PL – POLÍTICA

Política de segurança da
informação na cadeia de
suprimentos
 POLÍTICA

Área:
Código: Revisão: Folha:
Segurança da
PL – 0002 00 2/9
Informação

Título: Política de segurança da informação na cadeia de suprimentos

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

Treinar
Rev Alteração Revisor Aprovador Data
(S/N)

00 Emissão inicial Luiz Tavares André Amado 26/03/20

Willians Fisher S

Daniel Moreira

2
 POLÍTICA

Área:
Código: Revisão: Folha:
Segurança da
PL – 0002 00 3/9
Informação

Título: Política de segurança da informação na cadeia de suprimentos

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

1. OBJETIVO

Garantir a proteção dos ativos de informação da Falconi que são acessados pelos fornecedores
e manter um nível acordado de segurança da informação e de entrega dos serviços em
consonância com os acordos com fornecedores.

2. ABRANGÊNCIA

Aplica-se aos contratos críticos relativos aos processos determinados no escopo do Sistema de
Gestão da Segurança da Informação – SGSI da Falconi.

3. TERMOS E DEFINIÇÕES

CONTINGÊNCIA – Uma eventualidade, um acaso, um acontecimento que tem como fundamento

a incerteza de que pode ou não acontecer.
CONTRATO – Instrumento que expressa à vontade das partes e regula seus direitos e
obrigações, compreendendo o texto principal e os anexos nele expressamente mencionados.
GESTOR DO CONTRATO – Colaborador da Falconi que fará o acompanhamento e fiscalização
do fornecimento do serviço contratado e garantir o cumprimento das obrigações legais,
contratuais, normas internas e a entrega do objeto do contrato, no preço e prazos de acordo com
as condições contratuais celebradas.
TI – Tecnologia da Informação.
SI – Segurança da Informação.
Terceiros - Prestadores de serviço que tenham acesso a ativos de informação da Falconi.

4. POLÍTICA

4.1 Segurança da informação na cadeia de suprimentos

O objetivo desta política é garantir a proteção dos ativos da organização que são acessados
pelos fornecedores e prestadores de serviço. Desta forma os requisitos de segurança da
informação para mitigar os riscos de SI associados com o acesso dos fornecedores aos ativos
de informação da Falconi devem ser acordados com os fornecedores e documentados.

3
 POLÍTICA

Área:
Código: Revisão: Folha:
Segurança da
PL – 0002 00 4/9
Informação

Título: Política de segurança da informação na cadeia de suprimentos

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

Política de segurança da informação no relacionamento com os fornecedores

As principais diretrizes de segurança da informação visando o gerenciamento do ciclo de
vida de seus fornecedores são:

• A identificação dos fornecedores críticos é de responsabilidade do Coordenador de

Segurança da Informação, o qual deve elaborar e manter uma lista destes
fornecedores, conforme modelo descrito no registro “RG – 0025 - Lista dos
fornecedores críticos para o SGSI”.
• Os fornecedores de serviço, incluindo seus empregados que acessem ativos de
informação da Falconi, devem conhecer e cumprir a Política de Segurança da
Informação da Falconi e as regras de segurança da informação descritas no “PS –
0006 – Uso aceitável dos ativos de informação”, bem como os demais controles de
SI e os procedimentos aplicáveis às atividades desempenhadas.
• Todo acesso à informação da Falconi, por fornecedores, deverá atender aos
requisitos da política “PL - 0003 - Política de acesso lógico” que descreve os
princípios básicos para a concessão do acesso e condições de uso dos recursos de
TI da Falconi pelos fornecedores.
• Os fornecedores de serviço, incluindo seus empregados que acessem ativos de
informação da Falconi, devem se comprometer formalmente com a preservação da
confidencialidade, integridade e disponibilidade das informações conforme
requisitos descritos no “RG - 0021 - Acordo de confidencialidade e responsabilidade
com a SI - Terceiros”, sendo de responsabilidade do gestor do contrato recolher a
assinatura dos fornecedores e armazenar os acordos junto ao contrato.
• O contrato de prestação de serviços, que é assinado pela Falconi e seus
fornecedores, deve documentar que os fornecedores possuem plena capacidade
para celebrar o contrato e de manter a confidencialidade das informações que tiver
acesso durante a prestação dos serviços.
• A aderência dos requisitos de segurança da informação estabelecidos para cada tipo
de acesso e tipo de fornecedor poderá ser auditada em comum acordo com os
fornecedores.
• Incidentes de SI associados com o acesso do fornecedor serão tratados conforme o
procedimento “PS - 0024 – Tratamento e gestão de incidentes de SI”.

