Normas Do Citi Para Fornecedores

Transcrição

NORMAS DO CITI PARA FORNECEDORES
PROPRIETÁRIO:
LÍDER GLOBAL DE ENTERPRISE SUPPLY CHAIN
DATA DA EMISSÃO:
JANEIRO DE 2015
VERSÃO 1.0
© 2015 Citigroup Inc.
ÍNDICE
1
VISÃO GERAL ..................................................................................... 1
2
PRINCÍPIOS ORIENTADORES E CONDUTA ÉTICA DO CITI ........... 4
3
DIVERSIDADE DE FORNECEDORES ............................................ 166
4
RELACIONAMENTO COM FORNECEDORES E CONFORMIDADE
COM OS CONTRATOS ................................................................... 177
5
DESPESAS DE VIAGENS ................................................................. 20
6
PRESENTES E ENTRETENIMENTOS ............................................ 277
7
GESTÃO DE REGISTROS .............................................................. 288
8
DIRETRIZES DE LOCAL DE TRABALHO SEGURO ..................... 299
9
SEGURANÇA DA INFORMAÇÃO (IS) .............................................. 31
10 CONTINUIDADE DE NEGÓCIOS ...................................................... 50
11 NORMAS GLOBAIS DA VERIFICAÇÃO DE ANTECEDENTES ...... 52
ANEXO A - DEFINIÇÕES ......................................................................... 58
1 VISÃO GERAL
1.1
FINALIDADE
O objetivo das Normas do Citi para fornecedores (“normas”) é facilitar a
conformidade dos fornecedores com os requisitos contratuais e garantir que os
fornecedores cumpram as obrigações das políticas do Citi no decorrer dos
negócios com o Citi.
a.
O não cumprimento das normas estabelecidas neste documento, outras
políticas do Citi, o código de conduta do Citi e/ou as políticas e procedimentos
aplicáveis à unidade de negócios e entidade legal do Citi para a qual um
fornecedor fornece produtos e/ou serviços pode resultar em rescisão imediata
da contratação de um fornecedor pelo Citi, incluindo todos os contratos a ele
relacionados, e/ou outras consequências contratuais. Além disso, violações
das normas também podem ser violações da lei e podem resultar em danos
civis ao Citi (ou terceiros) ou penalidades criminais para o fornecedor.
b.
Essas normas fornecem uma visão geral dos principais requisitos das
políticas padrão, os quais os fornecedores devem cumprir. Este documento
não pretende ser um conjunto abrangente de normas e requisitos. Além
disso, a unidade de negócios e entidade legal específica do Citi também pode
ter suas próprias políticas e normas que os fornecedores devem cumprir.
Bancos, corretores e outras entidades licenciadas do Citi, em particular, estão
sujeitos a requisitos e limitações com base na natureza das atividades que
estão sendo conduzidas. Esses requisitos e limitações estão refletidos em
suas políticas específicas, incluindo qualquer política aplicável aos
fornecedores de tais entidades. Se tais políticas específicas da entidade
divergirem dessas normas com respeito ao mesmo tópico, a política mais
restritiva prevalecerá. É responsabilidade do fornecedor familiarizar-se e
respeitar qualquer política e procedimento suplementar do Citi que
regulamente a unidade de negócios e entidade legal do Citi para a qual o
fornecedor fornece produtos e serviços.
c.
Os fornecedores devem adotar um papel proativo e consultar o gerente de
relacionamento de fornecedores de negócios (Business Supplier Relationship
Manager, BSRM) do Citi e/ou o contato principal de negócios do Citi para
ajudar a garantir a conformidade com as políticas do Citi, já que as políticas
do Citi podem mudar e/ou evoluir ao longo do tempo.
d.
Essas normas não são destinadas a contradizer ou interferir em quaisquer
práticas ou procedimentos que um fornecedor pode ter que são
suplementares aos requisitos descritos nessas normas, desde que tais
práticas ou procedimentos não entrem em conflito com os requisitos dessas
normas. Se o fornecedor tiver uma política ou procedimento relacionado que
seja mais severo e rigoroso do que os requisitos das políticas do Citi, o
fornecedor deve cumprir os termos mais severos de sua própria política,
contanto que sempre mantenha conformidade plena com essas normas.
e.
No caso em que as políticas do fornecedor tratarem de um requisito destas
normas de uma forma alternativa, mas que as garantias de gerenciamento do
fornecedor sejam substancialmente ou funcionalmente equivalentes a estas
normas, o fornecedor deve providenciar um aviso por escrito para o Citi de
Normas do Citi para fornecedores
Visão geral
Página 1 de 63
seu pedido para cumprir os requisitos de sua própria política. O fornecedor
concorda em trabalhar com a administração do Citi para discutir qualquer
dúvida ou preocupação que o Citi possa ter com respeito à abordagem
alternativa do fornecedor e deve trabalhar de boa fé com o Citi para garantir
que os requisitos regulatórios e do setor de atuação aplicáveis ao Citi sejam
cumpridos. No caso em que, por determinação do Citi, as políticas ou práticas
do fornecedor não cumpram, no mínimo, essas normas ou outras políticas
relevantes do Citi, então o fornecedor deve tomar todas as medidas
necessárias para garantir conformidade com essas normas e outras políticas
relevantes do Citi.
f.
Se as leis ou regulamentos locais estabelecerem uma norma mais rigorosa
do que a fornecida aqui, os fornecedores devem cumprir essas leis e
regulamentos. Se as leis ou regulamentos locais parecerem entrar em conflito
com essas normas, então o fornecedor afetado deve informar ao seu BSRM
do Citi e/ou contato de negócios do Citi e trabalhar de boa fé com o Citi para
chegar a uma solução mutuamente agradável para garantir a conformidade
com as leis ou regulamentos relevantes e, à medida do possível, essas
normas.
g.
A aplicabilidade destas normas deve ser um complemento e não uma
substituição de todas e quaisquer outras obrigações, representações ou
garantias que os fornecedores possam ter no Citi sob qualquer contrato ou de
outra forma na lei ou na justiça e quaisquer direitos e recursos do Citi
estabelecidos aqui devem ser um complemento e não uma substituição de
quaisquer direitos contratuais, legais ou equitativos ou recursos que o Citi
possa ter a respeito de quaisquer fornecedores e quaisquer outras partes.
h.
Essas normas podem ser modificadas, alteradas ou revistas pelo Citi a
qualquer momento de acordo com o critério exclusivo do Citi e os
fornecedores devem estar sujeitos e cumprirão quaisquer dessas normas
modificadas, alteradas ou revistas.
i.
Essas normas estão publicadas no Citigroup.com:
http://www.citigroup.com/citi/suppliers/supplierstandards.htm.
O código de conduta do Citi está publicado no Citigroup.com:
http://www.citigroup.com/citi/investor/corporate_governance.html (sob Citi
Policies).
