TPRM · Third-Party Risk Management

Conheça o Risco
que Vem de Fora
da sua Empresa

Fornecedores, parceiros e prestadores de serviço ampliam sua superfície de ataque. Identifique, avalie e monitore o risco de terceiros antes que eles se tornem o seu próximo incidente.

Solicitar Avaliação Como Funciona

alpinistas — vendor risk portal

Monitoramento ativo

Fornecedores

Mapeados e ativos

Risco Crítico

Requer ação imediata

Score Médio

B+

Posture geral da base

Fornecedores Críticos — Monitoramento em Tempo Real

TechCorp Brasil Tecnologia Crítico

CloudServ Ltda Infraestrutura Alto

DataPay S.A. Pagamentos Médio

HostingPro Hospedagem Baixo

Pipeline de Due Diligence

Questionário

Revisão Doc.

Validação

Aprovados

Sobre o Serviço

Seu perímetro não termina na sua rede

Cada fornecedor com acesso aos seus sistemas, dados ou processos representa uma porta de entrada potencial para ataques. Um programa de TPRM estruturado mapeia, avalia e monitora continuamente o risco que terceiros trazem para a sua operação — antes que o incidente aconteça.

NIST SP 800-161 ISO 27036 LGPD Art. 46

Visibilidade Total da Cadeia de Fornecimento

Mapeamos Tier-1, Tier-2 e Tier-3 — incluindo dependências ocultas que ampliam silenciosamente sua superfície de ataque

Monitoramento Contínuo de Posture

Alertas em tempo real quando o risco de um fornecedor ativo muda — vazamentos, CVEs públicos, mudanças de certificação

Conformidade com LGPD para Operadores

Garantia de que operadores de dados pessoais atendem ao Art. 46 da LGPD, com contratos revisados e evidências documentadas

O que Entregamos

Programa TPRM do início ao fim

Da identificação dos fornecedores à governança contínua, cobrimos cada etapa do ciclo de vida do risco de terceiros.

Inventário e Classificação de Fornecedores

Mapeamento completo de todos os fornecedores, categorização por nível de acesso, criticidade para o negócio e tipo de dado processado.

Avaliação e Due Diligence

Questionários customizados baseados no SIG, análise documental e verificação de certificações (ISO 27001, SOC 2) para novos fornecedores e renovações.

Monitoramento Contínuo

Vigilância permanente do posture de segurança dos fornecedores ativos via feeds de threat intelligence, dark web e verificações automatizadas de vulnerabilidades públicas.

Scoring e Gestão de Risco

Pontuação padronizada por fornecedor com matriz de risco inerente × residual, histórico de avaliações e painel consolidado de risco da base de terceiros.

Revisão de Cláusulas Contratuais

Análise e recomendação de cláusulas mínimas de segurança, SLAs de resposta a incidentes, direito de auditoria e responsabilidades em caso de vazamento de dados.

Resposta a Incidentes de Terceiros

Protocolo estruturado para lidar com violações e incidentes de segurança envolvendo fornecedores — desde a notificação imediata até o encerramento e lições aprendidas.

Por que Escolher

Terceiros são o elo mais fraco — e o menos monitorado

Mais de 60% dos incidentes de segurança têm origem em fornecedores ou parceiros. A Alpinistas estrutura um programa TPRM que transforma visibilidade em controle.

Cobertura Multicamadas (Tier-1, Tier-2, Tier-3)

Mapeamos não só os fornecedores diretos, mas também subcontratados e dependências da cadeia de suprimentos que passam despercebidos.

Metodologia baseada em padrões globais

Abordagem fundamentada em NIST SP 800-161, ISO 27036 e SIG Questionnaire — frameworks reconhecidos por reguladores e auditores.

Dashboards executivos em tempo real

Visibilidade instantânea do risco consolidado de toda a base de fornecedores — em linguagem de negócio para o C-Level e técnica para a equipe de segurança.

Integração com LGPD e programa GRC

O TPRM alimenta diretamente seu registro de riscos e documentação de conformidade, garantindo que operadores de dados atendam ao Art. 46 da LGPD.

200+

Fornecedores avaliados em programas gerenciados

Redução de incidentes originados em terceiros

100%

Cobertura de fornecedores críticos com due diligence

Anos gerenciando risco de terceiros no mercado brasileiro

Como Funciona

Do inventário ao monitoramento contínuo

Um processo estruturado em quatro etapas que transforma sua base de fornecedores de zona de risco em cadeia de suprimentos auditada e confiável.

Mapeamento

Inventariamos todos os fornecedores, classificamos por criticidade, nível de acesso à infraestrutura e tipo de dado que cada um processa ou armazena.

Avaliação

Aplicamos questionários customizados baseados no SIG, analisamos documentação técnica e validamos certificações de cada fornecedor com base no seu perfil de risco.

Monitoramento

Acompanhamento contínuo do risco de fornecedores ativos com alertas em tempo real via feeds de threat intelligence, dark web e escaneamentos automatizados.

Relatório e Governança

Dashboards executivos, relatórios de risco consolidados e planos de ação priorizados para tratamento de gaps nos fornecedores com maior exposição.

Metodologia

Padrões globais, aplicados ao contexto brasileiro

Nossa abordagem TPRM integra os principais frameworks internacionais de gestão de risco de terceiros com a realidade regulatória e operacional do Brasil.

NIST SP 800-161 — C-SCRM

Framework completo para Cybersecurity Supply Chain Risk Management, cobrindo identificação, proteção e resposta ao risco na cadeia de suprimentos de TI.

