Como este tema funciona na sua empresa
Pequenas empresas frequentemente não têm expertise em segurança nem recursos para auditoria profunda. O risco é elevado porque pequena falha pode afetar desproporcionalmente. Abordagem: incluir requisitos de segurança básicos em RFP (ISO 27001, auditoria anual, política de privacidade clara); solicitar referências sobre segurança; due diligence simples de LGPD. Custo: baixo.
Médias empresas têm estrutura para avaliar segurança mais profundamente, envolvendo time de TI/Segurança e Compliance. Due diligence de segurança funciona como requisito crítico. Abordagem: avaliar certificações (ISO 27001, SOC 2); conduzir questionários de segurança estruturados; revisar políticas de privacidade; validar com referências; documentar conformidade LGPD formalmente. Custo: R$ 10-30k.
Grandes empresas têm equipes de segurança e compliance dedicadas, exigem due diligence profundo e podem contratar auditoria especializada. Segurança é critério de gate em seleção. Abordagem: due diligence em profundidade com avaliação de arquitetura, teste de penetração quando apropriado, auditoria de conformidade LGPD, due diligence contínua com monitoramento de incidentes. Custo: R$ 50-150k.
Due diligence de segurança é avaliação sistemática da capacidade de um fornecedor proteger dados, sistemas e operações críticas, com ênfase em conformidade com LGPD e legislações de proteção de dados[1].
Por que due diligence de segurança é mandatório em fornecedores de dados
Com a LGPD, falha de segurança em fornecedor implica responsabilidade compartilhada, notificação obrigatória, multas e impacto reputacional. Uma única falha de segurança pode comprometer dados pessoais de milhares de pessoas e resultar em multa de 2% do faturamento (até R$ 50M). Due diligence de segurança identifica riscos antes de contratação, evitando exposição. Segundo relatórios de segurança, falhas de terceiros são fonte significativa de incidentes.
As 4 dimensões de avaliação de segurança
Dimensão Técnica — criptografia, arquitetura de dados, isolamento de ambiente, gestão de acesso, backup e recuperação. Avalia proteção técnica. Dimensão Operacional — políticas de segurança, treinamento, resposta a incidentes, auditoria interna, gestão de identidade. Avalia como a organização opera segurança. Dimensão Legal — conformidade com LGPD (papéis, consentimento, direitos de titular), contrato de processamento de dados, termo de confidencialidade, procedimento de notificação de incidentes. Dimensão de Risco — histórico de incidentes, como foram respondidos, comunicação pós-incidente. Avalia padrão de resposta a problemas.
Certificações de segurança que importam
ISO 27001 — gestão de segurança de informação. Base mínima em qualquer fornecedor estratégico. SOC 2 Type II — controles de segurança auditados por terceiro independente. Essencial em fornecedores de cloud/SaaS. ISO 27018 — privacy em cloud, específico para cloud providers. ISO 9001 — qualidade geral (complementar, não substitui 27001). Certificação é necessária mas não suficiente: fornecedor pode ter certificado mas implementação real ser inadequada. Sempre validar implementação além de certificado.
Conformidade LGPD específica em fornecedores
Elementos obrigatórios em contrato: (1) Contrato de Processamento de Dados — definindo responsabilidades de controlador (você) e operador (fornecedor). (2) Termo de Confidencialidade — compromisso de sigilo sobre dados. (3) Política de Privacy — clara, acessível, informando direitos de titular. (4) Direitos de Titular — acesso, correção, exclusão (direito ao esquecimento). Fornecedor deve facilitar. (5) Procedimento de Notificação de Incidente — se dado é comprometido, fornecedor notifica em tempo máximo (ex: 48h). Ausência de qualquer elemento viola LGPD.
Checklist mínimo: (1) Verificar ISO 27001 ou equivalente. (2) Solicitar política de privacy e revisar se é clara. (3) Contato com 1-2 clientes sobre segurança. (4) Questões-chave: onde dados são armazenados (datacenter país)? Como são criptografados? Quem tem acesso? (5) Contrato deve conter cláusula de conformidade LGPD básica. Documentação: email confirmando conformidade. Custo: zero a R$ 5k.
Checklist estruturado: (1) Verificar ISO 27001 + SOC 2 Type II (se cloud). (2) Questões de segurança em RFP: dados coletados/armazenados/processados, localização datacenter, criptografia, autenticação, auditoria de segurança. (3) Revisão formal de políticas de privacy e dados. (4) Contrato de processamento de dados (template disponível na ANPD). (5) Referências de clientes sobre segurança. (6) Documentação: matriz de conformidade LGPD. Custo: R$ 10-30k incluindo consultor.
Checklist abrangente: (1) Múltiplas certificações (ISO 27001, SOC 2 Type II, ISO 27018). (2) Auditoria de segurança independente (penetration test, se crítico). (3) Avaliação de arquitetura de segurança em detalhes. (4) Contrato de processamento de dados personalizado. (5) Avaliação de dependências: terceiros que fornecedor usa para processar dados também devem estar em conformidade. (6) Due diligence contínua: monitoramento de incidentes, reavaliação periódica de conformidade. (7) Integração com programa de gestão de risco corporativo. Custo: R$ 50-150k.