1.2
Partes sujeitas às normas
Essas normas aplicam-se a todos os fornecedores, definidos como quaisquer
terceiros, em conjunto com seus funcionários, agentes ou representantes, que
fornecem produtos ou serviços ao Citigroup Inc. ou qualquer uma de suas afiliadas,
incluindo suas subsidiárias (de maneira coletiva ou individual, tais entidades
citadas aqui como “Citi” ou a “empresa”), mas apenas em conexão com as
atividades deles como um fornecedor.
Visão geral
Página 2 de 63
Além disso, os fornecedores garantirão que todos os subcontratados usados pelos
fornecedores (a) em conexão com a provisão de serviços dos fornecedores para o
Citi ou (b) com quem o fornecedor compartilha quaisquer informações confidenciais
do Citi (ou acesso potencial para tais informações confidenciais do Citi) devem
cumprir todos os termos dessas normas e quaisquer outras políticas e
procedimentos do Citi aplicáveis aos fornecedores. Qualquer menção específica
de, ou termos com respeito aos, subcontratados nestas normas (ou qualquer
menção específica de, ou termos com respeito às obrigações dos fornecedores
com respeito aos subcontratados) é apenas para enfatizar e não limita as
obrigações dos fornecedores para garantir a conformidade dos subcontratados
com todas as outras obrigações dos fornecedores sob essas normas.
Visão geral
Página 3 de 63
2 PRINCÍPIOS ORIENTADORES E CONDUTA ÉTICA DO CITI
O Citi adotou diretrizes [ou seja, Declaração dos Princípios do Fornecedor (Statement
of Supplier Principles) do Citi] que apoiam uma estrutura, incentivando os fornecedores
a promoverem a responsabilidade social, práticas éticas de negócios, direitos humanos
no local de trabalho e sustentabilidade ambiental. Todos os fornecedores do Citi devem
evitar quaisquer situações nas quais os interesses pessoais podem entrar em conflito,
ou pareçam entrar em conflito, com os interesses do Citi ou seus clientes. Um
fornecedor do Citi sempre deve demonstrar um compromisso com as normas mais altas
de ética e comportamento profissional, bem como, respeitar as leis e regulamentos
aplicáveis. Informações adicionais sobre a Declaração dos Princípios do Fornecedor do
Citi podem ser encontradas no site da Declaração dos Princípios do Fornecedor do Citi.
2.1
Tratamento justo
O Citi está comprometido com negociar de maneira justa com seus clientes,
fornecedores, concorrentes e funcionários. O Citi também está comprometido com
fornecer acesso justo ao crédito e tomar decisões de crédito com base em
critérios objetivos. Além disso, o Citi segue as leis e os regulamentos em um
número crescente de países quanto ao “empréstimo justo” ou “acesso justo” que
proíbe especificamente a discriminação contra clientes potenciais ou atuais com
base na raça, sexo, religião ou outros fatores que não dizem respeito ao risco.
Nenhum fornecedor que atue em nome do Citi pode tirar (ou tentar tirar) vantagem
injusta de qualquer um através de manipulação, ocultação, uso ou uso indevido
de informações confidenciais, deturpação de fatos materiais ou outras
negociações ou práticas injustas.
2.2
Escalonamento de questões de negócios
Em todas as ações e todos os aspectos do trabalho, os fornecedores devem
exercer julgamento apropriado e senso comum para avaliar o impacto potencial
das transações em nome do Citi. Os fornecedores devem encaminhar
imediatamente para o respectivo BSRM(s) do Citi e/ou contato de negócios
principal do Citi quaisquer preocupações sobre riscos potenciais para a imagem
ou reputação do Citi.
2.3
Mercados livres e justos
O Citi não tolerará qualquer tentativa de um fornecedor manipular ou interferir nos
mercados ou preços de valores mobiliários, opções de compras, mercado futuro
ou outros instrumentos financeiros.
2.4
Proteção dos ativos do Citi
Os fornecedores devem proteger os ativos tangíveis e intangíveis do Citi e de
seus clientes. Os ativos do Citi e dos clientes podem ser usados apenas para fins
aprovados e de maneiras aprovadas (por ex., de acordo com as licenças, termos
e condições aplicáveis) e, então, apenas com respeito aos fins comerciais do Citi
e das afiliadas do Citi. Os ativos incluem dinheiro, títulos mobiliários, propriedade
física, serviços, planos de negócios, informações do Citi, informações de
fornecedores, informações de distribuidores, propriedade intelectual (programas
Princípios orientadores
e conduta ética do Citi
Página 4 de 63
de computador, modelos e outros itens) e todas as outras informações pessoais,
exclusivas e confidenciais.
A apropriação indevida ou divulgação não autorizada de ativos do Citi é uma
violação de sua obrigação com o Citi e pode constituir um ato de fraude contra o
Citi. De modo semelhante, negligência, desperdício ou uso não autorizado com
respeito aos ativos do Citi também é uma violação de sua obrigação para o Citi.
Consulte as diretrizes para local de trabalho seguro na seção 8.
2.5
Antissuborno e anticorrupção
O Citi desenvolveu políticas, procedimentos e controles internos para cumprir as
leis antissuborno e anticorrupção e proíbe pagamentos impróprios, promessas de
pagamento, ofertas de emprego ou a provisão imprópria de qualquer coisa de
valor, direta ou indiretamente, para (i) pessoas que tenham um cargo legislativo,
administrativo, judicial, executivo ou militar de qualquer tipo (quer seja nomeado
ou eleito) de qualquer jurisdição federal, estadual, de província ou local ou exerça
uma função pública de uma dessas jurisdições, órgãos ou empreendimentos
públicos (incluindo dirigentes, responsáveis, funcionários ou representantes de
qualquer governo, entidades estatais ou controladas pelo governo ou qualquer
organização internacional pública ou pessoal atuando em uma função oficial para
ou em nome de entidades do governo) em qualquer país ou território, ou (ii)
partidos políticos, dirigentes de partido ou candidatos a cargo público, citados
coletivamente como “funcionários públicos” ou qualquer outra pessoa com o
objetivo de obter ou manter negócios ou influenciar uma ação oficial.
A política antissuborno e anticorrupção (Anti-Bribery & Corruption Policy) do Citi
exige conformidade com a lei aplicável1 e proíbe estritamente qualquer forma de
suborno em todos os países onde operamos. Todos os fornecedores do Citi
devem conduzir suas atividades relacionadas aos negócios e operações do Citi de
acordo com os mais altos padrões de conduta comercial, o que inclui a
conformidade com todas as leis aplicáveis que proíbem o suborno, corrupção,
fraude e declarações falsas, incluindo evitar a impressão de maus procedimentos
ou impropriedade. A política antissuborno e anticorrupção do Citi proíbe a
provisão de pagamentos de facilitação de qualquer tipo. Os fornecedores devem
garantir que políticas e procedimentos apropriados estejam em vigor para cumprir
as leis aplicáveis.
