ooligo
PT-BR
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
Assinar
Ferramentas Comparações Workflows Stacks Aprender
Verticais
RevOps Legal Ops Recrutamento e TA
Idioma
English Español Português (Brasil) 日本語 Français Deutsch
GitHub Assinar
TIPO · framework

Workflow de Due Diligence de Fornecedores

Última atualização 2026-05-03 Legal Ops

Due diligence de fornecedores é o processo de avaliar a postura de segurança, privacidade, financeira e de conformidade de um fornecedor terceiro antes de assinar um contrato — e reavaliar periodicamente depois. Co-detido por Legal Ops, Segurança, TI e Procurement, fica entre a solicitação de trazer um novo fornecedor e a assinatura real do MSA. Bem feito, é invisível para o negócio; mal feito, se torna um gargalo de procurement de 90 dias.

O workflow de cinco estágios

EstágioResponsávelOutput
1. IntakeSolicitante do negócioNome do fornecedor, caso de uso, tipos de dados, ARR esperado
2. TriagemProcurement / Legal OpsNível de risco (baixo / médio / alto), profundidade de diligência necessária
3. Coleta de diligênciaFornecedorQuestionário SIG/CAIQ, relatório SOC 2, certificados de seguro, demonstrações financeiras
4. RevisãoSegurança + Jurídico + TIAchados de risco, mitigações exigidas, termos de DPA e MSA
5. Aprovação / assinaturaChefe de departamento + ProcurementMSA assinado, fornecedor inscrito na cadência de gestão de fornecedores

O tempo total do ciclo deve ser 5-15 dias úteis para fornecedores de baixo risco, 30-60 dias para fornecedores de alto risco. Qualquer coisa mais longa é uma falha de processo, não uma falha do fornecedor.

Nível de risco

Três ou quatro níveis, baseados em acesso a dados e profundidade de integração:

  • Baixo. Sem dados pessoais, sem acesso a sistemas de produção, ARR abaixo de $25K. Exemplos: fornecedor de imagens de marketing, um contratante de design único. Diligência: MSA padrão, perfil do fornecedor.
  • Médio. Dados pessoais limitados (nomes/emails de funcionários), sem acesso a sistemas de produção, ARR $25K-$250K. Exemplos: ferramenta de gestão de projetos, software de agendamento. Diligência: questionário SIG-Lite, SOC 2 atual.
  • Alto. Dados pessoais substanciais ou acesso a sistemas de produção, ARR $250K+. Exemplos: CRM, plataforma de suporte ao cliente, fornecedores de AI processando interações de clientes. Diligência: SIG completo, SOC 2 + teste de penetração, DPA, verificação de seguro, verificação financeira.
  • Crítico. Infraestrutura crítica, acesso a dados regulados, pontos únicos de falha. Exemplos: provedor principal de infra em nuvem, processador de pagamentos, EHR para saúde. Diligência: SIG completo mais auditoria in loco, plano de continuidade de negócios, acordo de escrow, patrocinador executivo.

Fornecedores mal classificados para baixo são a fonte da maioria dos eventos materiais de risco de fornecedores. Default para o nível mais alto quando estiver em dúvida.

O que está em um SIG / CAIQ

O questionário Standardized Information Gathering (SIG) e o Consensus Assessments Initiative Questionnaire (CAIQ) da Cloud Security Alliance são os dois questionários de segurança de fornecedores dominantes. SIG é mais amplo (cobre dimensões operacionais, regulatórias, de continuidade de negócios); CAIQ é mais restrito e focado em nuvem.

Um SIG-Lite típico tem 100-200 perguntas cobrindo:

  • Políticas e governança de segurança da informação
  • Controle de acesso e gestão de identidade
  • Criptografia (em trânsito, em repouso)
  • Resposta a incidentes e notificação de violação
  • Continuidade de negócios e recuperação de desastres
  • Gestão de subprocessadores
  • Segurança de pessoal (verificação de antecedentes, treinamento)
  • Segurança de aplicações (SDLC, gestão de dependências)
  • Segurança física (data center, escritório)
  • Atestados de conformidade (SOC 2, ISO 27001, HIPAA, PCI conforme aplicável)

Fornecedores maduros mantêm respostas SIG/CAIQ pré-preenchidas sob solicitação, reduzindo dramaticamente o tempo de ciclo de diligência.

Como operacionalizar

  1. Portal de intake centralizado. Toda solicitação de fornecedor passa por um formulário, não contato direto entre o negócio e o fornecedor. O formulário captura os dados necessários para triagem.
  2. Nível automático no intake. Lógica de árvore de decisão roteia baixo/médio/alto com base em tipo de dados, ARR e profundidade de integração. Faça amostragem de 10% das classificações de nível baixo trimestralmente.
  3. Portal do fornecedor para coleta de diligência. O fornecedor faz upload do SIG, SOC 2, seguro, finanças para um portal controlado — não por email.
  4. Revisão augmentada por AI. Claude ou Spellbook revisa respostas do SIG contra os padrões do cliente, sinaliza lacunas, rascunha a lista de perguntas de volta ao fornecedor. O revisor humano foca em decisões de julgamento, não em comparação de texto.
  5. Recertificação anual. Cada fornecedor de nível alto recertifica anualmente; nível médio a cada dois anos. Mudanças de subprocessadores, renovações de SOC 2 e renovações de seguro acionam revisão provisória.

Armadilhas comuns

  • Diligência como gatekeeping, não como habilitação. Quando o objetivo se torna “encontrar razões para negar” em vez de “encontrar riscos para mitigar,” o negócio contorna a gestão de fornecedores. O bypass de procurement é o pior resultado possível.
  • Sem nível — todo fornecedor recebe SIG completo. Queima a boa vontade do fornecedor, atrasa os casos fáceis, não adiciona segurança nos difíceis.
  • Diligência única sem recertificação. A postura de um fornecedor muda; a diligência em arquivo fica desatualizada. Re-nivelar pós-incidente mesmo que a recertificação não esteja devida.
  • Sem rastreamento de mitigações. Um fornecedor aceito com condições (“deve implementar MFA em 90 dias”) precisa da mitigação rastreada até o fechamento. Sem isso, as condições são teatro.
  • Tratar fornecedores de AI como padrão. Fornecedores de AI levantam perguntas novas de diligência — uso de dados de treinamento, retenção de output de modelo, logging de prompt. SIG padrão não as cobre; adicione um adendo específico para AI.

Relacionados

Editar esta página no GitHub