SkillOperaçõesRevisão

Avaliação de Risco de Vendor

Avalia o risco de um vendor já contratado em cinco eixos (financeiro, segurança, dados, dependência e exit) com cadência anual.

Ações
PerfilOperações
ProfundidadeAlta
IdiomaPortuguês
Objetivo

Em uma frase.

Avaliar o risco de um vendor que **já está contratado**, em cinco eixos: financeiro, segurança da informação, exposição de dados, dependência crítica e plano de saída. A skill produz um scorecard de risco quantificado, com plano de mitigação por eixo e recomendação clara: continuar, mitigar, substituir ou descontinuar. Diferente de `vendor-evaluation` (que avalia vendor antes da contratação), esta skill é a auditoria recorrente do vendor já operando.

Aplicação

Quando
faz sentido.

Usar
  • Revisão anual de vendor crítico (obrigatória para SOC2, ISO27001).
  • Vendor passou por incidente público (vazamento, falha prolongada, mudança de controle).
  • Vendor mudou de dono, foi adquirido ou está em processo de fusão.
  • Renovação contratual se aproximando (90 dias antes).
  • Auditoria externa solicitou evidência de vendor management.
  • Vendor está consumindo % crescente do orçamento ou se tornou single point of failure.
Não usar
Prompt

Instruções
para a IA.

Passo 1 — Classificar criticidade e tier do vendor

Antes de avaliar, classificar:

| Tier | Critério | Cadência de revisão |

|---|---|---| | Tier 1 — Crítico | Processa dado sensível em volume; SPOF; SLA contratual com cliente final depende dele. | Anual + revisão após qualquer incidente. | | Tier 2 — Alto | Processa dado interno; impacto em operação se parar por dias. | Anual. | | Tier 3 — Médio | Importante mas substituível em semanas sem dor severa. | Bianual. | | Tier 4 — Baixo | Comoditizado, substituível em horas. | A cada renovação. |

A profundidade do checklist abaixo é proporcional ao tier. Tier 1 exige tudo; tier 4 pode pular eixos.

Passo 2 — Avaliar risco financeiro do vendor

Para tier 1 e 2, validar saúde financeira do vendor. Sinais a investigar:

- Receita e crescimento: estável, crescendo ou caindo?

- Rodada de funding recente: quando foi a última, em que estágio está? - Burn rate vs runway: se startup, quanto runway restante? - Mudança de CFO/CEO recente: sinal de instabilidade. - Layoffs recentes: especialmente em time de produto ou suporte. - Cobertura de imprensa negativa: processos, disputas, perda de clientes. - Concentração de clientes: se >50% da receita vem de poucos clientes, vendor é frágil. - Capacidade de operar pelo prazo do contrato: projeção de viabilidade.

Output: nota de 1-5 para risco financeiro, com justificativa.

Passo 3 — Avaliar postura de segurança da informação

Validar certificações e práticas:

- [ ] SOC2 Type II vigente (verificar tipo do report e exceptions).

- [ ] ISO 27001 vigente (se aplicável ao setor). - [ ] PCI-DSS (se processa cartão). - [ ] HIPAA (se processa dado de saúde). - [ ] Pen test recente disponível sob NDA. - [ ] Política de gestão de vulnerabilidades documentada. - [ ] MFA obrigatório para acesso ao painel admin. - [ ] Logs de auditoria acessíveis ao cliente. - [ ] Encryption at rest e in transit confirmado. - [ ] Processo de patching documentado. - [ ] Incident response plan documentado e testado.

Para vendor sem SOC2/ISO, pedir Security Questionnaire (CAIQ, SIG, ou customizado) e revisar respostas.

Output: nota 1-5 para postura de segurança, com lista de gaps.

Passo 4 — Avaliar exposição de dados sensíveis

Mapear o que o vendor vê:

- Tipos de dado: PII, dado financeiro, saúde, biométrico, credencial, etc.

- Volume: quantos registros / usuários. - Retenção no vendor: quanto tempo o dado fica no sistema deles. - Subprocessadores: vendor usa outros vendors? Lista pública atualizada? - Localização geográfica: onde o dado reside (EUA, UE, Brasil)? Conflita com LGPD/GDPR? - DPA (Data Processing Agreement): assinado e em vigor? - Direito de auditoria: contrato permite auditoria pelo cliente? - Notificação de breach: prazo contratual e canal definidos?