Sob nenhuma circunstância um fornecedor, ou qualquer um de seus funcionários,
pode oferecer fazer, prometer ou conceder, aceitar ou solicitar, qualquer coisa de
valor (incluindo qualquer vantagem, financeira ou de outro tipo, como presentes,
entretenimento, contribuições de caridade ou políticas ou emprego), para ou de,
um funcionário do governo ou qualquer outra pessoa, em nome do Citi, quer seja
direta ou indiretamente através de uma terceira parte (por ex., membro da família,
um intermediário ou agente ou uma organização) com o objetivo de assegurar
uma vantagem imprópria, influenciar o recebedor a tomar, ou abster-se de tomar,
1
O termo “lei aplicável” da forma usada nesta seção significa qualquer lei ou regulamento contra
suborno, fraude, propina ou outra lei ou regulamento semelhante contra corrupção de qualquer
país relevante, incluindo leis locais antissuborno e anticorrupção e aquelas com efeito
extraterritorial como a lei antissuborno (Bribery Act) do Reino Unido de 2010 e a lei sobre
práticas de corrupção no exterior (Foreign Corrupt Practices Act, FCPA) dos EUA de 1977.
Página 5 de 63
qualquer medida oficial ou obter ou manter negócios para o Citi. O fornecedor não
deve fazer pagamentos de facilitação ou “gratificações” de qualquer tipo.
Para obter uma visão geral do programa antissuborno e anticorrupção do Citi,
visite http://www.citigroup.com/citi/investor/corporate_governance.html (sob Citi
Policies, selecione Anti-Bribery & Corruption Program).
2.6
Conformidade contra lavagem de dinheiro (Anti-Money Laundering, “AML”)
A lavagem de dinheiro é o processo que converte rendimentos ilegais, de modo
que fundos pareçam ser legítimos e, assim, entrar no fluxo do comércio. Não está
limitada às transações em espécie, mas podem incluir instrumentos monetários e
outros rendimentos de atividade ilegal. O financiamento do terrorismo inclui o
financiamento de atos terroristas e de organizações terroristas. O financiamento
do terrorismo envolve rendimentos de fontes ilegítimas e legítimas.
Os fornecedores devem agir de modo diligente para impedir que os produtos e
serviços do Citi sejam usados para promover a lavagem de dinheiro e o
financiamento do terrorismo e para detectar atividade suspeita de acordo com as
leis e regulamentos relevantes. O Citi adota os princípios globais do setor contra a
lavagem de dinheiro que promove a função que as instituições financeiras podem
e devem desempenhar na prevenção da lavagem de dinheiro e do financiamento
do terrorismo. O Citi está comprometido a combater a lavagem do dinheiro, o
financiamento do terrorismo e outros crimes na medida máxima permitida por lei.
O Citi exige que todas as suas unidades de negócios implementem
procedimentos para monitorar atividade suspeita com respeito a contas e
transações de modo que, quando exigido, a atividade suspeita possa ser
comunicada para o governo e/ou autoridades regulatórias apropriadas. Todos os
fornecedores, incluindo aqueles que oferecem produtos ou serviços aos clientes
em nome do Citi, incluindo transações financeiras ou aqueles que usam a marca
Citi, devem ter um programa AML em vigor compatível com o nível de risco
associado com os negócios deles que esteja disponível para o Citi para análise
e/ou auditoria.
As dúvidas dos fornecedores sobre AML e procedimentos de comunicação podem
ser encaminhadas para o BSRM (Business Supplier Relationship Manager) do Citi
e/ou o contato de negócios principal do Citi.
2.7
Embargos, sanções, leis e regulamentos anti-boicote e de controle de
exportação
O Citi cumpre plenamente as sanções econômicas, embargos, leis e
regulamentos anti-boicote dos EUA que restringem pessoas, corporações dos
EUA e, em alguns casos, subsidiárias estrangeiras de fazer negócios ou celebrar
contratos com determinados países, grupos e pessoas, incluindo, entre outros,
organizações associadas com atividade terrorista e tráfico de drogas. Além disso,
o Citi cumpre plenamente todas as leis e regulamentos aplicáveis de controle de
exportação que, entre outras coisas, proíbem ou restringem a exportação ou
reexportação (direta ou indiretamente) de certos produtos (ou partes de produtos)
para certos países (ou cidadãos desses países) e para quaisquer usuários finais
não civis (ou seja, militares) ou usos não civis em certos países.
Página 6 de 63
Os fornecedores são responsáveis por entender e cumprir as políticas aplicáveis
do Citi nos países onde os fornecedores estão localizados e/ou fornecem
produtos e serviços, bem como as leis dos EUA e por ter políticas e
procedimentos adequados para garantir a conformidade com sanções
econômicas, embargos, leis e regulamentos anti-boicote e de controle de
exportação relevantes.
Todos os fornecedores, incluindo os fornecedores utilizados / contratados para
compra única, devem ser verificados na lista de cidadãos especialmente
designados (Specially Designated Nationals, SDN) publicada pelo Gabinete de
Controle de Ativos Estrangeiros (Office of Foreign Assets Control, OFAC),
quaisquer listas de sanções nacionais e quaisquer outras listas aplicáveis de
sanções.
2.8
Antitruste e concorrência justa
Em muitos países, o Citi está sujeito a leis complexas concebidas para preservar
a concorrência entre as empresas e para proteger os consumidores de arranjos e
práticas injustas de negócios. Os fornecedores sempre devem estar informados e
cumprir essas leis. Se um concorrente ou um cliente do Citi tentar discutir com o
fornecedor assuntos que suscitem preocupações sobre conduta contra a
concorrência, o fornecedor deve recusar-se a fazer isso e pedir para a pessoa
parar imediatamente. Se necessário, o fornecedor deve ir embora ou, de outra
forma, terminar a conversa e comunicar o assunto imediatamente para a unidade
de negócios do Citi para a qual o fornecedor fornece produtos ou serviços.
2.9
Negociações de venda casada
Comunicar a um cliente que o preço ou disponibilidade de um produto ou serviço
do Citi está baseado no cliente concordar com a compra ou fornecimento de outro
produto ou serviço do Citi (“venda casada”) é ilegal em determinadas instâncias.
Os fornecedores devem estar cientes de, e cumprir, todas as leis sobre venda
casada e qualquer política e procedimento relevante do Citi.
