CONDIÇÕES DE CONTRATAÇÃO SIMPLIFICADAS
CONDIÇÕES DE CONTRATAÇÃO SIMPLIFICADAS
Estas Condições de Contratação Simplificadas (“CCS”) são aplicáveis aos serviços e aos fornecimentos realizados à Suzano S.A. (ou qualquer empresa pertencente ao seu grupo econômico) (“Suzano”), devendo reger todas as contratações que as referem. A aplicação da presente CCS não depende da assinatura ou rubrica deste documento pelo Fornecedor (identificado no Pedido de Compra ou no Acordo de Fornecimento) ou pela Suzano, aplicando- se automaticamente a toda e qualquer contratação realizada pela Suzano com fornecedores de serviços ou bens. A aplicação da CCS exclui expressamente a aplicabilidade e/ou vigência de quaisquer outros entendimentos, contratos ou condições de contratação do Fornecedor e prevalecerá sobre todas e quaisquer avenças, sejam quaisquer forem, para todos os fins de direito.
OBjeTO
1.1. A presente CCS têm como objetivo regular as condições em que se dará a prestação dos serviços e/ou o fornecimento descrito no Pedido de Compra ou Acordo de Fornecimento emitido pela Suzano (“Pedido de Compra”).
1.2. As atividades e/ou entregáveis deverão observar as unidades ou locais estabelecidos no Pedido de Compra (“Local de Execução”), devendo sempre observar as normas e padrões técnicos aplicáveis.
1.3. As Partes estabelecem que o Fornecedor deverá respeitar e seguir todas as orientações da Suzano para entrada e permanência no Local de Execução.
1.4. O Fornecedor poderá subcontratar parte do objeto desta contratação mediante aprovação prévia e por escrito da Xxxxxx, ficando o Fornecedor integralmente responsável pela subcontratada e todos os seus empregados e/ou representantes. Toda a menção ou referência ao Fornecedor neste instrumento abrangerá eventual subcontratada.
1.5. Se aplicável ao objeto da contratação, garante o Fornecedor declarando, sob as penas da lei, que as mudas objeto destas CCS são de domínio público, sendo absolutamente vedado o fornecimento de qualquer tipo de cultivar, definido nos termos da Lei Federal n.º 9.456, de 25 de abril de 1997, de forma que o descumprimento desta obrigação acarretará, nos termos definidos nesta CCS, a sua extinção imediata, arcando o Fornecedor com todas as consequências relacionadas à utilização de mudas protegidas.
1.6. Quando aplicável ao objeto da contratação, qualquer alteração nos parâmetros legais e regulatórios aplicáveis a insumos adquiridos por meio destas CCS e/ou qualquer alteração feita na composição de produtos fornecidos, ainda que seja uma alteração em matéria-prima que não cause alteração de sua especificação técnica, deverá ser comunicada à Suzano com antecedência de
15 (quinze) dias sob pena de descumprimento contratual
1.7. Os documentos abaixo relacionados integram e constituem parte inseparável destas CCS, prevalecendo, em caso de contradição, as disposições deste
instrumento em relação às disposições dos anexos, que obedecerão a seguinte ordem de prevalência:
Anexo I – Programa Linha Mestra;
Anexo II – Lista de Documentos para Gestão Documental;
Anexo III – Princípios de Sustentabilidade/ESG; e
Anexo IV – Segurança da Informação.
VIGêNCIa
2.1. A contratação vigorará desde a data de aceitação do Pedido de Compra até o cumprimento integral das obrigações assumidas pelas Partes.
PReÇO e FORMa De PaGaMeNTO
3.1. O preço total a ser pago pela Suzano ao Fornecedor está identificado no(s) respectivo(s) Pedido(s) de Compra (“Preço”).
3.2. As Partes declaram, em caráter irrevogável e irretratável, que o Preço já contempla (i) todos os tributos incidentes sobre os serviços e/ou bens fornecidos, (ii) todos os custos relativos à mão de obra e equipamentos utilizados pelo Fornecedor, bem como eventuais variações na cotação de moeda estrangeira utilizada para a realização desta contratação, e (iii) todas as despesas com eventuais deslocamentos, hospedagem, alimentação, seguros e quaisquer outras que se fizerem necessárias em relação à mão de obra que o Fornecedor empregar na execução dos serviços e/ou do fornecimento de bens e que não tenham sido prévia e expressamente aprovadas por escrito pela Suzano.
3.3. O Preço será faturado e pago na forma descrita no Pedido de Compra, estando, se for o caso, sujeito ao cumprimento dos respectivos eventos de pagamento e medição acordados. O pagamento ocorrerá por meio de depósito em conta corrente, valendo o comprovante como prova de quitação. O vencimento do Preço (ou das parcelas do preço, conforme o caso) ocorrerá sempre no dia 01 (primeiro), 10 (dez) ou 20 (vinte) do mês (ou, no caso de sábado, domingo ou feriado, no dia útil subsequente) (“Data de Pagamento Suzano”), desde que os documentos de cobrança a serem emitidos pelo Fornecedor tenham sido recebidos na Suzano com pelo menos 07 (sete) dias úteis de antecedência. O atraso na entrega do documento de cobrança ensejará postergação da data de pagamento para a próxima Data de Pagamento Suzano, sem a incidência de quaisquer ônus.
3.4 Todas as faturas com divergência de preços e/ou impostos serão devolvidas pela Suzano e eventuais despesas e encargos em razão dessa devolução serão arcadas pelo Fornecedor.
GaRaNTIa
4.1. O Fornecedor é o único e exclusivo responsável pelas atividades contraídas por meio desta CCS, assumindo plena e integral responsabilidade pelas suas especificações e qualidade técnica, assumindo o compromisso de desempenhar suas atividades de acordo com a melhor técnica disponível no mercado.
4.2. O Fornecedor se obriga a, imediatamente após solicitação da Xxxxxx, refazer, corrigir e/ou substituir todo e qualquer serviço realizado e/ou bem
fornecido, que tenham sido considerados incorretos ou inadequados pela Suzano. Caso o Fornecedor se omita ou se recuse a executar a correção devida no prazo estabelecido pela Suzano ou, ainda, apresente qualquer espécie de negligência ou imperícia em relação ao refazimento, correção ou substituição dos serviços realizados e/ou bens fornecidos, a Suzano ficará autorizada a: (i) descontar os respectivos valores da(s) parcela(s) do Preço subsequente(s), ou (ii) realizar as retificações que sejam necessárias, por si ou por terceiros, devendo o Fornecedor reembolsá-la pelos custos incorridos.
