⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Aquisição de software com segurança por exigência em 2026

Igor Petreski

É terça-feira de manhã, no início de 2026, e Maria, CISO de uma empresa europeia de pagamentos em rápida expansão, está a apresentar ao conselho de administração. O último ponto da agenda deveria ser rotineiro: aprovação de uma nova plataforma de deteção de fraude com IA. O fornecedor tem uma demonstração impressionante, um desconto por tempo limitado, uma visão geral de segurança de uma página e um contrato padrão.

Depois começam as perguntas.

O CEO pergunta: “Como sabemos que esta plataforma é segura? Os nossos clientes de serviços financeiros estão a pedir evidência de conformidade com DORA, e este fornecedor passa a fazer parte da nossa infraestrutura crítica.”

A área jurídica pergunta se o Acordo de Tratamento de Dados está pronto, onde serão tratados os dados dos clientes da UE e se os subcontratantes subsequentes foram divulgados. O responsável pela resiliência operacional pergunta sobre planeamento de saída, exportações de cópias de segurança e continuidade para funções críticas. O engenheiro de segurança do produto pede divulgação de vulnerabilidades, evidência de aplicação de patches e um SBOM ou declaração equivalente de transparência de componentes. A equipa de compras faz a pergunta que torna o risco de fornecedor caro: “Podemos aprovar agora e recolher os documentos depois da assinatura?”

Esse é o momento em que a aquisição moderna de software se torna um controlo ou se transforma num futuro relatório de incidente.

Em 2026, a aquisição segura de software não pode depender da boa vontade pós-contratual. A segurança da cadeia de fornecimento da NIS2, o risco de terceiros de TIC ao abrigo do DORA, a responsabilização de subcontratantes ao abrigo do GDPR e as expectativas de segurança do produto do CRA deslocaram a garantia de fornecedores para o ponto de decisão da aquisição. Os compradores precisam de aquisição de software com segurança por exigência, em que o cliente define a evidência de segurança, as cláusulas contratuais, os gates de integração e as responsabilidades operacionais antes da compra.

Para os clientes da Clarysec, a resposta não é mais uma folha de cálculo que morre no correio eletrónico. É um sistema de controlo de aquisição alinhado com a ISO/IEC 27001:2022, mapeado através das políticas da Clarysec, do Zenith Blueprint: roteiro de 30 passos de um auditor e dos Zenith Controls, para que cada compra de software ou SaaS tenha um trilho defensável desde a necessidade de negócio até à decisão de risco do fornecedor.

Segurança por exigência é o novo controlo de aquisição de software

A segurança por conceção é normalmente discutida do lado do fornecedor. A segurança por exigência é a disciplina do lado do comprador: a organização recusa comprar software salvo se o fornecedor conseguir demonstrar que segurança, privacidade, resiliência, tratamento de vulnerabilidades e auditabilidade estão incorporados na oferta.

Isto muda a conversa de compra. Em vez de perguntar “Têm segurança?”, a equipa de compras coloca perguntas mais precisas:

  • Que dados irão tratar, onde e em que qualidade jurídica?
  • Que função de negócio ficará dependente de vocês e qual é a sua criticidade?
  • Que evidência demonstra que os vossos controlos operam, e não apenas que estão documentados?
  • Com que prazos de notificação de incidentes se comprometem?
  • Que evidência de divulgação de vulnerabilidades, aplicação de patches, SBOM ou VEX conseguem fornecer?
  • Que subcontratados ou subcontratantes subsequentes terão contacto com os nossos dados ou serviço?
  • Podemos auditar, inspecionar ou solicitar evidência durante a vigência do contrato?
  • O que acontece em caso de cessação, migração, violação, insolvência ou pedido de esclarecimento regulamentar?

A ISO/IEC 27001:2022 fornece a espinha dorsal do sistema de gestão para esta mudança. A Cláusula 4 exige que a organização compreenda o contexto, as partes interessadas e o âmbito do SGSI, incluindo requisitos regulamentares externos e requisitos de fornecedores. A Cláusula 5 transforma o risco de fornecedor numa responsabilidade de liderança e governação. A Cláusula 6 exige avaliação de riscos, tratamento de riscos, seleção de controlos, uma Declaração de Aplicabilidade e decisões sobre risco residual. A Cláusula 8 exige a operação controlada dos processos, incluindo processos fornecidos externamente. A Cláusula 9 exige monitorização, auditoria interna e revisão pela gestão.