Os fornecedores não podem conceder crédito, arrendar ou vender propriedade de
qualquer tipo ou fornecer qualquer serviço (um “produto subordinado”) ou corrigir
ou alterar a análise do supracitado, em nome do Citi, com a condição ou exigência
de que o cliente:
a. Assine um “contrato de venda casada”; ou seja, obter algum crédito,
propriedade ou serviço adicional de tal banco ou de seus afiliados, exceto os
relacionados, e, normalmente, fornecidos em conexão a um produto bancário
tradicional; ou
b. Assine um “contrato de reciprocidade”; ou seja, fornecer algum crédito,
propriedade ou serviço adicional de tal banco ou de seus afiliados, exceto os
relacionados, e, normalmente, fornecidos em conexão a um produto bancário
tradicional; ou
c. Assine um “contrato de negociação exclusiva”; ou seja, não obter algum outro
crédito, propriedade ou serviço de um concorrente de tal banco ou seus
afiliados, que não seja uma condição ou requisito que tal banco impõe de
modo razoável em uma transação de crédito para garantir a correção do
crédito.
Página 7 de 63
2.10 Privacidade e segurança das informações do Citi
O Citi está empenhado em proteger as informações do Citi, garantindo que sejam
utilizadas em total conformidade com as leis aplicáveis e políticas do Citi e
somente relacionadas aos negócios do Citi. Os fornecedores devem cumprir todas
as leis, regulamentos relevantes e políticas do Citi que dizem respeito à proteção,
não divulgação e usos proibidos das informações do Citi. Sem limitar as
disposições acima, os fornecedores devem proteger todas as informações do Citi
garantindo que tais informações sejam usadas apenas para fins autorizados,
sejam compartilhadas apenas com pessoas autorizadas e sejam mantidas de
maneira adequada e segura. Os fornecedores com acesso a tais informações ou
a quaisquer outras informações que sejam definidas como informações
confidenciais, PII confidenciais ou informações restritas devem consultar a
unidade de negócios do Citi para quem estão fornecendo produtos ou serviços
com qualquer dúvida sobre os usos apropriados das informações do Citi. Consulte
as diretrizes para local de trabalho seguro na seção 8.
2.11 Gestão de fraude
O Citi tem tolerância zero em relação à fraude. O Citi reserva-se o direito de
investigar suspeita ou alegação de roubo, fraude ou outra atividade criminal ou
delito potencial e processar qualquer comportamento fraudulento ou criminal em
toda a extensão permitida por lei. Cada fornecedor deve estabelecer e seguir um
programa de gestão de fraude documentado e concebido para prevenir e lidar
com qualquer roubo, fraude ou outra atividade criminal ou delito potencial
(“fraude”) em conexão com qualquer atividade que tal fornecedor esteja
realizando para, ou em nome do, Citi. Tal programa deve compatível ao risco de
fraude associado com as operações que o fornecedor realiza em nome do Citi e
geralmente deve incluir treinamento, detecção e mitigação de qualquer fraude
potencial. O fornecedor também deve criar e documentar procedimentos para
garantir comunicação oportuna e orientação de qualquer evento de fraude
potencial ao Citi. Isso inclui, entre outros, roubo, fraude, desaparecimento
suspeito de fundos e valores mobiliários, atividade criminal ou delito tentado,
suspeito, alegado ou real envolvendo o Citi, um funcionário do Citi, um
fornecedor ou agente do Citi ou um não funcionário do Citi (por ex., funcionários
e contratados temporários). Os fornecedores devem cooperar com os
representantes do Citi em qualquer investigação de atividade potencialmente
fraudulenta. Os fornecedores devem garantir que todos os funcionários recebam
treinamento de conscientização sobre fraude anualmente.
2.12 Continuidade de Negócios
O Citi mantém planos de continuidade de negócios para minimizar perdas
financeiras e responder às necessidades do mercado e dos clientes quando
ocorre qualquer desastre, crise, interrupção ou emergência. O Citi deve estar
preparado para responder a qualquer evento que possa afetar operações normais
de negócios. Os fornecedores devem ter planos de continuidade de negócios
apropriados em vigor para garantir que qualquer interrupção com respeito aos
produtos e serviços que o fornecedor fornece ao Citi seja tratada e corrigida
dentro dos períodos de tempo de recuperação definidos do Citi. Os fornecedores
devem consultar o BSRM (Business Supplier Relationship Manager) aplicável do
Citi e/ou o contato de negócios principal do Citi para entender quaisquer
Página 8 de 63
procedimentos ou requisitos de gestão de crise aplicáveis ao relacionamento
deles. Consulte informações sobre continuidade de negócios na seção 10.
2.13 Privacidade para a força de trabalho do Citi
O Citi busca proteger as informações pessoais que o grupo, ou que qualquer um
de seus fornecedores, coleta, usa e mantém sobre seus trabalhadores, incluindo
informações médicas, informações relacionadas ao governo (como identificação
de cidadão ou do governo e dados fiscais) e informações de verificação de
antecedentes. Tais informações não devem ser compartilhadas ou discutidas fora
do Citi, exceto quando exigido pela lei ou regulamento aplicável ou nos termos de
uma citação ou ordem emitida por um tribunal de jurisdição competente, ou se
solicitado por um corpo judicial, administrativo ou legislativo. Políticas e
procedimentos sobre a força de trabalho quanto à privacidade e segurança tratam
dos funcionários do Citi, bem como outras pessoas cujas informações são
fornecidas ao Citi no contexto do relacionamento de trabalho.
Os fornecedores devem proteger as informações pessoais e confidenciais que
recebem sobre nossa força de trabalho. Os fornecedores devem cumprir todas as
políticas e diretrizes do Citi, bem como leis e regulamentos locais aplicáveis,
relacionados à segurança e privacidade de informações pessoais e confidenciais
e garantir que tais informações sejam compartilhadas apenas com pessoas
autorizadas. As respostas aos pedidos para tais informações podem ser
fornecidas apenas conforme permitido pela política, lei ou regulamento aplicável
do Citi.
2.14 Práticas justas de emprego; discriminação e assédio
O Citi é um empregador com oportunidades iguais de trabalho, que está
empenhado em garantir a conformidade total na íntegra conforme todas as leis
com respeito às práticas justas de emprego e não discriminação e espera que
todos os fornecedores também devem cumprir todas as leis com respeito às
práticas justas de emprego e não discriminação.
A política do Citi proíbe a discriminação e assédio com base em raça, sexo,
gênero, identidade ou expressão de gênero, cor, crença, religião, origem nacional,
nacionalidade, cidadania, idade, deficiência, informação genética, estado civil
(incluindo parcerias domésticas e uniões civis conforme definido e reconhecido
pela lei aplicável), orientação sexual, cultura, ascendência, status de veterano,
situação socioeconômica ou outra característica ou condição pessoal protegida
legalmente.
Discriminação, assédio ou intimidação que seja ilegal ou de outra forma viole as
políticas do Citi quer seja cometido por ou contra um gerente, colega de trabalho,
cliente, fornecedor ou visitante é proibido. A retaliação contra pessoas por
levantar reclamações de discriminação ou assédio também é proibido. Denúncias
sobre tal comportamento devem ser notificadas para a linha direta de ética do Citi,
o respectivo BSRM do Citi ou o contato de negócios principal do Citi.