OBRIGaÇõeS DaS PaRTeS
5.1. O Fornecedor se obriga a:
a) respeitar toda legislação aplicável, incluindo, mas não se limitando, à legislação civil, ambiental, fiscal, trabalhista e previdenciária no exercício de suas atividades, assim como todas as exigências e entendimentos emanados das autoridades públicas, em especial, se aplicável no que tange ao quanto disposto na Lei Federal n.º 9.456, de 25 de abril de 1997, seus regulamentos e/ou legislação que venha a substitui-la;
b) manter todas as licenças, especialmente de caráter ambiental, e autorizações necessárias ao exercício de suas atividades e ao cumprimento de suas obrigações decorrentes destas CCS válidas e eficazes, bem como cumprir com todas as exigências e condições determinadas nas referidas licenças e autorizações, incluindo-se, se aplicável, o Registro Nacional de Sementes e Mudas (RENA SEM);
c) com a promoção do trabalho digno, cumprindo a legislação trabalhista e de
saúde e segurança do trabalho aplicável, bem como a estar em conformidade com todas as obrigações trabalhistas e previdenciárias delas decorrentes, inclusive quanto à liberdade de associação, liberdade sindical e negociações coletivas.
d) conhecer o Código de Conduta do Fornecedor da Suzano, a Política de Compras Sustentáveis e a Política Corporativa de Direitos Humanos, cujos conteúdos estão disponíveis em xxx.xxxxxx.xxx.xx comprometendo-se a observá-las e cumpri-las, por si e/ou por suas afiliadas, pelas empresas de seu mesmo grupo econômico, seus representantes, empregados e fornecedores, irrestritamente, no que couber ao desempenho das suas atividades;
e) tratar e armazenar os dados pessoais que possa ou venha ter acesso em função da execução das atividades decorrentes das CCS estritamente de acordo com o disposto na Lei Federal n.º 13.709/2018 (“LGPD”), sempre observando os princípios da boa-fé, transparência e da segurança e demais legislações e princípios aplicáveis.
f) todo e qualquer incidente de segurança da informação (ou suspeita) que possam impactar a confidencialidade, integridade e disponibilidade das informações e/ou dos dados pessoais e/ou exercício de quaisquer de seus direitos relacionados deverá ser imediatamente reportado pela Fornecedor à Suzano, por meio dos e-mails xxxx@xxxxxx.xxx.xx e xxxxx@xxxxxx.xxx.xx.
g) não violar direito de propriedade intelectual, ou de qualquer outra natureza, de titularidade de terceiros no exercício de
suas atividades e no cumprimento deste instrumento;
h) garantir a procedência dos minerais eventualmente utilizados em seu fornecimento, considerando aspectos sociais e ambientais do processo de extração e produção, bem como que eles não contenham substâncias oriundas de regiões de conflito que financiem ou beneficiem direta ou indiretamente grupos armados;
i) reparar a Suzano por qualquer prejuízo que esta venha a sofrer por descumprimento de qualquer das obrigações assumidas pelo Fornecedor;
j) seguir rigorosamente as regras do Programa Linha Mestra (“Programa Linha Mestra”);
k) permitir que a Suzano inspecione e fiscalize, por si ou por terceiros, a execução das atividades sem que isto acarrete qualquer responsabilidade para a Suzano;
l) manter, por si, por seus representantes e por seus colaboradores, xxxxxx e confidencialidade integral de todas as informações trocadas, de forma escrita ou verbal;
m) respeitar e obedecer a todas as orientações da Suzano para entrada e permanência de seus colaboradores, representantes e/ou eventuais subcontratados no Local do Serviço, bem como os procedimentos para o controle mensal do cumprimento das obrigações de natureza trabalhista e previdenciária por parte do Fornecedor, as quais estão disponíveis no seguinte endereço eletrônico:
xxxx://xxx.xxxxxxx.xxx.xx/?xxxxxxxxxxx ntos;
n) priorizar a contratação de colaboradores locais para a execução das atividades objeto desta contratação;
o) observar incentivos fiscais e/ou regime de tributação que a Suzano tenha direito, cumprindo com as obrigações deles decorrentes.
ReSPONSaBILIDaDeS
6.1. Esta contratação não estabelece e não estabelecerá qualquer vínculo empregatício entre a Suzano e o Fornecedor e/ou seus representantes legais, empregados, prepostos, colaboradores e/ou subcontratados, autorizados ou terceiros, devendo o Fornecedor arcar com todas as obrigações relacionadas as suas atividades, incluindo encargos trabalhistas, previdenciários, fundiários e securitários.
6.2. O Fornecedor se obriga a defender, manter indene e a indenizar a Suzano de todo e qualquer processo e/ou ação judicial, assim como de qualquer demanda ou dívida, direta ou indiretamente, decorrente das obrigações do Fornecedor estabelecidas nesta contratação e/ou da relação mantida pelo Fornecedor com os seus empregados, representantes, prepostos ou subcontratados.
6.3. Caso a Suzano venha a ser demandada, extrajudicial ou judicialmente, o Fornecedor, no prazo de 15 (quinze) dias contados a partir de notificação da Suzano ao Fornecedor referente à demanda ou da citação de uma demanda plena e geral em relação à Xxxxxx.
6.3.1. Caso (i) a Suzano não seja excluída do polo passivo do processo judicial, por qualquer motivo, e/ou (ii) não seja obtida a quitação de que trata acima, em ambos os casos, no prazo estabelecido na mesma cláusula, a Suzano terá o direito (mas não a obrigação) de reter dos valores devidos ao abrigo desta contratação e/ou de qualquer outra relação contratual ou jurídica havida entre as Partes, o valor que (a) a Suzano tenha o risco de vir a ser obrigada a pagar no processo judicial e/ou (b) a Suzano tenha sido demandada extrajudicialmente.
6.4. Eventuais desembolsos, inclusive decorrentes de honorários de advogado e custas judiciais, ou prejuízos resultantes das hipóteses previstas nesta Cláusula poderão ser descontados, a critério da Suzano, dos pagamentos a serem efetuados pela Suzano ao Fornecedor até o momento em que a Suzano seja plenamente compensada e reembolsada de todos os custos e despesas ali referidos. Caso a presente contratação seja extinta, o Fornecedor deverá reembolsar a Suzano, em no máximo 72 (setenta e duas) horas após a notificação nesse sentido.
6.5. Sempre que parte da execução dos serviços e/ou fornecimento forem realizadas dentro das instalações da Suzano, o Fornecedor deverá os apresentar os documentos que comprovem suas obrigações trabalhistas e previdenciárias, nos termos do Anexo II, ficando sujeita à retenção de pagamento de qualquer parcela do Preço em caso de descumprimento desta obrigação;
6.5.1. Sempre que colaboradores do Fornecedor adentrarem às instalações da Suzano, o Fornecedor deverá cumprir rigorosamente o Programa Linha Mestra
(“Anexo I”), ficando sujeita ao pagamento de uma multa não compensatória no valor de R$ 3.500,00 (três mil e quinhentos reais) para cada Ato Faltoso e R$ 5.000,00 (cinco mil reais) para cada Falta Grave, nos termos do referido anexo;
6.6. O Fornecedor responderá por quaisquer perdas e danos causados à Suzano ou a terceiros, por sua ação ou omissão, bem como de seus representantes legais, empregados, colaboradores, prepostos, autorizados, subcontratados e/ou terceiros alocados na execução desta contratação, inclusive com relação a eventuais danos à propriedade.
6.7. No caso de descumprimento de qualquer obrigação estabelecida nesta CCS, a Parte ofensora ficará obrigada a pagar para a Parte inocente uma multa não compensatória no valor equivalente a 10% (dez por cento) do Preço da CCS.
6.8. O Fornecedor se obriga a concluir as atividades para execução da sua contratação nos prazos indicados na Pedido de Compra. Na hipótese de atraso o Fornecedor estará obrigado ao pagamento de multa moratória no valor equivalente a 0,5% (meio por cento) do Preço por cada dia de atraso na execução do fornecimento, limitada a 20% (vinte por cento) do Preço.
