Política de Segurança para Fornecedores 

 

  1. OBJETIVO 

 

Definir regras de segurança da informação para terceiros, parceiros e fornecedores que manipulam, hospedam ou possuem relação com os ativos de informação da Multisoftware 

Este documento também contempla conscientizar os fornecedores sobre o correto uso dos recursos da Multisoftware e sua responsabilidade e ações disciplinares relacionadas sobre suas ações. 

  

  1. ABRANGÊNCIA 

 

Esta Política aplica-se a todos os terceiros, parceiros e fornecedores da Multisoftware. 

 

  1. DIRETRIZES 

 

Esta Política deve ser parte integrante do contrato de prestação de serviço de todos os fornecedores da Multisoftware. No ato da assinatura do contrato de prestação de serviço, o fornecedor assume total conhecimento e concordância com as diretrizes expostas neste documento. Ademais, o fornecedor deve estar sempre atualizado em relação às melhores práticas de Segurança da Informação. 

 

  1. Geral 

Todos os terceiros, parceiros e fornecedores devem seguir regras de segurança da Multisoftware e estarem em conformidade com as Políticas, normas internas e melhores práticas adotadas, visando garantir a segurança da informação nas relações estabelecidas, promovendo transparência, confiabilidade e conformidade com as normas vigentes. 

 

  1. Acordos de confidencialidade e procedimentos de rescisão  

Os acordos de confidencialidade (NDAs – Non Disclosure Agreements) devem existir entre as partes para noticiar, gerar e regular um compromisso formal de que as informações da Multisoftware são confidenciais e deverão ser protegidas contra vazamentos. Referidos acordos deverão obrigar o fornecedor a manter as informações recebidas em sigilo, obrigando-o a fazer com que seus funcionários e subcontratados tenham conhecimento dos termos do acordo de confidencialidade e também estejam obrigados a cumpri-los.  

 

  •  Funcionários terceirizados deverão ter ciência da Política de Segurança da Informação como parte dos termos de seu contrato de trabalho ou eventualmente sob forma de adendos no contrato; 

 

Quando houver procedimentos de rescisão, por qualquer motivo de contrato de trabalho, deve-se informar o fato em tempo hábil à área de Tecnologia da Informação, de forma que sejam revogadas suas permissões para acesso aos recursos tecnológicos e físicos. Mais especificamente: 

  • Contas pessoais ou da empresa terceirizada devem ser bloqueadas, para posteriores procedimentos de remoção ou outra destinação dos recursos;  
  • O acesso físico aos ativos deve ser imediatamente interrompido;  
  • Senhas de acesso ou quaisquer outros recursos de identificação/autenticação a recursos da rede e aos sistemas de informação devem ser bloqueados/revogados. Isso inclui crachás ou outros meios de acesso físico;  
  • Quaisquer outros esquemas de autenticação, como certificados digitais e tokens de hardware, devem ser devolvidos e/ou revogados/expirados; 

 

  1. Contrato e acompanhamento de fornecedores 
  • O contrato é elaborado pela área jurídica com o apoio técnico da área contratante; 
  • O acompanhamento do contrato dos fornecedores deve ser realizado diretamente pela área contratante como, por exemplo: infraestrutura, recursos humanos etc; 
  • Quaisquer problemas que possam ocorrer nas entregas, a área jurídica deve ser acionado pela área contratante para que possa executar as cláusulas do contrato; 
  • A Multisoftware tem o direito de fazer uma auditoria de boas práticas de Segurança da Informação do fornecedor; 
  • O fornecedor deverá estar ciente das políticas da Multisoftware quando da contratação, e seguir todas as políticas e procedimentos enquanto prestar serviços para a Multisoftware, conforme definido no contrato. 

 

  1. Propriedade intelectual 
  • O fornecedor é responsável por garantir a conformidade legal de todo e qualquer sistema ou conteúdo utilizado durante a realização do seu serviço; 
  • O fornecedor é responsável pelos direitos autoriais dos softwares utilizados por ele para a execução do seu serviço e que não sejam cedidos pela Multisoftware; 
  • Todos os projetos desenvolvidos por fornecedores/prestadores de serviços em razão do instrumento contratual celebrado com a Companhia serão de propriedade e exclusividade da Multisoftware. 

 

  1. Do Sigilo e Confidencialidade 

Todos os termos dos contratos firmados com a Multisoftware são confidenciais. Portanto, os fornecedores/prestadores de serviços devem manter do Sigilo e Confidencialidade pelo prazo definido no contrato após o encerramento do respectivo. 

 

  1. Da Anticorrupção 

Os fornecedores/prestadores de serviços que firmarem contratos com a Multisoftware também devem se comprometer a agir em conformidade com a legislação anticorrupção em vigor. 

