Gestão de Risco de Terceiros (TPRM) no contexto regulatório brasileiro: BACEN e LGPD

· #TPRM · #vendor risk · #BACEN · #LGPD

Gestão de Risco de Terceiros (TPRM — Third-Party Risk Management) é a disciplina de identificar, avaliar e monitorar os riscos que fornecedores, prestadores de serviço e parceiros introduzem em uma organização ao longo de todo o relacionamento. No domínio cibernético, a TPRM reconhece que a postura de segurança de um terceiro passa a integrar a exposição da própria organização que o contrata.

A fronteira de segurança de uma organização deixou de coincidir com o perímetro que ela controla diretamente. Provedores de nuvem, processadores de pagamento, integradores, plataformas de software como serviço e prestadores de suporte mantêm acesso a dados, sistemas e credenciais. Cada um desses relacionamentos amplia a superfície de ataque para além dos ativos próprios. A gestão de risco de terceiros é a resposta estruturada a essa realidade, e no Brasil ela deixou de ser prática recomendada para tornar-se requisito regulatório.

Por que a superfície de ataque inclui a cadeia de fornecedores

Um adversário busca o caminho de menor resistência. Quando os controles diretos de uma organização são robustos, o vetor de comprometimento frequentemente se desloca para um fornecedor com acesso privilegiado e postura de segurança inferior. O comprometimento de um único prestador com conectividade a múltiplos clientes pode propagar-se por toda a sua carteira, o que confere a esses relacionamentos um risco de concentração.

Essa dinâmica tem três consequências para a gestão de exposição:

O monitoramento da postura externa dos fornecedores é, portanto, parte integrante de qualquer programa de gestão da superfície de ataque (ASM). A superfície relevante para o risco da organização compreende os ativos expostos dos seus fornecedores críticos na medida do acesso e da integração que mantêm.

As exigências regulatórias brasileiras

Setor financeiro: a regulação de segurança cibernética do CMN e do BCB

O arcabouço brasileiro de segurança cibernética para o setor financeiro estabelece exigências explícitas quanto à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo a responsabilidade da instituição sobre a diligência de seus prestadores. A Resolução CMN nº 4.893/2021 dispõe sobre a política de segurança cibernética das instituições autorizadas a funcionar pelo Banco Central e sobre os requisitos para a contratação desses serviços. Resoluções conjuntas e normativos correlatos do Banco Central estendem princípios equivalentes a outros segmentos regulados, como instituições de pagamento.

Os elementos que esse arcabouço torna exigíveis, no que se refere a terceiros, incluem de forma consistente:

A leitura conjunta desses requisitos aponta para uma expectativa que ultrapassa a avaliação no momento da contratação. O dever de monitorar o serviço durante toda a relação implica acompanhamento contínuo da postura do prestador, para além de uma verificação de porta de entrada. Recomenda-se consultar o texto vigente das resoluções aplicáveis ao segmento específico, dado que o arcabouço é atualizado periodicamente.

LGPD: operadores, suboperadores e responsabilização

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estrutura o tratamento de dados pessoais em torno das figuras do controlador — quem decide sobre o tratamento — e do operador — quem realiza o tratamento em nome do controlador. Quando um operador subcontrata parte da atividade, surge a figura do suboperador, e a cadeia de responsabilidade se estende.

Dois pontos da lei são determinantes para a TPRM:

A responsabilização é solidária em hipóteses relevantes. A LGPD prevê que o operador responde solidariamente pelos danos causados quando descumprir as obrigações da legislação ou quando não tiver seguido as instruções lícitas do controlador. O controlador, por sua vez, responde pelas decisões de tratamento. A consequência prática é que a escolha e a supervisão de um operador integram o dever de diligência do controlador.

A segurança é obrigação de ambos. A lei impõe aos agentes de tratamento a adoção de medidas de segurança aptas a proteger os dados pessoais. Essa obrigação recai sobre operador e controlador, o que faz da postura de segurança do operador um objeto legítimo e necessário de verificação por parte de quem o contrata.