Isto significa que a aquisição de software não é apenas um fluxo de trabalho comercial. Torna-se um processo do SGSI operado e auditável. Reguladores e auditores perguntam cada vez mais por que razão uma organização aceitou um fornecedor antes de compreender o risco. A aquisição com segurança por exigência dá uma resposta clara: o risco foi avaliado, tratado, contratado e atribuído antes de a dependência ser criada.

Porque NIS2, DORA, GDPR e CRA convergem na seleção de fornecedores

O conselho de administração de Maria está a fazer as perguntas certas porque um único fornecedor de software pode acionar várias obrigações em simultâneo.

A NIS2 aplica-se por setor, dimensão e criticidade, com o Anexo I e o Anexo II a trazerem para o âmbito muitas organizações digitais, financeiras, de infraestrutura, de serviços geridos e dependentes de cloud. O Article 21 exige medidas técnicas, operacionais e organizacionais adequadas e proporcionadas, incluindo segurança da cadeia de fornecimento, aquisição segura, desenvolvimento e manutenção seguros, tratamento de vulnerabilidades, controlo de acesso, gestão de ativos, continuidade, tratamento de incidentes e avaliação da eficácia dos controlos. O Article 21(3) exige especificamente atenção às vulnerabilidades dos fornecedores diretos e às práticas de cibersegurança dos fornecedores. O Article 23 cria expectativas faseadas de comunicação de incidentes significativos, incluindo alerta precoce no prazo de 24 horas e notificação no prazo de 72 horas.

O DORA aplica-se desde 17 de janeiro de 2025 às entidades financeiras abrangidas. Cria requisitos uniformes para gestão do risco das TIC, comunicação de incidentes relacionados com TIC, testes de resiliência operacional digital e gestão do risco de terceiros de TIC. O DORA é especialmente prescritivo para a aquisição. As entidades financeiras precisam de estratégias de risco de terceiros de TIC, registos de acordos de serviços de TIC, diligência prévia, análise de risco de concentração, contratos escritos com disposições de segurança e resiliência, direitos de auditoria e acesso, deveres de cooperação, direitos de cessação e planos de saída. Os Articles 28 and 30 são centrais para o risco de terceiros de TIC e para os controlos contratuais, enquanto os Articles 17 to 23 moldam a gestão e a comunicação de incidentes.

O GDPR acrescenta o gate de responsabilização do subcontratante. Os Articles 5, 28, 32, 33 and 34 exigem responsabilização, contratos com subcontratantes, segurança adequada, cooperação na notificação de violações e tratamento do impacto sobre titulares dos dados. Um fornecedor SaaS que trata dados pessoais não é apenas um fornecedor. Passa a fazer parte da postura de conformidade do responsável pelo tratamento. O DPA, as medidas técnicas e organizativas, a lista de subcontratantes subsequentes, as salvaguardas de transferência, as regras de retenção e as obrigações de eliminação devem ser compreendidos antes de o tratamento começar.

As expectativas CRA acrescentam garantia do produto. Mesmo quando o comprador não é o fabricante, as equipas de compras devem exigir evidência de desenvolvimento seguro, tratamento de vulnerabilidades, suporte do produto, atualizações de segurança, Divulgação Coordenada de Vulnerabilidades e transparência de componentes, como um SBOM ou declaração equivalente. Estes requisitos pertencem aos RFP, aos anexos de segurança e aos gates de aceitação.

O tema comum é simples: a organização compradora deve saber o que está a comprar, que risco importa e que evidência consegue produzir quando reguladores, clientes ou auditores perguntam.

A espinha dorsal de controlos ISO 27001 para garantia de fornecedores

O modelo de aquisição com segurança por exigência mais eficaz não é regulamento a regulamento. É primeiro baseado em controlos. A Clarysec utiliza a ISO/IEC 27001:2022 como espinha dorsal do SGSI, suportada pela orientação de controlos da ISO/IEC 27002:2022 e pelo mapeamento de conformidade cruzada nos Zenith Controls.

Nos Zenith Controls, a garantia de fornecedores está ancorada nos controlos ISO/IEC 27002:2022 5.19, 5.20 e 5.21. Estes não são itens isolados de uma lista de verificação. Formam um ciclo de vida de aquisição.

