Com o aumento da terceirização nas empresas, os aspectos legais envolvidos assim como os riscos relacionados à segurança da informação aumentam. Passa a ser essencial ter políticas com regras claras para tratar sobre o uso dos recursos tecnológicos e dos dados da empresa pelos terceiros que acabam por acessar o perímetro físico e lógico do contratante.

Muitas vezes, as empresas acabam menosprezando ou subestimando o risco nos terceiros ou terceirizados. Isso acontece desde uma escola que cede espaço para uma lanchonete, mas que aqueles que vão explorar o comércio de alimentos estão com equipes com celulares fazendo “selfies” com alunos publicando na web, o que já provoca um vazamento de informação de dentro da instituição de ensino. Como analogia, o mesmo com um refeitório em empresa que terceiriza esta parte de alimentação, pode ou não tirar fotos, gravar áudios e vídeos ali de dentro e publicar, ou sendo perímetro físico estaria sob regras de segurança e sigilo do ambiente de trabalho?

Não é por que um contrato é de baixo valor que o risco não é alto, que o impacto não deva ser considerado. Como acontece com terceirização de suporte de PABX, que faz manutenção em linha 0800 (que nos últimos anos sofreu ataque de fraude por quadrilhas), ou mesmo de impressão de etiquetas como as que podem carregar o preço de mercadoria, como uma nova coleção ainda a ser lançada e que não foi para loja. Este tipo de informação é extremamente estratégica e se cair em mãos erradas pode proporcionar espionagem industrial a concorrência desleal.

O pior cenário é não ter a regra clara junto ao terceiro ou terceirizado. Quando o assunto é segurança da informação, tem que ter regra até para a empresa que cuida da própria segurança. Afinal, quem vigia o vigia? Os CIOs tem que ter muito cuidado ao contratar teste de vulnerabilidade ou penetração, não é só assinar um NDA e vamos fazendo até o jurídico olhar o contrato. Puxadinho digital pode ser fatal.

Abaixo um check-list de blindagem legal do ponto de vista documental e de compliance para os terceirizados, bem como o status do Projeto de Lei nº 30, de 2015 (**) sobre terceirização que devemos ficar de olho. Para quem quiser saber mais e acompanhar o assunto, recomendo acessar o link com os webnários gratuitos sobre este tema e outros das novas competências da Sociedade Digital que desafiam os gestores das empresas: https://www.eventials.com/ppptreinamentos/

Check-List:

1. Política de Segurança da Informação específica do Terceirizado

2. Código de Conduta Ética específica do Terceirizado

3. Usar NDA pré-contratação (reuniões, RFPs, outros)

4. Contrato – áreas de compras e gestores atualizarem modelo para ter cláusula de confidencialidade, cláusula de segurança da informação, cláusula de que o mero acesso à recursos para realização da prestação de serviço por si só não configura vínculo empregatício, sobre jornada ou sobreaviso, cláusula de cessão de propriedade intelectual, cláusula de classificação da informação (em caso de dúvida tratar no mínimo como interna – não pública)

5. Aditivo de contrato ou Anexo ao Contrato – Procedimentos de Segurança da Informação – que deixe claro sobre mobilidade, uso de repositórios digitais para tráfego e compartilhamento de dados, uso de criptografia (padrão, tamanho de chave), descarte seguro (padrão), vedação tirar fotos, gravar ou filmar ambiente da empresa contratante, outros detalhes pertinentes

6. Termo de Responsabilidade Individual – assinado por cada equipe da empresa terceirizada. Exemplo: Contratos entre 2 Pessoas Jurídicas (Contratante e Contratado) + Termo de Responsabilidade é assinado por cada integrante da equipe da empresa contratada (PJ contratada assina + PF equipe contratada e envia uma via original assinada para a PJ contratante guardar como parte interessada do compromisso assumido pelo prestador do serviço de cumprir com regras éticas e de segurança da informação da empresa contratante)

7. Controle Identidade (controle de login e senha, além de crachá – com expiração programada automática já definida prazo do contrato - renovável)

8. Controle de Acesso no Perímetro Físico e Lógico – termo de ciência e responsabilidade para acesso físico e lógico ao ambiente da empresa contratante, em que a pessoa da equipe terceirizada completa o formulário  e afirma se está acessando o local portando dispositivos com câmera, celular, notebook, tablet, outros, e autoriza desde já a inspeção e/ou vistoria física e a monitoração lógica com uso inclusive de DLP do dispositivo

9. Inserir vacinas legais nas interfaces gráficas dos sistemas que são acessados ou ficam acessíveis por terceirizados (deixe claro que o ambiente é confidencial, só para pessoas autorizadas, senha individual e intransferível, não gera vínculo, mero acesso não configura sobre jornada nem sobreaviso).