Como usar registros de resiliência digital de terceiros

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

11 min. de leitura

Use a aplicação Registros de informações de terceiros de resiliência digital no Espaço de gestão de fornecedores para criar, atualizar e rastrear avaliações, filiais, entidades jurídicas e assim por diante, e manter registros de acordos contratuais com ICT provedores de serviço terceirizados.

Registros de terceiros de resiliência digital

A partir da versão 19.1.x, a aplicação Registros de informações de terceiros de resiliência digital é compatível com a conformidade DORA no Espaço de gestão de fornecedores.

A aplicação Registros de informações de terceiros de resiliência digital é usada para baixar o Registros de terceiros de resiliência digital. A aplicação contém o modelo Microsoft Excel que inclui todas as guias para fins de emissão de relatórios. Ele ajuda as entidades financeiras a manter um registro abrangente de seus acordos contratuais com ICT Provedores de serviços de terceiros nos níveis de entidade individual, subconsolidada e consolidada.

Você pode usar Registros de terceiros de resiliência digital para criar ou editar os registros em massa ou individualmente para avaliações, ramificações, contratos, funções, entidades jurídicas, cadeias de suprimentos, terceiros ou compromissos de terceiros usando o recurso de upload e download Microsoft Excel.

Nota:

Os usuários da licença IRM Professional podem acessar Registros de terceiros de resiliência digital no Espaço de Resiliência operacional. Os usuários da licença TPRM podem acessar Registros de terceiros de resiliência digital no TPRM Espaço.

A aplicação Registros de terceiros de resiliência digital cumpre várias funções para as entidades:

Auxilia as entidades a rastrear seus ICT riscos de terceiros.
Capacita as autoridades responsáveis em União Europeia a supervisionar ICT e a gestão de riscos de terceiros em entidades financeiras.
Ajuda Autoridades de supervisão europeias (ESA) na identificação de Terceiros provedores de serviços de TIC críticos (CTPP) para a supervisão de nível UE.

Para obter mais informações sobre como configurar Registros de terceiros de resiliência digital e seus possíveis casos de uso, consulte Configuração da Registros de terceiros de resiliência digital e Casos de uso para atualizar os registros de informações.

Resiliência operacional digital

Digital Resiliência operacional refere-se à capacidade de uma entidade financeira de criar, garantir e revisar sua integridade operacional e confiabilidade. Ele garante que a entidade tenha toda a gama de ICT capacidades relacionadas que são necessárias para proteger sua rede e sistemas de informações. Esses sistemas oferecem suporte ao fornecimento contínuo de serviços financeiros e mantêm sua qualidade, mesmo durante interrupções. A continuidade pode ser alcançada direta ou indiretamente com os serviços fornecidos pelos ICT provedores de serviço terceirizados.

Ato de resiliência operacional digital

Resiliência operacional O digital se alinha com oAto de resiliência operacional digital (DORA). É uma regulamentação União Europeia (UE) que entrou em vigor em 16 de janeiro de 2023 e será aplicável a partir de 17 de janeiro de 2025. Ele aprimora a ICT segurança das entidades financeiras supervisionadas pelos Autoridades de supervisão europeias (ESA)s e protege o setor financeiro da Europa contra grandes interrupções digitais.

Para obter mais informações sobre DORA e a aplicação Registros de informações de terceiros de resiliência digital, consulte https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act e Explorando Registros de terceiros de resiliência digital.

Criando registros para Registros de terceiros de resiliência digital

Os avaliadores de risco de terceiros (TPR) [sn_vdr_risk_asmt.vendor_assessor] e os gerentes de TPR [sn_vdr_risk_asmt.vendor_manager] podem criar e atualizar esses registros navegando até Registros de terceiros de resiliência digital em Espaço de gestão de fornecedores. Você deve criar ou atualizar esses registros em uma sequência específica. Para obter mais informações sobre essa sequência, consulte Como criar e revisar os registros.

Nota:

Os avaliadores e gerentes de TPR podem excluir registros de contrato, compromisso de terceiros e terceiros. Os administradores de TPR [sn_vdr_risk_asmt.vendor_risk_admin] podem excluir todos os tipos de registro navegando até cada registro individual e selecionando Excluir.

O exemplo a seguir mostra como os registros aparecem no Registros de terceiros de resiliência digital no Espaço de gestão de fornecedores.

Exemplo que mostra como os registros são mostrados no Registros de terceiros de resiliência digital.

Os registros a seguir podem ser criados e atualizados manualmente.