Controlo ISO/IEC 27002:2022Pergunta de aquisiçãoEvidência de segurança por exigênciaPrincipal risco reduzido
5.19 Segurança da informação nas relações com fornecedoresDevemos contratar este fornecedor?Classificação do fornecedor, diligência prévia, classificação de risco, propriedade, periodicidade de reavaliaçãoExposição desconhecida ao fornecedor
5.20 Tratamento da segurança da informação nos acordos com fornecedoresOs nossos requisitos são exigíveis?Anexo de segurança, DPA, SLA, direitos de auditoria, notificação de incidentes, cláusulas de subcontratação, cláusulas de saídaFragilidade contratual
5.21 Gestão da segurança da informação na cadeia de fornecimento das TICAs dependências de TIC a jusante podem comprometer-nos?Lista de subcontratados, controlos de subcontratantes subsequentes, arquitetura cloud, evidência de componentes, tratamento de vulnerabilidades, análise de concentraçãoRisco oculto na cadeia de fornecimento e na tecnologia

Os Zenith Controls mapeiam estes controlos ISO para expectativas regulamentares e de auditoria. Não criam controlos proprietários separados chamados Zenith Controls. Ajudam as equipas a compreender como os controlos ISO/IEC 27002:2022 suportam NIS2, DORA, GDPR, NIST CSF 2.0 e garantia orientada por COBIT.

A rede de controlos de suporte também é importante. A garantia de fornecedores liga-se à gestão de ativos, controlo de acesso, segurança cloud, gestão de vulnerabilidades, registo, gestão de incidentes, preparação das TIC para continuidade do negócio, desenvolvimento seguro, segurança das aplicações, gestão da configuração, cópia de segurança, redundância, cumprimento legal, privacidade, gestão de alterações e revisão independente. A aquisição coordena o processo, mas a propriedade do risco deve incluir o proprietário do negócio, segurança da informação, jurídico, privacidade, TI, finanças e o proprietário do serviço.

Gates de política da Clarysec antes da assinatura

O modelo de políticas da Clarysec desloca deliberadamente a garantia de fornecedores para montante. A linguagem mais forte aparece onde deve aparecer: antes da assinatura dos acordos, antes da ativação de subscrições cloud e antes da partilha de dados.

A versão PME da Política de segurança de terceiros e fornecedores da Clarysec estabelece:

Avaliar e documentar os riscos dos fornecedores antes da assinatura de acordos ou da concessão de acesso.

Isto vem da secção “Objetivos”, cláusula 3.3 da política. A cláusula é curta porque a intenção de controlo não é negociável: sem avaliação de riscos, não há contrato nem acesso.

Para ambientes empresariais, a Política de segurança de terceiros e fornecedores da Clarysec reforça o gate pré-contratual:

Todos os novos fornecedores devem ser sujeitos a uma avaliação de segurança documentada antes da celebração do contrato.

Isto vem da secção “Requisitos de implementação da política”, cláusula 6.1.1 da política. A mesma política também identifica “Direitos de auditoria, inspeção e pedido de evidência de segurança” na secção “Requisitos de governação”, cláusula 5.3.4 da política.

Para compras cloud e SaaS, a Política de Utilização da Cloud para PME acrescenta um gate prático de aprovação:

Toda a utilização de serviços na cloud deve ser revista e aprovada pelo Diretor-Geral (GM) antes da implementação ou subscrição.

Isto vem da secção “Requisitos de governação”, cláusula 5.1 da política. Numa organização pequena, essa aprovação pode ser o equivalente a um conselho de governação cloud. Numa empresa, torna-se um fluxo de trabalho entre compras, segurança, privacidade e arquitetura. A Política de Utilização da Cloud empresarial também suporta requisitos contratuais de cloud, incluindo disposições exigíveis em contratos com CSP.

Para aquisição de software, a Política de Requisitos de Segurança das Aplicações empresarial é explícita:

A aquisição de software ou os acordos de outsourcing devem incluir requisitos de segurança em RFP, contratos e SLA, incluindo disposições sobre prazos de remediação de vulnerabilidades e direitos de auditoria por terceiros.

Isto vem da secção “Requisitos de governação”, cláusula 5.4 da política. Repare na ordem: RFP, contratos e SLA. A segurança aparece na fase de interação com o mercado, não como anexo pós-adjudicação.

Para aquisição orientada por GDPR, a Política de Cumprimento Legal e Regulamentar para PME da Clarysec exige:

As cláusulas do Acordo de Tratamento de Dados ou termos contratuais equivalentes devem ser acordados antes de quaisquer dados pessoais ou sensíveis serem partilhados.

