Third-Party Security

Riscos

Acesso indireto aos sistemas internos
Um fornecedor comprometido pode ser explorado como ponte para atacar a organização. 

Exposição ou fuga de dados sensíveis
Terceiros que tratam informação crítica podem perdê-la ou sofrer ataques que a exponham.

Vulnerabilidades na cadeia de abastecimento Software, atualizações ou integrações podem trazer código malicioso, backdoors ou falhas graves.

Falta de controlo sobre práticas de segurança dos fornecedores Sem critérios claros, cada fornecedor opera ao seu nível — muitas vezes insuficiente. 

Impacto reputacional e legal
Uma violação provocada por um terceiro afeta diretamente a imagem, clientes e obrigações regulamentares (incluindo RGPD).

Boas Práticas

Avaliar fornecedores antes de contratar Verificar políticas de segurança, certificações, histórico de incidentes e maturidade técnica.

Definir cláusulas de segurança em contratos
e SLA
Incluir requisitos obrigatórios: encriptação, gestão de acessos, resposta a incidentes, auditorias, notificações obrigatórias, etc.

Monitorizar continuamente o risco dos fornecedores
Avaliações regulares, questionários, análises de segurança, monitorização de reputação e alertas de incidentes.

Controlar o acesso dos terceiros aos sistemas internos
Acesso mínimo necessário, segregação de redes, MFA, logs completos e revisões periódicas.

Estabelecer um processo de offboarding seguro Quando o serviço termina, remover acessos, recuperar equipamentos, apagar dados e garantir eliminação certificada.