6.9. A Suzano, a seu exclusivo critério e de acordo com a sua conveniência, poderá, durante a vigência deste Pedido de Compra, ceder ao Fornecedor, em regime de comodato, um ou mais equipamentos, cavalos e/ou implementos mecânicos para a prestação dos Serviços (“Bem(ns) Cedido(s)”), sendo que as Partes deverão, no momento da entrega e da devolução do Bem Cedido, deverão realizar o Check List,
para atestar as condições de disponibilização do Bem Cedido à outra Parte.
6.9.1. O Fornecedor utilizará o Bem Cedido exclusivamente para realizar as atividades decorrentes deste Pedido de Compra, sendo o Fornecedor responsável pela guarda, uso e conservação dos Bens Cedidos. Na hipótese de qualquer avaria nos referidos Bens Cedidos, ficará obrigado o Fornecedor integralmente responsável pelo valor dos reparos necessários, considerando ser a Suzano autorizada a compensação dos valores dispendidos.
LeI ANTICORRUPÇãO BRaSILeIRa
7.1. As Partes, por si, suas afiliadas e empresas de seu mesmo grupo econômico, seus representantes, empregados, fornecedores e subcontratados, declaram, garantem e certificam que: (i) atuam em conformidade e se comprometem a cumprir, na realização de suas atividades, quaisquer disposições anticorrupção constantes de leis e regulamentos aplicáveis, incluindo, mas não se limitando, a Lei Anticorrupção Brasileira (Lei nº 12.846/2013), a Lei de Práticas de Corrupção no Exterior dos Estados Unidos (“US Foreign Corrupt Practices Act”) e a Lei de Suborno do Reino Unido (“UK Bribery Act”) (“Legislação Anticorrupção”); e (ii) adotam os mecanismos e procedimentos internos de integridade, treinamento, comunicação, auditoria e incentivo à denúncia de irregularidades para garantir o fiel cumprimento da Legislação Anticorrupção.
EXTINÇãO
8.1. Esta contratação poderá ser antecipadamente extinta nas seguintes hipóteses:
a) pelas Partes, no caso de inadimplemento de qualquer das obrigações estabelecidas nesta CCS, que não seja sanada no prazo de 10 (dez) dias após notificação por escrito;
b) pelas Partes, decretada ou requerida a falência, dissolução, liquidação ou recuperação, extrajudicial ou judicial, de qualquer das Partes;
c) pela Suzano, imediatamente, no caso de descumprimento de qualquer disposição da Lei Anticorrupção Brasileira, Princípios de Sustentabilidade/ESG, Segurança da Informação; e quaisquer regras estabelecidas pelo Código de Conduta do Fornecedor pelo Fornecedor, por suas afiliadas, empresas de seu grupo econômico, fornecedores, subcontratados, empregados ou representantes;
d) pela Suzano, a qualquer momento, imotivadamente, e sem quaisquer ônus, mediante comunicação ao Fornecedor com antecedência de 30 (trinta) dias da data pretendida para a rescisão.
8.2. No caso de extinção antecipada da relação estabelecida entre as Partes, excetuadas as hipóteses descritas nas alíneas (b) e (c) as Partes estabelecem uma multa rescisória no valor equivalente a 30% (trinta por cento) do Preço devida pela Parte infratora à Parte inocente, sem prejuízo do pagamento das perdas e danos causados.
8.3. Na hipótese de impossibilidade de cumprimento das obrigações em decorrência de comprovada situação de
caso fortuito ou força maior, que perdure por mais de 60 (sessenta) dias, a contratação poderá ser resolvida de pleno direito e automaticamente, sem a necessidade de qualquer formalidade adicional, e sem direito a multa ou indenização de Parte à Parte, a que título for.
DISPOSIÇõeS GeRaIS
9.1. Fica estabelecido que não se estabelece, por meio desta CCS, qualquer forma de exclusividade de Parte à Parte.
9.2. Nenhuma das Partes poderá ceder ou transferir, direta ou indiretamente, os direitos e obrigações aqui estabelecidos a quaisquer terceiros, sem a prévia e expressa concordância por escrito da outra Parte. Não obstante, a Suzano fica desde já autorizada pelo Fornecedor a ceder total ou parcialmente os direitos e obrigações estabelecidos nesta contratação a qualquer sociedade pertencente ao seu grupo econômico.
9.3. As Partes ajustam que é expressamente vedada a utilização e/ou referência de nome, marca, e/ou logo da Suzano (ou qualquer empresa pertencente ao seu grupo econômico) pelo Fornecedor, sem autorização prévia e por escrito da Xxxxxx. O Fornecedor reconhece de que as marcas Scott, Kleenex, Duramax e outras são de propriedade da Kimberly-Clark Worldwide, Inc. (“KCWW”) (“Marcas Licenciadas”) e foram licenciadas para a Suzano para importação, fabricação, comercialização e distribuição, através de qualquer canal, exclusivamente no Brasil, pela Xxxxxxxx- Xxxxx Commercial, LLC, uma afiliada da KCWW.
9.3.1. O Fornecedor consente que irá utilizar as Marcas Licenciadas de acordo com as diretrizes sempre previstas por escrito durante a vigência da relação comercial entre as Partes, e será consistente com altos padrões, reputação e imagem estabelecidos pela Xxxxxxxx-Xxxxx.
9.3.2. Quando solicitado pela Suzano, O Fornecedor fornecerá eventuais as informações e amostras de materiais de marketing / materiais de pontos de venda ou quaisquer outros materiais relacionados ao uso das marcas da Suzano ou das Marcas Licenciadas, para demonstrar o uso correto.
9.3.3. Se a Suzano determinar que suas próprias marcas ou as Marcas Licenciadas são usadas pelo Fornecedor de forma que não atende as diretrizes previstas, ou não alinhadas à reputação e imagem da marca, o Fornecedor deverá imediatamente deixar de comercializar ou distribuir o produto e/ou os materiais de marketing fora de conformidade às suas próprias custas, até a respectiva correção e aprovação da Suzano ser fornecida por escrito.
9.4. Todos os direitos e obrigações referidos neste instrumento podem ser liquidados por meio do mecanismo da compensação, nos termos do disposto nos artigos 368 e seguintes do Código Civil.
9.5. Nenhuma das Partes será considerada em mora ou inadimplente, nem ficará sujeita ao pagamento de qualquer indenização ou penalidade, se o atraso ou o descumprimento das obrigações decorrer de caso fortuito ou motivo de força maior, devidamente comprovado, nos termos do disposto no parágrafo único do artigo 393 do Código Civil Brasileiro.
9.6. Se, a qualquer momento após o início de vigência desta CCS, quaisquer de suas disposições forem declaradas como ilegais, nulas ou inexequíveis, a referida disposição não deverá prejudicar ou afetar por qualquer forma as demais, que permanecerão plenamente válidas e eficazes.
9.7. O presente instrumento configura título executivo extrajudicial, podendo, em virtude disso, ser objeto de ação de execução para fins de recebimento dos valores decorrentes das disposições constantes destas CCS e/ou para fins da exigência de obrigação de fazer ou de abstenção de qualquer das Partes.
9.8. A eventual abstenção ou tolerância por qualquer das Partes no uso de qualquer dos direitos, prerrogativas ou faculdades conferidas neste instrumento, não importará em renúncia ao exercício deste direito em outras oportunidades que se apresentarem, nem constituirá novação ou alteração contratual.
9.9. A presente contratação obriga as Partes e sucessores.
9.10. Esta CCS será regida e interpretada de acordo com as leis da República Federativa do Brasil.
FORO
10.1. Fica eleito o foro central da Comarca da Capital de São Paulo/Estado de São Paulo, para dirimir, dúvidas ou ações decorrentes da presente contratação.
