Redbelt
Segurança e Privacidade para fornecedores
1. OBJETIVO
Esta norma estabelece requisitos de Segurança da Informação e Privacidade que devem ser observados por todos os fornecedores e parceiros (doravante denominados coletivamente “Fornecedores”) que, no exercício de suas atividades, acessem, processem, armazenem, transmitam ou de qualquer forma tratem informações, sistemas ou dados pessoais de titularidade ou sob responsabilidade da Redbelt Security.
2. ABRANGÊNCIA
Esta norma aplica-se a todos os Fornecedores que, direta ou indiretamente:
- Acessem redes, sistemas, aplicações ou infraestruturas da Redbelt Security ou de seus clientes;
- Processem, armazenem ou transmitam dados pessoais cujo controlador seja a Redbelt Security ou cujo tratamento seja realizado sob sua responsabilidade ou;
- Prestem serviços gerenciados, de suporte técnico, consultoria, desenvolvimento, operações de segurança ou auditoria.
Enquadram-se como Fornecedores sujeitos a requisitos adicionais de privacidade aqueles que realizem tratamento de dados pessoais na condição de operador, conforme definido pela Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n.º 13.709/2018).
3. TERMOS E DEFINIÇÕES
| Termo | Definição |
|---|---|
| ANPD | Agência reguladora responsável por fiscalizar, orientar e regulamentar o tratamento de dados pessoais no Brasil, garantindo o cumprimento da LGPD. |
| Fornecedor | Pessoa jurídica ou física que, mediante contrato ou instrumento equivalente, presta serviços ou fornece bens à Redbelt Security, podendo ter acesso a sistemas, redes ou dados da organização ou sob sua responsabilidade. |
| Dado Pessoal | Informação relacionada a pessoa natural identificada ou identificável (art. 5.º, I, LGPD). |
| Dado Pessoal Sensível | Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico (art. 5.º, II, LGPD). |
| Operador | Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador (art. 5.º, VII, LGPD). |
| Controlador | Pessoa a quem competem as decisões sobre o tratamento de dados pessoais (art. 5.º, VI, LGPD). Nesta norma, a Redbelt Security atua como controladora dos dados de seus colaboradores, clientes e parceiros. |
| Incidente de Segurança | Evento ou série de eventos indesejados com probabilidade significativa de comprometer operações de negócio, ameaçar a segurança da informação ou a proteção dos dados pessoais. |
| DPO | Encarregado pelo tratamento de dados pessoais ou (DPO – Data Protection Officer), responsável por atuar como canal de comunicação entre a Redbelt Security, os titulares e a ANPD. |
4. RESPONSABILIDADES
- GRC / DPO (Redbelt Security): Emitir, revisar e atualizar esta norma; conduzir avaliações periódicas; avaliar os instrumentos contratuais de privacidade em conjunto com a Assessoria Jurídica.
- Gestor do Contrato (Redbelt Security): garantir que o cumprimento desta norma seja incorporado ao processo de contratação; acompanhar o desempenho do Fornecedor; comunicar ao canal oficial interno sobre qualquer incidente ou suspeita de não conformidade.
- Fornecedor: implementar e manter os controles exigidos por esta norma; notificar incidentes e não conformidades; cooperar com auditorias; assegurar o cumprimento por toda a sua cadeia de subcontratados.
- Departamento ADM/FIN: Orientar o fornecedor sobre o cumprimento dessa norma, nos termos da negociação.
- Assessoria Jurídica: Garantir as premissas e cláusulas contratuais relativas à Segurança da Informação e Privacidade.
5. DIRETRIZES
5.1. Comprometimento Organizacional
O Fornecedor deve:
- Manter políticas internas de segurança da informação e privacidade compatíveis com os requisitos desta norma, apresentando evidências quando solicitado pela Redbelt Security;
- Assegurar que todos os colaboradores e subcontratados com acesso a sistemas ou dados Redbelt recebam treinamento adequado em segurança da informação e privacidade antes do início das atividades e periodicamente;
- Comunicar à Redbelt Security qualquer alteração organizacional, societária ou tecnológica relevante que possa impactar os requisitos de segurança ou privacidade estabelecidos nesta norma.
