5. DIRETRIZES APLICÁVEIS AOS FORNECEDORES
Os fornecedores e prestadores de serviço da TECNOBANK que tenham acesso a informações, sistemas, infraestrutura tecnológica ou ambientes físicos da organização, quando aplicável, devem observar e cumprir as diretrizes a seguir, durante todo o ciclo da relação contratual:
5.1 Compromissos Legais e Contratuais
- Cumprir todas as leis, normas regulatórias, contratos e políticas internas da TECNOBANK relacionadas à Segurança da Informação, Privacidade e Proteção de Dados Pessoais, incluindo, mas não se limitando à LGPD e ao Marco Civil da Internet.
- Garantir que eventuais subcontratados também estejam alinhados a estas exigências e cumpram todos os requisitos previstos nesta política.
5.2 Uso Adequado de Recursos
- Utilizar os sistemas, dispositivos e recursos tecnológicos da TECNOBANK exclusivamente para finalidades profissionais autorizadas.
- Evitar qualquer uso indevido, não autorizado ou que represente risco à segurança das informações ou ao ambiente da organização.
5.3 Proteção da Informação
- Proteger a confidencialidade, integridade, disponibilidade e resiliência das informações e sistemas acessados, tratados ou armazenados.
- Classificar, tratar, armazenar, transmitir e descartar informações conforme seu nível de sensibilidade, seguindo a classificação de informação da TECNOBANK.
5.4 Governança e Controles Internos
- Possuir políticas internas de proteção de dados e segurança da informação formalizadas, aplicáveis e revisadas periodicamente.
- Designar responsáveis formais pela gestão da segurança da informação e proteção de dados, mantendo uma estrutura clara de governança de dados.
- Realizar gestão de riscos relacionada à segurança da informação e privacidade, adotando controles técnicos e organizacionais proporcionais ao risco.
5.5 Treinamento e Conscientização
- Desenvolver, manter e demonstrar programas contínuos de capacitação e conscientização sobre proteção de dados e segurança da informação.
- Participar, quando solicitado, de treinamentos e ações promovidas pela TECNOBANK.
5.6 Resposta a Incidentes
- Estabelecer e manter um plano de resposta a incidentes, prevendo ações para mitigação, comunicação e recuperação de eventos que afetem segurança ou privacidade.
- Comunicar imediatamente à TECNOBANK, por meio dos canais oficiais, qualquer incidente, desvio ou violação que envolva dados pessoais ou informações corporativas.
5.7 Cultura de Segurança e Privacidade
- Contribuir ativamente para o fortalecimento da cultura organizacional de segurança e privacidade, por meio da participação em ações de melhoria contínua, gestão de riscos e conscientização promovidas pela TECNOBANK.
5.8 Ciclo de Vida da Contratação
- Adotar medidas de proteção às informações durante todas as fases da relação contratual: admissão, execução dos serviços, movimentações internas, entrega de produtos e desligamento.
- Garantir o encerramento adequado de acessos físicos e lógicos ao término do contrato ou em caso de mudança de escopo.
5.9 Requisitos para Avaliações de Conformidade
A TECNOBANK reserva-se o direito de realizar auditorias ou avaliações periódicas de Segurança da Informação, Privacidade e Proteção de Dados junto aos fornecedores e prestadores de serviços. Nessas situações, os fornecedores deverão
- Responder, de forma completa e dentro dos prazos estabelecidos, aos questionários de segurança da informação e de privacidade e proteção de dados disponibilizado pela TECNOBANK;
- Apresentar evidências documentais que comprovem a conformidade com os requisitos estabelecidos pela organização;
- Participar, quando solicitado, de entrevistas remotas ou visitas presenciais, para verificação técnica ou validação de informações;
- Desenvolver e implementar planos de ação corretiva, com prazos previamente acordados com a área de Segurança da Informação da TECNOBANK, nos casos em que forem identificadas não conformidades.
O questionário encontra-se localizado em nosso espaço da plataforma SharePoint, no documento para a Avaliação da Plataforma/Solução do Fornecedor, e pode ser obtido por meio do seguinte link:
https://tecnobank.sharepoint.com/:x:/s/FormsDueDiligence/EeXPhWatu_NGtIAD7y8DLOEBFopJXuPyn6gShrmG8tSq3g?e=TX32x6
5.10 Requisitos Técnicos e Organizacionais
Os fornecedores e prestadores de serviços, quando aplicável, devem adotar controles compatíveis com os seguintes requisitos técnicos e organizacionais:
Governança, Conformidade e Gestão de Continuidade
- Manter política formal e atualizada de segurança da informação, aprovada pela alta gestão.
- Submeter-se a auditorias internas ou externas, quando solicitado pela TECNOBANK.
- Apresentar certificações reconhecidas, como ISO/IEC 27001, ISO/IEC 27701, SOC 2, entre outras (quando aplicável).
- Garantir conformidade com a LGPD e demais legislações de proteção de dados, incluindo adoção de privacidade por design e por padrão.
- Manter um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD) testados, revisados e com SLAs definidos.
- Implementar e testar periodicamente uma política de backup, com cópias armazenadas de forma segura e procedimentos de restauração documentados.
- Garantir que subcontratados e parceiros mantenham o mesmo nível de segurança exigido pela TECNOBANK.
Gestão de Acessos e Identidades
- Implantar gestão de acessos baseada no princípio do menor privilégio.
- Conceder, revisar e revogar acessos de forma documentada, rastreável e controlada.
- Garantir revogação imediata de acessos e devolução de ativos ao fim do contrato.
- Monitorar, registrar e auditar acessos privilegiados e a recursos críticos, com análise periódica.
- Adotar autenticação multifator (MFA) e exigir senhas fortes com renovação periódica.
- Utilizar credenciais individuais e intransferíveis para qualquer acesso a sistemas e redes.
- Gerenciar acessos físicos e lógicos, prevenindo acessos não autorizados, perda ou furto de dados.
Segurança de Infraestrutura e Proteção de Ativos
- Criptografar dados confidenciais em repouso e em trânsito com algoritmos robustos (ex.: AES-256).
- Utilizar soluções como antimalware, controle de mídias removíveis, bloqueio automático e proteção de endpoint.
- Implementar perímetros de segurança física e lógica em áreas de armazenamento e processamento de dados.
- Configurar e manter firewalls, IDS/IPS, soluções de controle de navegação, DLP, MDM e NAC, conforme aplicável.
Desenvolvimento Seguro
- Adotar práticas de desenvolvimento seguro durante todo o ciclo de vida do software (SDLC).
- Incluir análise de código, revisão de segurança e correção de vulnerabilidades antes da entrada em produção.
- Segregar ambientes de produção, desenvolvimento e testes, aplicando controles específicos em cada um.
- Estabelecer processo formal de gestão de mudanças, com aprovação, testes, rollback e documentação de alterações.
- Realizar testes automatizados de segurança em aplicações, como SAST (análise estática) e DAST (análise dinâmica), integrados à esteira de desenvolvimento.
Gestão de Vulnerabilidades
- Utilizar ferramentas de varredura automatizada (vulnerability scanners) na infraestrutura, com execução periódica, registro dos resultados e priorização por criticidade.
- Estabelecer um processo formal de gestão de correções (patch management), com prazos definidos.
- Realizar testes de intrusão (pentests) manuais e planejados por profissionais qualificados, com relatórios entregues à TECNOBANK.
- Avaliar e mitigar vulnerabilidades com base em sua criticidade, cumprindo os prazos acordados com a contratante.