Isto vem da secção “Requisitos de implementação da política”, cláusula 6.3.2 da política. Isto evita uma das falhas mais comuns na integração de SaaS: carregar dados pessoais para uma ferramenta antes de estarem acordados os termos de subcontratação, as obrigações de violação de dados e as condições aplicáveis a subcontratantes subsequentes.

Para segurança de aplicações de fornecedores, a Política de Requisitos de Segurança das Aplicações para PME exige que a equipa de compras:

especifique obrigações de divulgação de vulnerabilidades, tempos de resposta e aplicação de patches.

Isto vem da secção “Requisitos de governação”, cláusula 5.3.2 da política. Também estabelece:

O GM deve solicitar documentação ou certificações (por exemplo, SOC 2, ISO 27001, relatórios de testes de segurança) como evidência de conformidade do fornecedor, quando aplicável.

Isto vem da secção “Requisitos de implementação da política”, cláusula 6.3.2 da política. A palavra-chave é evidência. A aquisição com segurança por exigência não se baseia em declarações de confiança. Baseia-se em artefactos passíveis de revisão.

O gate de aquisição do Zenith Blueprint

O Zenith Blueprint trata a segurança de fornecedores como um controlo operado, não como um slogan de compras. Na fase Controls in Action, o Step 23 abrange os controlos organizacionais 5.19 a 5.37, incluindo segurança da informação nas relações com fornecedores.

O Blueprint explica:

Começa com a classificação do fornecedor. Nem todos os fornecedores apresentam o mesmo risco. Um serviço de limpeza pode ter acesso físico aos escritórios, mas não às redes. Uma empresa de testes de intrusão ou um prestador de alojamento cloud, por outro lado, pode ter acesso técnico profundo ao núcleo da sua infraestrutura. A classificação deve considerar se o fornecedor trata ou processa diretamente a sua informação, se fornece infraestrutura ou plataformas sobre as quais a organização opera, se gere ou mantém sistemas em seu nome e se o seu comprometimento poderia afetar os objetivos de confidencialidade, integridade ou disponibilidade.

Para o controlo 5.20, o Blueprint é direto:

As áreas-chave normalmente tratadas nos acordos com fornecedores incluem obrigações de confidencialidade; responsabilidades de controlo de acesso; medidas técnicas e organizativas para proteção de dados, cifragem, transmissão segura, cópias de segurança e compromissos de disponibilidade; prazos e protocolos de comunicação de incidentes; direito de auditoria, incluindo frequência, âmbito e acesso a evidência relevante; controlos de subcontratados; e disposições de fim de contrato, como devolução ou destruição de dados, recuperação de ativos e desativação de contas.

Conclui que o controlo 5.20 é “a sua última linha de alavancagem” e “pertence ao gate de aquisição”. Depois de o contrato ser assinado, a capacidade de negociação diminui. Antes da assinatura, evidências e obrigações podem ser transformadas em condições de compra.

Para desenvolvimento externalizado, a fase Controls in Action, Step 21, controlo 8.30, acrescenta outro requisito de aquisição. O Blueprint estabelece:

No centro deste controlo está o princípio de que a segurança deve ser um requisito contratual, não uma expectativa verbal.

As equipas externalizadas devem cumprir as mesmas normas de desenvolvimento seguro que as equipas internas, incluindo análise estática, revisão por pares, cifragem, MFA para repositórios e visibilidade sobre código, decisões de arquitetura, vulnerabilidades, pedidos de alteração, logs de CI/CD e resultados de varreduras.

Construa um gate de RFP com segurança por exigência numa tarde

Suponha que a sua organização pretende uma plataforma de análise de clientes. A plataforma irá ingerir identificadores de clientes, eventos comportamentais, metadados de suporte e referências de transações. O proprietário do negócio quer aprovação rápida. A equipa de segurança tem uma semana.

Comece com um registo de gate de aquisição, utilizando a Política de segurança de terceiros e fornecedores, a Política de Requisitos de Segurança das Aplicações, a Política de Utilização da Cloud, a Política de Cumprimento Legal e Regulamentar e o Step 23 do Zenith Blueprint como documentos de origem.