Página 9 de 63
2.15 Segurança no local de trabalho
A segurança física e patrimonial no local de trabalho do Citi é uma preocupação
principal do Citi. Os fornecedores devem cumprir as leis aplicáveis e políticas do
Citi sobre saúde e segurança no local de trabalho. Além disso, ameaças ou atos
de violência no local de trabalho ou não comunicar o que foi mencionado acima
não será tolerado.
2.16 Local de trabalho livre de drogas
Em qualquer local de trabalho do Citi e enquanto qualquer funcionário do
fornecedor estiver fornecendo serviços ou produtos ao Citi, o uso errado de
substâncias controladas; a venda, fabricação, distribuição, posse, uso ou estar
sob a influência de drogas ilegais; e o abuso de substâncias que torne qualquer
funcionário do fornecedor incapaz para o trabalho são proibidos.
2.17 Comunicações, equipamentos, sistemas e serviços
Os equipamentos, sistemas e serviços do Citi são fornecidos apenas para fins
comerciais do Citi e para permitir que os funcionários, quando autorizados
antecipadamente pelo Citi, realizem tarefas relacionadas aos produtos e serviços
que o fornecedor fornece ao Citi. Consequentemente, e dentro dos limites
permitidos pelas leis e regulamentos aplicáveis, o Citi pode monitorar e registrar o
uso de equipamentos, sistemas e serviços do Citi por um fornecedor a qualquer
momento. Portanto, os fornecedores não devem ter qualquer expectativa de
privacidade pessoal ao utilizar equipamentos, sistemas e serviços. Os
fornecedores não podem usar equipamentos, sistemas e serviços do Citi a menos
que autorizados antecipadamente pelo Citi e, nos casos em que tal autorização é
fornecida, os fornecedores não podem usar equipamentos, sistemas e serviços do
Citi para qualquer objetivo impróprio ou não autorizado ou de maneira que violaria
as leis e regulamentos aplicáveis ou políticas, normas e diretrizes do Citi. Sem
limitar as disposições acima, o uso de servidores de intranet/internet do Citi deve
estar em conformidade com todas as leis e regulamentos aplicáveis e os termos
de uso dos locais do Citi e os locais acessados de qualquer terceira parte. Os
servidores de intranet/internet do Citi não podem ser usados para download não
autorizado ou uso de qualquer material com direitos autorais ou sem licença. Isso
inclui baixar música e o download não autorizado de software, imagens, vídeo ou
material impresso com direitos autorais. A internet não pode ser acessada de um
servidor do Citi para visualizar, baixar, armazenar, transmitir ou publicar material
embaraçoso, aviltador, ofensivo ou impróprio ou para qualquer outro objetivo que
entre em conflito com as políticas, normas e diretrizes do Citi sobre discriminação
e assédio ilegais. Copiar, vender, usar ou distribuir informações, software ou
outras formas de propriedade intelectual em violação das leis de propriedade
intelectual ou direitos de licença é proibido.
O Citi não tolerará o uso de suas comunicações, equipamentos, sistemas e
serviços, incluindo serviços de e-mail e/ou serviços de intranet/internet, para criar
um ambiente de trabalho hostil ou ofensivo. Os fornecedores nunca devem usar
os sistemas do Citi para iniciar, baixar, visualizar, armazenar, transmitir ou trocar
imagens ou textos eletrônicos de natureza sexual ou que contenham calúnias
étnicas, epítetos de contexto racial ou qualquer outro material de natureza
embaraçosa, aviltadora, ofensiva, obscena ou imprópria.
Página 10 de 63
2.18 Proteção de informações pessoais, exclusivas e internas do Citi
a. Enquanto fornecem produtos ou serviços para o Citi e após os fornecedores
cessarem sua associação com o Citi, os fornecedores têm a obrigação de
proteger informações pessoais, exclusivas, internas e confidenciais ou de
classificação mais alta que obtêm ou criam em conexão com as atividades
deles para o Citi, independente de sua forma. Os fornecedores não podem
compartilhar com o Citi informações exclusivas ou confidenciais e de
classificação mais alta de qualquer antigo empregador ou utilizar essas
informações para ajudar os negócios do Citi, sem o consentimento prévio do
antigo empregador e a menos que permitido por lei ou regulamento aplicável.
b. Os fornecedores adotarão, manterão e cumprirão práticas e procedimentos de
segurança suficientes para proteger informações pessoais, exclusivas e
internas sobre o Citi ou seus clientes, funcionários, fornecedores ou
distribuidores, independente de sua forma, de qualquer (i) divulgação, acesso,
uso ou modificação não autorizada; (ii) apropriação indevida, roubo, destruição
ou roubo; ou (iii) incapacidade de responsabilizar-se por tais informações.
c. Os fornecedores somente podem divulgar, usar ou reproduzir informações do
Citi conforme previsto e relacionado (e então apenas na medida do
necessário) a permitir que os fornecedores cumpram suas obrigações em
relação ao fornecimento de produtos e/ou serviços ao Citi. Os fornecedores
não devem usar as informações do Citi ou permitir que as informações do Citi
sejam usadas para qualquer outro objetivo. As informações do Citi não devem
ser compartilhadas ou discutidas fora do Citi, exceto quando for permitido
expressamente pelo Citi ou exigido pela lei ou regulamento aplicável ou nos
termos de uma citação ou ordem emitida por um tribunal de jurisdição
competente, ou se solicitado por um corpo judicial, administrativo ou
legislativo.
d.
Os fornecedores garantirão que o acesso às áreas de trabalho e
computadores é controlado adequadamente. Os fornecedores não discutirão
questões delicadas, informações exclusivas ou confidenciais em locais
públicos, como elevadores, corredores, restaurantes, banheiros e transporte
público, na internet ou qualquer outra mídia eletrônica (incluindo blogues e
sites de redes sociais).
e.
Os fornecedores serão cautelosos ao usar telefones celulares ou outros
dispositivos de comunicação ou serviços de mensagens. Deve ser exercido
grande cuidado ao discutir tais informações em áreas abertas do local de
trabalho, como cubículos ou em dispositivos com viva-voz.
f.
Quando não estiverem mais fornecendo produtos e/ou serviços ao Citi (ou
antes se o Citi solicitar), os fornecedores devem desativar e cancelar todos os
meios de acesso a qualquer sistema do Citi, além de devolver, destruir ou
manter todas as informações do Citi, como instruído pelo Citi e devolver todas
as propriedades do Citi (incluindo, entre outros, todos os cartões de
identificação, chaves, tokens de senhas de uso único (ou seja, cartões
SafeWord).
g.