4
 POLÍTICA

Área:
Código: Revisão: Folha:
Segurança da
PL – 0002 00 5/9
Informação

Título: Política de segurança da informação na cadeia de suprimentos

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

• Os procedimentos para realizar a troca e compartilhamento de informações entre a

Falconi e entidades externas devem respeitar as diretrizes do processo “PS - 0041
– Transferência de informações para partes externas”.
• As informações de propriedade da Falconi, que sejam utilizadas durante as
atividades de negócio, devem ser classificadas de acordo com o nível de
sensibilidade, em termos de valor, requisitos legais, criticidade e impacto ao negócio
apresentadas em rótulos indicando claramente o nível de classificação que lhe foi
atribuído, conforme a norma “PS - 0030 – Classificação e Tratamento da
Informação”. As informações dos fornecedores devem ser tratadas pela Falconi de
acordo com a classificação utilizada pelo fornecedor.
• O controle do fluxo de pessoas, materiais e/ou produtos na Falconi, visando à
proteção do patrimônio e do acesso a ativos de informação é realizado pela área
gestora do contrato.
• Os contratos de prestação de serviço que envolvam requisitos críticos para o SGSI
devem prever controles para assegurar a confidencialidade, integridade e
disponibilidade da informação.
• Os fornecedores relevantes para o SGSI, devem receber os treinamentos em
segurança da informação conforme o nível de acesso e características dos serviços
prestados. Recomenda-se que sejam ministrados treinamentos sobre a política de
segurança da informação, uso aceitável dos ativos de informação, gestão de
incidentes de SI e classificação e tratamento da informação.
• Os fornecedores subcontratados deverão atender os mesmos requisitos e atender
as regras de segurança da informação exigidas para os contratados.

Identificando segurança da informação nos acordos com fornecedores

Os requisitos de segurança da informação relevantes devem ser estabelecidos e acordados

com cada fornecedor que possa acessar, processar, armazenar, comunicar ou prover
componentes de infraestrutura de TI para a Falconi. As seguintes diretrizes devem ser
seguidas:

5
 POLÍTICA

Área:
Código: Revisão: Folha:
Segurança da
PL – 0002 00 6/9
Informação

Título: Política de segurança da informação na cadeia de suprimentos

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

• Os requisitos legais, regulamentares, os direitos de propriedade intelectual e os

direitos autorais devem ser observados e seguidos por todos os fornecedores.
• A Falconi deverá designar um profissional para ser responsável pelos empregados
terceirizados e atuar como gestor do contrato, ao qual caberá a responsabilidade de
acompanhar e garantir a adequada execução dos serviços e/ou fornecimentos
contratados e o atendimento às diretrizes desta política.
• Os fornecedores devem se comprometer com as regras de uso dos ativos de
informação e com as regras de classificação e tratamento da informação, conforme
previsto nos documentos “PS – 0006 – Uso aceitável dos ativos de informação” e
“PS - 0030 – Classificação e Tratamento da Informação”.

Cadeia de suprimento na tecnologia da informação

Os acordos com fornecedores devem incluir requisitos para contemplar os riscos de

segurança da informação associados com a cadeia de suprimento de produtos e serviços
específicos de tecnologia da informação, em adição aos riscos gerais envolvendo o acesso
e compartilhamento das informações entre as partes. Para isto é necessário estabelecer as
seguintes regras:

• O monitoramento e validação dos serviços e produtos de tecnologia da informação

entregues devem estar aderentes aos requisitos de segurança da informação
estabelecidos nos contratos. Esta responsabilidade é do gestor do contrato por parte
da Falconi.
• O gestor do contrato por parte da Falconi deve identificar os componentes do serviço
ou produto que são críticos e que requerem uma maior atenção e verificação quando
construído fora da organização, especialmente se o fornecedor principal terceiriza
partes dos componentes do serviço ou produto. Deve-se garantir que os requisitos
de SI devem ser estendidos para toda a cadeia de suprimentos, em especial os
fornecedores subcontratados.
• O gestor do contrato por parte da Falconi deve monitorar os serviços prestados pelo
fornecedor a garantia de que os produtos e serviços de tecnologia da informação e
comunicação entregues estão funcionando conforme esperado, sem quaisquer

6
 POLÍTICA

Área:
Código: Revisão: Folha:
Segurança da
PL – 0002 00 7/9
Informação

Título: Política de segurança da informação na cadeia de suprimentos

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

características não desejadas ou não esperadas e que os componentes críticos

tenham rastreabilidade ao longo de toda a cadeia de suprimentos;
• O gestor do contrato por parte da Falconi deve estar atento à obsolescência do
software ou hardware e a perenidade do fornecedor, realizando dessa forma a
gestão dos riscos de componentes quando não estiverem mais disponíveis, devido
ao fornecedor não estar mais no negócio ou o fornecedor não mais fornecer esses
componentes devido aos avanços da tecnologia.

