- Introdução
Esta Política de Segurança do Fornecedor estabelece os requisitos de segurança da informação que os fornecedores devem cumprir ao fornecer bens ou serviços à nossa organização. O objetivo é garantir a proteção adequada dos ativos de informação, mitigar riscos de segurança e garantir a conformidade com as leis, regulamentos e normas aplicáveis.
Segurança da informação são esforços contínuos, com os seguintes pilares:
- Confiabilidade: garantir o acesso a somente pessoas autorizadas;
- Integridade: proteger a informação contra alterações indevidas;
- Disponibilidade: criar formas de garantir a disponibilidade da informação para as pessoas autorizadas; Autenticidade: Propriedade que uma entidade é quem ela alegar ser;
- Autenticidade: Propriedade que uma entidade é quem ela alegar ser;
- Não repúdio: Capacidade de comprovar a ocorrência de um evento ou ação declarada e suas entidades originárias.
- Objetivos
O objetivo principal deste documento é definir as práticas e compromissos de todos os fornecedores que possuem relação com os ativos de informação da Deps Tecnologia, bem como conscientizar os fornecedores sobre o correto uso dos recursos disponibilizados.
Este documento também contempla a definição de responsabilidade sobre as ações de fornecedores e ações disciplinares relacionadas.
- Escopo
Esta política se aplica a todos os fornecedores e terceiros que tenham acesso a informações confidenciais, sistemas ou recursos de tecnologia da informação da Deps Tecnologia.
- Responsabilidades
- Deps Tecnologia
Avaliará a adequação dos controles de segurança dos fornecedores antes de estabelecer uma relação comercial.
Comunicará os requisitos de segurança da informação aos fornecedores e incluirá cláusulas contratuais específicas relacionadas à segurança, aliado a esta política que será anexa ao contrato do fornecedor.
Monitorará continuamente o desempenho dos fornecedores em relação aos requisitos de segurança da informação.
- Fornecedores
Os fornecedores são responsáveis pela implementação e manutenção dos controles de segurança apropriados para proteger as informações da Deps Tecnologia.
Cumprirão com todas as leis, regulamentos e normas aplicáveis à segurança da informação, adequando-se através de boas práticas de Segurança da Informação.
Notificarão prontamente a Deps Tecnologia sobre quaisquer incidentes de segurança ou violações de dados envolvendo as informações da nossa organização.
Encaminharão à Deps Tecnologia qualquer solicitação de Titular de Dados, antes providência como operador dos dados em nome da controladora Deps Tecnologia.
- Requisitos de Segurança do Fornecedor
- Avaliação de Segurança
Antes de estabelecer uma relação comercial, a Deps realizará uma avaliação de segurança para determinar a adequação do fornecedor em relação aos requisitos de segurança da informação.
A avaliação pode incluir revisão de políticas de segurança, avaliação de controles técnicos e físicos, revisão de processos de gestão de incidentes de segurança, entre outros.
- Integridade da Informação
Os fornecedores devem garantir a integridade das informações da nossa organização, evitando alterações não autorizadas ou não intencionais.
Devem implementar mecanismos de controle, como assinaturas digitais ou controle de versões, para proteger a integridade das informações.
- Confidencialidade da Informação
Os fornecedores devem proteger as informações da DEPS contra acesso não autorizado, uso indevido ou divulgação.
Devem implementar controles e gestão de acesso adequados, como autenticação e autorização, para garantir que apenas pessoas autorizadas tenham acesso às informações confidenciais.
A confidencialidade se manterá mesmo após encerramento do contrato ou projeto.
- Disponibilidade dos Serviços
Os fornecedores devem adotar medidas para garantir a disponibilidade contínua dos serviços fornecidos à Deps.
Devem implementar estratégias de backup e recuperação de desastres, além de ter planos de contingência para lidar com interrupções inesperadas dos serviços.
- Gestão de Incidentes de Segurança
Os fornecedores devem ter processos efetivos de gestão de incidentes de segurança para responder e resolver rapidamente quaisquer incidentes de segurança.
Devem notificar prontamente nossa organização sobre qualquer indício de incidente de segurança da informação.
- Propriedade Intelectual
O fornecedor é responsável por garantir a conformidade legal de todo e qualquer sistema ou conteúdo utilizado durante a realização de seu serviço;
O fornecedor é responsável pela propriedade intelectual do conteúdo dos equipamentos que trouxer para as dependências da Deps;
O fornecedor é responsável por garantir que os softwares por ele instalados não ferem qualquer tipo de lei de direitos autorais.
- Acesso à Internet no ambiente da DEPS
O acesso à internet realizado pelo fornecedor em qualquer uma das redes disponibilizadas pela Deps Tecnologia, somente poderá ocorrer após autorização formal e com acompanhamento de um colaborador da Deps responsável;
A Deps Tecnologia se reserva o direito de monitorar o acesso à Internet do fornecedor para garantir o uso adequado;
A Deps Tecnologia se reserva o direito de bloquear os sites que considerar inadequados para a empresa, sem prévio aviso;
O acesso à Internet realizado pelo fornecedor deverá ter como único objetivo o cumprimento da prestação de serviço para a Deps Tecnologia.