Os fornecedores não podem encaminhar informações do Citi para um
computador pessoal, e-mail pessoal ou a qualquer provedor de serviços ou
servidor terceirizado ou a outro site não pertencente ao Citi ou envolver-se em
Página 11 de 63
qualquer uso não autorizado, apropriação indevida ou divulgação de
informações do Citi antes do término de seu contrato com o Citi.
h.
Os fornecedores são responsáveis por garantir a conformidade com todas as
políticas e diretrizes do Citi relativas à proteção de informações do Citi.
2.19 Interação com a mídia e aparições públicas; uso do nome, instalações ou
relacionamentos do Citi
O departamento global de assuntos públicos (Global Public Affairs) do Citi é o
único departamento autorizado a emitir comunicados à imprensa ou declarações
públicas em nome do Citi. Os fornecedores não podem emitir qualquer
comunicado de imprensa que, direta ou indiretamente, identifique o Citi, qualquer
contrato ou arranjo entre um fornecedor e o Citi ou qualquer produto ou serviço
adquirido de um fornecedor pelo Citi. Além disso, os fornecedores não podem
consentir ou se envolver em qualquer atividade de relações públicas relacionada
ao Citi com clientes, funcionários do Citi, outros fornecedores do Citi, outros
clientes de fornecedores ou quaisquer outras terceiras partes sem a aprovação
prévia por escrito do respectivo BSRM do Citi ou principal contato de negócios do
Citi ou o diretor do departamento global de assuntos públicos do Citi.
Os fornecedores não podem publicar qualquer material por escrito ou em formato
eletrônico (incluindo livros, artigos, podcasts, webcasts, blogues, publicações em
sites, fotos, vídeos, mídia social ou outras mídias), fazer discursos, dar entrevistas
ou fazer aparições públicas que mencionem o Citi, as operações, clientes,
produtos ou serviços do Citi sem a aprovação prévia por escrito do respectivo
BSRM do Citi ou contato de negócios principal do Citi e o diretor do departamento
global de assuntos públicos do Citi.
Estando ou não em conexão com a provisão de serviços ou produtos do Citi, os
fornecedores não podem usar símbolos exclusivos, marcas registradas, marcas
de serviço, nomes comerciais, logotipos, símbolos ou nomes de marcas, sem, em
cada caso, garantir o consentimento prévio por escrito do Citi.
Os fornecedores não podem usar o nome, logotipo ou marcas registradas,
instalações ou relacionamentos do Citi para benefício ou para trabalho fora do Citi
(incluindo timbre ou sites pessoais, blogues ou outros sites de redes sociais).
Além disso, os fornecedores não podem fazer qualquer uso do nome, instalações
ou relacionamentos para fins de caridade ou pro bono.
2.20 Informação privilegiada
As políticas do Citi, bem como as leis dos Estados Unidos e de muitos países
proíbem a negociação de valores mobiliários (incluindo ações em carteira, valores
mobiliários conversíveis, opções, obrigações e qualquer índice de ação contendo
o valor mobiliário) de qualquer empresa enquanto estiver na posse de
informações materiais, não públicas (também conhecidas como “informações
internas”) sobre a empresa, bem como “divulgação de dados confidenciais” ou
passar informações privilegiadas a qualquer outra pessoa, se souber ou suspeitar
de maneira razoável de que a pessoa que recebe essas informações usará de
maneira imprópria essas informações negociando valores mobiliários ou
passando tais informações adiante, mesmo se nenhum benefício monetário for
recebido do informante. Se os fornecedores acreditarem ter conhecimento de
Página 12 de 63
informações privilegiadas, não poderão realizar qualquer negociação dos valores
mobiliários da empresa objeto das informações sem primeiro consultar o consultor
jurídico interno do Citi, que então determinará se tal negociação violaria as
políticas do Citi ou as leis aplicáveis. Adicionalmente, os fornecedores nunca
podem revelar ou repassar informações internas se fazer isso violaria as políticas
do Citi ou leis aplicáveis. Negociar ou comunicar informações materiais e/ou não
públicas também pode violar obrigações contratuais assumidas pelo Citi para, ou
em nome de, clientes, bem como as provisões dos contratos entre o fornecedor e
o Citi. As consequências das violações de informações privilegiadas podem ser
graves, incluindo, entre outros: término do relacionamento de um fornecedor com
o Citi (incluindo qualquer e todos os contratos; sanções e penalidades criminais
para o fornecedor, para qualquer funcionário do fornecedor envolvido e
informantes individuais; penalidades monetárias; e outros prejuízos.
Dúvidas do fornecedor sobre o uso de informações privilegiadas podem ser
encaminhadas ao BSRM (Business Supplier Relationship Manager) do Citi e/ou o
contato de negócios principal do Citi.
2.21 Investimentos pessoais em valores mobiliários do Citi e em outros valores
mobiliários
Os fornecedores fornecendo serviços a certas unidades de negócios do Citi
podem estar sujeitos a restrições e políticas adicionais sobre a negociação
pessoal de valores mobiliários (incluindo valores mobiliários do Citi). Essas podem
incluir liberação prévia, períodos de interrupção e requisitos de comunicação. Os
fornecedores afetados serão notificados e assim que forem notificados devem
cumprir quaisquer restrições adicionais que o Citi aplique a eles.
2.22 Investigações
Os fornecedores devem cooperar plenamente com investigações internas ou
externas do Citi autorizadas adequadamente, incluindo, entre outras, aqueles
envolvendo questões éticas ou queixas de discriminação ou assédio. Os
fornecedores nunca podem reter, destruir, adulterar ou não comunicar
informações ou registros relevantes em conexão com uma investigação. Além
disso, os fornecedores devem manter e proteger a confidencialidade de uma
investigação na medida do possível. Fazer declarações falsas ou, de outro modo,
enganar auditores internos ou externos, investigadores, consultor jurídico,
representantes do Citi, agências regulatórias ou outras autoridades do governo é
proibido.
2.23 Relatórios obrigatórios
A menos que proibido pelas leis locais, um fornecedor que oferece serviços ou
produtos em um local de trabalho do Citi deve notificar o Citi se tornar-se sujeito a
uma prisão, convocação, intimação, acusação, indiciamento ou condenação por
qualquer crime, incluindo qualquer sujeição a prisão preventiva ou a uma pena
semelhante.
Página 13 de 63
2.24 Atividades e contribuições políticas
Atividade política inclui: (i) fazer contribuições políticas corporativas ou pessoais,
solicitar contribuições políticas, usar fundos ou recursos do Citi (como instalações,
equipamentos, software ou pessoal) ou oferecer serviços pessoais como
voluntário durante o horário da empresa em nome de um candidato concorrendo a
um cargo público, um comitê de partido político ou um comitê político; (ii) exercer
influência ou contatar autoridades públicas, seja diretamente ou através de
terceiros, incluindo tentativas de influenciar a legislação e, dependendo da
jurisdição, tentativas de influenciar as entidades regulamentadoras ou a
concessão de contratos governamentais; ou (iii) procurar obter, aceitar ou exercer
qualquer cargo político associado ao governo, incluindo qualquer junta
governamental, comissão ou outra organização semelhante.