ISO 27036 — Segurança em Relações com Fornecedores

Norma internacional para gestão de segurança da informação em relacionamentos com fornecedores e parceiros de negócio, com cobertura de produtos e serviços de cloud.

SIG Questionnaire — Shared Assessments

Questionário padronizado globalmente para avaliação de controles de segurança de fornecedores, com mais de 1.400 perguntas organizadas por domínio.

LGPD Art. 46 — Operadores de Dados

Requisitos legais para garantir que operadores de dados pessoais mantenham nível adequado de proteção, com contratos revisados e evidências de conformidade documentadas.

Inventário Tier-1/2/3

Mapeamento multicamadas de dependências — fornecedores diretos e subcontratados invisíveis.

Matriz de Criticidade

Classificação de impacto × probabilidade por fornecedor, com priorização baseada em risco real.

Due Diligence Periódica

Ciclo de reavaliação automático baseado no perfil de risco de cada fornecedor — anual, semestral ou contínuo.

Cláusulas Contratuais

Requisitos mínimos de segurança em contratos — direito de auditoria, SLAs de notificação e penalidades por violação.

Right-to-Audit

Direito de auditoria garantido e executado em fornecedores críticos com acesso a sistemas e dados sensíveis.

Resposta a Incidentes

Protocolo de notificação e resposta quando um fornecedor é afetado — com contenção, comunicação e encerramento documentados.

Perguntas Frequentes

Tire suas dúvidas sobre TPRM

Respostas diretas sobre gestão de risco de terceiros e como estruturar um programa eficiente na sua empresa.

Falar com um Especialista

TPRM (Third-Party Risk Management) é o processo de identificar, avaliar e mitigar riscos de segurança provenientes de fornecedores, parceiros e prestadores de serviço. Estudos do setor mostram que mais de 60% dos incidentes de segurança têm origem em terceiros — fornecedores com acesso à rede, prestadores que processam dados sensíveis ou softwares de parceiros com vulnerabilidades. Um programa estruturado transforma esse risco invisível em algo gerenciável, com avaliações periódicas, contratos revisados e monitoramento contínuo. Sem ele, você está confiando na segurança de outras empresas sem nenhuma visibilidade ou controle.

O Art. 46 da LGPD estabelece que os agentes de tratamento (incluindo operadores, que são os fornecedores) devem adotar medidas técnicas e administrativas aptas a proteger dados pessoais. Isso significa que a empresa controladora — você — é corresponsável se um fornecedor violar dados pessoais dos seus titulares. A ANPD pode aplicar sanções mesmo que a falha tenha ocorrido no lado do fornecedor. Para estar em conformidade, é necessário ter contratos com cláusulas de segurança adequadas, realizar due diligence dos operadores de dados e garantir que eles implementem medidas mínimas de proteção. Isso é exatamente o que um programa TPRM entrega.

A priorização deve seguir uma matriz de criticidade baseada em dois eixos: nível de acesso e tipo de dado. Fornecedores com acesso direto à sua rede ou sistemas críticos (Tier-1) têm prioridade máxima, seguidos de prestadores que processam dados pessoais sensíveis ou financeiros. Fornecedores de software com integração via API, provedores de infraestrutura cloud e consultoras com acesso privilegiado também exigem avaliação imediata. Em geral, recomendamos iniciar pelo top 20% de fornecedores que representam 80% do risco real — o inventário inicial da Alpinistas identifica esse conjunto nas primeiras semanas do projeto.

A frequência de reavaliação deve ser proporcional ao nível de risco do fornecedor. Fornecedores críticos (acesso a sistemas core, processamento de dados sensíveis em grande volume) devem ser reavaliados continuamente via monitoramento automatizado e com avaliação formal anual. Fornecedores de alto risco: semestralmente. Fornecedores de médio e baixo risco: anual ou bienal. Além dos ciclos regulares, eventos-gatilho — como um incidente público envolvendo o fornecedor, mudança de controle societário ou renovação contratual — devem disparar uma reavaliação imediata independentemente do calendário.

O protocolo de resposta a incidentes de terceiros deve ser acionado imediatamente. O primeiro passo é avaliar o impacto potencial: quais dados ou sistemas seus foram acessados via esse fornecedor? Em seguida, acionar cláusulas contratuais de notificação e exigir um relatório de impacto formal. Se dados pessoais de titulares brasileiros foram afetados, pode haver obrigação de notificação à ANPD e aos titulares. O programa TPRM da Alpinistas inclui um runbook específico para esse cenário — com scripts de comunicação, checklist de avaliação de impacto e prazos regulatórios — para que sua equipe saiba exatamente o que fazer na hora do incidente, sem improvisar sob pressão.

Conteúdos

Acesse Nossos Materiais

Guias práticos, templates e artigos sobre gestão de risco de terceiros para apoiar a construção do seu programa TPRM.

E-book

Guia TPRM para empresas brasileiras: da identificação ao monitoramento contínuo

Passo a passo para estruturar um programa de risco de terceiros — do inventário inicial ao monitoramento em tempo real, com checklists e modelos prontos para usar.

Baixar grátis

Template

Questionário SIG adaptado para o mercado brasileiro

Versão do Shared Assessments SIG Questionnaire adaptada ao contexto regulatório brasileiro — avalie seus fornecedores em horas, não semanas.

Baixar grátis

Artigo

Como a LGPD mudou a responsabilidade das empresas sobre a segurança de seus fornecedores

Análise do Art. 46 da LGPD e como a corresponsabilidade por operadores de dados transforma o relacionamento com fornecedores em uma questão jurídica e de segurança.

Ler artigo

Conheça o Riscoque Vem de Forada sua Empresa