A 2CLIX sabe que sua segurança e privacidade são importantes e se preocupa muito com isso.

SEGURANÇA DA INFORMAÇÃO NA CADEIA DE FORNECIMENTO

É importante para a organização garantir que os pilares da Segurança da Informação mantidos internamente sejam respeitados em suas relações externas. Desse modo, a contratação de serviços externos deve ser feita com cuidado e o conhecimento de que toda parte externa trazida para o negócio é um risco em potencial para a Segurança da Informação.

Requisitos base da Segurança de Informação na cadeia de fornecimento

Ciclo de Vida dos Fornecedores

Todo fornecedor deverá funcionar de acordo com as restrições e escopos definidos em contrato sendo a duração dos seus acessos definidos pela duração definida em contrato.

Durante o primeiro contato com um fornecedor deve-se ser apresentado quais os serviços que pretende-se contratar em conjunto com os requisitos de segurança aos quais o fornecedor deverá seguir durante o cumprimento dos serviços. Nesta fase somente pode-se ser compartilhado documentos auxiliares e uma visão superficial da estrutura onde o fornecedor irá trabalhar.

Após definidos e acordados os requisitos, um NDA e o Contrato devem ser assinados para finalizar e oficializar a contratação, somente após essas assinaturas que os acessos devem ser criados. Para isso, o fornecedor deve providenciar uma lista de acessos que vai precisar, juntamente com o nome dos funcionários que irão exercer as funções contratadas.

Durante o prazo do Contrato extensões podem ser formalizadas, assim como mudanças caso necessário. Sejam ela para expansão dos serviços contratados assim como no caso de mudanças nas políticas de segurança da organização que deverão ser adaptadas e consequentemente seguidas pelo fornecedor.

Ao fim do contrato, caso não haja extensão, os acessos serão removidos assim que as transições necessárias finalizem com o prazo de remoção de todos os acessos até o dia final definido no contrato.

Tipos de Acesso

   Os fornecedores devem ser avaliados conforme o nível real e potencial de acessos aos dados que o fornecedor terá para o cumprimento dos serviços contratados.

• Alto: um acesso do tipo  alto significa que o fornecedor terá acesso ou ao banco de dados ou aos servidores de alguma forma. Geralmente envolvendo acesso à VPN pelo fornecedor e principalmente acessos com permissões que permitem a execução de tarefas de manutenção, edição ou atualização desses ativos.
• Moderado: Um acesso do tipo moderado significa que o fornecedor não terá acesso direto ao servidor ou ao banco de dados, porém as suas tarefas permitem que ele tenha acesso à informações ou ativos da organização e seus colaboradores assim como acesso a documentos internos.
• Baixo: um acesso do tipo baixo significa que os dados dos quais os fornecedores têm acesso são dados primariamente públicos ou anonimizados, focando em serviços mais superficiais ou temporários.

Requisitos mínimos de segurança.

Todos os fornecedores devem seguir os requisitos de segurança definidos em contrato. Embora diferentes serviços vão exigir diferentes níveis de risco à segurança da informação é correto imaginar que os riscos aumentam junto com o nível do acesso, dessa forma os requisitos básicos de segurança da informação para cada nível serão gradativamente maiores.

• Baixo: o fornecedor deverá assinar um acordo de confidencialidade, fornecer uma lista de pessoal autorizado a cumprir o serviço contratado e estar em conformidade com a Lei Geral de Proteção de Dados;
• Moderado: engloba os requisitos do nível baixo, com o acréscimo de precisar ter uma política de Segurança de Informação, trilha de auditoria interna capazes de gerar reportes caso solicitado;
• Alto: engloba os requisitos anteriores com o acréscimo da necessidade de políticas de controle de acesso maduros, possuir um Sistema de Gerenciamento de Segurança da Informação implementado, fazer o uso da VPN apenas quando necessário para o cumprimento das funções contratadas, realizar auditorias internas, ser aderente com a Política de Segurança da Informação da 2clix e possuir um Plano de Continuidade de Negócio e Gestão de Riscos e Incidentes.

Monitoramento

O monitoramento do cumprimento dos requisitos pode ser realizado com base nas trilhas de auditoria internas tanto da organização quanto do fornecedor, a equipe de Segurança pode ser acionada para a realização de uma auditoria no fornecedor com o escopo dos requisitos acordados em contratos.

Relatórios também podem ser gerados pela equipe de Segurança a partir da avaliação dos serviços prestados e seus resultados para a organização.