ANEXO I
PROGRAMA LINHA MESTRA
Objetivo: O Programa Linha Mestra estabelece um conjunto de regras prioritárias de Segurança que devem ser seguidas rigorosamente na Suzano S.A., com o objetivo de desenvolver a Disciplina Operacional e o Comportamento Seguro nas atividades do dia a dia, associado a uma matriz de consequência, buscando a eliminação da exposição dos colaboradores (próprios e provedores) a riscos potenciais (graves) de acidentes e incidentes, fortalecendo a Cultura de Segurança da empresa em todos os níveis.
Regras da Linha Mestra: As regras prioritárias do Programa Linha Mestra foram estabelecidas por meio da avaliação dos principais riscos críticos nos processos, histórico de ocorrências e potencial de gravidade das lesões associadas.
Matriz Gestão de Consequências: A matriz de gestão de consequências estabelece os critérios adotados para aplicar medidas de responsabilização, na ocorrência de atos ou omissões que coloquem em risco a saúde ou a segurança da própria pessoa, das pessoas que trabalham ou transitam no local, gerando ou não acidentes, sendo enquadradas em Ato Faltoso ou Falta Grave.
<.. image(Calendário Descrição gerada automaticamente com confiança baixa) removed ..>
Falta Grave
A classificação de uma situação em Falta Grave ocorrerá sempre que uma das regras prioritárias do Programa Linha Mestra, estabelecidas para a área Industrial, Florestal, Centros de Distribuição e Portos, for descumprida.
Também será considerada uma situação de Falta Grave, expor-se ou expor pessoas a situações de Risco Grave e Iminente.
Risco Grave e Iminente
Segundo a NR 3, “considera-se grave e iminente risco toda condição ou situação de trabalho que possa causar acidente ou doença com lesão grave ao trabalhador”.
Grave é um adjetivo que caracteriza algo perigoso, sério, severo. Já iminente qualifica algo que está prestes a acontecer, em vias de efetivação. Ou seja, o primeiro classifica a gravidade da situação e o segundo, as chances de ela acontecer. Ambos, então, servem para caracterizar os riscos na saúde e segurança do trabalho.
Ato Faltoso
Ato faltoso é o não cumprimento das normas, instruções ou procedimentos expedidos relativos a segurança e saúde ocupacional, que não estejam enquadradas nas regras do Linha Mestra consideradas como falta grave.
Registro de Ato Faltoso e Falta Grave
A Suzano incentiva toda comunicação de ocorrências visando permitir que se elabore um sistema de análise para evitar a recorrência do fato, através do estabelecimento de planos de ação.
Qualquer pessoa que esteja nas unidades de negócio da Suzano S.A. tem o dever de relatar uma situação de exposição ao risco de acidente, principalmente quando se caracterizar nas regras no Programa Linha Mestra, devendo ter a iniciativa de solicitar apoio da área de Segurança do Trabalho para o preenchimento do Relatório de Análise de Ocorrência.
Como evidência para o registro de uma ocorrência poderá ser utilizada registro fotográfico, registro CFTV e/ou testemunha presente no local da ocorrência.
Na ausência de outras testemunhas, será considerado o relato do colaborador referente a situação identificada, para posterior análise dos fatos.
Na impossibilidade de registrar com foto, o cenário deve ser simulado para melhor representar a ocorrência.
RISCOS E REGRAS COMPORTAMENTAIS – INDUSTRIAL E CENTROS DE DISTRIBUIÇÃO
<.. image(Interface gráfica do usuário, Aplicativo, Teams Descrição gerada automaticamente) removed ..> | <.. image(Interface gráfica do usuário Descrição gerada automaticamente com confiança média) removed ..> | |
RISCOS E REGRAS COMPORTAMENTAIS – FLORESTAL
RISCOS E REGRAS COMPORTAMENTAIS – PORTUÁRIA
ANEXO II
LISTA DE DOCUMENTOS PARA GESTÃO DOCUMENTAL
DOCUMENTOS DE GESTÃO DOCUMENTAL
(referente aos empregados que forem colocados à disposição para o cumprimento do presente contrato)
A- REFERENTE A OBRIGAÇÕES TRABALHISTAS
1 FOLHA DE PAGAMENTO
2 R.E. FGTS – SEFIP/GFIP
3 RECIBOS DE PAGAMENTO DE SALÁRIOS
4 RECIBO DE FÉRIAS
5 GPS INSS
6 GRF DO FGTS
7 TERMO RESCISÃO DO CONTRATO DE TRABALHO
8 GRRF + DEMONSTRATIVO (40% MULTA FGTS SOBRE A RESCISÃO)
B- REFERENTE A SEGURANÇA E MEDICINA DO TRABALHO
1 PPRA OU PCMAT
2 PCMSO
3 CIPA
4 EXAMES ADMISSIONAL, PERIÓDICO, DE RETORNO AO TRABALHO, DE MUDANÇA DE FUNÇÃO E DEMISSIONAL
C- REFERENTE A INSTRUÇÃO NORMATIVA MTB. 03/97
1 REGISTRO DO FUNCIONÁRIO
2 CONTROLE DE JORNADA DE TRABALHO NOS TERMOS DA LEI
3 CONTRATO DE TRABALHO
4 RELAÇÃO ANUAL DE INFORMAÇÕES SOCIAIS
5 LIVRO DE INSPEÇÃO DO TRABALHO
6 LIVRO DE INSPEÇÃO DA ÁREA DE SEGURANÇA
7 LIVRO ATA CIPA, SE A TANTO ESTIVER OBRIGADA, POR FORÇA DO DISPOSTO NA NR. 05
8 ARTS, SE APLICÁVEL.
D- OUTROS
1 RELAÇÃO DOS EMPREGADOS ADMITIDOS E DISPENSADOS
2 ACORDO SINDICAL DA CATEGORIA
Obs1: Todos os documentos em cópia simples.
Obs2: A entrega de documentação trabalhista não se restringe aos documentos aqui citados. Havendo necessidade, outros documentos poderão ser solicitados.
ANEXO III
PRINCÍPIOS DE SUSTENTABILIDADE/ESG
Preâmbulo
A sustentabilidade é parte inerente do negócio da Xxxxxx e está totalmente integrada à sua estratégia e visão de longo prazo.
Os princípios de sustentabilidade estabelecidos neste documento representam diretrizes sociais, ambientais e de governança que norteiam a atuação da Suzano na sua cadeia de valor, visando à construção de uma sociedade mais justa e sustentável.
A Xxxxxx também acredita que os diferentes elos da sua cadeia de valor são parte essencial nesta construção. Nesse sentido, a Suzano incentiva a adoção de compromissos, iniciativas e estratégias de sustentabilidade no desempenho empresarial, com maior foco no contexto ambiental, social e de governança (Critérios ESG - Environmental, Social and Governance) pelos seus fornecedores, estimulando a adoção dos princípios descritos neste documento (“Princípios ESG”).
1. Princípios ambientais
1.1. A Vendedora empreenderá esforços para monitorar os seus indicadores de emissões significativas e a assegurar o atendimento aos parâmetros estabelecidos pelos órgãos ambientais competentes, se aplicável.
1.2. A Vendedora empreenderá esforços para reduzir as emissões de gases de efeito estufa envolvidas em seu ciclo produtivo e para apoiar a transição para uma economia de baixo carbono.