Para vendor que processa PII de clientes brasileiros, validar conformidade com LGPD via gdpr-data-handling-checklist.

Output: nota 1-5 para risco de dados, com inventário do que está exposto.

Passo 5 — Avaliar dependência crítica e SPOF

Mapear o quão dependente a empresa é deste vendor:

- O vendor é único provedor da função? Ou tem substituto disponível?

- Quanto tempo para migrar para alternativa (em semanas)? - Custo estimado da migração? - Há lock-in técnico (formato proprietário, dado preso em sistema fechado)? - Há lock-in contratual (multa pesada por término antecipado)? - O vendor é gargalo para outras operações? - Se vendor parar 1 dia, qual o impacto operacional / financeiro?

SPOF (Single Point of Failure) é o caso onde o vendor não tem substituto razoável. Para SPOF, plano de exit é obrigatório, mesmo que nunca seja usado.

Output: nota 1-5 para dependência (1 = facilmente substituível, 5 = SPOF total), com plano de mitigação.

Passo 6 — Avaliar SLA e cumprimento histórico

Olhar para o histórico real, não para o contrato:

- SLA contratual: uptime, latência, suporte, etc.

- Cumprimento dos últimos 12 meses: o vendor cumpriu? Quantos incidentes públicos? - Tempo médio de resposta do suporte. - Tempo médio de resolução para tickets críticos. - Service credits acionados nos últimos 12 meses.

Se o vendor falhou consistentemente no SLA, isso é risco operacional alto independente de outras notas.

Output: nota 1-5 para confiabilidade, com tabela de incidentes históricos.

Passo 7 — Construir plano de exit / migration

Para tier 1 e SPOFs, documentar o plano de saída antes de precisar dele:

- Alternativa(s) identificada(s) para o vendor.

- Custo estimado da migração (engenharia, licenças, downtime). - Tempo estimado da migração (semanas). - Como exportar o dado do vendor (formato, completude, propriedade). - Cláusula de transição assistida no contrato (até X meses de suporte do vendor durante migração). - Plano de comunicação interna se exit for acionado.

Plano de exit não precisa estar pronto para execução; precisa existir e ser plausível.

Passo 8 — Consolidar scorecard

Reunir as notas em uma tabela única:

| Eixo | Nota (1-5) | Peso | Nota ponderada |

|---|---|---|---| | Risco financeiro | 3 | 0.15 | 0.45 | | Segurança da informação | 4 | 0.25 | 1.00 | | Exposição de dados | 3 | 0.20 | 0.60 | | Dependência crítica | 5 | 0.20 | 1.00 | | Confiabilidade (SLA histórico) | 4 | 0.20 | 0.80 | | Total | | 1.00 | 3.85 / 5 |

Pesos podem ser ajustados pelo tier do vendor. Tier 1 pesa segurança e dependência mais alto.

Classificação: - 4.5-5.0: Risco baixo. Manter. - 3.5-4.4: Risco moderado. Manter com mitigações. - 2.5-3.4: Risco alto. Plano de mitigação obrigatório + reavaliação em 6 meses. - < 2.5: Risco inaceitável. Iniciar plano de substituição.

Passo 9 — Definir plano de mitigação

Para cada eixo com nota <4, definir ação:

- Mitigação contratual: renegociar cláusulas (SLA mais forte, direito de auditoria, notificação de breach mais curta).

- Mitigação técnica: reduzir exposição (segmentar acesso, reduzir dado enviado, criptografar antes de enviar). - Mitigação operacional: plano de redundância (backup vendor, capacidade in-house mínima). - Mitigação estratégica: iniciar busca por alternativa antes da renovação.

Cada mitigação tem owner, prazo e critério de sucesso.

Passo 10 — Emitir recomendação e registrar

Recomendação final em uma das quatro categorias:

- Continuar: vendor saudável, manter com revisão na próxima cadência.

- Continuar com mitigações: ações específicas com prazo. - Renegociar/substituir na renovação: não vai a tempo agora, mas reavaliação obrigatória ao renovar. - Iniciar substituição imediata: risco inaceitável, mesmo no meio do contrato.

Registrar no sistema de vendor management com: data, autor, scorecard completo, plano de mitigação, próxima revisão.
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).