1. Introdução
A RCZ baseia-se na Segurança e Privacidade da Informação para a prestação de seus serviços e produtos com clientes. É, portanto, essencial que as informações sejam protegidas de acordo com as melhores práticas, bem como requisitos legais e contratuais que mantêm a confidencialidade, integridade e disponibilidade de todos os ativos de informação.
1.1 Aplicação
Este documento é aplicável a todos os Fornecedores e Terceiros que possuem a capacidade de exercer a confidencialidade, integridade e disponibilidade de informações da RCZ.
2. Princípios
Alguns princípios são utilizados durante a captação e o gerenciamento de Fornecedores e Terceiros. A RCZ procura razoabilidade através da prudência, sensatez e bom senso no seu gerenciamento e controle de Fornecedores e Terceiros, evitando condutas absurdas, bizarras e incoerentes; eficiência procurando a abordagem mais apropriada e efetiva às necessidades da RCZ para proteger suas informações e impessoalidade não agindo para prejudicar ou beneficiar empresas específicas.
3. Compromisso dos Fornecedores/Terceiros
Os Fornecedores/Terceiros devem estar comprometidos quanto à observação dos requisitos de segurança e privacidade da informação da RCZ:
- não fornecendo ou apropriando-se indevidamente de recursos de informações;
- utilizando sistemas e recursos somente de acordo com autorizações e instruções da RCZ e
- zelando e preservando ativos da RCZ.
Os Fornecedores/Terceiros devem ainda estar comprometidos de manter e preservar os princípios básicos de segurança da informação:
- Confidencialidade: Os Fornecedores/Terceiros devem contribuir para a manutenção do sigilo e restrição de acesso das informações compartilhadas ou acessadas em razão do exercício de sua função e serviço contratado. Todas as informações compartilhadas ou acessíveis devem ser sigilosas e são de propriedade da RCZ.
- Integridade: Os Fornecedores/Terceiros devem comprometer-se com o uso adequado e autorizado de ativos e informações. Não é permitida a manipulação ou edição de informações fora do seu escopo de trabalho ou limitações impostas por procedimentos ou controles.
- Disponibilidade: Os Fornecedores/Terceiros devem prezar pela preservação dos ambientes e recursos tecnológicos da RCZ e de seu fornecimento ou suporte, de forma a favorecer a continuidade de serviços.
4. LGPD
Todos os Dados Pessoais DEVEM ser protegidos com base nas instruções do Controlador (RCZ) de acordo com a Lei no 13.709/2018 (LGPD).
5. Conduta
Assim como os colaboradores da RCZ, todos os Fornecedores e Terceiros devem, necessariamente, seguir suas atividades com a conduta correta e ética, obedecendo os preceitos de respeito às pessoas e seu compromisso com a segurança e privacidade da informação.
Espera-se que os Fornecedores e Terceiros da RCZ tenham um comportamento ético e de elevada moral, respeitando os requisitos legais e normativos pertinentes à empresa.
6. Recursos de Fornecedores/Terceiros
Os Fornecedores e Terceiros devem garantir que seus colaboradores/terceiros possuem a formação e qualificação necessária para a realização dos determinados serviços. Também devem garantir a comunicação imediata à RCZ sobre o desligamento de seus colaboradores/terceiros quando estes estiverem prestando algum serviço interno ou possuam acesso à algum sistema/aplicação/portal/site da RCZ. Devem também comunicar, quando solicitado, a mudança na lista de seus colaboradores/terceiros autorizados a prestar o serviço interno à RCZ, assim como informações de nome, formação e tempo de serviço de seus colaboradores/terceiros.
A RCZ, quando lhe convier, reserva-se no direito de estabelecer requisitos de qualificação, formação e tempo de serviço, para autorizar o acesso de colaboradores/terceiros do Fornecedor/Terceiro às suas informações, sistemas ou dependências físicas.
7. Gestão de Ativos
Os Fornecedores/Terceiros devem observar as regras para o uso de equipamentos autorizados pela RCZ em ambientes de trabalho, tais como aparelhos celulares, tablets, computadores pessoais, etc. Todos os equipamentos levados para as instalações da RCZ devem ser declarados. O Fornecedor/Terceiro que usar equipamentos de propriedade da RCZ deve utilizá-lo apenas para os fins descritos na contratação específica, sendo ele responsável pela manutenção do estado de conservação do equipamento e sua devolução imediata ao departamento responsável, assim que rescindida ou encerrada sua contratação.
A necessidade de guarda ou transporte de equipamentos pelo Fornecedor/Terceiro deve ser expressamente autorizada pela RCZ. Não é permitida a guarda de ativos de informação pelo Fornecedor/Terceiro, após o encerramento da atividade contratada, salvo o que está estabelecido em contrato.