Campo do gateExemplo de entrada
Nome do fornecedorFornecedor SaaS de análise de clientes
Tipo de serviçoSaaS cloud que trata dados de clientes e de utilização
Proprietário do negócioResponsável de Operações de Cliente
Dados envolvidosIdentificadores de clientes, eventos de utilização, metadados de suporte, referências de transações
Papel no GDPRFornecedor provavelmente subcontratante, organização responsável pelo tratamento
CriticidadeAlta se usado para decisões de serviço ao cliente, média se apenas para análise
Relevância NIS2O fornecedor suporta operações de serviços digitais e pode afetar o impacto de incidentes
Relevância DORARelevante se a análise suportar operações de serviços financeiros ou reporte de funções críticas
Relevância de garantia CRASegurança do produto, tratamento de vulnerabilidades, suporte de atualizações, transparência de componentes
Classificação de risco inicialAlta, pendente de evidência sobre DPA, incidentes, subcontratados e exportação
Condição de aprovaçãoSem contrato antes da avaliação de segurança, DPA e revisão do anexo de segurança

Anexe ao RFP um questionário de segurança por exigência. Evite perguntas genéricas como “Cifram os dados?” Faça perguntas orientadas por evidência:

  1. Forneçam o vosso relatório independente atual de garantia de segurança, certificado ou evidência equivalente de controlos.
  2. Identifiquem localizações de alojamento, opções de residência dos dados, localizações de cópias de segurança e localizações de acesso de suporte.
  3. Forneçam o DPA, a lista de subcontratantes subsequentes e o processo de aviso para alterações de subcontratantes subsequentes.
  4. Confirmem os prazos de notificação de incidentes, incluindo suporte a alerta precoce em 24 horas quando possam ser acionados fluxos de trabalho NIS2 e suporte a reporte faseado para clientes regulados pelo DORA.
  5. Forneçam a política de divulgação de vulnerabilidades, SLA de aplicação de patches por severidade e evidência de governação recente da remediação de vulnerabilidades.
  6. Forneçam evidência de segurança do produto, como descrição do ciclo de vida de desenvolvimento seguro, resumo de teste de intrusão, SBOM ou declaração de transparência de componentes e período de suporte de atualizações de segurança.
  7. Confirmem MFA, princípio do menor privilégio, registo, monitorização de acessos administrativos e direitos de auditoria do cliente ou de pedido de evidência.
  8. Descrevam exportação, eliminação, devolução, apoio à cessação e assistência à transição.
  9. Listem subcontratados materiais e dependências de TIC que suportam o serviço.
  10. Confirmem se os dados dos clientes são usados para treino, análise, melhoria do produto ou desenvolvimento de modelos de IA, e identifiquem o fundamento de licitude ou o modelo de instruções do subcontratante.

Depois pontue o fornecedor antes da negociação.

Domínio de requisitosCondição de aprovaçãoCondição de rejeição ou escalonamento
Evidência de segurançaRelatório de garantia atual, resumo de testes de segurança ou documentação equivalenteApenas declarações de marketing, sem evidência disponível
Preparação do subcontratante para GDPRDPA aceite antes da partilha de dados, subcontratantes subsequentes divulgadosDPA adiado para depois da integração ou termos vagos sobre subcontratantes subsequentes
Compromissos de incidentesPrazo contratual de notificação, contactos de escalonamento, suporte ao impacto no clienteO fornecedor recusa obrigações específicas de notificação ou cooperação
Tratamento de vulnerabilidadesCanal de divulgação, SLA de remediação baseado na severidade, evidência do processo de aplicação de patchesSem processo de divulgação ou sem compromissos de remediação
Cadeia de fornecimento das TICAlojamento, subcontratados e dependências críticas divulgadosO fornecedor não identifica prestadores a jusante críticos
Saída e resiliênciaExportação, eliminação, cópia de segurança e assistência à cessação documentadasSem evidência de exportação ou eliminação testada
AuditabilidadeDireito de solicitar evidência, inspecionar ou auditar de forma proporcionadaO fornecedor não permite garantia significativa após a assinatura

Por fim, atualize o Registo de Riscos e a Declaração de Aplicabilidade. O registo de tratamento de riscos deve mostrar por que razão os controlos ISO/IEC 27002:2022 5.19, 5.20 e 5.21 se aplicam, que requisitos contratuais e técnicos foram selecionados, quem é proprietário do risco residual e que periodicidade de monitorização se aplica. Se o negócio pretender avançar apesar das lacunas, utilize um registo formal de aceitação do risco com data de expiração, controlos compensatórios e aprovação executiva.

Cláusulas contratuais que convertem regulamentação em obrigações exigíveis

As expectativas de segurança devem tornar-se compromissos contratuais. Um certificado pode ser útil, mas raramente responde a todas as perguntas sobre o serviço exato, a localização dos dados, os subcontratados, o modelo de suporte, os compromissos de incidentes ou os direitos de saída.