Diversas leis regulamentam as atividades políticas do Citi e seus fornecedores.
Qualquer atividade política de fornecedores que não esteja em conformidade com
as leis ou regulamentos relevantes é proibida.
Além disso, nenhuma atividade política pode ser realizada ou conduzida por
qualquer fornecedor em nome do (ou supostamente em nome do) Citi sem
autorização prévia por escrito do escritório global de assuntos governamentais
(Global Government Affairs office) do Citi. O Citi não reembolsará um fornecedor
por contribuições políticas pessoais ou corporativas de qualquer tipo.
2.25 Contribuições de caridade
Contribuições de caridade não podem ser dadas em nome do Citi por um
fornecedor ou solicitadas por ou de um funcionário do Citi, cliente, funcionário do
governo ou outro parceiro de negócios do Citi, como condição ou para influenciar
uma decisão de negócios (ou seja, sem “toma lá dá cá”).
2.26 Oportunidades corporativas
Os fornecedores têm a obrigação de promover os interesses legítimos do Citi
quando a oportunidade de fazer isso surgir. Os fornecedores não podem
aproveitar para o próprio uso uma oportunidade corporativa potencial para o Citi
que seja descoberta no decorrer da contratação do fornecedor pelo Citi ou através
do uso de propriedade, informações ou posição do Citi; nem os fornecedores
podem concorrer com o Citi.
2.27 Negociações de negócios de parte relacionada
Os fornecedores devem notificar o Citi sobre qualquer relacionamento de
negócios ou transação de negócios proposta que o Citi possa ter com qualquer
empresa na qual o fornecedor ou uma parte relacionada tem um interesse direto
ou indireto, do qual o fornecedor ou uma parte relacionada possa derivar um
benefício ou onde uma parte relacionada está empregada, se tal relação ou
transação puder criar a aparência de um conflito de interesses.
Página 14 de 63
2.28 Comunicação de preocupações
A manutenção de padrões de ética é crucial para o Citi manter padrões de
negócios de classe mundial. Se você suspeitar de maneira razoável ou tomar
conhecimento de uma possível violação de uma lei, regulamento ou padrão de
ética do Citi, deve entrar em contato com o Citi imediatamente através dos
seguintes meios:




Linha direta de ética do Citi (866)-ETHIC 99/ (866) 384-4299, (212)
559-5842 (chamada direta ou a cobrar) ou disque o código de acesso do
seu país e (866) 384-4299
Fax (212) 793-1347
E-mail [email protected]
Enviar uma carta para: Citi Ethics Office (Escritório de ética do Citi)
1 Court Square, 24th Floor
Long Island City, NY 11101 (EUA)
Página 15 de 63
3 DIVERSIDADE DE FORNECEDORES
O Citi incentiva a utilização de fornecedores diversificados sem distinção de raça,
cultura, gênero, classe social, orientação sexual, credo religioso ou deficiência e está
empenhado em ajudar esses fornecedores diversificados no crescimento e
desenvolvimento deles a longo prazo. Além disso, o Citi incentiva seus fornecedores a
desenvolver e utilizar fornecedores diversificados como subcontratados, quando
aplicável. Informações adicionais sobre o programa de diversidade de fornecedores do
Citi podem ser encontrados no site de diversidade de fornecedores do Citi.
http://www.citigroup.com/citi/citizen/people/diversity/index.htm.
Diversidade de
fornecedores
Página 16 de 63
4 RELACIONAMENTO
COM FORNECEDORES E CONFORMIDADE COM OS
CONTRATOS
a.
Fornecedores e fornecedores potenciais devem cooperar com o respectivo BSRM
(Business Supplier Relationship Manager) do Citi e/ou contato de negócios
principal do Citi para garantir que um contrato de confidencialidade (NDA) seja
executado com o Citi antes de quaisquer discussões ou troca de quaisquer
informações confidenciais do Citi entre o Citi e o fornecedor.
b.
Os fornecedores não devem iniciar a execução de qualquer serviço ou fornecer
qualquer produto ao Citi a menos que um contrato seja negociado e executado
plenamente entre o Citi e o fornecedor ou uma ordem de compra tenha sido
emitida ao fornecedor pelo Citi.
c.
Os fornecedores devem manter o respectivo BSRM (Business Supplier
Relationship Manager) do Citi e/ou contato de negócios principal do Citi informado
de quaisquer mudanças na equipe de administração principal e/ou informações de
contato respectivas.
d.
Os fornecedores devem apoiar os esforços do Citi de realizar atividades de gestão
de fornecedores contínuas apropriadas e necessárias e cooperar, conforme
necessário, incluindo avaliações de segurança da informação e informações sobre
reclamações de clientes e suas resoluções, se necessário. É realizada uma
diligência devida adicional para fornecedores designados como prestadores de
serviços terceirizados (Outsource Service Providers, OSPs). Os fornecedores
devem fornecer suporte necessário às unidades de negócios do Citi a realizar
diligência devida adicional, quando aplicável (consulte a seção 9 de segurança da
informação).
e.
Os fornecedores com acesso aos sistemas, instalações e informações
classificadas como informações confidenciais ou classificação mais alta devem
apoiar os pedidos do Citi de fornecer informações para fins de identificação.
f.
A menos que acordado de outra forma pelo Citi por escrito, um fornecedor não
pode usar um subcontratado para cumprir obrigações do fornecedor para o Citi.
Qualquer aprovação prévia deve basear-se, no mínimo, em confirmação de que
(a) o subcontratado pode cumprir todas as obrigações aplicáveis ao fornecedor;
(b) o fornecedor garantirá que o subcontratado proposto cumprirá todas as
obrigações aplicáveis ao fornecedor; e (c) o fornecedor permanecerá responsável
perante o Citi de qualquer não conformidade do subcontratado de acordo com o
contrato do fornecedor com o Citi.
g.
Qualquer aprovação do subcontratado deve ser documentada em uma
confirmação por escrito assinada pelo fornecedor que reafirma as obrigações do
fornecedor nas subseções (b) e (c), acima, em conjunto com quaisquer obrigações
mais específicas que, dependendo da criticidade ou nível de risco da atividade
proposta do sub-contratado, o Citi considera necessário. A forma e o texto exatos
da confirmação por escrito podem ser alterados com base no contrato subjacente
com o fornecedor e qualquer termo preciso considerado necessário e aprovado
pelo Citi. Trabalhe com o BSRM (Business Supplier Relationship Manager) do Citi
e/ou contato de negócios principal do Citi para documentar a aprovação utilizando
o formulário de consentimento apropriado.
