Política de Desenvolvimento Externalizado

A Política de Desenvolvimento Externalizado (P28) estabelece um quadro abrangente para gerir de forma segura projetos de desenvolvimento de software ou de sistemas executados por fornecedores externos, contratados ou agências. O seu objetivo principal é incorporar controlos de segurança e mecanismos de governação ao longo de todo o ciclo de vida de desenvolvimento, desde o planeamento e negociação contratual até à entrega, monitorização e atividades pós-envolvimento. Ao impor um conjunto claramente definido de obrigações de segurança — desde verificações de devida diligência e avaliação de riscos até normas de codificação impostas e requisitos contratuais — a política visa salvaguardar a confidencialidade, integridade e disponibilidade de todo o software desenvolvido para a organização. O âmbito da política estende-se a qualquer iniciativa da empresa que envolva desenvolvimento por terceiros, incluindo aplicações web e móveis, sistemas incorporados, interfaces de programação de aplicações, plataformas internas e comerciais e fluxos de trabalho de automatização. De forma relevante, também rege qualquer entidade externa que necessite de acesso ao código-fonte da organização, a ambientes de teste ou a pipelines de CI/CD. Os requisitos aplicam-se independentemente de onde ou como o fornecedor opera, garantindo que distinções geográficas ou contratuais não criam lacunas de segurança. Os objetivos da política assentam na minimização da exposição a ameaças da cadeia de abastecimento, incumprimento legal (por exemplo, GDPR ou DORA), roubo de propriedade intelectual e práticas de programação segura insuficientes que possam introduzir vulnerabilidades ou risco regulamentar. Para o efeito, atribui responsabilidades explícitas à alta direção, ao Diretor de Segurança da Informação (CISO), à Aquisição e ao Jurídico, a proprietários de aplicações e proprietários de processos, à Equipa de Segurança da Informação e a fornecedores externos. Central nesta abordagem está o Registo de Desenvolvimento de Terceiros, uma fonte única de verdade para todos os envolvimentos com fornecedores, constatações de devida diligência, registos de exceções às políticas e estados contratuais. Os requisitos de governação incluem devida diligência de fornecedores, avaliação de riscos de segurança e um conjunto de controlos contratuais mínimos, como adesão a quadros de programação segura, testes de segurança, especificações de propriedade de PI, execução de acordo de confidencialidade (NDA) e cláusulas de direito de auditoria. O código-fonte é gerido exclusivamente através de plataformas controladas pela empresa, com proteção de branches, avaliação pelos pares e protocolos rigorosos de desvinculação que previnem fuga de código ou reutilização não autorizada. Todo o acesso de terceiros é provisionado sob governação de acesso limitado no tempo e princípio do menor privilégio, monitorizado através de registos de auditoria e rapidamente revogado no encerramento do envolvimento. A integração de repositórios de fornecedores em ferramentas de segurança empresariais para análise de código, aplicação de políticas de CI/CD e gestão de desvios é exigida sempre que viável. Os pedidos de exceção são tratados através de um processo formal de tratamento de riscos e aprovação liderado pelo Diretor de Segurança da Informação (CISO), incluindo documentação da justificação, mitigação de riscos e prazos de remediação. A Equipa de Segurança da Informação realiza monitorização contínua e auditorias de segurança, com violações a resultarem em revogação imediata de acesso, suspensão do projeto, ação legal ou medidas disciplinares conforme apropriado. Esta política é revista pelo menos anualmente ou após alterações no panorama regulamentar, constatações de resposta a incidentes ou resultados de auditoria interna. Todas as alterações são controladas por versão, comunicadas e referenciadas na documentação procedimental. Através destes mecanismos e do seu mapeamento próximo a normas internacionais e mandatos legais, a Política de Desenvolvimento Externalizado assegura que a entrega de software por terceiros permanece segura e em conformidade, protegendo a organização dos riscos em evolução do desenvolvimento externalizado.