1.3. A Vendedora empreenderá esforços para manter toda a estrutura necessária para armazenamento de produtos químicos perigosos e não perigosos, bem como todas as autorizações e documentos necessários, nos termos exigidos pela legislação, se e quando aplicável.
1.4. A Vendedora buscará promover o uso eficiente dos recursos naturais e a proteção do meio ambiente por meio do adequado gerenciamento dos impactos do ciclo de vida de seus produtos e serviços.
1.5. A Vendedora afirma ter conhecimento e estar de acordo com a Política de Suprimentos de Madeira da Suzano e se compromete a adotar as medidas necessárias para não promover o desmatamento ou realizar qualquer supressão vegetal sem autorização do órgão competente e a não subcontratar serviços ou insumos de fornecedores que atuem em desacordo a estas diretrizes.
1.6. A Vendedora buscará promover o respeito, a conservação e a restauração dos ecossistemas e de sua biodiversidade nas localidades em que desenvolve suas atividades.
2. Princípios sociais
2.1. A Vendedora atuará respeitando os direitos humanos, em especial devendo evidenciar maiores esforços aos Princípios Orientadores sobre Empresas e Direitos Humanos da ONU e às Diretrizes da OCDE para empresas Multinacionais, e buscará prevenir potenciais impactos adversos em direitos humanos causados por suas
atividades e ao longo de sua cadeia de valor e, na eventualidade de virem a acontecer, se compromete a mitigar e reparar todo e qualquer dano decorrente.
2.2. A Vendedora não compactuará com a exploração sexual ou com o tráfico de pessoas.
2.3. A Vendedora buscará promover um ambiente de trabalho equitativo, inclusivo e sem discriminação em função de gênero, orientação sexual, origem, raça, cor, condição física, religião, estado civil, deficiência, nacionalidade ou idade e não tolerará quaisquer formas de discriminação, observando especialmente as disposições da Política de Diversidade e Inclusão da Suzano.
2.4. A Vendedora buscará promover um ambiente de trabalho saudável, pautado no respeito e dignidade e não tolerará quaisquer formas físicas, morais ou sexuais de assédio.
2.5. A Vendedora buscará atuar de forma respeitosa ao modo de vida das comunidades com as quais se relaciona na execução de suas atividades, de forma que buscará prevenir potenciais impactos adversos causados por suas atividades às comunidades locais, povos indígenas, comunidades tradicionais, minorias étnicas e habitantes do entorno das unidades onde desenvolva suas operações e atividades, quando aplicável, observando especialmente as diretrizes estabelecidas pela Política de Relacionamento com Povos Indígenas e Comunidades Tradicionais da Suzano.
2.6. A Contratada obriga-se a manter, se aplicável, alojamentos e/ou acomodações temporárias (“Alojamentos”) nas condições estabelecidas nas normas aplicáveis à matéria, de forma que a alocação de seus funcionários e/ou subcontratados em Alojamentos condicionar-se-á, obrigatoriamente, à prévia inspeção da Contratante nos Alojamentos.
3. Princípios de governança
3.1. A Vendedora buscará garantir que não existem conflitos de interesses ao interagir em nome ou benefício da Xxxxxx, seja com agentes públicos ou qualquer indivíduo, comprometendo-se a declarar situações de conflito de interesses sempre que identificadas.
3.2. A Vendedora buscará desenvolver seus negócios observando a legislação e princípios aplicáveis à livre concorrência.
3.3. A Vendedora envidará esforços para garantir a regularidade da sua constituição e cadastro perante autoridades competentes, mantendo válidas todas as licenças, documentações, certificados, registros e demais autorizações necessárias ao desenvolvimento das suas atividades, informando à Suzano, de forma imediata, caso ocorra qualquer evento que interfira em sua regularidade.
3.4. A Vendedora buscará promover as boas práticas ESG na sua cadeia de valor e promover a capacitação e o treinamento dos colaboradores, dirigentes e terceiros eventualmente atuantes em nome da Vendedora quanto aos temas ESG, observando sua indústria de atuação, porte e complexidade operacional.
3.5. A Vendedora envidará esforços para disponibilizar canal de comunicação legítimo, acessível, equitativo, independente e confidencial para registro de relatos, queixas ou denúncias de qualquer natureza, assegurando seu processamento e investigação, considerando a sua indústria de atuação, porte, localização e complexidade operacional.
4. Monitoramento
4.1. A observação pela Vendedora das diretrizes consolidadas nestes Princípios ESG poderá ser monitorada pela Suzano mediante a adoção de processos e ferramentas específicos, conforme determinados por suas políticas e procedimentos internos.
4.2. A Xxxxxx poderá solicitar esclarecimentos à Vendedora a qualquer momento e, caso julgue necessário, requerer que a Vendedora elabore planos de ação formais para mitigar quaisquer atividades controversas, riscos
relacionados à violação de Direitos Humanos ou atividades que estejam em desacordo com o contrato ou a relação contratual existente entre a Suzano e a Vendedora.
4.3. Além das consequências previstas no presente Contrato, a Suzano poderá aplicar as seguintes penalidades à Vendedora em caso de inobservância aos Princípios ESG:
a) Determinação de engajamento da Vendedora em iniciativa de impacto socioambiental apoiada pela Suzano e relacionada ao tema do Princípio ESG não observado; e
b) Participação em treinamento quanto ao tema do Princípio ESG não observado ou sobre gestão da cadeia de valor, conforme aplicável.
ANEXO IV SEGURANÇA DA INFORMAÇÃO
1. OBJETIVO
Este documento tem como objetivo a formalização dos requisitos mínimos de segurança da informação, tanto lógica, quanto física, visando a proteção das informações da Suzano, principalmente dados restritos e confidenciais, alocados dentro ou fora do ambiente da Suzano, em contratos com as Empresas Prestadoras de Serviços. Este documento se aplica a qualquer Empresa Prestadora de Serviços que trata ou venha a tratar (acessar, modificar, armazenar, transmitir etc.) informações da Suzano, seja no ambiente Corporativo ou Industrial.
Todos os documentos normativos publicados e sob a responsabilidade da Suzano, inclusive a Política Pública de Segurança da Informação, disponibilizada no Website da Suzano, cujo conteúdo está disponível em xxxxx://xxx.xxxxxx.xxx.xx/xxxxxx/xxxxxxxxxxxxx/xxxxxxxxxx-x-xxxxxxxxx, devem ser seguidos pelas Empresas Prestadoras de Serviços que possuam contrato, que no âmbito desta relação, tratam ou possam tratar informações.
A Suzano se reserva ao direito de realizar testes, solicitar correções e evidências sempre que entender que seja necessário, conforme criticidade e necessidade.
Importante:
•A Empresa Prestadora de Serviços deve atender, mas não se limitar os seguintes requisitos mínimos de segurança da informação descritos abaixo, levando em consideração os requisitos mínimos de segurança da informação que se aplicam tanto ao ambiente Corporativo, quanto ao ambiente Industrial;
•É imprescindível que Empresa Prestadora de Serviços verifique a aplicabilidade de cada um dos requisitos mínimos de segurança da informação, levando em consideração o contexto da contratação. Portanto, tópicos listados nesse Anexo de Segurança da Informação que não são aplicáveis podem ser ignorados.
