1. A CONSIDERAÇÕES PRÉVIAS
Esta norma se aplica a consultores, prestadores de serviços contratados em regime de permanência e parceiros da ROX PARTNER. Estes declaram que entendem e têm conhecimento integral da Política de Segurança da Informação da Rox Partner, disponível neste link e deste documento.
2. DIRETRIZES
Os fornecedores de produtos e serviços deverão ser classificados de acordo com o nível de criticidade que possuem para a Rox Partner e com o nível de risco decorrente da prestação do serviço em análise. Esta classificação será realizada pelo Comitê Gestor da Segurança da Informação e usará a seguinte tabela para determinar o nível de criticidade e risco do fornecedor:
| Classificação | Criticidade | Risco |
| BAIXO/(A) | O serviço prestado tem baixo nível de relevância para as operações rotineiras. | O serviço prestado traz baixo nível de risco à Segurança da Informação. |
| MÉDIO/(A) | O serviço prestado tem certa relevância para as operações rotineiras. | O serviço prestado traz nível médio de risco a Segurança da Informação. |
| ALTO/(A) | O serviço prestado tem grande relevância para as operações rotineiras, podendo causar impacto financeiro em sua indisponibilidade | O serviço prestado traz nível alto de risco a Segurança da Informação. |
Quanto maior for o nível de criticidade de um fornecedor, maior poderá ser a garantia de disponibilidade e das medidas de continuidade do serviço, assim como quanto maior for o nível de risco de um fornecedor, maior poderá ser a quantidade de controles de Segurança da Informação a serem requisitados.
Fornecedores que possuírem nível de risco baixo poderão ser aceitos sem que seja necessário estabelecer controles adicionais de Segurança da Informação. No caso de fornecedores de média ou alta criticidade ou risco, deverá haver auditoria de segurança da informação adicional conforme disposto no item ‘3’ desta política.
3. AQUISIÇÃO DO NOVO SERVIÇO
Deve ser utilizado o Questionário de Segurança da Informação para Fornecedores, disponível neste link para compreender, identificar e documentar quais serão as informações ou ativos de informação ao qual o fornecedor de média ou alta criticidade e/ou risco terá acesso e qual o nível de aderência do fornecedor às melhores práticas de Segurança da Informação e Proteção e Privacidade de Dados. Este questionário será avaliado pelo CGSI para identificar quais riscos de segurança da informação são aplicáveis ao fornecedor.
Fica a critério do CGSI a análise e avaliação das informações submetidas no questionário a seleção dos controles de segurança da informação aplicáveis a este fornecedor.
Caso o nível de risco do fornecedor seja considerado alto, poderão ser estabelecidos controles de segurança da informação adicionais para controle dos riscos identificados.
Poderá ser documentado no contrato de prestação de serviço o comprometimento do fornecedor em atender aos controles e requisitos de Segurança da Informação identificados como necessários para a consumação deste relacionamento.
A contratação do fornecedor somente será aprovada caso este atenda aos requisitos de Segurança da Informação identificados como necessários para a redução dos riscos identificados no relacionamento ou caso:
- A Direção da Rox Partner seja informada sobre o não atendimento de requisitos de segurança, mas entenda que a contração é essencial ao negócio, caso no qual deverá ser assinado Termo de Responsabilidade para Fornecedores não Conformes, formalizando a exceção aberta.
- O fornecedor disponha publicamente de documentação atestando sua conformidade às melhores práticas e normas reconhecidas pelo mercado (p. ex. ISO, SoC, LGPD etc.).
- O fornecedor atenda a um número mínimo de controles estabelecidos pela Rox Partner.
- O fornecedor se comprometa com um cronograma de implementação dos controles de segurança da informação, passível de monitoramento recorrente pela Rox Partner.
4. MUDANÇA DE SERVIÇO
Considerando que falta de comunicação entre as partes pode causar problemas relevantes às operações de ambas as partes, caso ocorra mudança do escopo dos serviços as seguintes ações deverão ser tomadas:
Em caso de mudança do escopo dos serviços fornecidos pelo contratado:
Mediante a mudança no escopo da prestação do serviço, o fornecedor deve comunicar previamente à Rox Partner para que seja avaliado junto ao este se houveram mudanças nos riscos de Segurança da Informação.
Caso novos riscos de Segurança da Informação surjam devido a mudança no serviço, a Rox Partner poderá exigir a implementação de novos controles de Segurança da Informação capazes de reduzir o nível do risco.
O fornecedor deverá se comprometer com um cronograma de implementação dos controles de Segurança da Informação que possam não atender após a avaliação. Este cronograma será passível de monitoramento recorrente pela Rox Partner, sob risco de aplicação das sanções previstas na cláusula “8” desta política.
