Política de segurança da informação – fornecedores, parceiros e prestadores de serviços

OBJETIVOS

Este documento tem como objetivo definir todas as regras e princípios básicos de Segurança da Informação e Privacidade que devem ser repassados a fornecedores, parceiros tecnológicos, parceiros de negócio, prestadores de serviço e freelancers da IBLISS Digital Security para garantir, de forma consistente e eficiente, a proteção das informações disponibilizadas pela IBLISS Digital Security.

Esta Política é aplicável a todos os fornecedores, parceiros tecnológicos, parceiros de negócio, prestadores de serviço e freelancers da IBLISS Digital Security que vierem a fornecer soluções e/ou utilizar recursos e informações do ambiente da IBLISS Digital Security.

Definições

Considera-se:
i. Prestador de Serviços: são as empresas que apoiam as atividades internas da IBLISS, sem contato direto com os clientes;
ii. Parceiro de Negócios: são as empresas prestadoras de serviço que apoiam diretamente na entrega das atividades aos clientes;
iii. Freelancer: pessoa física ou jurídica contratada para apoiar pontualmente em entrega das atividades aos clientes;
iv. Parceiro Tecnológico: são empresas terceiras que estabelecem com a IBLISS Digital Security uma troca mútua de benefícios, onde o objetivo é levar aos
clientes as melhores soluções;
v. Fornecedor: são empresas terceiras que atuam junto à IBLISS Digital Security e podem tratar informações de clientes e colaboradores, refletindo na execução de
projetos internos ou externos da organização.

Revisões

Esta Política, bem como os demais documentos que cumprem os requisitos de negócio da IBLISS Digital Security são revisados anualmente ou quando mudanças organizacionais significativas acontecerem.

Toda informação criada, trafegada ou processada na IBLISS Digital Security é rotulada e classificada de acordo com nosso Procedimento de Gestão de Documentos1.

De maneira geral, as informações na IBLISS Digital Security recebem as seguintes classificações:

  • Interno: documento acessado internamente por toda a IBLISS Digital Security;
  • Restrito: documento direcionado a determinadas equipes da IBLISS Digital Security;
  • Confidencial: documento direcionado restritamente a partes interessadas em determinadas negociações/processos;
  • Público: documento disponível publicamente para qualquer acesso.

O fornecedor, parceiro tecnológico, parceiro de negócio, prestador de serviço ou freelancer, se vier a ter acesso a informações da IBLISS Digital Security ou de seus clientes obrigatoriamente, devem respeitar a classificação aqui exposta

Os critérios aqui estabelecidos servem para nortear a execução das avaliações de fornecedores da IBLISS Digital Security.
É de responsabilidade da IBLISS Digital Security executar em cada novo fornecedor a verificação de requisitos de Segurança da Informação e Privacidade, utilizando o Self Assessment de Fornecedores, salvo se houver dispensa justificada por decisão tomada pelo Comitê de Segurança e Serviços da IBLISS, em concordância com o CEO.
Além disso, as empresas que comprovarem serem certificadas ISO 27001 por autoridade competente nacional, ficam dispensadas da aplicação do respectivo questionário, uma vez que o Comitê de Segurança e Serviços da IBLISS entende que a organização já possui um nível elevado de segurança da informação e anualmente passam por processos de auditoria.

Papeis e Responsabilidades

Cabe ao gestor da área solicitante informar aos seus fornecedores atuais e os que serão contratados sobre o conteúdo deste documento, o qual está disponibilizado na página principal web da IBLISS Digital Security.
Dessa maneira, cabe ao contratado garantir que está aderente às diretrizes de Segurança da Informação e Privacidade da IBLISS Digital Security, através das respostas
fornecidas no Self Assessment de Fornecedores, nos casos aplicáveis.

Critérios de Avaliação

A avaliação de fornecedores é realizada mediante uma metodologia própria, levando em consideração a criticidade e relevância do negócio, e prezando por organizações que tenham valores similares aos da IBLISS. Desta forma, possui um questionário básico, o qual poderá ser alterado, a depender do caso concreto.
A análise deverá ser conduzida pela equipe de Governança, a qual gerenciará toda a documentação e evidências pertinentes ao caso, sendo verificados aspectos relacionados a:

  • Conformidade legal e regulatória;
  • Estabilidade financeira;
  • Capacidade de produção e entrega
  • Qualidade do produto/serviço;
  • Reputação e referências;
  • Gestão de riscos;
  • Sustentabilidade e responsabilidade social;
  • Capacidade de atendimento ao cliente;
  • Segurança da informação e Privacidade; e
  • Risco de continuidade de negócios.