2. GLOSSÁRIO
• Ativo TIC (Tecnologia de Informação e Comunicação): Toda tecnologia que permite o acesso, armazenamento, transmissão, arquivamento e manipulação da informação, tais como, porém, não se limitando a: aplicativos, sistemas, ferramentas de desenvolvimento, utilitários, ativos de automação Industrial, ativos virtuais, ativos de rede, entre outras ferramentas que venham ser utilizadas no futuro, devido a inovação tecnológica;
• EPS: Empresa Prestadora de Serviços ou empresa fornecedora de bens com serviços atrelados;
• Suzano ou Companhia: Suzano S.A., suas subsidiárias e suas controladas;
• Tratamento da Informação: Conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.
3. 3. DIRETRIZES DO PROCESSO
3.1. Análise de Vulnerabilidade e Pentest
A Suzano se reserva ao direito de realizar testes de vulnerabilidades e Pentest (teste de invasão), quando aplicável e acordado com a Empresa Prestadora de Serviços, conforme criticidade e necessidade. Para fins de validação por parte da Xxxxxx, um teste de vulnerabilidade pode ser realizado para comprovação de correções. Os testes são repetidos até que as falhas identificadas sejam corrigidas e aprovadas pela área de Segurança da Informação da Suzano.
No entanto, caso sejam identificadas falhas durante a análise de vulnerabilidade pela Suzano, ou até mesmo identificado por qualquer meio, seja por mídias, fóruns de segurança, Bug Bounty, etc., na plataforma desenvolvida ou disponibilizada pela Empresa Prestadora de Serviços, esta, após a notificação formalizada pela Suzano, deve saná-las imediatamente e tempestivamente, conforme periodicidade pré-determinada pela Suzano.
Caso a Empresa Prestadora de Serviços comprove tecnicamente a não aplicabilidade da correção, esta será responsável pelos eventuais danos gerados à Suzano e suas partes relacionadas em razão das vulnerabilidades detectadas e notificadas.
É imprescindível que a Empresa Prestadora de Serviços realize testes independentes periodicamente, para sanar previamente as vulnerabilidades existentes, com o objetivo de manter seu ambiente atualizado e seguro, seguindo as melhores práticas internacionais e a notificação de vulnerabilidades críticas e planos de ação para correção. Deve também, quando solicitado pela Suzano, fornecer os resultados dos testes independentes realizados.
Importante: A não realização da análise de vulnerabilidade em Ativos TIC ou a não comprovação das correções sugeridas pela Suzano pode ser considerado como um descumprimento de contrato ou omissão por parte da Empresa Prestadora de Serviços.
3.2. Auditoria
A Suzano se reserva ao direito de realizar auditorias, previamente alinhadas com a EPS, para verificar a efetividade dos controles de segurança da informação implementados.
3.3. Conscientização e Treinamento
A Empresa Prestadora de Serviços deve disponibilizar periodicamente aos seus colaboradores: treinamento, educação e conscientização em segurança da informação apropriados e atualizações regulares da política de
segurança da informação da organização, políticas e procedimentos específicas por tema, pertinentes para as suas funções.
3.4. Continuidade dos Negócios
A Empresa Prestadora de Serviços deve manter atualizados e testados periodicamente um Plano de Continuidade de Negócios (PCN), além de apresentar planos de recuperação garantindo assim a continuidade dos negócios prestados à Suzano, para o caso, mas não se limitando a, de ocorrência de um incidente de segurança da informação, inclusive ataque cibernético, como por exemplo, Ransomware, que proporcione a interrupção de um serviço. A Empresa Prestadora de serviços deve prever, no mínimo, os casos de indisponibilidade de Ativo TIC, indisponibilidade de dependências ou indisponibilidade de usuários.
3.5. Desenvolvimento Seguro de Software
Para contratações envolvendo desenvolvimento de Softwares, aplicativos, etc., a Empresa Prestadora de Serviços deve:
• Garantir e evidenciar a ausência de vulnerabilidades no código-fonte, para todos os módulos de Software que compõe o Ativo TIC, mesmo aqueles não desenvolvidos diretamente e, qualquer caso, seguir os padrões internacionais OWASP, SANS Institute, etc.;
• Garantir um processo de desenvolvimento seguro de Software para mitigação dos riscos e vulnerabilidades catalogadas ou não, em tempo de desenvolvimento. Em caso de desenvolvimento ou customização para a Suzano, devem ser seguidos os processos e padrões já praticados pela Suzano, além de submeter o código a verificações de vulnerabilidades;
• Assegurar criação de perfis e usuários corporativos com o devido controle de acesso, garantindo o Need to Know e o Least Privilege;
• Assegurar sanitização de toda informação que se encontre em ambiente de homologação ou teste;
• Garantir que não são utilizados dados reais nos ambientes de homologação ou teste. Deve ser gerada uma base sem informações verdadeiras ou mascaradas para utilização durante os testes;
• Caso trafeguem dados de cartão de crédito, o Software deve ser desenvolvido, de acordo com o padrão PCI-DSS.
3.6. E-mail Corporativo Suzano S.A.
Caso o prestador de serviços, vinculado a Empresa Prestadora de Serviços, receba o e-mail corporativo da Suzano, deve-se haver a preocupação em utilizar exclusivamente para o desempenho das atividades laborais firmadas em contrato, observando as obrigações legais e regulamentares vigentes. Deve ser observado:
• A conta do e-mail não deve ser compartilhada com outros usuários;
• A informação deve ser classificada, antes do envio do e-mail e destacada de acordo com a sua sensibilidade, principalmente informação confidencial, conforme Política Pública de Segurança da Informação;
• Anexos de origem desconhecida não devem ser abertos e links suspeitos não devem ser clicados;
• Não deve utilizar o e-mail para cadastros em sites externos;
• Em caso de qualquer tipo de suspeita de um incidente de segurança da informação, notificar imediatamente através do e-mail XXXXX@xxxxxx.xxx.xx.
3.7. Estações de Trabalho, Servidores e Demais Dispositivos
Considerando as estações de trabalho, servidores e demais dispositivos utilizados e pertencentes a Empresa Prestadora de Serviços, incluindo qualquer mídia removível, utilizada para desempenho das atividades de trabalho prevista em contrato com a Suzano, deve ser garantido:
• Realizar por meio de credenciais de acesso individual, assegurando um ID único e uma autenticação através de senha forte e, quando possível e aplicável, utilizando o duplo fator de autenticação, para todos os acessos realizados;
• Manter um processo de atualização de Software dos Ativos TIC necessários para corrigir falhas ou defeitos, evitando possíveis vulnerabilidades;
• Possuir uma rotina de atualização de antivírus e com a função “monitoramento” sempre ativo. Além disso, desabilitar a opção “desativar antivírus” para o usuário final. Na ocorrência de algum incidente de segurança da informação com a identificação de vírus, a área de Segurança da Informação da Suzano, por meio do e-mail XXXXX@xxxxxx.xxx.xx, deve ser notificada, em até 24 (vinte quatro) horas;
• Os dados, incluindo dados pessoais, não devem ser armazenados, exceto nos casos em que é previsto em contrato, para atendimento das finalidades do serviço ou atividade contratada, devendo a Empresa Prestadora de Serviços ser responsável por aplicar as medidas de segurança necessárias para proteção da informação, bem como realizar os devidos descartes, a fim de evitar todo e qualquer acesso não autorizado e/ou uso indevido em caso de Job Rotation ou Turn Over;
• Garantir o bloqueio de tela através de senha e por tempo de inatividade nas estações de trabalho;
• As estações de trabalho da Empresa Prestadora de Serviços, quando conectadas à rede da Suzano, devem: o Bloquear Portas periféricas (USB, USB-C e SD) evitando uso de dispositivos removíveis;
o Estar equipadas com Firewall, sendo desejável também Host IPS ou EDR/XDR;
o Estar livres de Software que contenham ferramentas capazes de permitir que sistemas certificados na Internet interajam, acessem ou gerenciem Ativos TIC, por meio de fluxos de comunicação encapsulados no tráfego transmitido por Proxy;
o Não devem ser utilizados como dispositivos pontes, para interconexão de redes lógica ou fisicamente segregados, em particular estações de trabalho equipados com mais de uma interface de conexão;
o Ter acesso à Internet restrito e controlado por Proxy com políticas de proteção a site malicioso, com a finalidade de proteger qualquer tipo de acesso não autorizado;
o Manter os Patches atualizados.
