🤝 Formação Mínima para Terceiros e Fornecedores
Este documento define os conteúdos mínimos obrigatórios de capacitação em segurança para todos os colaboradores externos com acesso técnico relevante - incluindo fornecedores, contractors e equipas externas - assegurando rastreabilidade e validação formal antes da atribuição de permissões.
🎯 Objetivo
- Assegurar que terceiros cumprem os mesmos critérios mínimos de segurança que os colaboradores internos
- Garantir validação formal do conhecimento aplicado
- Reduzir o risco de erro, exposição ou acesso indevido por desconhecimento
- Padronizar a exigência formativa em processos contratuais e operacionais
🧭 âmbito de aplicação
Este modelo aplica-se a:
- Prestadores de serviços com acesso a código, infraestrutura ou dados sensíveis
- Consultores, freelancers ou contractors integrados tecnicamente
- Fornecedores com acesso contínuo (ex: via VPN, GitHub, ADO, bastion)
- Equipas externas integradas em squads, SCRUMs ou DevOps internos
📋 Conteúdos mínimos obrigatórios
| Tema | Descrição | Formato sugerido |
|---|---|---|
| Política de segurança interna | Regras, comportamentos esperados, canais formais | PDF institucional ou vídeo curto |
| PR seguro | Padrões mínimos de submissão, exemplos positivos e negativos | Guia + quiz prático |
| Gestão de segredos | O que não deve ser submetido (ex: .env, tokens hardcoded) | Demonstração guiada |
| Fluxo de permissões | Esquema: permissões só após validação completa | Checklist de projeto |
| Contacto de apoio | SPOC ou canal para suporte técnico e de segurança | Email, Teams, Slack |
✅ Validação obrigatória
Todos os terceiros com acesso técnico devem:
- ✅ Confirmar leitura e compreensão dos materiais
- ✅ Realizar quiz de validação de conhecimento com resultado ≥ 80%
- ✅ Ter um registo formal de onboarding técnico arquivado
- ✅ Receber permissões técnicas apenas após validação formal
Registo obrigatório:
| Campo | Exigido? |
|---|---|
| Nome completo | ✔️ |
| Empresa / fornecedor | ✔️ |
| Email de contacto | ✔️ |
| Data de conclusão | ✔️ |
| Resultado do quiz | ✔️ |
| Validador interno | ✔️ |
🔗 Integração com processos internos
| Processo | Aplicação do modelo |
|---|---|
| Checklists de onboarding | Validar terceiros com base nos mesmos critérios do Cap. 13 |
| Contratos e cláusulas | Incluir referência à formação como condição de acesso |
| Gestão de acessos | Bloquear acessos até cumprimento formal do processo |
| Auditorias e compliance | Usar os registos como evidência objetiva de controlo aplicado |
🧩 Ligações a outros documentos
| Documento | Relevância prática |
|---|---|
04-modelo-inclusao-terceiros.md | Estratégia global de onboarding de terceiros |
03-checklist-onboarding.md | Checklist rastreável aplicável a todos os perfis |
trilho-formativo.md | Referência cruzada por função e risco |
14-governanca-contratacao.md | Cláusulas contratuais e responsabilidades formais |
📌 A inclusão de terceiros exige o mesmo rigor aplicado à equipa interna:
formação, validação, rastreabilidade, responsabilização.Este modelo reduz riscos de supply chain e reforça a capacidade de governação da organização.