecedores, parceiros e prestadores de serviços são ou estão aderentes às suas expectativas. 

Além de auditorias em cláusulas contratuais, a IBLISS Digital Security se reserva no direito em auditar quaisquer processos ou recursos que envolvam suas exigências de segurança da informação sempre que necessário. 

São consideradas violações a esta Política:

  • Qualquer descumprimento de nossas diretrizes de segurança da informação ou das diretrizes acordadas em contrato de prestação de serviço;
  • Quaisquer situações que possam expor a IBLISS Digital Security à perda financeira, imagem ou de valor de mercado;
  • Uso indevido e divulgação de informações confidenciais;
  • Divulgação não autorizada de informações confidenciais, internas ou de informações sensíveis tratadas por fornecedores, parceiros e prestadores de serviço;
  • Não conformidade constatada em auditoria de cláusulas contratuais e/ou processos e recursos que respaldem as exigências de segurança da informação feitas
    pela IBLISS Digital Security (v. Item 5.1).

Em casos de ocorrência das violações mencionadas na Seção 6 desta Política, serão aplicáveis as seguintes penalidades, de acordo com a deliberação da diretoria da IBLISS Digital Security:

  • Notificação formal de violação constatada;
  • Término ou cessão de contrato de prestação de serviço e fim das relações comerciais entre a IBLISS Digital Security e a respectiva parte contratada;
  • Processo civil ou criminal;
  • Ressarcimento de potenciais prejuízos à IBLISS Digital Security.

A área de Governança é responsável por orientações sobre as boas práticas de trabalho remoto e acompanhamento em caso de incidentes. O setor deve revisar esta
política obrigatoriamente, em período não superior a 01 ano, ou a qualquer momento, em virtude de demanda competente ou de necessidade urgente, como por exemplo:
a) Incidentes de Segurança da Informação considerados significativos;
b) Novas tecnologias, metodologias e/ou vulnerabilidades encontradas; ou
c) Novas necessidades legais, normativas e/ou de mercado.