Exigência regulamentarOrientação de política da ClarysecExemplo de cláusula contratual
DORA Article 30 direitos de auditoria e estratégia de saídaA Política de segurança de terceiros e fornecedores, cláusula 5.3.4, exige “Direitos de auditoria, inspeção e pedido de evidência de segurança”O fornecedor concorda em disponibilizar acesso à documentação de segurança relevante mediante aviso razoável e em apoiar a devolução ordenada dos dados, a eliminação e a transição do serviço após a cessação.
NIS2 Article 21 segurança da cadeia de fornecimento e tratamento de vulnerabilidadesA Política de Requisitos de Segurança das Aplicações, cláusula 5.4, exige prazos de remediação de vulnerabilidades e direitos de auditoria por terceirosO fornecedor deve manter um processo de divulgação de vulnerabilidades, notificar o Cliente sobre vulnerabilidades críticas com impacto no serviço e disponibilizar prazos de remediação baseados na severidade.
GDPR Article 28 obrigações do subcontratanteA Política de Cumprimento Legal e Regulamentar, cláusula 6.3.2, exige termos de DPA antes da partilha de dadosO Acordo incorpora um Acordo de Tratamento de Dados que rege dados pessoais, subcontratantes subsequentes, medidas de segurança, cooperação em caso de violação, retenção e eliminação.
Governação de serviços cloudA Política de Utilização da Cloud, cláusula 5.1, exige revisão e aprovação antes da implementação ou subscriçãoO fornecedor deve divulgar regiões de alojamento, localizações de cópias de segurança, controlos de cifragem, controlos de acesso administrativo e logs de acesso aos dados do cliente.
Expectativas CRA de segurança do produtoA Política de Requisitos de Segurança das Aplicações - PME, cláusula 5.3.2, exige divulgação de vulnerabilidades, tempos de resposta e aplicação de patchesO fornecedor deve fornecer evidência de segurança do produto, transparência de componentes quando aplicável, Divulgação Coordenada de Vulnerabilidades e compromissos de atualização de segurança.

Esta tabela é a ponte prática entre obrigações legais e trabalho de aquisição. Também ajuda jurídico, segurança e compras a negociar a partir da mesma linha de base de controlos.

Mapeamento de conformidade cruzada: um ficheiro de fornecedor, muitas obrigações

A vantagem de utilizar a ISO/IEC 27001:2022 como espinha dorsal é que um único ficheiro de garantia de fornecedor pode suportar várias conversas regulamentares.

ReferencialO que a aquisição deve provarFoco de controlo da Clarysec
NIS2Supervisão pela gestão, segurança da cadeia de fornecimento, aquisição segura, tratamento de vulnerabilidades, tratamento de incidentes, continuidade e práticas de cibersegurança dos fornecedoresClassificação do fornecedor, cláusulas de segurança, compromissos de vulnerabilidades e incidentes, monitorização de fornecedores
DORAEstratégia de terceiros de TIC, registo de acordos, diligência prévia, análise de concentração, cláusulas contratuais, direitos de auditoria, cooperação em incidentes e planos de saídaRegisto de fornecedores de TIC, classificação de criticidade, controlos contratuais, evidência de testes de resiliência, suporte à cessação
GDPRPapéis de responsável pelo tratamento e subcontratante, DPA antes do tratamento, segurança do tratamento, cooperação em caso de violação, governação de subcontratantes subsequentes, evidência de responsabilizaçãoGate de DPA, mapeamento de dados, lista de subcontratantes subsequentes, medidas técnicas e organizativas, compromissos de retenção e eliminação
Expectativas CRASegurança do produto, desenvolvimento seguro, divulgação de vulnerabilidades, suporte de atualizações, transparência de componentes e evidência de segurançaAnexo de segurança do produto no RFP, SBOM ou evidência equivalente, SLA de aplicação de patches, obrigações de divulgação de vulnerabilidades
NIST CSF 2.0Gestão do risco da cadeia de fornecimento, papéis de fornecedores, contratos, diligência prévia, monitorização, planeamento de incidentes e planeamento pós-cessaçãoAções de lacunas entre perfil atual e perfil-alvo, Registo de Riscos de fornecedores, periodicidade de monitorização
COBIT 2019 e prática de auditoria ISACAGovernação do sourcing, propriedade do risco, objetivos de controlo, evidência de processo e alinhamento benefício-risco-recursosRegistos de decisão, RACI, aceitação do risco, métricas, trilho de auditoria interna

O NIST CSF 2.0 é útil como camada de comunicação. A sua função GOVERN enfatiza a sensibilização jurídica, regulamentar, contratual, de privacidade e de dependências. Os seus resultados GV.SC de cadeia de fornecimento exigem processos de gestão do risco da cadeia de fornecimento, papéis de fornecedores, priorização de fornecedores por criticidade, requisitos contratuais, diligência prévia, monitorização, planeamento de incidentes e planeamento de cessação.