5.2. Controle de Acesso
O Fornecedor deve assegurar que o acesso a sistemas, redes, aplicações e dados da Redbelt Security seja:
- Concedido estritamente aos colaboradores com necessidade funcional comprovada (princípio do menor privilégio);
- Baseado em autenticação individual e intransferível (é vedado o uso de credenciais compartilhadas);
- Protegido por autenticação multifator (MFA) para acesso remoto e a sistemas críticos sempre que possível;
- Formalmente revogado no prazo máximo de 24 horas após desligamento do colaborador ou encerramento do contrato;
- Registrado em logs de auditoria com retenção mínima de 12 meses, disponíveis para consulta pela Redbelt Security mediante solicitação fundamentada.
5.3. Proteção de Dispositivos e Endpoints
Os dispositivos utilizados pelo Fornecedor no acesso a sistemas ou dados da Redbelt Security devem:
- Possuir software anti malware ativo e atualizado;
- Manter sistemas operacionais e aplicações com patches de segurança aplicados tempestivamente;
- Utilizar criptografia em disco para dispositivos móveis e notebooks;
- Estar sujeitos a bloqueio automático de tela por inatividade;
- Não armazenar dados em dispositivos pessoais não gerenciados ou em mídias removíveis não autorizadas.
5.4. Segurança em Redes e Comunicações
O Fornecedor deve garantir que:
- O acesso remoto seja realizado exclusivamente por conexões criptografadas;
- Os ambientes sejam segregados de redes de uso geral ou de outros clientes;
- Transferências de dados utilizem protocolos seguros;
- Os registros de conexão (logs de rede) sejam mantidos com retenção mínima de 12 meses.
5.5. Gestão de Ativos e Informações
O Fornecedor deve:
- Manter inventário atualizado de todos os ativos (hardware, software, serviços em nuvem) utilizados no escopo das atividades Redbelt Security;
- Garantir que as informações da Redbelt Security sejam tratadas de acordo com a classificação de confidencialidade original. O rebaixamento da classificação só poderá ocorrer mediante aprovação prévia e documentada da Redbelt Security.
- Garantir que informações confidenciais não sejam armazenadas em e-mail pessoal, serviços de nuvem não homologados ou dispositivos pessoais;
- Assegurar a devolução ou destruição segura de todas as informações e ativos Redbelt ao término do contrato.
5.6. Segurança Física e do Ambiente
Quando as atividades envolverem processamento de informações em instalações do Fornecedor, este deve assegurar:
- Controle de acesso físico às áreas onde sistemas ou dados Redbelt Security sejam processados, com registro de entradas e saídas;
- Proteção contra ameaças ambientais (incêndio, alagamento, falha elétrica) nos ambientes de processamento;
- Política de mesa limpa e tela limpa implementada para colaboradores com acesso a informações confidenciais Redbelt;
- Proibição de acesso físico de visitantes não acompanhados a áreas de processamento das informações da Redbelt Security.
5.7. Gestão de Incidentes de Segurança da Informação e Privacidade
O Fornecedor deve:
- Manter procedimento documentado de detecção, contenção, erradicação e recuperação de incidentes de segurança da informação e privacidade;
- Notificar a Redbelt Security no prazo máximo de 24 horas após a confirmação de qualquer incidente de segurança que possa afetar sistemas ou dados Redbelt;
- Notificar a Redbelt Security no prazo máximo de 24 horas após identificação de indício de comprometimento de dados pessoais sob responsabilidade Redbelt;
- Cooperar integralmente nas atividades de investigação, contenção e comunicação do incidente a autoridades e titulares, quando aplicável;
- Preservar evidências forenses pelo prazo mínimo indicado pela Redbelt Security, que será definido assim que houver a comunicação do incidente.
5.8. Privacidade e Proteção de Dados Pessoais
Esta seção aplica-se a todos os Fornecedores que tratem dados pessoais na condição de operador em nome da Redbelt Security.