8. Trativa de Fornecedores/Terceiros
8.1 Identificação de riscos
Os riscos de segurança e privacidade da informação relativos aos Fornecedores e Terceiros são identificados pelo próprio Fornecedor/Terceiro ou ainda durante os processos de captação e gerenciamento dos Fornecedores/Terceiros (como definido nas informações documentadas da empresa).
8.2 Gerenciamento de riscos
É fundamental que todos os riscos identificados sejam gerenciados pelos Fornecedores e aceitáveis para a RCZ. A confidencialidade, integridade e disponibilidade das informações da RCZ deve ser sempre preservada.
8.2.1 Treinamento e Conscientização
Os Fornecedores devem, como princípio de segurança e privacidade da informação, conscientizar e, se possível, treinar seus colaboradores sobre temas relativos à segurança e privacidade da informação.
8.2.2 Comunicação de Incidentes de Segurança e Privacidade da Informação
Eventos de situações anormais relacionados à segurança e privacidade da informação, podem vir a ser classificados como incidentes de segurança/privacidade da informação pela RCZ. Devem ser tratados adequadamente para garantir a confidencialidade, integridade e disponibilidade das informações da RCZ. Todo comportamento anormal de serviços de rede e sistemas de informação, percebidos pelo fornecedor ou terceiro, deve ser reportado imediatamente para o gestor do contratado ou ainda para [email protected].
Os incidentes de segurança e privacidade da informação originados por Fornecedores/Terceiros, podem ocasionar investigações que resultem em sanções, punições e responsabilizações legais, assim como cancelamentos de contrato e indenizações.
8.3 Cláusulas necessárias
O Responsável pela Gestão de Contrato de Fornecedor é responsável por decidir se as cláusulas contratuais estão em conformidade com a necessidade da empresa em garantir sua conformidade com a segurança e privacidade da informação, aos requisitos legais vigentes, bem como possíveis requisitos normativos que a empresa utiliza. Caso seja necessário à legalidade e/ou à segurança e privacidade da informação da empresa, alguns termos podem ser assinados pelos Fornecedores eTerceiros da RCZ. As cláusulas e/ou termos de término do contrato devem ser claras e obrigatórias.
Mais ainda, o contrato precisa assegurar a entrega confiável dos produtos e serviços, que é particularmente importante em provedores de serviços na nuvem. O(s) “proprietário(s)” da gestão sobre o Fornecedor/Terceiro estão sob critério e de livre arbítrio da RCZ, cabendo a ela apenas comunicar o Fornecedor/Terceiro sobre tal e ainda como lhe convier.
8.4 Acesso à informação
Seguindo o princípio da necessidade (Art. 6° da Lei no 13.709, de 14 de agosto de 2018) a RCZ procura a certeza de dar apenas o acesso ao necessário (Need-to-know basis) aos Fornecedores/Terceiros. Eles devem acessar apenas os dados que são requeridos para que eles realizem o trabalho.
8.5 Monitoramento e Revisão
A RCZ monitora e revisa com regularidade os níveis de serviço, a segurança e privacidade da informação e o cumprimento das cláusulas e termos assinados. Essa monitorização e revisão é realizada através dos processos da empresa, assim como inspeções frequentes durante o cumprimento das atividades acordadas. Caso seja necessário poderá ainda ocorrer auditorias mais “aprofundadas”, com apoio de Terceiros ou não, sobre o cumprimento das cláusulas contratuais e termos assinados.
No caso de não cumprimento, o Responsável pela Gestão de Contrato de Fornecedor pode acionar medidas do contrato ou legais para sanar a situação.
8.6 Encerramento
O Fornecedor/Terceiro deve acordar antecipadamente com a RCZ os termos e as atividades necessárias ao encerramento de parte ou total de serviços/produtos. A segurança e privacidade da informação da empresa devem também ser preservadas após qualquer tipo de encerramento.
8.6.1 Mudanças ou término de serviços do fornecedor
Em qualquer alteração, mudança ou encerramento de prestação de algum serviço/produto, o Fornecedor/Terceiro deve, previamente, acordar os acontecimentos com a RCZ.
8.6.2 Remoção de direitos de acesso/devolução de ativos
Nos casos de encerramento de parte ou total do contrato de prestação de serviço/produto o Fornecedor/Terceiro deve devolver todos os ativos (de informação ou físico) da empresa. A RCZ também excluirá todos os acessos cedidos ou de controle sem aviso prévio após a indicação do encerramento. É de responsabilidade do Fornecedor/Terceiro também a não-divulgação das informações da empresa com qualquer outra empresa ou pessoa.
Rev.: 00 – 20/09/2022