 

  1. Manuseio das informações 
  • O fornecedor se compromete a apenas manipular as informações que tenham relação direta com o seu serviço e após consentimento e autorização formal do proprietário da informação; 
  • O fornecedor se compromete com a total confidencialidade, integridade e disponibilidade das informações da Multisoftware que lhe forem concedidas, conforme cláusulas contratuais; 
  • O fornecedor se compromete a não transmitir e/ou compartilhar informações por canais de comunicação não validados pela Multisoftware, que possam ocasionar vazamento destas informações. 

 

  1. Autorização e registro 

As permissões e autorizações concedidas a fornecedores deve ser mediante a abertura  

de chamados no sistema eletrônico. A solicitação deve partir do responsável pelo fornecedor 

ou atividade, e o tratamento é feito pelo Departamento de Suporte TI. 

 

  1. Colaboradores do fornecedor 

Todos os colaboradores do fornecedor que prestam serviços a Multisoftware assumem total conhecimento e concordância com as políticas de segurança da informação da Multisoftware aplicáveis ao fornecedor. 

 

  1. Da Lei Geral De Proteção De Dados “LGPD” 

Os fornecedores/prestadores de serviços que firmarem contratos com a Multisoftware devem se comprometer ao cumprimento e tratamento dos dados pessoais envolvidos na forma da legislação específica. 

 

  1. GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA CADEIA DE FORNECIMENTO DE TI 

 

Os acordos com fornecedores da Multisoftware devem esclarecer sobre as práticas e os requisitos para contemplar os riscos de segurança da informação associados à cadeia de suprimento da tecnologia da comunicação e informação, buscando conscientizar os fornecedores em relação ao assunto e a quaisquer questões que possam impactar de forma relevante os produtos e serviços fornecidos à Multisoftware. 

 

  1. Acesso à internet 
  • O acesso à internet realizado pelo fornecedor em qualquer uma das redes disponibilizadas pela Multisoftware, somente poderá ocorrer após autorização formal da Gerência e liberado pelo Departamento de Suporte TI; 
  • O Departamento de Suporte TI salvaguarda o direito de monitorar o acesso à internet do fornecedor a fim de garantir o uso adequado;  
  • O Departamento de Suporte TI salvaguarda o direito de bloquear os sites que considerar inadequados para a empresa, sem prévio aviso;  
  • O acesso à internet realizado pelo fornecedor deverá ter como único objetivo o cumprimento de seus serviços e de interesses Multisoftware. 

 

  1. E-mails 
  • A Multisoftware reserva-se o direito de monitorar os e-mails enviados e recebidos pelo fornecedor, quando este utilizar a plataforma de gerenciamento de e-mails fornecida pela Multisoftware 
  • O fornecedor assume que todos os e-mails enviados durante a execução de serviço, utilizando conta fornecida pela Multisoftware são e-mails corporativos, e podem ser monitorados;  
  • Nas dependências da Multisoftware, o fornecedor deve ler e enviar e-mails apenas relacionados com seu trabalho;  
  • A qualquer tempo e de qualquer local, o fornecedor não deve encaminhar e-mails para colaboradores da Multisoftware ou terceiros, cujo conteúdo não tenha relação com o trabalho. 

 

  1. Uso de senhas 
  • O fornecedor não deve solicitar, aceitar ou utilizar senha de acesso dos colaboradores da Multisoftware em nenhum caso;  
  • Toda senha utilizada pelo fornecedor deve ter sido criada especificamente para este fim atribuído ao fornecedor;  
  • O Departamento de Suporte TI da Multisoftware é responsável por realizar a inativação da senha do fornecedor. Caso o fornecedor identifique que a credencial ainda está ativa, após finalização de contrato, este deve solicitar obrigatoriamente a sua desativação; 
  • O fornecedor não deve compartilhar senhas utilizadas para acesso a sistemas e recursos da Multisoftware entre seus colaboradores, ou seja, cada credencial e senha deve identificar um único colaborador do fornecedor;  
  • O fornecedor é responsável pela segurança das senhas que lhe são entregues e deve comunicar imediatamente o Departamento de Suporte TI da Multisoftware a sua perda ou vazamento. 

 

  1. Incidentes e medidas disciplinares 

Qualquer violação das diretrizes constantes nesta política constitui-se em incidentes de segurança da informação, e será devidamente registrado e analisado pelo Departamento de Suporte TI da Multisoftware. Após análise, serão deliberadas medidas disciplinares ao fornecedor, que podem incluir:  

  • Advertência formal ou informal;  
  • Cancelamento do contrato de prestação de serviço; 
  • Multas previstas em contrato;  

Ações judiciais ou abertura de boletim de ocorrência. 