3.8. Eventos e Incidentes de Segurança da Informação
• Deve-se garantir a segurança da informação do serviço prestado, identificando e fornecendo informações sobre
o responsável, área e estrutura, no que tange os aspectos de segurança da informação, para assegurar as relações entre a Empresa Prestadora de Serviços e a Suzano, comunicando previamente qualquer alteração;
• A área de Segurança da Informação deve ser notificada, quando na identificação ou suspeita de qualquer evento ou incidente de segurança da informação, sem discriminação, inclusive as acidentais, através do e-mail: XXXXX@xxxxxx.xxx.xx. A comunicação deve ser realizada em até 24 (vinte e quatro) horas, contanto a partir do conhecimento do evento ou do incidente de segurança da informação, compartilhando informações detalhadas, as vulnerabilidades encontradas e ações tomadas para mitigar a ação. Deve também, quando solicitado pela Suzano, fornecer informações inerentes ao evento ou incidente de segurança da informação;
• Todas as atividades inerentes a gestão de respostas a incidentes de segurança da informação devem ser documentadas e armazenadas, provendo toda a linha do tempo do processo de tratamento;
• A Empresa Prestadora de Serviços deve garantir a segurança necessária para casos de perda, furto ou roubo de equipamentos que possam conter informações de propriedade da Suzano, por meio de tecnologia de criptografia e assegurar a exclusão das informações. A Suzano deve ser notificada, conforme nota supracitada;
• Quando previsto em contrato, a possibilidade de utilização de outras empresas para execução do contrato, a Empresa Prestadora de Serviços deve assegurar que a Quarteirizada siga todos os requisitos mínimos de segurança
da informação expressos neste documento. A Empresa Prestadora de Serviços é responsável por quaisquer contratações ou parcerias envolvidas na prestação do serviço a Suzano;
• A Empresa Prestadora de Serviços deve fornecer um canal de comunicação para que a área de Segurança da Informação da Suzano se comunique, quando necessário, em caso de incidentes de segurança da informação;
• A Empresa Prestadora de Serviços deve se comprometer a colaborar com todas as ações necessárias para a tratativa de um incidente de segurança da informação que ocorrer em uma das unidades da Suzano envolvendo ativos TIC sob gestão da EPS, em tempo hábil.
3.9. Proteção da Informação
A informação pode ser considerada o conjunto de dados estruturados e não estruturado, que podem estar relacionados a qualquer notícia ou comunicação verbal ou escrita, manual ou automática. No que diz respeito a Suzano, a informação expressa a ordenação e a organização dos dados que pode gerar valor e ter um significado para a Suzano, não importando a forma ou a tecnologia empregada, seja para o seu processamento, manipulação, transmissão, armazenamento, etc. A partir desse conceito, a Empresa Prestadora de Serviços deve:
• Fornecer toda a informação documentada necessária para o desenvolvimento dos negócios, obrigatoriamente em português (língua nativa do Brasil);
• Garantir que as informações sob a propriedade da Xxxxxx sejam tratadas, de acordo com os princípios Need to Know e Least Privilege, além de aplicar a segregação de funções (SoD), exclusivamente dentro do serviço contratual, evitando a divulgação para usuários não autorizados;
• Salvaguardar a confidencialidade, integridade, disponibilidade, autenticidade e a legalidade, inclusive mantendo a conformidade com as legislações e regulamentações vigentes, de toda informação tratada na Suzano, independente do seu formato;
• Ter a completa rastreabilidade dos acessos realizados às informações da Suzano, com o intuito de identificar a origem, o autor, data e hora, além das informações acessadas, com o tempo mínimo de retenção de 06 (seis) meses;
• Criptografar os dados em repouso e em trânsito, quando na manipulação, armazenamento ou transmissão de informações confidenciais, inclusive dados pessoais sob a responsabilidade da Xxxxxx.
Todas as recomendações das melhores práticas nacionais e internacionais, principalmente: NIST Cybersecurity Framework, NIST 800-82 guia “Cybersecurity for Industrial Control Systems”, ISA/IEC 62443 e ISO/IEC 27001 devem ser atendidas.
3.10. Soluções e Serviços em Nuvem
Para a Empresa Prestadora de Serviços que seja um provedor de serviços em nuvem ou que utilize os serviços deste para armazenamento de informação, deve-se garantir um ambiente de computação em nuvem seguro a Suzano, seguindo os requisitos do CSA (Cloud Security Alliance).
Para a Empresa Prestadora de Serviços que seja fornecedora de solução SaaS, deve-se garantir, além dos requisitos mínimos supracitados neste documento, mas não se limitando a:
• Deve haver segregação de funções nas atividades administrativas na console de gerenciamento da nuvem;
• Toda atividade de autenticação de usuários na console de gerenciamento da nuvem deve ser registrada em Log;
• Todos os acessos na console de gerenciamento da nuvem devem ser realizados através de métodos de autenticação forte, envolvendo pelo menos dois fatores de autenticação;
• As chaves criptográficas utilizadas na infraestrutura em nuvem não devem ser armazenadas ou transmitidas de forma clara;
• A solução em nuvem contratada pela Suzano deve possuir habilitado o gerenciamento de Logs centralizado, contendo os Logs de auditoria dos recursos em nuvem;
•Os Logs de auditoria dos recursos em nuvem contratados pela Suzano devem sempre estar disponíveis para acesso, em caso de suspeita de incidente de segurança da informação identificado pela Suzano;
•Deve estar habilitado o monitoramento na nuvem dos eventos para detecção de possíveis ataques cibernéticos e geração de alertas;
•Quando identificados incidentes ou eventos de segurança da informação, a solução em nuvem deve garantir a notificação de alertas;
•Os serviços Web expostos na Internet devem ser hospedados em redes protegidas por infraestruturas de monitorização/bloqueio de tráfego anómalo IPS (Intrusion Prevention System) e IDS (Intrusion Detection System);
•O Ativo TIC deve utilizar mecanismos de proteção contra os ataques cibernéticos conhecidos como, por exemplo: DoS / DDoS (Ataques de negação de serviço ou ataques de negação de serviço distribuída), SYN Floods, Ataque Smurf, pacotes malformados, etc.;
•A solução envolvendo o Ativo TIC deve possuir controles para o perímetro de rede e para os pontos de interconexão de tráfego, incluindo internos, como por exemplo: VPC (Private Network), Firewall, IPS, IDS, etc.;
•O Ativo TIC e todos os Softwares que o suportam devem ser de propriedade da empresa ou a ela licenciados ou sublicenciados.
