Gestão de risco de terceiros (TPRM)
O que é Gestão de risco de terceiros (TPRM)?
Gestão de risco de terceiros (TPRM)Disciplina de ponta a ponta para identificar, avaliar, contratar, monitorizar e descontinuar terceiros, mantendo dentro do apetite os riscos ciber, operacionais e de conformidade introduzidos por eles.
O TPRM cobre todas as relações em que a organização depende de terceiros - fornecedores, prestadores, plataformas cloud, parceiros fintech, fornecedores de n-ésimo nível - para entregar resultados de negócio. Um ciclo típico inclui categorização por risco inerente, due diligence (questionários de segurança, SOC 2, ISO 27001, auditorias presenciais), salvaguardas contratuais (direito de auditoria, notificação de violações, cláusulas de dados), monitorização contínua (ratings, threat intel, atestações), tratamento de incidentes e descontinuação. Reguladores do setor financeiro (DORA, OCC, FFIEC), saúde (HIPAA) e privacidade (RGPD) impõem exigências cada vez mais prescritivas. Programas modernos integram TPRM com ERM, compras, jurídico e operações de ciber, prestando especial atenção à concentração e à cadeia de fornecimento.
● Exemplos
- 01
Programa TPRM por níveis com due diligence reforçada para fornecedores que tratam dados regulados.
- 02
Monitorização contínua de SaaS críticos via ratings de segurança e relatórios SOC.
● Perguntas frequentes
O que é Gestão de risco de terceiros (TPRM)?
Disciplina de ponta a ponta para identificar, avaliar, contratar, monitorizar e descontinuar terceiros, mantendo dentro do apetite os riscos ciber, operacionais e de conformidade introduzidos por eles. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Gestão de risco de terceiros (TPRM)?
Disciplina de ponta a ponta para identificar, avaliar, contratar, monitorizar e descontinuar terceiros, mantendo dentro do apetite os riscos ciber, operacionais e de conformidade introduzidos por eles.
Como funciona Gestão de risco de terceiros (TPRM)?
O TPRM cobre todas as relações em que a organização depende de terceiros - fornecedores, prestadores, plataformas cloud, parceiros fintech, fornecedores de n-ésimo nível - para entregar resultados de negócio. Um ciclo típico inclui categorização por risco inerente, due diligence (questionários de segurança, SOC 2, ISO 27001, auditorias presenciais), salvaguardas contratuais (direito de auditoria, notificação de violações, cláusulas de dados), monitorização contínua (ratings, threat intel, atestações), tratamento de incidentes e descontinuação. Reguladores do setor financeiro (DORA, OCC, FFIEC), saúde (HIPAA) e privacidade (RGPD) impõem exigências cada vez mais prescritivas. Programas modernos integram TPRM com ERM, compras, jurídico e operações de ciber, prestando especial atenção à concentração e à cadeia de fornecimento.
Como se defender contra Gestão de risco de terceiros (TPRM)?
As defesas contra Gestão de risco de terceiros (TPRM) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Gestão de risco de terceiros (TPRM)?
Nomes alternativos comuns: TPRM, Risco ciber de terceiros.
● Termos relacionados
- compliance№ 1199
Gestão de risco de fornecedores
Subconjunto do TPRM focado em avaliar e supervisionar fornecedores diretos, em especial as suas práticas de segurança, privacidade e resiliência operacional.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
- compliance№ 383
Gestão de riscos empresariais (ERM)
Abordagem integrada e transversal para identificar, governar e tratar riscos estratégicos, financeiros, operacionais, de conformidade e cibernéticos, alinhada aos objetivos do negócio.
- compliance№ 1063
SOC 2
Norma de atestação do AICPA segundo a qual um auditor independente avalia os controlos de uma organização prestadora de serviços face aos Trust Services Criteria.
- compliance№ 557
ISO/IEC 27001
Norma internacional que define os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) e permite certificação formal das organizações.
● Veja também
- № 351DORA