policy Enterprise

Política de Desenvolvimento Externalizado

Assegure desenvolvimento externalizado seguro e em conformidade, com controlos robustos, governação de fornecedores e práticas de SDLC para proteger o software da sua organização.

Visão geral

A Política de Desenvolvimento Externalizado define controlos obrigatórios de segurança, governação e conformidade para envolver desenvolvedores de software terceiros, assegurando programação segura, supervisão adequada de fornecedores e desenvolvimento externalizado gerido por risco em toda a organização.

Segurança de fornecedores de ponta a ponta

Impõe devida diligência de fornecedores, avaliação de riscos e programação segura para todos os parceiros de desenvolvimento de terceiros.

Conformidade contratual

Exige segurança juridicamente vinculativa, propriedade de PI e direitos de auditoria em todos os acordos de desenvolvimento.

Controlo de acesso abrangente

Define acesso remoto rigoroso, monitorização e desvinculação para desenvolvedores externos, para proteger código e sistemas.

Alinhado com as principais normas

Suporta conformidade com ISO/IEC 27001, NIST, GDPR, NIS2, DORA e COBIT 2019 para desenvolvimento de terceiros.

Ler visão geral completa
A Política de Desenvolvimento Externalizado (P28) estabelece um quadro abrangente para gerir de forma segura projetos de desenvolvimento de software ou de sistemas executados por fornecedores externos, contratados ou agências. O seu objetivo principal é incorporar controlos de segurança e mecanismos de governação ao longo de todo o ciclo de vida de desenvolvimento, desde o planeamento e negociação contratual até à entrega, monitorização e atividades pós-envolvimento. Ao impor um conjunto claramente definido de obrigações de segurança — desde verificações de devida diligência e avaliação de riscos até normas de codificação impostas e requisitos contratuais — a política visa salvaguardar a confidencialidade, integridade e disponibilidade de todo o software desenvolvido para a organização. O âmbito da política estende-se a qualquer iniciativa da empresa que envolva desenvolvimento por terceiros, incluindo aplicações web e móveis, sistemas incorporados, interfaces de programação de aplicações, plataformas internas e comerciais e fluxos de trabalho de automatização. De forma relevante, também rege qualquer entidade externa que necessite de acesso ao código-fonte da organização, a ambientes de teste ou a pipelines de CI/CD. Os requisitos aplicam-se independentemente de onde ou como o fornecedor opera, garantindo que distinções geográficas ou contratuais não criam lacunas de segurança. Os objetivos da política assentam na minimização da exposição a ameaças da cadeia de abastecimento, incumprimento legal (por exemplo, GDPR ou DORA), roubo de propriedade intelectual e práticas de programação segura insuficientes que possam introduzir vulnerabilidades ou risco regulamentar. Para o efeito, atribui responsabilidades explícitas à alta direção, ao Diretor de Segurança da Informação (CISO), à Aquisição e ao Jurídico, a proprietários de aplicações e proprietários de processos, à Equipa de Segurança da Informação e a fornecedores externos. Central nesta abordagem está o Registo de Desenvolvimento de Terceiros, uma fonte única de verdade para todos os envolvimentos com fornecedores, constatações de devida diligência, registos de exceções às políticas e estados contratuais. Os requisitos de governação incluem devida diligência de fornecedores, avaliação de riscos de segurança e um conjunto de controlos contratuais mínimos, como adesão a quadros de programação segura, testes de segurança, especificações de propriedade de PI, execução de acordo de confidencialidade (NDA) e cláusulas de direito de auditoria. O código-fonte é gerido exclusivamente através de plataformas controladas pela empresa, com proteção de branches, avaliação pelos pares e protocolos rigorosos de desvinculação que previnem fuga de código ou reutilização não autorizada. Todo o acesso de terceiros é provisionado sob governação de acesso limitado no tempo e princípio do menor privilégio, monitorizado através de registos de auditoria e rapidamente revogado no encerramento do envolvimento. A integração de repositórios de fornecedores em ferramentas de segurança empresariais para análise de código, aplicação de políticas de CI/CD e gestão de desvios é exigida sempre que viável. Os pedidos de exceção são tratados através de um processo formal de tratamento de riscos e aprovação liderado pelo Diretor de Segurança da Informação (CISO), incluindo documentação da justificação, mitigação de riscos e prazos de remediação. A Equipa de Segurança da Informação realiza monitorização contínua e auditorias de segurança, com violações a resultarem em revogação imediata de acesso, suspensão do projeto, ação legal ou medidas disciplinares conforme apropriado. Esta política é revista pelo menos anualmente ou após alterações no panorama regulamentar, constatações de resposta a incidentes ou resultados de auditoria interna. Todas as alterações são controladas por versão, comunicadas e referenciadas na documentação procedimental. Através destes mecanismos e do seu mapeamento próximo a normas internacionais e mandatos legais, a Política de Desenvolvimento Externalizado assegura que a entrega de software por terceiros permanece segura e em conformidade, protegendo a organização dos riscos em evolução do desenvolvimento externalizado.