3.11. Segmentação de Rede
•Ativos de Automação Industrial que compartilham funcionalidades e requisitos de segurança comuns devem ser organizados em zonas de segurança, lógicas e/ou físicas;
•Devem ser estabelecidas configurações com roteamento implementado em Firewall de próxima geração, que determinem que somente a comunicação de aplicações necessárias para a execução das atividades da planta sejam permitidas entre os segmentos, ou seja, o fluxo seja restrito dentro do ambiente Industrial, o qual a norma ISA/IEC 62443 denomina conduíte;
•A segregação física e lógica entre os ambientes Corporativo e Industrial é obrigatória. Sendo assim, não é possível haver compartilhamento de equipamentos entre os ambientes, inclusive de subredes (VLANs). O conceito de restrição de fluxo, contido na norma ISA 62443 deve ser seguido para comunicação na Rede Industrial;
•A Suzano adota estrutura específica, com regras de comunicação bem definidas, entre os diferentes níveis de rede, baseada no modelo PERA (Purdue Enterprise Reference Architecture). Nesta estrutura a ser seguida pela Empresa Prestadora de Serviso devem estar hospedados todos os componentes do ambiente Industrial em suas respectivas subredes (VLANs).
3.12. Segurança Física
•Deve ser mantido um controle de acesso físico as suas dependências, para qualquer usuário, sejam eles: colaborador, visitante, etc.;
•Deve-se possuir um sistema de CFTV com gravação e armazenamento das imagens pelo período mínimo de 30 (trinta) dias corridos, de forma On-line;
•Devem ser adotadas proteções preventivas de segurança física em todas as suas dependências, segregando, quando possível, as instalações utilizadas exclusivamente para a prestação do serviço contratado, principalmente quando o serviço utilizar dados confidenciais, inclusive dados pessoais da Xxxxxx.
3.13. Sistemas de Informação
Os Ativos TIC (doravante, sistemas de informação) das Empresas Prestadora de Serviços são sistemas, plataformas, ferramentas tecnológicas físicas ou lógicas, através dos quais as informações da Suzano são tratadas. A partir desse conceito, a Empresa Prestadora de Serviços deve:
•Disponibilizar à Suzano todas as versões e pacotes principais do Software que compõe o Ativo TIC;
•Manter as instalações onde são mantidos os sistemas de informações protegidas e com acesso controlado;
•Garantir que todo usuário possui credencial de acesso individual, com um ID único, devendo manter o histórico de todas as atividades realizadas por essa credencial;
•Utilizar credencial de acesso M2M (Machine to Machine) apenas para caráter de Troubleshooting, quando aplicável, de forma controlada e efetuando a troca da senha após o uso;
•Atribuir aos perfis de autorização definidos, para acesso aos dados do Ativo TIC, os conceitos Need to Know e Least Privilege, além de aplicar a segregação de funções (SoD). Os perfis devem ser configurados antes do início do tratamento, para que seja documentado e associado para cada usuário ou para um conjunto de usuários que vão executar a mesma função;
•Realizar revisão periódica de credenciais e perfis de acesso aos sistemas de informação;
•Os acessos dos usuários que não estiverem mais atribuídos a Suzano ou que não precisam mais acessar os dados da Suzano, devem ser removidos imediatamente, com a finalidade de impedir acessos não autorizados. Deve ser garantido:
Remoção por tempo de inatividade;
o Remoção na data de expiração prevista, ao menos que seja estendida por solicitação da Suzano;
o Bloqueio do acesso após tentativas incorretas;
o Bloqueio quando na identificação do uso ilegal ou quando colocado em risco a segurança da informação;
o Bloqueio por solicitação da Xxxxxx.
• Implementar um padrão de senha forte, e, quando aplicável, utilizando o duplo fator de autenticação, para todos os acessos realizados;
• Garantir que todo Software instalado deve ser legalmente licenciado;
• Possuir antivírus atualizado, sempre que houver novas versões disponíveis;
• Manter atualizado os sistemas operacionais e aplicações, conforme recomendações de segurança do padrão OWASP, sempre que aplicável;
• Modificar e deletar configurações padrão do sistema de informação, como senhas, portas, contas de serviços, etc. aplicando o Hardening, de acordo com as recomendações do fabricante;
• Permitir apenas a utilização de Protocolos seguros, em sua versão mais atualizada, como por exemplo, HTTPS, FTPS, SSH, SNMP, OPC UA (Unified Architecture) e MQQT sobre TLS (Porta 1883), etc;
• Aplicar a mitigação de vulnerabilidades catalogadas, de acordo com os padrões de mercado;
• Proteger todo o ambiente por Firewall e IDS (Intrusion Detection System), assim como ter as devidas segregações de redes, com a finalidade de proteger a infraestrutura, deixando exposto apenas o Front-End e a camada de exposição. É imprescindível que os sistemas de informação expostos na Internet possuam WAF (Web Application Firewall) e soluções de proteção de negação de serviço (DoS/DDoS);
•Adotar processos adequados de Backup e Restore quando houver tratamento de dados da Suzano, em acordo com o gestor do contrato. O processo deve ser documentado e deve conter pelo menos a indicação da frequência, dos métodos de execução, do arquivamento e da retenção dos Backups, incluindo teste de Restore;
•Informações confidenciais, incluindo dados pessoais devem ser mantidos apenas durante a vigência de contrato. Quando aplicável, os Backups devem ser entregues a Suzano e deve ser garantido o descarte correto de toda informação de propriedade ou controle da Suzano;
•Implementar procedimentos operacionais específicos para execução das atividades de restauração, quando aplicável, incluindo o tempo de implementação acordados com o gestor do contrato e a garantia da continuidade do serviço contratado pela Suzano, quando na ocorrência de um incidente de segurança da informação nos sistemas de informação;
•Criptografar as informações confidenciais, inclusive dados pessoais que são processadas, armazenadas e transmitidas pelos sistemas de informação que mantém informações da Suzano, para que seja garantindo a proteção das informações;
•Implementar rastreamento dos usuários e administradores nos sistemas de informação, visando a coleta e armazenamento de registros de acesso (Login/Logout) e as demais ações realizadas, mantendo a integridade, não repetibilidade e não repúdio. A rastreabilidade dos acessos das ações deve ser mantida pelo período mínimo de 06 (seis) meses;
•Os sistemas de informação, quando aplicável, devem passar por análise de vulnerabilidade e teste de invasão antes da sua entrada em ambiente de produção e devem ser avaliados periodicamente, mesmo quando em ambiente de produção.
3.14. Wi-Fi Suzano S.A.
O acesso ao Wi-Fi Suzano é disponibilizado aos usuários, a partir das suas dependências, sendo dedicado às atividades laborais. No entanto, não é permitido determinadas ações, como:
•Não deve ser instalado ponto de acesso pessoal na rede da Suzano para configurar uma rede Wi-Fi paralela. A conexão a serviços Wi-Fi só é permitida por meio do Wireless, utilizando infraestrutura da Suzano;
•Não deve ser realizada qualquer atividade que possa trazer dano ao serviço ou a infraestrutura da rede Suzano. Seguem algumas atividades ilegais, porém não estão limitadas apenas a estas: varredura de portas, varredura de vulnerabilidades, identificação de senhas, Sniffing, Spoofing, descoberta de rede, Fingerprinting, Footprinting, Pentest, redirecionamento ou modificação de tráfego, etc.