SkillOperaçõesRevisão
Avaliação de Risco de Vendor
Avalia o risco de um vendor já contratado em cinco eixos (financeiro, segurança, dados, dependência e exit) com cadência anual.
Ações
PerfilOperações
ProfundidadeAlta
IdiomaPortuguês
Objetivo
Em uma frase.
Avaliar o risco de um vendor que **já está contratado**, em cinco eixos: financeiro, segurança da informação, exposição de dados, dependência crítica e plano de saída. A skill produz um scorecard de risco quantificado, com plano de mitigação por eixo e recomendação clara: continuar, mitigar, substituir ou descontinuar. Diferente de `vendor-evaluation` (que avalia vendor antes da contratação), esta skill é a auditoria recorrente do vendor já operando.
Aplicação
Quando
faz sentido.
Usar
- Revisão anual de vendor crítico (obrigatória para SOC2, ISO27001).
- Vendor passou por incidente público (vazamento, falha prolongada, mudança de controle).
- Vendor mudou de dono, foi adquirido ou está em processo de fusão.
- Renovação contratual se aproximando (90 dias antes).
- Auditoria externa solicitou evidência de vendor management.
- Vendor está consumindo % crescente do orçamento ou se tornou single point of failure.
Não usar
- Para avaliar vendor **antes** da contratação → use vendor-evaluation.
- Para revisar contrato em si → use contract-review.
- Para revisar NDA específico → use nda-analyser.
- Para auditoria interna ampla de compliance → use compliance-checklist.
- Para mapear vendor dentro de plano de continuidade → use business-continuity-plan.
Prompt
Instruções
para a IA.
Passo 1 — Classificar criticidade e tier do vendor
Antes de avaliar, classificar:
| Tier | Critério | Cadência de revisão |
|---|---|---|
| Tier 1 — Crítico | Processa dado sensível em volume; SPOF; SLA contratual com cliente final depende dele. | Anual + revisão após qualquer incidente. |
| Tier 2 — Alto | Processa dado interno; impacto em operação se parar por dias. | Anual. |
| Tier 3 — Médio | Importante mas substituível em semanas sem dor severa. | Bianual. |
| Tier 4 — Baixo | Comoditizado, substituível em horas. | A cada renovação. |A profundidade do checklist abaixo é proporcional ao tier. Tier 1 exige tudo; tier 4 pode pular eixos.
Passo 2 — Avaliar risco financeiro do vendor
Para tier 1 e 2, validar saúde financeira do vendor. Sinais a investigar:
- Receita e crescimento: estável, crescendo ou caindo?
- Rodada de funding recente: quando foi a última, em que estágio está?
- Burn rate vs runway: se startup, quanto runway restante?
- Mudança de CFO/CEO recente: sinal de instabilidade.
- Layoffs recentes: especialmente em time de produto ou suporte.
- Cobertura de imprensa negativa: processos, disputas, perda de clientes.
- Concentração de clientes: se >50% da receita vem de poucos clientes, vendor é frágil.
- Capacidade de operar pelo prazo do contrato: projeção de viabilidade.Output: nota de 1-5 para risco financeiro, com justificativa.
Passo 3 — Avaliar postura de segurança da informação
Validar certificações e práticas:
- [ ] SOC2 Type II vigente (verificar tipo do report e exceptions).
- [ ] ISO 27001 vigente (se aplicável ao setor).
- [ ] PCI-DSS (se processa cartão).
- [ ] HIPAA (se processa dado de saúde).
- [ ] Pen test recente disponível sob NDA.
- [ ] Política de gestão de vulnerabilidades documentada.
- [ ] MFA obrigatório para acesso ao painel admin.
- [ ] Logs de auditoria acessíveis ao cliente.
- [ ] Encryption at rest e in transit confirmado.
- [ ] Processo de patching documentado.
- [ ] Incident response plan documentado e testado.Para vendor sem SOC2/ISO, pedir Security Questionnaire (CAIQ, SIG, ou customizado) e revisar respostas.
Output: nota 1-5 para postura de segurança, com lista de gaps.
Passo 4 — Avaliar exposição de dados sensíveis
Mapear o que o vendor vê:
- Tipos de dado: PII, dado financeiro, saúde, biométrico, credencial, etc.
- Volume: quantos registros / usuários.
- Retenção no vendor: quanto tempo o dado fica no sistema deles.
- Subprocessadores: vendor usa outros vendors? Lista pública atualizada?
- Localização geográfica: onde o dado reside (EUA, UE, Brasil)? Conflita com LGPD/GDPR?
