PRJ-SI-008 — Due Diligence e Acesso de Terceiros
Status: Não iniciado Prioridade: Média Responsável: Contratos · Diretoria · SI Normativa: NR.SI.003 - Acesso de Terceiros · PSI - Política de Segurança da Informação Art. 48–51
Objetivo
Estabelecer o processo de avaliação de segurança e controle de acesso para fornecedores, parceiros e prestadores de serviço que interagem com sistemas, dados ou infraestrutura da Fortes Sertão Central.
Terceiros no Contexto da Fortes Sertão Central
| Tipo | Exemplos | Risco SI |
|---|---|---|
| Fornecedores de TI | Provedores de internet, suporte de hardware | Acesso à infraestrutura |
| Prestadores de serviço interno | Serviços de limpeza, manutenção | Acesso físico a ambientes com dados |
| Parceiros de software | Integrações com NeoAssist, outros SaaS | Acesso a dados de clientes |
| Fortes Tecnologia (matriz) | Suporte técnico, auditorias | Acesso remoto a sistemas |
| C&F Consultoria | Consultoria de processo e SI | Acesso a dados operacionais |
Processo — Contratação de Terceiro com Acesso a Dados ou Sistemas
Necessidade identificada
↓
Due diligence de SI (equipe de SI + Diretoria)
→ Verificar nível de SI do fornecedor
→ Solicitar documentação de conformidade LGPD
→ Aplicar questionário de segurança
↓
Assinar NDA antes de qualquer troca de informação relevante
↓
Incluir cláusulas de SI e LGPD no contrato
→ Requisitos técnicos mínimos
→ Obrigações de confidencialidade
→ Responsabilidade por incidentes
↓
Se acesso a sistemas internos necessário:
→ Abertura de ticket via TI para SI
→ Conta com escopo limitado e prazo definido
→ Seguir regras da NR.SI.003
↓
Monitoramento durante a vigência
↓
Encerramento: revogar todos os acessos + documentar
Regras para Contas de Acesso de Terceiros (NR.SI.003)
| Parâmetro | Regra |
|---|---|
| Prazo | Definido na contratação (mínimo e máximo) |
| Escopo | Restrito — apenas sistemas/dados necessários para o serviço |
| Senha | Complexidade conforme NR.SI.001 |
| Revogação | Imediata ao término do contrato ou da necessidade |
| Auditoria | Registro de atividades do usuário terceiro |
Questionário de Due Diligence (Modelo)
A aplicar antes de contratar fornecedor com acesso a dados:
- A empresa possui Política de Segurança da Informação documentada?
- Existe processo formal de controle de acesso para colaboradores?
- Os dados tratados são protegidos por criptografia em trânsito e repouso?
- A empresa está em conformidade com a LGPD? Possui DPO?
- Há histórico de incidentes de segurança? Como foram tratados?
- A empresa realiza treinamento de SI para seus colaboradores?
- Existem controles de backup e continuidade de negócio?
Checklist de Aderência
| Item | Obrigação | Status |
|---|---|---|
| Due diligence realizada antes de cada contratação relevante | PSI Art. 48 | ⬜ Pendente |
| NDA firmado com fornecedores que acessam dados sensíveis | PSI Art. 48 | ⬜ Pendente |
| Contratos incluem cláusulas de SI e LGPD | PSI Art. 49 | ⬜ Pendente |
| Contas de terceiros com prazo e escopo definidos | NR.SI.003 | ⬜ Pendente |
| Fornecedores demonstram conformidade LGPD | PSI Art. 51 | ⬜ Pendente |
| Acessos de terceiros encerrados ao término do contrato | NR.SI.003 | ⬜ Pendente |
| Diligências documentadas junto ao SI | PSI Art. 51 | ⬜ Pendente |
Referência de Fornecedores Homologados
Consultar lista de parceiros e fornecedores aprovados pela Fortes Tecnologia no portal oficial: FanFortes On