RD Station

Política de Gestão de Fornecedores e Parceiros de Negócio

1. Objetivo

O objetivo desta política é estabelecer diretrizes e controles para garantir a seleção, avaliação e gestão efetiva de terceiros, fornecedores e parceiros de negócio, em conformidade com as normas ISO 9001:2015, ISO 27002:2022, ISO 27701:2019 e o framework CIS v8. Esta política visa minimizar riscos, assegurar a qualidade dos produtos e serviços fornecidos e proteger as informações confidenciais da RD Station.

2. Escopo

Esta política se aplica a todos os terceiros, fornecedores e parceiros de negócio que possuem relação comercial com a RD Station e que possam impactar a qualidade dos produtos/serviços fornecidos ou a segurança da informação e privacidade.

3. Seleção de terceiros, fornecedores e parceiros de negócio

A seleção de terceiros, fornecedores e parceiros de negócio deve ser baseada em critérios objetivos e documentados. Antes de estabelecer qualquer relacionamento comercial, a RD Station deve realizar uma avaliação preliminar para verificar se os terceiros, fornecedores e parceiros de negócio atendem aos requisitos de qualidade, segurança da informação e demais requisitos específicos da RD Station.

a) Os critérios de avaliação dependem dos serviços que eles fornecem e do acesso que eles detêm em nosso espaço de trabalho e sistemas de informação. A matriz que pode ser encontrada no Padrão de segurança para contratação de terceiros define cada tipo de terceiro e os requisitos aos quais eles devem cumprir.

b) Os critérios de avaliação também devem seguir as premissas da Política de Compras – Supply.

c) Realize auditorias ou avaliações iniciais para verificar se os fornecedores atendem aos requisitos estabelecidos antes de estabelecer um relacionamento comercial.

d) Garanta que os fornecedores possuam medidas de adequação equivalentes ou superiores às medidas adotadas pela RD Station em relação às leis e regulamentações de proteção de dados.

e) Caso o fornecedor não esteja em conformidade com os requisitos e critérios mínimos, o processo será bloqueado na contratação;

f) Em casos de contratações consideradas de alta necessidade, é fundamental realizar uma análise de riscos relacionada à contratação. A decisão de contratação será submetida ao Comitê de Segurança da Informação e Privacidade, que terá a responsabilidade de deliberar sobre a recomendação, seja ela relacionada à seleção, retenção ou rescisão de fornecedores, apresentada pelo time de governança em segurança da informação e privacidade.

g) Após passar por todas as avaliações com negativa, o bloqueio será realizado. Se o responsável pelo contrato ainda quiser realizar a contratação, poderá prosseguir com o processo, o gestor do contrato deve solicitar que o diretor da sua área assuma a responsabilidade dos riscos envolvidos preenchendo o Termo de Aceite de Risco de Segurança da Informação.

h) Garantir a inserção nas cláusulas em contrato para que o fornecedor se adeque em prazo acordado;

4. Avaliação de Desempenho

A RD Station deve estabelecer um processo de avaliação contínua do desempenho dos terceiros, fornecedores e parceiros de negócio. Essa avaliação deve ser baseada em indicadores pré-definidos, como qualidade dos produtos/serviços fornecidos, prazo de entrega, conformidade com requisitos legais e regulamentares, em conformidade com normas de segurança da informação e privacidade.

a) Defina indicadores de desempenho para medir o desempenho dos fornecedores em relação à qualidade, prazo de entrega, conformidade com requisitos legais/regulamentares e satisfação do cliente.
b) Realize revisões periódicas com os terceiros, fornecedores e parceiros de negócios para discutir o desempenho, identificar oportunidades de melhoria e implementar ações corretivas, quando necessário.

5. Contratos e Acordos

Todos os contratos e acordos com terceiros, fornecedores e parceiros de negócio devem estabelecer claramente os requisitos de qualidade, segurança da informação e privacidade, prazos, responsabilidades e quaisquer outros requisitos específicos da RD Station. Os contratos também devem incluir cláusulas de confidencialidade e proteção de dados, quando aplicável.

a) Estabeleça requisitos contratuais claros para garantir a proteção adequada dos dados pessoais compartilhados com os fornecedores.
b) Estabeleça acordos de processamento de dados com os fornecedores, delineando as responsabilidades, obrigações e instruções claras sobre o processamento de dados pessoais.
c) Inclua cláusulas contratuais que exijam que os fornecedores adotem medidas de segurança adequadas e notifiquem prontamente sobre qualquer violação de dados.
d) Limite o acesso aos dados pessoais apenas aos funcionários do terceiro, fornecedor e parceiros de negócio que precisam acessá-los para cumprir suas obrigações contratuais.
e) Estabeleça requisitos claros para a retenção de dados pessoais pelos terceiros, fornecedores e parceiros de negócio, garantindo que eles não os mantenham além do necessário.

6. Monitoria e Auditoria

A RD Station deve monitorar regularmente o desempenho dos terceiros, fornecedores e parceiros de negócio, por meio de auditorias internas e/ou externas. Essas auditorias devem garantir a conformidade com os requisitos estabelecidos, identificar oportunidades de melhoria e avaliar a eficácia das medidas de controle implementadas. As monitorias e auditorias devem ser feitas anualmente para novas contratações e renovações.

a) Realize avaliações de segurança da informação para garantir que os fornecedores estejam adotando as melhores práticas e protegendo adequadamente as informações confidenciais da RD Station.
b) Realize auditorias periódicas para avaliar o cumprimento dos requisitos de privacidade, incluindo a conformidade com as normas e frameworks de privacidade e outras regulamentações aplicáveis.
c) Verifique se os fornecedores possuem políticas, procedimentos e controles eficazes para proteger os dados pessoais e cumprir com as obrigações de privacidade.
d) Em casos de contratações que houveram bloqueios por falta de atendimento de requisitos mínimos, o monitoramento e auditoria deverá no prazo de um ano garantir que a adequação seja realizada.

