Pular para o conteúdo principal

PRC-SI-007 — Due Diligence e Acesso de Terceiros

Gatilho: Contratação de fornecedor, parceiro ou prestador com acesso a dados ou sistemas Frequência: Por evento (nova contratação) + revisão anual de contratos vigentes

Índice - Processos SIPD

Objetivo

Garantir que nenhum terceiro acesse sistemas, dados ou infraestrutura da Fortes Sertão Central sem avaliação prévia de segurança, NDA firmado, cláusulas contratuais de SI e conta de acesso com escopo e prazo definidos.

Fluxo Completo

Questionário de Due Diligence

A aplicar antes de contratar qualquer fornecedor com acesso a dados ou sistemas:

#PerguntaSimNãoObs.
1Possui Política de Segurança da Informação documentada?
2Possui processo formal de controle de acesso para colaboradores?
3Dados em trânsito e repouso são protegidos por criptografia?
4Está em conformidade com a LGPD? Possui DPO?
5Há histórico de incidentes de segurança nos últimos 2 anos?
6Realiza treinamento de SI para colaboradores?
7Possui controles de backup e continuidade de negócio?
8Aceita assinar NDA e cláusulas de SI no contrato?

Regras para Contas de Acesso de Terceiros

ParâmetroRegra
PrazoDefinido no contrato (início e término)
EscopoRestrito — apenas sistemas/dados necessários para o serviço
SenhaPadrões mínimos conforme NR.SI.001
RevogaçãoImediata ao término do contrato ou da necessidade
AuditoriaAtividades do terceiro registradas em log

Encerramento de Contrato com Terceiro

Referências Normativas

ObrigaçãoFonte
Due diligence antes de qualquer contratação relevantePSI - Política de Segurança da Informação Art. 48
NDA obrigatório antes de troca de informaçãoPSI Art. 48
Ciência da PSI antes da contrataçãoPSI Art. 48
Contratos devem incluir requisitos de SIPSI Art. 49
Contas de terceiros com prazo e escopoNR.SI.003 - Acesso de Terceiros
Fornecedores devem demonstrar conformidade LGPDPSI Art. 51
Diligências documentadas junto ao SIPSI Art. 51

Ver também