Em caso de mudança do escopo dos serviços tomados pela Rox Partner:
A Rox Partner se compromete a informar ao contratado sobre quaisquer mudanças planejadas em nossos processos e/ou serviços que possam ter um impacto direto na prestação de serviços por parte do fornecedor. Essa comunicação será realizada de forma escrita e antecipada, permitindo ao fornecedor avaliar os possíveis impactos e tomar medidas adequadas para garantir a continuidade dos serviços. Esta avaliação deverá ser enviada por escrito à Rox Partner e será evidência do acordo sobre os novos termos de serviço entre as partes. Caso a avaliação do fornecedor sobre as mudanças ocorridas na Rox Partner seja desfavorável à continuação da prestação de serviços o tema será levado à avaliação da Comitê Gestor de Segurança da Informação e da Diretoria da Rox Partner para decisão final.
5. MONITORAMENTO DE ATENDIMENTO AOS CONTROLES
A Rox Partner manterá monitoramento para garantir que os controles de Segurança da Informação aplicáveis a todos os fornecedores estão sendo atendidos. Este monitoramento dar-se-á ao menos anualmente em reunião do Comitê Gestor da Segurança da Informação ou em caso de mudança significativa no escopo da prestação de serviços e deverá ser submetida à apreciação da Direção da Rox Partner.
Nos casos em que o fornecedor apresentar cronograma para implementação dos controles de Segurança da Informação, deve ser realizado acompanhamento para verificar se os prazos apresentados foram atendidos.
Fornecedor que for classificado com nível de risco alto, poderá passar por auditoria de validação dos controles de Segurança da Informação, a critério da Rox Partner.
6. DO TÉRMINO NA PRESTAÇÃO DOS SERVIÇOS
No término ou rescisão do presente contrato, o fornecedor compromete-se a eliminar ou, a critério da contratante, devolver imediatamente quaisquer dados, informações ou materiais pertencentes à contratante ou relacionados às atividades executadas no âmbito dos serviços prestados. A eliminação deverá ser realizada de forma segura e irreversível, garantindo que os dados não sejam recuperáveis. A contratante reserva o direito de solicitar evidências documentadas da eliminação ou devolução dos dados. A não conformidade com esta cláusula poderá resultar em medidas legais e compensatórias conforme permitido pela legislação aplicável. Poderão constituir exceção a esta cláusula os casos em que for necessário que se cumpram requisitos regulatórios para justificar a manutenção das informações.
7. DA SUBCONTRATAÇÃO OU TERCEIRIZAÇÃO
O fornecedor reconhece e concorda que não poderá subcontratar ou terceirizar a prestação de serviços definidos no contrato sem o prévio consentimento por escrito da Rox Partner. Caso haja aprovação para terceirização, o Fornecedor assume total responsabilidade pela seleção, conduta e desempenho de subcontratados. A Rox Partner reserva o direito de aprovar ou rejeitar propostas de terceirização. A violação desta cláusula poderá incorrer na aplicação das sanções previstas na cláusula “8” desta política.
8. PUNIÇÕES E SANÇÕES
O fornecedor que não atender aos controles de Segurança da Informação após concretização da contratação, estará passível a:
- Rescisão do contrato de serviço, sem prejuízo para a Rox Partner.
- Multa, em caso de alterações sem a prévia comunicação ou que exceder o prazo de implementação dos controles de Segurança da Informação sem apropriada justificação.
- O Fornecedor que ocultar ou não prestar esclarecimentos sobre incidentes de Segurança da Informação estará passível a rescisão imediata de contrato e ressarcimento de danos.
9. DOS PRESTADORES DE SERVIÇOS EM NUVEM
Os prestadores de serviço, ou provedores, de serviços em nuvem estarão sujeitos a análises direcionadas especificamente ao seu tipo de negócio, em virtude da criticidade dos serviços prestados, sendo avaliados pelos mesmos critérios expostos neste documento, mas em rotinas específicas.
10. GESTÃO DA POLÍTICA
Este documento é parte integrante da Política de Segurança da Informação da empresa ROX PARTNER.
Esta política e suas normas serão revistas, adequadas e atualizadas anualmente pelos membros do Comitê Gestor de Segurança da Informação.
O botão abaixo faz o download da planilha de avaliação de fornecedores. Ela é obrigatória para qualquer novo fornecedor de acordo com a Política de Segurança da Informação vigente na Rox Partner e com seu Sistema de Gestão da Segurança da Informação e será utilizada para determinar seu nível de compliance com nossas políticas. Caso você esteja em processo de cotação ou contratação pela Rox Partner, pedimos que a preencha e envie para seu contato ou para cgsi@roxpartner.com.
Em caso de dúvidas ou solicitações relacionadas à proteção de seus dados pessoais, entre em contato com nosso DPO Wanderley Brandão por meio do email: dpo@roxpartner.com.
Faça download da Planilha Questionário de segurança da informação para fornecedores pelo botão abaixo