7. Gestão de Riscos

A RD Station deve identificar e avaliar os riscos associados aos terceiros, fornecedores e parceiros de negócio, levando em consideração os requisitos de qualidade, segurança da informação e demais riscos relevantes para a RD Station. Com base nessa avaliação, devem ser implementadas medidas adequadas para mitigar e controlar esses riscos.

a) Identifique os riscos associados aos fornecedores e implemente medidas adequadas para mitigar esses riscos. Isso pode incluir a realização de auditorias de segurança, revisões de continuidade de negócios e avaliação da robustez dos sistemas de TI dos fornecedores.
b) Estabeleça um plano de contingência para lidar com possíveis falhas ou interrupções na cadeia de suprimentos, garantindo a continuidade das operações.
c) Realize uma avaliação de riscos de privacidade dos fornecedores, identificando os riscos associados ao processamento de dados pessoais e implementando medidas apropriadas para mitigá-los.
d) Verifique se os fornecedores têm controles adequados para proteger os dados pessoais, incluindo medidas técnicas e organizacionais.

8. Treinamento e Conscientização

A RD Station deve fornecer treinamento e conscientização aos funcionários envolvidos na gestão de terceiros, fornecedores e parceiros de negócio, abordando os requisitos de qualidade, segurança da informação e privacidade, e a importância do cumprimento dos controles estabelecidos.

9. Melhoria Contínua

A RD Station deve buscar continuamente a melhoria da gestão de terceiros, fornecedores e parceiros de negócio, por meio da análise de desempenho, monitoramento de resultados, revisão periódica desta política e implementação de ações corretivas e preventivas quando necessário.

Implemente um processo estruturado para lidar com não conformidades e reclamações relacionadas a fornecedores, incluindo investigação, ações corretivas e acompanhamento.
Promova a cultura da melhoria contínua, incentivando fornecedores a buscar a excelência e aperfeiçoar seus processos e produtos.

10. Responsabilidade e Autoridade

Alta Direção:

Cabe à alta direção da RD Station garantir a implementação efetiva desta política, fornecendo os recursos necessários, delegando responsabilidades e autoridades adequadas e promovendo a cultura de qualidade, segurança da informação e privacidade, e conformidade com os requisitos aplicáveis.

Time de Governança em Segurança da Informação e Privacidade:

O time de Governança de Segurança da Informação e Privacidade é responsável por conduzir avaliações abrangentes dos fornecedores, levando em consideração aspectos de segurança da informação, privacidade, conformidade com leis aplicáveis e normas internacionais. Além da avaliação inicial, este time deve monitorar continuamente o desempenho dos fornecedores relacionados aos temas acima, garantindo que eles cumpram os requisitos estabelecidos nos contratos e políticas aplicáveis. Com base nas avaliações, o Time de Governança em Segurança da Informação e Privacidade deve recomendar ou não ao Comitê de Segurança da Informação e Privacidade a seleção, retenção ou rescisão de fornecedores, sempre priorizando segurança da informação, privacidade e conformidade com leis aplicáveis e normas internacionais.

RDoers:

Todos os RDoers devem colaborar com o time de governança e compartilhar informações relevantes sobre o desempenho dos fornecedores, incidentes de segurança ou qualquer outra questão relevante. Os RDoers também devem utilizar os recursos dos fornecedores de maneira responsável, garantindo que estejam em conformidade com as políticas e regulamentações estabelecidas. Os RDoers que são gestores de contratos devem se atentar aos prazos de aquisição e renovação de fornecedores para que as avaliações de seleção ou renovação aconteçam em tempo hábil sem gerar impacto nos demais processos.

Comitê de Segurança da Informação e Privacidade:

O Comitê de Segurança da Informação e Privacidade deve assegurar que os fornecedores estejam aderindo às políticas de segurança da informação da organização, garantindo a proteção dos dados e sistemas. Deve colaborar com o Time de Governança em Segurança da Informação e Privacidade na análise de riscos relacionados à segurança da informação e privacidade associados aos fornecedores e propor medidas mitigatórias. O comitê também tem responsabilidade por deliberar sobre a recomendação ou não sobre a seleção, retenção ou rescisão de fornecedores, além de promover a conscientização sobre segurança da informação e privacidade entre os RDoers em relação aos fornecedores e as melhores práticas de segurança da informação e privacidade.

11. Comunicação e Transparência

A comunicação e transparência desempenham um papel crucial na gestão de terceiros, fornecedores e parceiros de negócio, garantindo um relacionamento colaborativo, eficaz e de confiança.

a) Mantenha uma comunicação clara e aberta com os fornecedores, estabelecendo canais de comunicação eficazes para resolver problemas, compartilhar informações relevantes e promover a colaboração.
b) Estabeleça cláusulas contratuais que exijam transparência dos fornecedores em relação às práticas de qualidade, conformidade, segurança da informação e privacidade.
c) Estabeleça um plano de resposta a incidentes de privacidade em colaboração com os terceiros, fornecedores e parceiros de negócio, definindo papéis, responsabilidades e procedimentos para lidar com violações de dados pessoais.
d) Exija que os terceiros, fornecedores e parceiros de negócio notifiquem prontamente sobre qualquer violação de dados pessoais e colaborem na investigação e resolução desses incidentes.

12. Revisão e Atualização

Esta política deve ser revisada e atualizada anualmente para garantir sua eficácia contínua, ou conforme necessário, para atender às mudanças nas leis, regulamentações e requisitos internos.