4.2 Gerenciamento da entrega do serviço do fornecedor

Monitoramento e análise crítica de serviço com fornecedores

A avaliação do fornecedor é um instrumento administrativo e contratual que visa aferir o

desempenho do fornecedor no cumprimento das suas obrigações contratuais e estimular a
melhoria contínua de suas atividades e a elevação dos padrões de qualidade dos serviços
contratados.
As seguintes atividades devem orientar o gestor do contrato nas atividades de
monitoramento dos requisitos de segurança da informação nos contratos críticos para o
SGSI:

• Monitorar os níveis de desempenho de serviço (SLA’s) para verificar aderência aos

acordos e atendimento aos requisitos de SI;
• Analisar criticamente os relatórios de serviços produzidos em relação ao contratado;
• Realizar auditorias nos fornecedores em periodicidade acordada, quando aplicável;
• Realizar análise crítica dos relatórios de auditoria independente, quando disponíveis;
• Analisar informações sobre incidentes de SI derivados de ações de responsabilidade
dos fornecedores;
• Analisar as trilhas de auditoria e os registros de eventos de SI, problemas operacionais,
falhas e interrupções relativas ao serviço entregue e resolver eventuais problemas
identificados;
• Analisar criticamente os aspectos de segurança da informação na relação dos
fornecedores com seus subcontratados.

7
 POLÍTICA

Área:
Código: Revisão: Folha:
Segurança da
PL – 0002 00 8/9
Informação

Título: Política de segurança da informação na cadeia de suprimentos

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

As atividades acima visam garantir que o fornecedor mantenha capacidade de serviço

suficiente para assegurar que os níveis de continuidade do serviço acordados sejam
mantidos.

Gerenciamento de mudanças para serviços com fornecedores

As diretrizes para o gerenciamento de mudanças na área de Tecnologia da Informação estão

estabelecidas no procedimento “PS – 0010 – Gestão de mudanças” e deve ser seguido pelos
fornecedores quando executando mudanças nos ativos de informação da Falconi.
Visando evitar impacto nos serviços relacionados aos contratos críticos para o SGSI, o
planejamento das mudanças deve considerar as demandas da Falconi e dos fornecedores
conforme listado a seguir:

• Mudanças demandadas pela Falconi visando:

o Melhorias dos serviços atualmente disponibilizados pela Falconi que tenham
relação com os serviços contratados;
o Desenvolvimento de novas aplicações e sistemas que tenham interface com os
serviços contratados;
o Modificações ou atualizações das políticas e procedimentos da Falconi que
possam impactar o fornecimento dos serviços;
o Implantação de controles novos ou modificados para tratar os incidentes de SI
relacionados com os fornecedores.

• Mudanças nos serviços providos pelos fornecedores visando:

o Atualização do ambiente em função de uso de novas tecnologias;
o Adoção de novos produtos ou novas versões dos softwares do escopo de
fornecimento;
o Novas ferramentas e ambientes de desenvolvimento utilizados durante a
prestação dos serviços que possam impactar processos da Falconi;
o Mudanças de localização física ou lógica dos recursos de serviços que possam
gerar indisponibilidade dos serviços.

8
 POLÍTICA

Área:
Código: Revisão: Folha:
Segurança da
PL – 0002 00 9/9
Informação

Título: Política de segurança da informação na cadeia de suprimentos

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

5. ANEXOS

RG – 0025 - Lista dos fornecedores críticos para o SGSI.

6. REFERÊNCIAS

ISO / IEC 27000:2014 Tecnologia da Informação – Técnicas de segurança – Sistema

de gestão de segurança da informação – Visão geral e vocabulário;
ABNT NBR ISO / IEC 27001:2013 - Tecnologia da Informação – Técnicas de segurança –
Sistema de gestão de segurança da informação – Requisitos;
ABNT NBR ISO / IEC 27002:2013 - Tecnologia da Informação – Código de prática para
controle de segurança da informação;
PL - 0001 - Política do SGSI;
PL - 0003 - Política de Acesso Lógico;
PS - 0006 - Uso aceitável dos ativos de informação;
PS - 0036 - Gestão de mudanças;
PS - 0024 - Tratamento e gestão de incidentes de SI;
PS - 0030 - Classificação e Tratamento da Informação;
PS - 0041 - Transferência de informações para partes externas;
RG - 0021 - Acordo de confidencialidade e responsabilidade com a SI – Terceiros;