Política de Desenvolvimento Externalizado - PME

Esta Política de Desenvolvimento Externalizado (número de documento P28S) foi concebida especificamente para pequenas e médias empresas (PME), fornecendo um quadro pragmático para desenvolvimento de software externalizado seguro, em conformidade e bem gerido. Está totalmente alinhada com a ISO/IEC 27001:2022, garantindo que mesmo organizações sem equipas dedicadas de TI ou segurança conseguem aderir a melhores práticas internacionais e obrigações legais ao envolver desenvolvedores externos, freelancers ou agências terceiras. A política estabelece papéis e responsabilidades claros para o Diretor Executivo, que atua como autoridade principal para aprovação de fornecedores, supervisão contratual e ações de remediação, e para o Proprietário da Alteração, responsável pela coordenação diária, validação funcional e entrega segura. Ao enfatizar a necessidade de acordos contratuais aplicáveis, Acordo de Confidencialidade (NDA) e acordos documentados sobre propriedade de ativos e transferência de direitos, a política protege as organizações contra riscos como código inseguro, reutilização indevida de ativos proprietários, exposição de dados, dependência de fornecedor e incumprimento de regulamentos (incluindo GDPR, NIS2 e DORA). São definidos controlos de governação obrigatórios, exigindo que os contratos especifiquem obrigações de desenvolvimento seguro, avaliações de risco regulares pelo Diretor Executivo e gestão adequada de todas as credenciais e acessos ao sistema. As expectativas de segurança abrangem obrigações do desenvolvedor para utilizar técnicas de programação segura (referenciando normas como OWASP Top 10), documentação completa, seleção cuidadosa de bibliotecas e uma proibição estrita de manter acesso ou dados corporativos após o encerramento do projeto. Procedimentos abrangentes asseguram que cada projeto externalizado é precedido por devida diligência de fornecedores, validado através de testes funcionais e de segurança (preferencialmente por alguém que não o desenvolvedor) e concluído apenas após a entrega completa do código-fonte, instruções de build e transferência de todas as credenciais. A política é específica para PME, utilizando funções simplificadas como Diretor Executivo e Proprietário da Alteração em vez de posições tradicionais como CISO ou SOC. Isto significa que fornece instruções passo a passo executáveis por gestores de negócio ou de operações e inclui procedimentos de avaliação de riscos, acompanhamento de exceções e orientação de resposta a incidentes ajustada a organizações sem recursos técnicos extensos. Cada iniciativa deve ser suportada por acordos documentados e são obrigatórios rastos auditáveis, apoiando obrigações de reporte regulamentar e revisões internas. Devem ser realizadas revisões anuais e intercalares da política pelo Diretor Executivo, garantindo que os controlos se mantêm atuais face aos riscos para PME e à evolução das normas de conformidade. A Política de Desenvolvimento Externalizado faz parte de um conjunto de controlos orientados para PME, destinada a ser implementada em conjunto com políticas relacionadas, como papéis de governação, controlo de acesso, formação de sensibilização em segurança, proteção de dados, desenvolvimento seguro e resposta a incidentes, para gerir de forma holística os riscos de desenvolvimento externalizado, em conformidade com normas como ISO/IEC 27001:2022, ISO 27002:2022, GDPR e outras.