PRO-ISIR-PB-07
Playbook — Terceiro / Fornecedor / Integração

← Lista Mestre

Objetivo

Gerir incidentes originados em, ou dependentes de, terceiros, fornecedores, integrações e serviços compartilhados, com coordenação formal e rastreável.

ETVX

  • E — Entry: Incidente declarado ou tipologia fortemente suspeita, severidade preliminar definida e caso aberto no system of record.
  • T — Task / Transform: Executar a resposta específica do cenário, sempre adotando o checklist da primeira hora, o padrão de evidências, a matriz de comunicação, o padrão de severidade, o recovery sign-off, a matriz RACI e o painel de métricas conforme aplicável.
  • V — Verify: Verificar se o cenário foi corretamente caracterizado, se o escopo foi estimado, se a resposta foi documentada e se as evidências e comunicações seguiram os padrões obrigatórios.
  • X — Exit: Cenário estabilizado, evidências registradas, comunicação tratada, recovery aprovado e remediações abertas.

Passos mandatórios do procedimento

  1. Adotar o checklist da primeira hora.
  2. Abrir trilha formal com o terceiro, registrar contrato, SLA, obrigações e contatos.
  3. Separar fatos confirmados pelo terceiro de hipóteses e limitações de visibilidade.
  4. Decidir mitigação local mesmo sem visão integral do ambiente do parceiro.
  5. Executar comunicação contratual e regulatória conforme a matriz de comunicação.

Evidências mínimas

Incident notice do terceiro, cronologia fornecida pelo parceiro, logs locais da integração, contratos, SLAs, trusts, segredos, tokens e trilhas de acesso.

Erradicação

Desativar integração insegura, rotacionar segredos, revogar trusts, exigir remediação do terceiro e revisar contrato e arquitetura.

Recovery e encerramento

Encerrar após escopo interno definido, integração revalidada ou substituída, decisão contratual/jurídica registrada e ações corretivas estruturais abertas.

Documentos complementares obrigatórios