Diagrama da Política

Diagrama da Política de Desenvolvimento Externalizado mostrando o ciclo de vida: devida diligência de fornecedores, controlos contratuais, desenvolvimento seguro, gestão de acessos, monitorização, desvinculação e etapas de tratamento de exceções.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e regras para desenvolvimento externalizado

Requisitos de risco de terceiros e devida diligência

Controlos contratuais obrigatórios

Obrigações de gestão de código-fonte

Processo de exceção e tratamento de riscos

Monitorização de conformidade e aplicação

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.218.27
NIST SP 800-53 Rev.5
SA-4SA-9SA-10
EU GDPR
2832
EU NIS2
21(2)(a)21(2)(h)23
EU DORA
28(1)28(2)
COBIT 2019
APO10BAI03DSS05

Políticas relacionadas

Política de Registo e Monitorização de Auditoria e Conformidade

Fornece requisitos para rever atividades de desenvolvimento externalizado durante auditorias ou revisões de conformidade.

P01 Política de Segurança da Informação

Estabelece princípios de segurança ao nível empresarial que se aplicam em contextos de desenvolvimento interno e de terceiros.

P05 Política de Gestão de Mudanças

Assegura que todas as alterações relacionadas com implementação provenientes de bases de código externalizadas são revistas e aprovadas antes da implementação.

Política de Classificação de dados e Rotulagem

Determina como dados regulamentados e dados sensíveis são identificados antes de serem expostos a fornecedores de desenvolvimento ou repositórios.

Política de Controlos criptográficos

Orienta como chaves, segredos e credenciais de autenticação sensíveis devem ser tratados durante o desenvolvimento e a entrega.

Política de Desenvolvimento seguro

Define requisitos de base para práticas de desenvolvimento de software internas e externas.

Política de Resposta a Incidentes (P30)

Rege como violações ou problemas de segurança envolvendo desenvolvimento externalizado são escalonados, investigados e resolvidos.

Sobre as Políticas Clarysec - Política de Desenvolvimento Externalizado

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escale com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e funções indefinidas. Esta política foi concebida para ser a espinha dorsal operacional do seu programa de segurança. Atribuímos responsabilidades às funções específicas encontradas numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), as Equipas de TI e de Segurança da Informação e os comités relevantes, assegurando responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, de auditar face a controlos específicos e de personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Registo centralizado de terceiros

Exige que todos os projetos de desenvolvimento externalizado sejam registados e acompanhados para auditoria, supervisão e conformidade.

Responsabilização definida baseada em funções

Especifica responsabilidades claras para gestão, Diretor de Segurança da Informação (CISO), aquisição e equipas de segurança em cada envolvimento.

Monitorização e ferramentas integradas

Impõe integração de ferramentas de segurança com código de fornecedores, com controlos automatizados de conformidade e escalonamento de alertas automáticos.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade Aquisição Gestão de fornecedores

🏷️ Cobertura temática

Desenvolvimento externalizado Ciclos de vida de desenvolvimento de sistemas Gestão de fornecedores Segurança de serviços de rede Gestão do ciclo de vida das políticas
€59

Compra única

Download instantâneo
Atualizações vitalícias
Outsourced Development Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7