11 — Relacionamento com Terceiros
Fonte: Governança/SIPD/Referências/11. relacionamento com terceiros.pdf
Capítulo PSI: Relacionamento com Terceiros (Cap. 11 — Art. 48–51)
Normativa operacional: NR.SI.003 - Acesso de Terceiros
← Segurança da Informação e Proteção de Dados
Antes da Contratação
| Etapa | Requisito |
|---|---|
| Due diligence | Verificar nível de SI do terceiro antes de qualquer compromisso |
| NDA | Obrigatório para negociações e prestações de serviço relevantes |
| Ciência da PSI | Obrigatória para todos os parceiros, fornecedores, franqueados e representantes |
Durante a Contratação
- Contratos devem incluir requisitos de SI para acesso, processamento e armazenamento de dados
- Fornecedores de TIC: acordos incluem tratamento de riscos associados
- Diretoria define critérios e períodos para monitoramento, revisão e auditoria dos serviços
Fornecedores como Operadores de Dados (LGPD)
- Análise prévia obrigatória de conformidade com LGPD (Art. 51 PSI)
- Diligências e questionários documentados junto ao SI
- Não será admitido fornecedor que recuse declarações de privacidade ou documentos de compliance
Acesso de Terceiros a Sistemas
Regras específicas em NR.SI.003 - Acesso de Terceiros, incluindo:
- Período mínimo/máximo de ativação de usuário
- Complexidade de senha para contas de terceiros
- Escopo restrito de acesso (não acesso geral à rede)
Responsabilidades do Terceiro
- Infração da PSI por terceiro = rescisão de contrato por culpa, independente de intenção
- Terceiro que toma ciência de vulnerabilidade deve reportar ao SI da Fortes Tecnologia (matriz)
- Danos por negligência, imprudência ou imperícia implicam reparação patrimonial
Ver também
- NR.SI.003 - Acesso de Terceiros
- 02 - Conformidade Legal — LGPD e operadores de dados
- 04 - Controle de Acesso
- PSI - Política de Segurança da Informação Art. 48–51