Treinamentos

A organização deverá realizar treinamentos com seus colaboradores em relação ao uso dos serviços do fornecedor, assim como quais os tipos de informação e acessos que o pessoal do fornecedor deverá ter ciência e quais tipos de dados e acesso não estão no escopo dos serviços do fornecedor. Dessa forma, visa-se garantir que o escopo das funções e acessos seja mantido por todos os colaboradores assim como o acesso a informações seja restrito apenas àquilo que foi acordado em contrato.

Mudança de Fornecedor

Nos casos em que há a mudança de fornecedor, um período de adaptação deve ser adotado para que não haja perda de dados ou indisponibilidade do Portal da Qualidade durante a transição. Caso seja necessário uma extensão de contrato com o fornecedor anterior pode ser feita para garantir que os dados e processos tenham sido completamente transferidos para a plataforma do novo fornecedor.

Documentação e Contratos

Os contratos de fornecedores devem conter os requisitos básicos de segurança de informação baseados no nível de acesso que o fornecedor terá, assim como requisitos particulares relacionados ao serviço contratado.  

Nesses requisitos deve-se deixar claro quais as os serviços contratados, qual o nível de acesso que o fornecedor terá assim como quais as informações que o fornecedor poderá acessar e principalmente quais as informações que não deverão ser acessadas pelo fornecedor.

O aceite da Política de Segurança da Informação poderá ser incluída no processo contratual assim como conformidades com as Leis locais referentes à segurança da informação e proteção de dados.

‍

GERENCIAMENTO DE SI DURANTE O CONTRATO DO FORNECEDOR

Monitoramento das Entregas

As entregas do fornecedor devem ser avaliadas pelas equipes de Segurança e Administração que devem a intervalos regulares avaliar a eficácia dos serviços prestados, os riscos apresentados durante o fornecimento dos serviços e o impacto com a disponibilidade, integridade e confiabilidade do Portal da Qualidade.

Deve-se também avaliar a adequação do fornecedor com os requisitos de segurança acordados, assim como fazer uma revisão geral do uso dos acessos cedidos ao fornecedor. Dessa forma espera-se que, junto com o processo de melhoria contínua dos demais processos de segurança da organização, os requisitos de segurança aplicados ao fornecedor evoluam conjuntamente.

No caso de subfornecedores deve-se garantir que os requisitos de segurança da informação sejam seguidos em toda cadeira, de forma que, todo subfornecedor envolvido com os serviços prestados à 2CLIX TECNOLOGIA EIRELLI devem possuir no mínimo os requisitos de segurança acordados no contrato com o fornecedor.

Relatórios devem ser solicitados aos fornecedores quanto às trilhas de auditoria e controles de segurança, assim como auditorias podem ser realizadas pela equipe de segurança caso a organização veja a necessidade.

Por fim, espera-se que haja transparência quanto aos incidentes de segurança ocorridos no fornecedor para que uma análise correta de riscos seja efetuada assim como mudanças sejam feitas no contrato de modo a minimizar riscos observados.

Gestão de Mudanças

Além da previsão quando há troca de fornecedores ainda há a possibilidade de haver mudanças quanto ao escopo dos serviços do fornecedor conforme a necessidade da organização.

Desta forma, a revisão dos acordos devem ser feitas não somente quando há necessidade quanto aos processos e controles de segurança, mas também quanto aos serviços prestados de modo que  a organização pode solicitar por melhorias nos serviços atuais, mudança ou melhoria na infraestrutura, mudança na tecnologia utilizada para tecnologias, frameworks ou versões mais novos, mudança de local físico tanto do fornecedor quanto da organização e mudança na cadeira de subfornecedores.

A requisição de mudanças pode vir por parte do fornecedor assim como da organização e as mudanças devem ser acordadas com ambas as partes e finalizadas em um adendo ou ajuste no contrato formalizado por ambas as partes.

‍

GESTÃO DE DOCUMENTOS

Este documento é válido a partir da sua aprovação mais recente e é de responsabilidade da equipe de administração da 2CLIX TECNOLOGIA EIRELI.  O ciclo de atualização deste documento é anual e deve ser realizado sempre a partir da avaliação de eficácia e adequação deste documento com as demais políticas e processos da empresa.

Para garantir uma avaliação concisa e clara, os seguintes critérios de avaliação serão utilizados:

• Retorno das partes interessadas a respeito da eficácia e impacto do SGSI;
• Evolução do número de incidentes de segurança causados por falha nos controles de segurança dos fornecedores;
• Evolução dos número de incidentes de segurança causados por acesso indevido dos fornecedores;
• Feedback dos colaboradores e equipes a partir de treinamentos e interação com os fornecedores;
• Evolução do número de incidentes causados por falta de definição de parâmetros de segurança nos contratos;

‍

‍

‍