O Fornecedor deve:
- Tratar dados pessoais exclusivamente para as finalidades definidas no contrato, sendo vedado qualquer tratamento adicional sem autorização prévia e escrita da Redbelt Security;
- Não compartilhar, vender, ceder ou transferir dados pessoais recebidos da Redbelt Security a terceiros, salvo com autorização expressa ou exigência legal ou judicial;
- Implementar medidas técnicas e organizacionais adequadas à proteção dos dados pessoais (art. 46, LGPD);
- Manter registros das atividades de tratamento de dados pessoais realizadas em nome da Redbelt Security (art. 37, LGPD);
- Assegurar que sub operadores adotem nível de proteção equivalente ao exigido por esta norma, mantendo a Redbelt Security informada sobre subcontratações;
- Proibir transferências internacionais de dados pessoais Redbelt Security sem autorização prévia e verificação de mecanismo legal habilitante (cláusulas contratuais padrão, decisão de adequação, entre outros mecanismos válidos e validados pela ANPD);
- Ao término do contrato, eliminar ou devolver todos os dados pessoais conforme instrução da Redbelt Security, retendo apenas o estritamente necessário por obrigação legal.
5.9. Gestão de mudanças
Fornecedores devem notificar formalmente a Redbelt Security, por escrito e com antecedência mínima de 15 dias, sempre que ocorrerem mudanças relevantes que possam impactar o nível de segurança, privacidade ou continuidade dos serviços contratados, incluindo:
- Alterações significativas em infraestrutura tecnológica, arquitetura de sistemas ou ambiente de processamento de dados;
- Substituição ou saída de pessoal-chave com acesso a dados ou sistemas da Redbelt Security;
- Contratação ou substituição de subcontratados que atuem no escopo do serviço prestado à Redbelt Security;
- Ampliação, redução ou alteração do escopo de tratamento de dados pessoais.
5.10. Cadeia de Fornecimento (Supply Chain)
O Fornecedor é responsável pelo cumprimento desta norma em toda a sua cadeia de suprimentos envolvida na prestação de serviços à Redbelt Security, devendo:
- Notificar previamente a Redbelt Security sobre subcontratados com acesso a sistemas ou dados Redbelt;
- Incorporar requisitos equivalentes aos desta norma nos contratos com seus subcontratados;
- Responder perante a Redbelt Security pelos atos e omissões de seus subcontratados.
6. AUDITORIA E VERIFICAÇÃO DE CONFORMIDADE
A Redbelt Security reserva-se o direito de verificar o cumprimento dos requisitos desta norma por meio de:
- Envio de questionários de avaliação de Segurança da Informação e Privacidade periodicamente, conforme elegibilidade;
- Solicitar evidências documentais (políticas, procedimentos, logs, relatórios, certificados) sempre que necessário;
- Realizar auditorias in loco ou remotas, caso ache oportuno, mediante notificação prévia de pelo menos 15 dias úteis, salvo em situações de incidente ativo;
- Analisar relatórios de auditoria independente (Tipo SOC) ou certificado ISO fornecido pelo Fornecedor.
A identificação de não conformidades graves ou recorrentes pode ensejar a suspensão da prestação de serviço, podendo ocasionar em rescisão contratual e, quando aplicável, aplicação de penalidades previstas no instrumento contratual.
7. VIGÊNCIA, REVISÃO E ATUALIZAÇÃO
Esta norma entra em vigor na data de sua aprovação e deve ser revisada:
- Anualmente, como parte do ciclo de revisão do SGI;
- Quando da ocorrência de incidentes relevantes envolvendo Fornecedores;
- Em caso de alterações significativas na legislação aplicáveis ao contexto da Redbelt Security;
- A critério da própria Redbelt Security, diante de mudanças no modelo de negócio ou na base de fornecedores.
A norma ficará publicada em site institucional, mantendo sua versão mais atualizada para consulta pública.
8. CONTROLE DE VERSÕES
| Versão | Data | Descrição das Alterações | Elaborado | Aprovado |
|---|---|---|---|---|
| 1 | 30/06/2026 | Emissão inicial. | F. RezendeEspecialista GRC | C. LimaGerente GRC |