Requisitos Mínimos

Cabe ao fornecedor garantir à IBLISS Digital Security os seguintes requisitos mínimos para a segurança das informações, mas não se limitando somente a estes:

  • Segurança no ciclo de vida de seu projeto ou serviço, evidenciando que a Segurança da Informação, Privacidade e suas diretrizes são aderentes às da IBLISS
    Digital Security;
  • Fornecer respostas fidedignas (evidenciáveis) ao questionário de verificação de requisitos de Segurança da Informação e Privacidade quando aplicado pela IBLISS
    Digital Security.

Após análise dos critérios de avaliação, a equipe de Governança consolidará os resultados em um relatório interno e emitirá o parecer relativo à aderência ou não do
fornecedor frente aos critérios avaliados.
Caso o parecer seja negativo, o gestor solicitante será informado dos riscos envolvidos nesta contratação, e deverá avaliar se continua com o processo. Se decidir
continuar, deverá assinar um Termo de Responsabilidade e alinhar com o fornecedor a assinatura de um aditivo contratual, que contenha um compromisso do fornecedor em tratar as não conformidades com respectivos prazos estimados e permissão de avaliação anual.

Conformidade com Leis e Normas

As atividades e os serviços prestados pelos fornecedores, parceiros tecnológicos, parceiros de negócio, prestadores de serviço e freelancers da IBLISS Digital Security devem garantir a conformidade com obrigações estatutárias e regulatórias, assegurando que as devidas exigências legais e de segurança da informação sejam levadas em conta em seus processos, atividades e serviços.

Os contratos com os fornecedores devem cumprir com os princípios da Política de Segurança da Informação (PL01_001) da IBLISS Digital Security. Dessa forma, a IBLISS Digital Security recomenda que os controles abaixo sejam implementados e considerados nos contratos:

  • Adesão às exigências de segurança da informação da contratante;
  • Criação, execução e monitoramento de plano de mitigação sobre os critérios de avaliação não atingidos, com reporte à contratante e como estas são monitoradas;
  • Cláusula de permissão de auditoria das exigências de segurança da informação pela contratante.

Revisão e Auditoria de cláusulas contratuais

A IBLISS Digital Security realiza revisões e auditorias de cláusulas contratuais a fim de constatar que as diretrizes de segurança da informação dos fornecedores, parceiros e prestadores de serviços são ou estão aderentes às suas expectativas.
Além de auditorias em cláusulas contratuais, a IBLISS Digital Security se reserva no direito em auditar quaisquer processos ou recursos que envolvam suas exigências de segurança da informação sempre que necessário (v. Item 5).

São consideradas violações a esta Política:

  • Qualquer descumprimento de nossas diretrizes de segurança da informação ou das diretrizes acordadas em contrato de prestação de serviço;
  • Quaisquer situações que possam expor a IBLISS Digital Security à perda financeira, imagem ou de valor de mercado;
  • Uso indevido e divulgação de informações confidenciais;
  • Divulgação não autorizada de informações confidenciais, internas ou de informações sensíveis tratadas por fornecedores, parceiros e prestadores de serviço;
  • Não conformidade constatada em auditoria de cláusulas contratuais e/ou processos e recursos que respaldem as exigências de segurança da informação feitas
    pela IBLISS Digital Security (v. Item 5.1).

Em casos de ocorrência das violações mencionadas na Seção 6 desta Política, serão aplicáveis as seguintes penalidades, de acordo com a deliberação da diretoria da IBLISS Digital Security:

  • Notificação formal de violação constatada;
  • Término ou cessão de contrato de prestação de serviço e fim das relações comerciais entre a IBLISS Digital Security e a respectiva parte contratada;
  • Processo civil ou criminal;
  • Ressarcimento de potenciais prejuízos à IBLISS Digital Security.

A área de Governança é responsável por orientações sobre as boas práticas de trabalho remoto e acompanhamento em caso de incidentes. O setor deve revisar esta
política obrigatoriamente, em período não superior a 01 ano, ou a qualquer momento, em virtude de demanda competente ou de necessidade urgente, como por exemplo:
a) Incidentes de Segurança da Informação considerados significativos;
b) Novas tecnologias, metodologias e/ou vulnerabilidades encontradas; ou
c) Novas necessidades legais, normativas e/ou de mercado.