Sinais vermelhos de segurança inadequada
Red flags que indicam risco: falta de certificações de segurança, recusa em responder questões de segurança, histórico de incidentes não divulgado, falta de política de privacy pública, terceiros desconhecidos no processamento de dados, mudanças frequentes de executivos-chave de segurança, falta de contrato de processamento de dados, ausência de procedimento de notificação de incidente documentado. Um red flag de segurança é mais crítico que em outras áreas: não há "pequena" falha de segurança.
Sinais de que você precisa avaliar segurança de fornecedor
Se algum cenário aplica, avalie segurança em profundidade.
- Fornecedor vai acessar ou armazenar dados pessoais
- Fornecedor opera em cloud ou oferece SaaS
- Fornecedor acessa sistemas críticos ou aplicações estratégicas
- Seu setor é regulado (financeiro, saúde, governo)
- Fornecedor é startup ou tem história de segurança desconhecida
- Você sofreu incidente de segurança antes; quer evitar repetição
- Compliance é foco corporativo (multas de conformidade significativas)
Caminhos para avaliar segurança de fornecedor
Viável com equipe de segurança interna adequada.
- Perfil necessário: especialista de segurança TI + compliance + conhecimento de LGPD
- Tempo estimado: 3-6 semanas para avaliação completa
- Faz sentido quando: equipe tem expertise, fornecedor de criticidade média
- Risco principal: análise incompleta por expertise limitada ou falta de tempo
Recomendado para conformidade garantida e expertise independente.
- Tipo de fornecedor: consultores de segurança, auditores especializados em LGPD/ISO 27001
- Vantagem: avaliação independente, acesso a ferramentas especializadas, expertise regulatória
- Faz sentido quando: fornecedor crítico, risco regulatório elevado, dados pessoais significativos
- Resultado típico: relatório detalhado de riscos, recomendações de remediação, matriz de conformidade
Precisa validar segurança de fornecedor de dados?
Se avaliação de conformidade LGPD e segurança é complexa, o oHub conecta você gratuitamente a especialistas em segurança e compliance. Descreva seu cenário em menos de 3 minutos e receba recomendações de consultores qualificados, sem custo ou compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas de especialistas e escolhe com quem trabalhar.
Perguntas frequentes
O que avaliar em segurança de um fornecedor de TI?
Quatro dimensões: técnica (criptografia, arquitetura, backup), operacional (políticas, treinamento, resposta a incidente), legal (conformidade LGPD, contrato de dados), risco (histórico de incidentes). Não avaliar apenas uma dimensão; todas são importantes para visão completa.
Como verificar conformidade LGPD de um fornecedor?
Solicitar: contrato de processamento de dados, política de privacy, termo de confidencialidade, procedimento de notificação de incidente. Validar se elementos obrigatórios estão presentes. Verificar se fornecedor respeita direitos de titular (acesso, correção, exclusão). Contrato deve citar responsabilidades de controlador vs. operador.
ISO 27001 é suficiente para garantir segurança?
Não. Certificação é necessária mas não suficiente. Fornecedor pode ter certificado mas implementação real ser inadequada. Validar além de certificado: avaliar arquitetura específica, políticas detalhadas, histórico de incidentes, auditorias independentes. SOC 2 Type II (para cloud) é mais profundo que ISO 27001 isolado.
Como fazer due diligence de segurança em cloud provider?
Exigir: ISO 27001 + SOC 2 Type II + ISO 27018 (se aplicável). Avaliar: localização de dados, criptografia em trânsito e repouso, isolamento de tenants, gestão de acesso, auditoria de logs. Contato com clientes sobre segurança. Contrato deve definir direitos de acesso aos dados em caso de saída.
O que fazer se fornecedor tem histórico de incidente de segurança?
Não desqualifica automaticamente. Avaliar: como foi respondido? Quanto tempo levou? Como se comunicou? Como foi remediado? Se incidente foi isolado e resposta foi forte, pode indicar maturidade. Se padrão de incidentes ou resposta fraca, risco é alto.
Fornecedor é responsável por LGPD se dados são vazados?
Responsabilidade é compartilhada. Você (controlador) e fornecedor (operador) são ambos responsáveis. Se fornecedor falha em segurança, você também pode sofrer multa. Por isso due diligence de segurança é crítica: seu risco é tão alto quanto o do fornecedor.
Fontes e referências
- Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei 13.709/2018. Brasil.
- ISO/IEC 27001:2022 — Information Security Management. International Organization for Standardization.
- ISO/IEC 27018:2019 — Privacy in Cloud Computing. International Organization for Standardization.
- Gartner — Supply Chain Risk Management and Third-Party Vendor Assessment.
- Forrester — Security and Compliance in Vendor Management. Technology Delivery Research.