A Autoridade Nacional de Proteção de Dados fiscaliza o cumprimento dessas obrigações e detém competência sancionatória. A demonstração de diligência sobre a cadeia de operadores é, assim, um elemento de conformidade que a organização precisa poder evidenciar.

Avaliação pontual e monitoramento contínuo

A prática consolidada de gestão de risco de terceiros nasceu apoiada em questionários. O fornecedor responde a um formulário de segurança na fase de contratação, a organização arquiva as respostas e o relacionamento segue. Essa abordagem apresenta limitações estruturais que a tornam insuficiente diante das exigências atuais.

O questionário de segurança captura uma autodeclaração referente a um instante. Ele descreve o que o fornecedor afirma sobre sua postura no momento em que respondeu. A postura efetiva de segurança, contudo, varia continuamente: certificados expiram, serviços são publicados com configuração inadequada, ativos são expostos por engano, credenciais vazam. Um questionário respondido no início do contrato nada informa sobre o estado do fornecedor seis meses depois.

O monitoramento contínuo da exposição do fornecedor observa a postura externa do terceiro de forma recorrente, a partir de sua superfície publicamente observável, sem depender de autodeclaração. Essa observação evidencia o estado corrente da postura do fornecedor e sinaliza degradações à medida que ocorrem. As duas abordagens são complementares e cumprem funções distintas:

A combinação das duas responde à expectativa regulatória de acompanhamento durante toda a vigência do contrato e sustenta a demonstração de diligência tanto perante o Banco Central quanto perante a ANPD. Uma organização que apenas arquiva questionários dispõe de evidência de conformidade no momento da contratação; uma organização que monitora continuamente dispõe de evidência de conformidade em qualquer momento em que for demandada.

Estruturando um programa de TPRM defensável

Um programa de gestão de risco de terceiros à altura do arcabouço brasileiro se organiza em torno de alguns princípios operacionais:

A solução de risco de terceiros da CSURFACE foi concebida para sustentar esse programa, observando de forma contínua a postura externa dos fornecedores e integrando essa visão à gestão da superfície de ataque da organização contratante. O objetivo é permitir que a organização mantenha, a qualquer momento, evidência atual da diligência exercida sobre sua cadeia de terceiros — o padrão que BACEN e LGPD, cada um em seu domínio, tornaram exigível.

Perguntas frequentes

O que a legislação brasileira exige em relação ao risco de terceiros?

No setor financeiro, o arcabouço de segurança cibernética do CMN e do Banco Central exige verificação prévia da capacidade do prestador, previsão contratual de acesso à informação e monitoramento do serviço durante toda a vigência do contrato. A LGPD, aplicável a qualquer setor, responsabiliza controlador e operador pela segurança dos dados pessoais e prevê responsabilização solidária em hipóteses de descumprimento, o que torna a diligência sobre operadores parte da conformidade.

Um questionário de segurança é suficiente para cumprir as exigências?

O questionário documenta compromissos e cobre aspectos internos que escapam à observação externa, embora capture uma autodeclaração referente a um único instante. A expectativa regulatória de acompanhamento do serviço ao longo do contrato aponta para a necessidade de monitoramento contínuo da postura do fornecedor, que verifica de forma independente e recorrente o estado corrente de sua exposição.

O que diferencia o monitoramento contínuo da avaliação pontual?

A avaliação pontual descreve o que o fornecedor declara em um momento específico. O monitoramento contínuo observa a postura externa do fornecedor de forma recorrente e independente, evidenciando o estado atual de sua superfície e sinalizando novas exposições à medida que surgem. As duas abordagens são complementares.

Como o risco de terceiros se relaciona com a superfície de ataque?

Fornecedores com acesso a dados e sistemas estendem a superfície de ataque da organização. Seus ativos expostos passam a integrar o risco do contratante na medida do acesso que mantêm. Por isso, o monitoramento de terceiros é parte da gestão da superfície de ataque. Consulte o glossário para os termos técnicos citados.

Pronto para ver isso aplicado ao seu cenário?

Agendar Demonstração