- DPA (Data Processing Agreement): assinado e em vigor?
- Direito de auditoria: contrato permite auditoria pelo cliente?
- Notificação de breach: prazo contratual e canal definidos?Para vendor que processa PII de clientes brasileiros, validar conformidade com LGPD via
gdpr-data-handling-checklist.Output: nota 1-5 para risco de dados, com inventário do que está exposto.
Passo 5 — Avaliar dependência crítica e SPOF
Mapear o quão dependente a empresa é deste vendor:
- O vendor é único provedor da função? Ou tem substituto disponível?
- Quanto tempo para migrar para alternativa (em semanas)?
- Custo estimado da migração?
- Há lock-in técnico (formato proprietário, dado preso em sistema fechado)?
- Há lock-in contratual (multa pesada por término antecipado)?
- O vendor é gargalo para outras operações?
- Se vendor parar 1 dia, qual o impacto operacional / financeiro?SPOF (Single Point of Failure) é o caso onde o vendor não tem substituto razoável. Para SPOF, plano de exit é obrigatório, mesmo que nunca seja usado.
Output: nota 1-5 para dependência (1 = facilmente substituível, 5 = SPOF total), com plano de mitigação.
Passo 6 — Avaliar SLA e cumprimento histórico
Olhar para o histórico real, não para o contrato:
- SLA contratual: uptime, latência, suporte, etc.
- Cumprimento dos últimos 12 meses: o vendor cumpriu? Quantos incidentes públicos?
- Tempo médio de resposta do suporte.
- Tempo médio de resolução para tickets críticos.
- Service credits acionados nos últimos 12 meses.Se o vendor falhou consistentemente no SLA, isso é risco operacional alto independente de outras notas.
Output: nota 1-5 para confiabilidade, com tabela de incidentes históricos.
Passo 7 — Construir plano de exit / migration
Para tier 1 e SPOFs, documentar o plano de saída antes de precisar dele:
- Alternativa(s) identificada(s) para o vendor.
- Custo estimado da migração (engenharia, licenças, downtime).
- Tempo estimado da migração (semanas).
- Como exportar o dado do vendor (formato, completude, propriedade).
- Cláusula de transição assistida no contrato (até X meses de suporte do vendor durante migração).
- Plano de comunicação interna se exit for acionado.Plano de exit não precisa estar pronto para execução; precisa existir e ser plausível.
Passo 8 — Consolidar scorecard
Reunir as notas em uma tabela única:
| Eixo | Nota (1-5) | Peso | Nota ponderada |
|---|---|---|---|
| Risco financeiro | 3 | 0.15 | 0.45 |
| Segurança da informação | 4 | 0.25 | 1.00 |
| Exposição de dados | 3 | 0.20 | 0.60 |
| Dependência crítica | 5 | 0.20 | 1.00 |
| Confiabilidade (SLA histórico) | 4 | 0.20 | 0.80 |
| Total | | 1.00 | 3.85 / 5 |Pesos podem ser ajustados pelo tier do vendor. Tier 1 pesa segurança e dependência mais alto.
Classificação: - 4.5-5.0: Risco baixo. Manter. - 3.5-4.4: Risco moderado. Manter com mitigações. - 2.5-3.4: Risco alto. Plano de mitigação obrigatório + reavaliação em 6 meses. - < 2.5: Risco inaceitável. Iniciar plano de substituição.
Passo 9 — Definir plano de mitigação
Para cada eixo com nota <4, definir ação:
- Mitigação contratual: renegociar cláusulas (SLA mais forte, direito de auditoria, notificação de breach mais curta).
- Mitigação técnica: reduzir exposição (segmentar acesso, reduzir dado enviado, criptografar antes de enviar).
- Mitigação operacional: plano de redundância (backup vendor, capacidade in-house mínima).
- Mitigação estratégica: iniciar busca por alternativa antes da renovação.Cada mitigação tem owner, prazo e critério de sucesso.
Passo 10 — Emitir recomendação e registrar
Recomendação final em uma das quatro categorias:
- Continuar: vendor saudável, manter com revisão na próxima cadência.
- Continuar com mitigações: ações específicas com prazo.
- Renegociar/substituir na renovação: não vai a tempo agora, mas reavaliação obrigatória ao renovar.
- Iniciar substituição imediata: risco inaceitável, mesmo no meio do contrato.Registrar no sistema de vendor management com: data, autor, scorecard completo, plano de mitigação, próxima revisão.
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).