Logotipo
Logotipo
Solicite uma proposta

Política de segurança para fornecedores

1. Objetivo

O objetivo principal deste documento é o de definir o comportamento de todos os fornecedores que possuem relação com os ativos de informação da BRK, bem como conscientizar os fornecedores sobre o correto uso dos recursos da organização.

Este documento também contempla a definição de responsabilidade sobre as ações de fornecedores e ações disciplinares relacionadas.

2. Divulgação e distribuição

A Política de Segurança da Informação para Fornecedores estabelece diretrizes que devem ser seguidas por todos os prestadores de serviço da BRK. Com foco na transparência e no alinhamento das responsabilidades, essa política está disponível em nosso site para consulta a qualquer momento pelos fornecedores.

3. Propriedade intelectual

  1. O fornecedor é responsável por garantir a conformidade legal de todo e qualquer sistema ou conteúdo utilizado durante a realização de seu serviço;
  2. O fornecedor é responsável pela propriedade intelectual do conteúdo dos equipamentos que trouxer para dentro das dependências da BRK;
  3. O fornecedor é responsável por garantir que os softwares por ele instalados não ferem qualquer tipo de lei de direitos autorais.

4. Acesso à internet

  1. O acesso à internet realizado pelo fornecedor em qualquer uma das redes disponibilizadas pela BRK, somente poderá ocorrer após autorização formal da Gerência BRK e liberado pelo Departamento de Suporte TI;
  2. O Departamento de Suporte TI BRK salvaguarda o direito de monitorar o acesso à internet do fornecedor a fim de garantir o uso adequado;
  3. O Departamento de Suporte TI BRK salvaguarda o direito de bloquear os sites que considerar inadequados para a empresa, sem prévio aviso;
  4. O acesso à internet realizado pelo fornecedor deverá ter como único objetivo o cumprimento de seus serviços e de interesses BRK.

5. Computação móvel

  1. A BRK reserva-se no direito de realizar auditoria nos equipamentos do fornecedor, antes de autorizar o uso dentro da instituição;
  2. O fornecedor se compromete inteiramente pela segurança dos dados de seus equipamentos dentro das dependências da BRK;
  3. O fornecedor é responsável por garantir que os equipamentos ou mídias que utiliza estão com todos os softwares atualizados, legalizados, com antivírus e livres de qualquer tipo de software que possa prejudicar a rede interna da BRK.

6. E-mails

  1. A BRK reserva-se o direito de monitorar os e-mails enviados e recebidos pelo fornecedor, quando este utilizar a plataforma de gerenciamento de e-mails fornecida pela BRK;
  2. O fornecedor assume que todos os e-mails enviados durante a execução de serviço, utilizando conta fornecida pela BRK, são e-mails corporativos e podem ser monitorados;
  3. Nas dependências da BRK o fornecedor deve ler e enviar e-mails apenas relacionados com seu trabalho;
  4. A qualquer tempo e de qualquer local o fornecedor não deve encaminhar e-mails para colaboradores da BRK ou terceiros cujo conteúdo não tenha relação com o trabalho;

7. Manuseio logico de informações

  1. O fornecedor se compromete a apenas receber informações da BRK que tenham relação direta com seu serviço e após consentimento e autorização formal do proprietário da informação;
  2. O fornecedor se compromete com a total confidencialidade, integridade e disponibilidade das informações da BRK que lhe forem concedidas;
  3. A divulgação interna das informações da BRK dentro da empresa do fornecedor deve ser formalmente informada e alinhada entre as partes;
  4. O fornecedor se compromete a não transmitir informações da BRK por canais de comunicação não seguros, que possam ocasionar vazamento destas informações;
  5. O fornecedor se compromete com o descarte adequado e seguro das informações da BRK ao final do serviço ou quando elas não forem mais utilizadas (o que ocorrer primeiro);
  6. A BRK se reserva no direito de realizar auditorias de segurança da informação em seus fornecedores, quando as informações fornecidas forem de classificação RESTRITA ou CONFIDENCIAL.

8. Acesso à rede interna (local ou remoto)

  1. O fornecedor somente poderá acessar a rede interna após autorização formal e mediante autenticação individual na rede da BRK;
  2. O acesso do fornecedor à rede interna poderá ser monitorado pelo Departamento de Suporte TI BRK quando este julgar necessário;
  3. A BRK se reserva no direito de liberar o acesso local ou remoto a sua rede interna, somente após a autorização formal e com o devido acompanhamento por um colaborador do Departamento de Suporte TI;
  4. Os acessos remotos de todos os fornecedores devem ser criados e autorizados pela equipe da Departamento de Suporte TI BRK.

