Política de Segurança de Fornecedores - PME

A P26S – Política de Segurança de Fornecedores é especificamente adaptada para PME, refletindo uma estrutura de governação em que funções dedicadas de TI, como Diretor de Segurança da Informação (CISO) ou Centro de Operações de Segurança (SOC), normalmente não existem. Em vez disso, a responsabilidade é centralizada no Diretor-Geral (DG), simplificando a responsabilização e mantendo uma forte conformidade com ISO/IEC 27001:2022 e outros quadros regulamentares essenciais. Esta conceção assegura uma supervisão de segurança robusta mesmo para organizações mais pequenas sem pessoal especializado. O principal objetivo da política é formalizar e aplicar medidas de segurança essenciais sempre que se contratem, gerem ou terminem relações com terceiros e fornecedores que interajam com, ou impactem, os dados, sistemas ou serviços da organização. Os fornecedores abrangidos vão desde prestadores de serviços de TI e de nuvem até desenvolvedores de software e consultores de RH ou finanças. Ao clarificar expectativas de segurança, documentar riscos de fornecedor antes de conceder acesso e exigir salvaguardas contratuais executáveis, a política minimiza os riscos de fugas de dados, modificações não aprovadas de sistemas, infrações regulamentares e interrupção do negócio. A política define explicitamente o seu âmbito para incluir tanto todos os terceiros com potencial acesso a ativos da organização como o pessoal interno envolvido na seleção, supervisão, integração, contratação ou revisão de fornecedores. Os papéis centralizados incluem o Diretor-Geral, o prestador de serviços de TI ou contacto interno de segurança e contactos de aquisição ou administrativos, assegurando responsabilização clara ao longo do ciclo de vida do fornecedor. O fornecedor é obrigado a concordar por escrito em cumprir as obrigações de segurança e a reportar incidentes. Os principais requisitos de governação abrangem revisões de risco de fornecedor antes da contratação, cláusulas de segurança obrigatórias em todos os contratos, a manutenção de um Registo de Fornecedores detalhado e procedimentos para monitorizar alterações de propriedade, âmbito do serviço ou subcontratação. Os passos de implementação exigem que nenhum fornecedor receba acesso antes da devida diligência e sem aprovação explícita, que apenas seja concedido o acesso mínimo a sistemas/dados e que toda a transmissão de dados seja devidamente cifrada. Os requisitos contínuos incluem auditoria e revisão periódicas, pelo menos anuais para fornecedores de alto risco, juntamente com procedimentos rigorosos para cessar contratos e revogar acessos. A política integra um processo estruturado para tratamento de riscos e exceções, assegurando que quaisquer lacunas são geridas com controlos compensatórios e que nenhuma exceção pode violar obrigações legais ou regulamentares (por exemplo, requisitos do RGPD ou DORA). A aplicação é descrita de forma clara, com sanções delineadas até e incluindo a cessação do contrato e ação judicial. A prontidão para conformidade está incorporada, exigindo documentação suficiente para passar auditorias ao abrigo de ISO 27001, RGPD e normas relacionadas. Por fim, o ciclo de revisão anual e a ligação com políticas de segurança da informação estreitamente relacionadas asseguram que a política se mantém atual, eficaz e integrada no quadro de segurança mais amplo.