 

  1. SEGURANÇA DA INFORMAÇÃO PARA USO DE SERVIÇOS EM NUVEM 

 

O fornecedor de serviços de armazenamento em nuvem deve, no mínimo: 

 

  • Realizar criptografia para o tráfego da nuvem e para o armazenamento; 
  • Atender à legislação de proteção de dados (LGPD); 
  • Possuir uma política de segurança no processamento de dados; 
  • Fornecer proteção aos direitos de Propriedade Intelectual relacionados aos dados hospedados em seus servidores; 
  • Disponibilizar alertas e relatórios de eventos; 
  • Estabelecer uma política de resposta a incidentes; 
  • Garantir que auditorias de segurança externas são realizadas regularmente; 
  • Possuir metodologia de gestão de riscos, elaborada em conformidade com as melhores práticas e com a legislação, bem como realizar o gerenciamento de riscos; 
  • Utilizar firewalls especializados na proteção de sistemas e aplicações; 
  • Utilizar melhores práticas de segurança de sistemas operacionais e de aplicações; 
  • Realizar periodicamente testes de penetração de redes e de aplicações; 
  • Possuir um programa de correção de vulnerabilidades; 

 

Apresentar certificações de segurança (como ISOs 27001, 27701, 27017, 27018). 

 

  1. GERENCIAMENTO DE MUDANÇAS PARA SERVIÇOS COM FORNECEDORES 

 

As mudanças relacionadas a infraestrutura, serviços, manutenção e melhorias do fornecedor, devem ser comunicadas à Multisoftware 

O fornecedor também é responsável por comunicar imediatamente a Multisoftware, o desligamento ou mudança de seus colaboradores, quando estes estejam prestando algum serviço interno (acesso físico) ou possuam credenciais de acesso aos sistemas da Multisoftware 

Deste modo, será avaliado se essas diretrizes podem ou não ferir ou prejudicar processos internos e os objetivos de segurança da informação da Multisoftware. 

 

  1. PAPÉIS E RESPONSABILIDADES 

 

  1. Fornecedores e parceiros 
  • Garantir a conformidade legal de todo e qualquer sistema ou conteúdo utilizado durante a realização de seu serviço; 
  • Ser responsável pela propriedade intelectual do conteúdo dos equipamentos que trouxer para dentro das dependências da Multisoftware; 
  • Garantir que os softwares instalados não ferem qualquer tipo de lei de direitos autorais; 
  • Estar em conformidade com esta e outras normas relevantes;  
  • Aderir formalmente às políticas indicadas pela Multisoftware 
  • Aceitar formalmente os acordos estipulados pela Multisoftware 
  • Permitir a avaliação do ambiente e recursos tecnológicos pela área de segurança da Multisoftware ou empresa terceira contratada;  
  • Respeitar e proteger a confidencialidade das informações da Multisoftware 
  • Reportar à Área de TI quaisquer incidentes ou não conformidade que ocorram em ambientes que hospedem dados e informações pertencentes a Multisoftware. 

 

  1. Área de Tecnologia da Informação (TI): 
  • Quando necessário, realizar avaliações de segurança nos ambientes dos fornecedores e parceiros críticos, através de terceiros ou da própria equipe, a fim de garantir a conformidade com os requisitos solicitados pela Multisoftware; 
  • Sempre que necessário, informar aos fornecedores e parceiros sobre os resultados da avaliação realizada e solicitar adequações quando necessárias;  
  • Realizar a intervalos regulares, o monitoramento, a análise e a auditoria de fornecedores críticos, a fim de verificar a pertinência do serviço e atendimento.  

 

 

  1. MONITORAMENTO E ANÁLISE CRÍTICA DE SERVIÇOS 

 

A organização monitora, analisa criticamente e audita a intervalos regulares, a entrega dos serviços executados pelos fornecedores.  

Os fornecedores são avaliados pelos setores responsáveis (contratantes) e o registro fica evidenciado através do FOR.17 – AVALIAÇÃO DE FORNECEDORES  

A periodicidade das reavaliações dos fornecedores, deve ocorrer semestralmente, utilizando os resultados fornecidos através do FOR.17 – AVALIAÇÃO DE FORNECEDORES 

Caso um fornecedor contratado diretamente com a Multisoftware, apresente deficiências relevantes dentro do período de reavaliação (exemplo: avaliação média abaixo de 3), este poderá ser descredenciado e substituído conforme entendimento. 

Porém, se o fornecedor avaliado negativamente tiver contrato assinado diretamente com a nstech (holding), o caso deverá ser discutido com o setor correspondente de ambas as empresas para tomada de decisão 

 

 

  1. VIGÊNCIA CONTRATUAL 

 

Salvo condições mais benéficas, todos os contratos e negócios firmados com fornecedores/prestadores de serviços devem observar o prazo de vigência contratual de 12 (doze meses). Aos contratos com prazo determinado que não forem renovados por meio de aditivo contratual, entende-se que serão renovados automaticamente por força da jurisprudência vigente sobre o tema.

POL.12 – Política de Segurança para Fornecedores – Versão 01