9. Uso de senhas

  1. O fornecedor não deve solicitar, aceitar ou utilizar senha de acesso dos colaboradores da BRK em nenhum caso;
  2. Toda senha utilizada pelo fornecedor deve ter sido criada especificamente para este fim atribuído ao fornecedor;
  3. O Departamento de Suporte TI BRK é responsável por realizar a inativação da senha do fornecedor. Caso o fornecedor identifique que a credencial ainda está ativa, após finalização de contrato, este deve solicitar obrigatoriamente a sua desativação;
  4. O fornecedor não deve compartilhar senhas utilizadas para acesso a sistemas e recursos da BRK entre seus colaboradores, ou seja, cada credencial e senha deve identificar um único colaborador do fornecedor;
  5. O fornecedor é responsável pela segurança das senhas que lhe são entregues e deve comunicar imediatamente o Departamento de Suporte TI BRK a sua perda ou vazamento.

10. Colaboradores dos fornecedores

  1. O fornecedor deve garantir que seus colaboradores alocados para a realização de determinado serviço possuem a formação e qualificação necessária para tal;
  2. O fornecedor deve informar a BRK o nome, formação e tempo de serviço de seus colaboradores quando for solicitado;
  3. A BRK reserva-se no direito de estabelecer requisitos de qualificação, formação e tempo de serviço, para autorizar o acesso de colaboradores do fornecedor a suas informações, sistemas ou dependências físicas;
  4. O fornecedor é responsável por comunicar imediatamente a BRK o desligamento de seus colaboradores, quando estes estejam prestando algum serviço interno ou possuam credenciais de acesso aos sistemas e recursos da BRK;
  5. O fornecedor deve comunicar imediatamente qualquer mudança na lista de seus colaboradores autorizados a prestar o serviço interno aos sistemas e recursos da BRK;
  6. Todos os colaboradores do fornecedor que prestam serviço para a BRK assumem total conhecimento e concordância com o conteúdo deste documento.

11. Segurança física

  1. O fornecedor é responsável pela informação física concedida a ele pela BRK, devendo assegurar a confidencialidade, integridade e disponibilidade destas quando estiverem em seu poder;
  2. O fornecedor é responsável pela devolução da informação gerada ou pelo descarte adequado das informações físicas quando estas não forem mais necessários ou ao final de seu serviço;
  3. O fornecedor se compromete a acessar as dependências físicas da BRK somente quando devidamente autorizado e acompanhado por um colaborador;
  4. O fornecedor não aceitará receber para si qualquer tipo de meio de acesso físico às dependências da BRK (ex. senhas de alarmes, senhas de controle de acesso, chaves das portas, entre outros);
  5. Para a retirada de equipamentos da BRK, por qualquer motivo, o fornecedor deverá receber autorização formalizada por um dos colaboradores da organização (Membros da Gerência ou da Direção) e assinar um termo de compromisso e responsabilidade pelo equipamento, referente ao documento FORM ADQ 014 – Termo de Cautela e Responsabilidade pela Guarda e Uso de Equipamentos. A solicitação pode ser por e-mail ou registro de chamado interno.

12. Seguçanda da informação para uso de serviços em nuvem

O fornecedor de serviços de armazenamento em nuvem deve, no mínimo:

  1. Implementar a criptografia para o tráfego de dados na nuvem e para o armazenamento;
  2. Cumprir a legislação de proteção de dados (LGPD);
  3. Estabelecer uma política de segurança no processamento de dados;
  4. Proteger os direitos de propriedade intelectual relacionados aos dados hospedados em seus servidores;
  5. Disponibilizar alertas e relatórios de eventos;
  6. Definir uma política de resposta a incidentes;
  7. Assegurar a realização regular de auditorias de segurança externas;
  8. Adotar uma metodologia de gestão de riscos alinhada às melhores práticas e à legislação vigente, e realizar o gerenciamento de riscos;
  9. Utilizar firewalls especializados na proteção de sistemas e aplicações;
  10. Seguir as melhores práticas de segurança para sistemas operacionais e aplicações;
  11. Realizar periodicamente testes de penetração em redes e aplicações;
  12. Manter um programa de correção de vulnerabilidades;
  13. Apresentar certificações de segurança, como as ISOs 27001, 27701, 27017 e 27018.

13. Incidentes e medidas disciplinares

Qualquer violação das diretrizes constantes nesta política constitui-se em incidentes de segurança da informação e será devidamente registrado e analisado pelo Departamento de Suporte TI da BRK.

Após análise serão deliberadas medidas disciplinares ao fornecedor, que podem incluir:

  • Advertência formal ou informal;
  • Cancelamento do contrato de prestação de serviço;
  • Multas previstas em contrato;
  • Ações judiciais ou abertura de boletim de ocorrência.

Controle Interno BRK – PR TI 033 – Política de Segurança para Fornecedores – Revisão 09 – Data 23/07/2025
Nível de Classificação: Pública