Isto mapeia de forma limpa para o Step 23 do Zenith Blueprint e para os controlos ISO/IEC 27002:2022 5.19 a 5.21, conforme mapeados nos Zenith Controls. Também dá aos conselhos de administração uma linguagem que compreendem: estado atual, estado-alvo, lacuna, risco, ação, proprietário e data.

O que os auditores vão perguntar

Um processo sólido de aquisição com segurança por exigência deve resistir a diferentes perspetivas de auditoria.

Um auditor ISO/IEC 27001:2022 começará pelo contexto e âmbito do SGSI. Perguntará se as interfaces e dependências de fornecedores estão incluídas, se os requisitos das partes interessadas incluem NIS2, DORA, GDPR e contratos de clientes, e se os riscos de fornecedores são avaliados de forma consistente no âmbito da metodologia de risco. Seguirá o trilho para o tratamento de riscos, a Declaração de Aplicabilidade, os controlos de fornecedores, a evidência operacional, a auditoria interna e a revisão pela gestão.

Um revisor DORA focar-se-á nas funções de negócio suportadas por TIC, funções críticas ou importantes, registos de dependências de terceiros, cláusulas contratuais, direitos de auditoria e acesso, cooperação em incidentes, testes de resiliência, estratégias de saída e risco de concentração. Se um SaaS suportar uma função crítica ou importante, um questionário leve de fornecedor não será suficiente.

Uma autoridade NIS2 perguntará como a organização avaliou as práticas de cibersegurança dos fornecedores, as vulnerabilidades de fornecedores diretos, o suporte à notificação de incidentes, as dependências de continuidade e as decisões de aquisição segura. Testará se a garantia de fornecedores suporta as obrigações próprias da organização ao abrigo do Article 21 e do Article 23.

Um revisor GDPR perguntará se os papéis de responsável pelo tratamento e subcontratante foram compreendidos antes de o tratamento começar, se um DPA ou termos equivalentes foram acordados antes da partilha de dados, se os subcontratantes subsequentes foram divulgados, se as medidas de segurança eram adequadas, se a cooperação em caso de violação é contratual e se a devolução ou eliminação dos dados é exigível.

Um auditor COBIT 2019 ou de estilo ISACA focar-se-á na governação e na responsabilização: quem aprovou o fornecedor, que risco foi aceite, se os requisitos da política foram seguidos, se as exceções são acompanhadas e se benefícios, risco e recursos foram equilibrados.

O seu pacote de evidência deve incluir classificação do fornecedor, aprovação do proprietário do negócio, avaliação de riscos, requisitos de segurança do RFP, respostas do fornecedor, DPA, anexo de segurança, SLA, direitos de auditoria, registo de subcontratantes subsequentes, compromissos de vulnerabilidades, cláusulas de incidentes, evidência de localização cloud, evidência de registo e cifragem, termos de saída, registos de reavaliação, exceções e mapeamento da Declaração de Aplicabilidade.

Padrões comuns de falha na compra de software

A primeira falha é tratar a aquisição como um fluxo de trabalho comercial e a segurança como um fluxo de trabalho técnico. Quando a segurança recebe o contrato, o negócio já se comprometeu psicologicamente, a data de implementação foi anunciada e a capacidade de negociação é fraca.

A segunda falha é a substituição de evidência. Um fornecedor apresenta um certificado, e o comprador assume que ele responde a todas as perguntas. A certificação pode ajudar, mas pode não cobrir o produto exato, a região de alojamento, o modelo de suporte, a cadeia de subcontratados, as obrigações de incidentes, a utilização de dados por IA ou os requisitos de saída.

A terceira falha é não identificar o risco a jusante. Um fornecedor SaaS pode depender de alojamento cloud, ferramentas de análise, plataformas de suporte, equipas offshore de desenvolvimento, fornecedores de modelos de IA e processadores de pagamentos. O controlo ISO/IEC 27002:2022 5.21 exige atenção à cadeia de fornecimento das TIC por detrás do fornecedor direto. No âmbito do DORA, isto liga-se à subcontratação e ao risco de concentração. No âmbito do GDPR, liga-se aos subcontratantes subsequentes. No âmbito da NIS2, liga-se às vulnerabilidades de fornecedores diretos e às práticas de cibersegurança dos fornecedores.