- Acesso aos Sistemas ou equipamentos da DEPS (Local ou remoto)
O fornecedor somente poderá acessar os sistemas ou equipamentos da Deps Tecnologia para suporte ou manutenção, quando aplicável ao escopo do serviço, e nesses casos o acesso só será permitido após a solicitação e comunicação formal;
Os acessos remotos de todos os fornecedores, quando aplicável ao escopo do serviço, devem ser realizados por meio seguro (VPN/ senhas controladas de acesso/ acesso controlado e monitorado/acessos privado ou particular).
- E-mails
A qualquer tempo e de qualquer local o fornecedor não deve encaminhar e-mails para colaboradores da Deps Tecnologia cujo conteúdo não tenha relação com o trabalho.
- Computação Móvel
O fornecedor se compromete inteiramente pela segurança dos dados de seus equipamentos nas dependências da Deps Tecnologia;
O fornecedor é responsável por garantir que os equipamentos ou mídias que utiliza estão com todos os softwares atualizados, legalizados, com antivírus e livres de qualquer tipo de software que possa prejudicar os ativos de sistemas da Deps Tecnologia.
- Manuseio e armazenamento Lógico das Informações
O fornecedor se compromete a tratar apenas as informações recebidas da Deps Tecnologia que tenham relação direta com seu serviço conforme descrito no contrato de prestação de serviço;
O fornecedor se compromete com a total confidencialidade, integridade e disponibilidade das informações da Deps que lhe forem concedidas;
A divulgação interna das informações da Deps dentro da empresa do fornecedor deve ser formalmente informada e alinhada entre as partes;
O fornecedor se compromete a não transmitir informações da Deps por canais de comunicação não seguros, tais como redes sociais e WhatsApp, que possam ocasionar vazamento destas informações;
O fornecedor se compromete com o descarte adequado e seguro das informações da Deps ao final do serviço ou quando elas não forem mais utilizadas (o que ocorrer primeiro);
A Deps se reserva no direito de realizar auditorias de segurança da informação, previamente comunicadas, em seus fornecedores.
O armazenamento de informações da Deps pelo fornecedor deve ser realizado de modo seguro, ou seja, com controle de acesso restrito do fornecedor e dos envolvidos com o serviço prestado dentro da Organização.
É proibido o armazenamento de dados de propriedade da Deps em mídias removíveis.
O fornecedor também se compromete com a garantia de que as informações da Deps não serão adulteradas durante o armazenamento de mídias sob sua responsabilidade.
- Uso de Senhas, aplicável a fornecedores de TI
O fornecedor não deve solicitar, aceitar ou utilizar senha de acesso dos colaboradores da Deps em nenhum caso.
Toda senha utilizada pelo fornecedor deve ter sido criada especificamente para as atividades relacionadas conforme definido e autorizado pela equipe de TI da Deps.
A Deps é responsável por realizar a inativação da senha do fornecedor. Caso o fornecedor identifique que a credencial ainda está ativa, após finalização de contrato ou projeto, este deve solicitar obrigatoriamente a sua desativação imediata.
O fornecedor é responsável pela segurança das senhas que lhe são entregues e deve comunicar imediatamente a Deps a sua perda ou vazamento.
- Colaboradores do Fornecedor
O fornecedor é responsável por comunicar imediatamente a Deps o desligamento de seus colaboradores, quando estes estejam prestando algum serviço ou possuam credenciais de acesso aos sistemas da DEPS.
O fornecedor deve comunicar imediatamente qualquer mudança na lista de seus colaboradores autorizados a prestar o serviço à DEPS e que tenham acesso às suas dependências.
Todos os colaboradores do fornecedor que prestam serviço à DEPS assumem total conhecimento e concordância com o conteúdo deste documento.
- Segurança Física
O fornecedor é responsável pela devolução à DEPS ou pelo descarte adequado das informações quando estas não forem mais necessárias ou ao final de seu serviço;
O fornecedor se compromete a acessar as dependências físicas da DEPS somente quando devidamente autorizado e acompanhado por um colaborador da DEPS;
O fornecedor só poderá acessar o ambiente físico da DEPS após aprovação da equipe de TI da DEPS e o mesmo deve ser acompanhado por um funcionário da Deps na realização da atividade.
Para a retirada de equipamentos da DEPS, por qualquer motivo, o fornecedor deverá preencher o Termo de Entrega e responsabilidade elaborado pela equipe de TI da DEPS.
- Incidentes e Medidas Disciplinares
Todos aqueles que tiverem acesso as tecnologias, processos e dados pessoais quando diante de incidente ou riscos, devem reportar imediatamente ao Comitê de Privacidade e Segurança da Informação da DEPS para os devidos tratamentos ou reportas ao incidente.
Qualquer violação das diretrizes constantes nesta política constitui incidentes de segurança da informação e será devidamente registrado e analisado pelo Comitê de Privacidade e Segurança da Informação da DEPS.
Após análise deste comitê, serão deliberadas medidas disciplinares ao fornecedor, que, respeitando a legislação vigente, podem incluir:
Advertência formal ou informal;
Cancelamento do contrato de prestação de serviço;
Ações judiciais ou abertura de boletim de ocorrência.
- Gestão e Validade do Documento
Este documento é válido a partir de: 19/06/2023.
Proprietário do documento: Responsável pela segurança da informação. Esta documentação deve ser revisada sempre que houver alterações relevantes ou pelo menos uma vez ao ano.
Cristoffer Medeiros – CEO