Entidades jurídicas

Você pode criar um registro de entidade jurídica navegando até Registros de terceiros de resiliência digital em Espaço de gestão de fornecedores. Aqui, você pode exibir as entidades jurídicas existentes e aprimorar suas informações de resiliência digital para cumprir as DORA regulamentações. Depois de instalar a aplicação Registros de informações de terceiros de resiliência digital, uma guia Entidades jurídicas é adicionada para empresas existentes que ainda não estão definidas como terceiros, permitindo que você adicione seus detalhes. O registro de entidade jurídica inclui campos essenciais para emissão de relatórios regulatórios, como Identificador de entidade jurídica (LEI), nome, país de registro e tipo de entidade. Esses campos são oferecidos como listas de seleção no sistema. O sistema reconhece a hierarquia da entidade, sem detalhes adicionais necessários para os primários finais, enquanto as subsidiárias devem especificar sua entidade primária. A data de registro de cada entidade jurídica também é anotada. Além disso, detalhes específicos como a última atualização, data de integração, status de remoção, data de exclusão, moeda usada e valor total de ativos são documentados para cada entidade, conforme exigido pelos reguladores de entidades que se envolvem com terceiros externos para serviços técnicos terceirizados. Os reguladores determinam esses detalhes específicos para entidades jurídicas que se envolvem com terceiros externos para serviços técnicos terceirizados.

Nota:

Os terceiros existentes não são mostrados na lista de Entidades jurídicas. Os registros da empresa só podem ser definidos como um terceiro ou uma entidade jurídica. Para empresas e entidades jurídicas, a opção Fornecedor está definida como Falso. (A caixa de seleção não está marcada.)

Para obter mais informações, consulte Criar uma entidade jurídica e aprimorar os dados de resiliência digital, Formulário Criar nova empresae Formulário Criar nova entidade jurídica.

Filiais

Você pode criar um registro de ramificação navegando até Registros de terceiros de resiliência digital em Espaço de gestão de fornecedores. Isso permite que você aprimore as informações de resiliência digital da filial para ajudar a garantir a conformidade com DORA regulamentações. Uma entidade jurídica pode operar várias filiais em diferentes cidades ou países, e todas essas filiais podem ser documentadas. Quando uma nova filial é estabelecida, suas informações devem ser incluídas para emissão de relatórios regulatórios. Alguns detalhes comuns capturados incluem o nome e a descrição da filial, detalhes do proprietário, unidades de negócios e departamentos para fins de emissão de relatórios, se a filial é uma matriz ou outro tipo, o ID da filial e seu país de origem. O número da filial é gerado automaticamente e, quando todos os detalhes estiverem completos, as informações estarão prontas para serem capturadas no registro de informações.

Para obter mais informações, consulte Criar uma ramificação e aprimorar dados de resiliência digital e Formulário Criar nova ramificação.

Função

Você pode criar um registro de função navegando até Registros de terceiros de resiliência digital em Espaço de gestão de fornecedores. Aqui, você pode adicionar detalhes como o identificador da função, a atividade da licença, o nome da função e a avaliação de criticidade ou importância. Cada função representa um serviço ou grupo de serviços específico, conforme definido pela Lei de Resiliência Operacional Digital (DORA). O registro de funções é usado para capturar informações detalhadas sobre cada função, incluindo texto descritivo. Depois que o registro de função é criado, você pode aprimorar suas informações de resiliência digital para ajudar a garantir a conformidade com DORA regulamentações, documentando efetivamente o uso do serviço ICT fornecido por terceiros.

Para obter mais informações, consulte Criar uma função e aprimorar dados de resiliência digital e Formulário Criar nova função.

Terceiros

Você pode acessar e exibir registros de terceiros existentes selecionando a lista de terceiros em Registros de terceiros de resiliência digital em Espaço de gestão de fornecedores. Depois de instalar o Registros de terceiros de resiliência digital, uma guia de informações de resiliência digital é adicionada à página de terceiros, permitindo que você configure os detalhes das informações de resiliência digital.

Aqui, você pode exibir o ID da entidade jurídica do terceiro, que pode ser capturado pelo número do Imposto sobre Valor Agregado (IVA) ou pelo Número de Registro da Empresa (CRN). Você pode especificar o país de registro e seu código, que o sistema usa para gerar o ID. Além disso, você pode indicar se o terceiro é um primário ou uma subsidiária, incluir o nome do ICT terceiro e o tipo de serviço que ele fornece (por exemplo, Software as a Service) e, opcionalmente, observar se um indivíduo atua em nome da organização. Você também pode selecionar a moeda da Emissão de relatórios e inserir a despesa anual total para este compromisso.

Para obter mais informações, consulte Crie um terceiro e aprimore os dados de resiliência digital, Formulário Criar nova empresae Criar novo formulário de provedor de serviços terceirizado de ICT.

Acordos

Você pode acessar e exibir registros de compromisso de terceiros existentes selecionando a lista Compromissos de terceiros em Registros de terceiros de resiliência digital em Espaço de gestão de fornecedores. Depois de instalar o Registros de terceiros de resiliência digital, a guia Informações de resiliência digital é adicionada à página de compromissos de terceiros, permitindo que você configure os detalhes das informações de resiliência digital.

Aqui você pode exibir o nome do terceiro, seu tipo, gastos anuais, nível de compromisso e outras informações relevantes. Você pode aprimorar as informações de resiliência digital do registro criando ICT registros de provedor de serviço de terceiros. Adicione ICT detalhes do provedor de serviço de terceiros, como o nome do provedor de serviço, seu código de identificação, tipo de ICT serviços, moeda e assim por diante. Isso aprimora as informações de resiliência digital do compromisso de terceiros associado para conformidade com a regulamentação DORA.