A quarta falha é linguagem fraca sobre incidentes. Um contrato que diga “o fornecedor notificará o cliente prontamente” pode não suportar alerta precoce NIS2, reporte faseado DORA, comunicações a clientes ou escalonamento interno. As cláusulas de incidentes precisam de prazos, acionadores, contactos, deveres de cooperação e obrigações de evidência.

A quinta falha é a falta de clareza nos direitos de saída. Se um fornecedor se tornar inseguro, não conforme, for adquirido, ficar insolvente ou deixar de ser adequado estrategicamente, o comprador precisa de exportação, eliminação, suporte à transição, desativação de contas e evidência de destruição. A saída não é uma reflexão jurídica posterior. É um controlo de resiliência.

Do gate de aquisição à garantia viva de fornecedores

A aquisição com segurança por exigência não termina na assinatura. Um ciclo de vida de fornecedores maduro ao estilo Clarysec tem cinco fases.

Fase do ciclo de vidaAtividade de controloRegisto de evidência
ProcuraNecessidade de negócio, dados e criticidade identificados antes da interação com o mercadoFormulário de receção, Classificação de dados, classificação de criticidade
SeleçãoO RFP inclui requisitos de segurança, privacidade, resiliência e garantia do produtoAnexo de RFP, respostas do fornecedor, ficha de pontuação
ContratoAs obrigações tornam-se exigíveis antes da assinaturaDPA, anexo de segurança, SLA, direitos de auditoria, cláusulas de incidentes e saída
IntegraçãoAcesso, configuração, registo, cifragem e fluxos de dados são validadosLista de verificação de integração, aprovações de acesso, evidência de configuração
OperaçãoO risco do fornecedor é monitorizado e reavaliadoPeriodicidade de revisão, evidência atualizada, incidentes, alterações, aceitação do risco

Para fornecedores de alto risco, a monitorização deve incluir renovação de evidência, reuniões de revisão de segurança, participação em exercícios de tabletop de incidentes, revisão de acessos, reporte de vulnerabilidades e patches, revisão de alterações de serviço e atualizações de subcontratantes subsequentes. Para fornecedores de menor risco, a revisão anual pode ser suficiente. A escalabilidade da ISO 27001, a proporcionalidade da NIS2 e a proporcionalidade do DORA suportam a adaptação, mas a adaptação deve ser justificada e documentada.

O próximo passo com a Clarysec

A próxima compra SaaS arriscada não vai esperar por uma reformulação perfeita da governação. Comece pelo próximo pedido de aquisição.

Utilize o Zenith Blueprint: roteiro de 30 passos de um auditor para implementar os controlos de relacionamento com fornecedores do Step 23 e os controlos de desenvolvimento externalizado do Step 21. Utilize os Zenith Controls para mapear os controlos ISO/IEC 27002:2022 5.19, 5.20 e 5.21 para NIS2, DORA, GDPR, NIST CSF 2.0 e expectativas de auditoria orientadas por COBIT. Utilize a biblioteca de políticas da Clarysec, incluindo a Política de segurança de terceiros e fornecedores, a Política de Requisitos de Segurança das Aplicações, a Política de Utilização da Cloud e a Política de Cumprimento Legal e Regulamentar, para tornar o gate exigível.

Antes da assinatura do próximo contrato, exija classificação do fornecedor, evidência de segurança, preparação do DPA, compromissos de incidentes, tratamento de vulnerabilidades, transparência sobre subcontratados, direitos de auditoria e termos de saída.

Isto é aquisição com segurança por exigência. É assim que os CISO convertem pressão regulamentar em poder de compra. É assim que os gestores de conformidade transformam obrigações sobrepostas num único ficheiro de evidência. É assim que os auditores veem que o risco de fornecedor foi considerado antes de a dependência ser criada. E é assim que os proprietários do negócio compram software mais rapidamente sem herdar risco não gerido.

Pronto para transformar a sua próxima compra de software num controlo preparado para auditoria? Explore a suite integrada de políticas da Clarysec, descarregue o Zenith Blueprint, reveja os Zenith Controls ou agende uma demonstração para criar um programa de aquisição com segurança por exigência que resista a NIS2, DORA, GDPR, expectativas CRA e ao escrutínio real de auditores.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article