Para obter mais informações, consulte Crie um compromisso de terceiros e aprimore os dados de resiliência digital, Formulário Criar novo compromisso de terceirose Adicionar informações de resiliência digital a compromissos de terceiros.

Contratos

Você pode criar um registro de contrato navegando até Registros de terceiros de resiliência digital em Espaço de gestão de fornecedores. Aqui, você pode adicionar detalhes como nome do fornecedor, datas de início e término, estado, subestado e outras informações relevantes. Depois que o registro do contrato for estabelecido, você poderá aprimorar suas informações de resiliência digital para ajudar a garantir a conformidade com os regulamentos DORA.

O Registros de terceiros de resiliência digital fornece detalhes sobre quem em sua organização está usando serviços terceirizados ICT, quais funções e ramificações os estão usando e quem são os provedores terceirizados e seus compromissos. Os contratos servem como link entre esses aspectos, vinculando entidades jurídicas, ramificações e funções a terceiros e seus compromissos.

Você pode acessar esses contratos por meio da lista Contratos no Registros de terceiros de resiliência digital. Como alternativa, navegue até o registro de uma entidade jurídica específica, abra a guia Entidades jurídicas e acesse todas as informações de contrato associadas. Para exibir contratos de uma entidade jurídica, acesse o registro da entidade jurídica, abra a guia Entidades jurídicas e navegue até as diferentes guias relacionadas a contratos. Selecione o contrato desejado e navegue até a guia Informações de resiliência digital. Em seguida, prossiga para a guia Detalhes do contrato para exibir as informações necessárias. O formulário especifica quem usa o serviço ICT. Se a entidade que assina o contrato for diferente daquela que o está usando, esse detalhe será incluído no registro, junto com o provedor de serviços. Os detalhes capturados nesses registros podem incluir locais de armazenamento e processamento de dados, confidencialidade dos dados e dependência do provedor de serviços, detalhes do contrato e rescisão, avaliações anuais e números de referência contratual.

Para obter mais informações, consulte Criar um contrato e aprimorar dados de resiliência digital, Formulário Criar novo contratoe Formulário Criar novo acordo contratual.

Cadeias de suprimentos

Você pode criar um registro de cadeia de suprimentos navegando até Registros de terceiros de resiliência digital em Espaço de gestão de fornecedores. Aqui você pode capturar detalhes da cadeia de suprimentos, como o tipo dos serviços ICT, o identificador de entidade jurídica (LEI) da entidade que fornece os serviços ICT e assim por diante.

Para obter mais informações, consulte Crie uma cadeia de suprimentos e aprimore os dados de resiliência digital e Formulário Criar nova cadeia de suprimentos de serviço de ICT.

Avaliações

Você pode criar uma avaliação do registro de serviço ICT navegando até Registros de terceiros de resiliência digital em Espaço de gestão de fornecedores. Aqui, você pode adicionar detalhes como o número de referência do acordo contratual, código de identificação e tipo de código para o provedor de serviços de terceiros ICT. Depois que a avaliação é criada, você pode aprimorar suas informações de resiliência digital para ajudar a garantir a conformidade com a regulamentação DORA. É necessário revisar seus contratos e terceiros anualmente.

Adicione detalhes como o número de referência do acordo contratual, código de identificação e tipo de código para o provedor de serviços de terceiros ICT. Você pode aprimorar suas informações de resiliência digital para conformidade com a regulamentação DORA.

Para obter mais informações, consulte Criar uma avaliação e aprimorar dados de resiliência digital e Criar nova avaliação do serviço de ICT.

Para obter mais informações sobre as funções relacionadas ao uso de Registros de terceiros de resiliência digital, consulte Funções no Gestão de risco de terceiros.

Carregamento e download de registros

Além de criar registros individuais, os avaliadores e gerentes de TPR podem solicitar o download de registros usando o recurso de solicitações de download/upload do Excel. Para obter mais informações, consulte, Criar uma solicitação de download Microsoft Excele Criar novo formulário de solicitação de download/upload do Excel.

Nota:

Você precisa da função de administrador de RTP para editar e excluir solicitações de download/upload do Excel.

Os administradores de TPR podem criar e atualizar registros em massa usando o recurso de solicitações de download/upload do Excel. Para obter mais informações, consulte Criar registros em massa e Atualizar registros existentes em massa.

O exemplo a seguir mostra onde você pode exibir e criar solicitações de download/upload do Excel.

Exemplo que mostra onde você pode exibir e criar solicitações de download/upload do Excel.

Nota:

Se você tiver a função de revisor de avaliação de terceiros [sn_vdr_risk_asmt.vendor_assessment_reviewer], poderá exportar uma lista de cada tipo de registro navegando até a lista de registros desejados no Registros de terceiros de resiliência digital no Espaço de gestão de fornecedores.