Relacionamento com
fornecedores e conformidade com os contratos
Página 17 de 63
Confirmação do fornecedor em conexão com o uso do subcontratado
Confirmação do fornecedor em conexão com o uso do subcontratados designados
h.
O Citi pode exigir que os fornecedores forneçam as demonstrações financeiras de
fim de ano que passaram por auditoria mais recentes de três (3) anos e, mediante
solicitação, as demonstrações financeiras intermediárias mais recentes. O Citi
pode requerer autorização do Fornecedor por escrito para permitir que o Citi
forneça as demonstrações financeiras do fornecedor a um prestador de serviços
terceirizado contratado pelo Citi com o objetivo de tradução ou realização de uma
avaliação financeira.
i.
O Citi pode solicitar informações de confirmação e/ou documentação para validar
que o fornecedor satisfez qualquer serviço necessário e níveis de qualidade,
documentação para avaliar a adequação das práticas e do programa de
continuidade de negócios (CoB) do fornecedor (consulte a Seção 10), e/ou
conformidade com qualquer dois termos de seu contrato.
j.
Os fornecedores devem garantir que sempre cumprem plenamente todas as leis
de exportação aplicáveis e devem fornecer informações razoáveis e necessários
para o Citi se os serviços e produtos fornecidos pelos fornecedores ao Citi
envolverem ou exigirem o compartilhamento de quaisquer dados técnicos,
software de computador ou qualquer produto (ou qualquer parte disso), processo
ou serviço que seja produto direto de quaisquer desses dados técnicos ou
software de computador fora dos Estados Unidos ou com qualquer pessoa que
não seja cidadã ou residente dos Estados Unidos. Além disso, dependendo da
natureza dos produtos e serviços, o Citi pode exigir que os fornecedores
identifiquem a classificação de exportação para tais produtos e serviços.
Adicionalmente, os fornecedores cumprirão todas as leis de exportação aplicáveis
fora dos Estados Unidos, bem como leis e regulamentos locais aplicáveis e
notificará o Citi de quaisquer requisitos específicos ao uso dos produtos e serviços
fora dos Estados Unidos com respeito ao Citi.
k.
O fornecedor não designará ao Citi ou manterá a atribuição da tarefa de fornecer
serviços ao Citi, qualquer pessoal que o fornecedor saiba, suspeite ou tenha
motivo de acreditar que foi condenado, confessou a culpa ou esteve sujeito a
prisão preventiva por, um crime envolvendo desonestidade, violação de confiança,
lavagem de dinheiro ou qualquer outro tipo de crime que esteja relacionado aos
serviços. O Citi pode exigir que os fornecedores completem e passem com
sucesso em uma verificação de antecedentes criminais (que pode incluir
impressões digitais), como condição de fornecer serviços ao Citi ou fornecer
evidência por escrito de que a verificação de antecedentes criminais foi realizada e
os resultados da verificação, mediante solicitação do Citi, quando permitido pela lei
local.
l.
O fornecedor deve manter e administrar de maneira eficiente políticas e
procedimentos abrangentes para verificar a autorização de trabalho e conduzir
verificações de antecedentes para seu pessoal que são pessoas físicas e recebem
a tarefa de fornecer serviços ao Citi na medida permitida pelas, e de acordo com
as, leis aplicáveis e qualquer acordo coletivo aplicável. Essas políticas e
procedimentos devem cumprir as normas do Citi para a verificação de
antecedentes, incluindo a revisão do histórico profissional, condenações criminais
Relacionamento com
Página 18 de 63
e exames toxicológicos antes da contratação do pessoal. O Citi pode, a qualquer
momento, solicitar informações para validar que o fornecedor conduziu toda a
verificação de antecedentes de acordo com as normas do Citi e todas as leis e
regulamentos aplicáveis.
m.
As expectativas do Citi quanto à condução pelos fornecedores de verificação de
antecedentes dos seus funcionários são definidas na seção 11: Normas globais da
verificação de antecedentes.
n.
O Citi pode exigir que o pessoal dos fornecedores leia e confirme sua
conformidade com as políticas do Citi, incluindo aquelas relacionadas à segurança
e privacidade, políticas sobre o local de trabalho e outras políticas, procedimentos
e diretrizes destinadas a garantir a conformidade com a lei aplicável ou os
requisitos regulatórios.
Relacionamento com
Página 19 de 63
5 DESPESAS DE VIAGENS
O Citi somente reembolsará despesas relacionadas aos negócios razoáveis que tenham
sido aprovadas previamente por escrito pelo Citi e tenham sido incorridas pelo
fornecedor em viagens de negócios do Citi em conexão com a provisão de produtos e
serviços para o Citi e de acordo com os termos do contrato aplicável. Essas despesas
devem ser documentadas e faturadas para o Citi de maneira adequada de acordo com
os requisitos de faturamento do Citi. Os termos e condições do contrato garantirão a
conformidade com a Política de gestão de despesas do Citi. Para esclarecimento, a
despesa para a qual o fornecedor busca reembolso do Citi está sujeita a aprovação
prévia por escrito do Citi através de um funcionário do Citi que recebeu o nível
apropriado de autoridade delegada para aprovar as despesas de viagens. Qualquer
fatura enviada ao Citi para reembolso de despesas para itens de despesas válidos e
aprovados deve incluir (além de todos os outros requisitos de faturamento):





O objetivo comercial da despesa;
O valor e a descrição da despesa;
O local e a data da despesa;
O nome/descrição do projeto para o qual o fornecedor está fornecendo serviços;
e
O nome e o relacionamento de negócios do representante do Citi que solicita os
serviços para os quais tais despesas foram incorridas.
Os termos de pagamento que foram estabelecidos entre o Citi e o fornecedor no
contrato aplicável também se aplicam aos reembolsos de despesas.
Para obter mais informações sobre despesas de negócios reembolsáveis, entre em
contato com seu BSRM (Business Supplier Relationship Manager) do Citi. O BSRM
(Business Supplier Relationship Manager) do Citi garantirá que você receba as
informações de acordo com a Política de gestão de despesas do Citi incluindo a reserva
de viagens usando as agências de viagens designadas (Designated Travel Agencies,
DTA) do Citi, quando aplicável, através de reembolso. Itinerários de viagem completos e
faturas devem ser enviados com o pedido de reembolso e aprovados pelo patrocinador
de negócios apropriado e/ou BSRM (Business Supplier Relationship Manager) do
Citi. Não serão reembolsados pedidos não-conformes. O fornecedor não pode enviar
para reembolso valores não-conformes.
Os itens seguintes são trechos com modificações apropriadas da seção de viagens e
entretenimento da Política de gestão de despesas do Citi e são aplicáveis ao fornecedor
e seu pessoal com respeito à reserva de viagens usando agências de viagens
designadas do Citi através de reembolso. Para obter mais informações sobre despesas
reembolsáveis, entre em contato com seu BSRM (Business Supplier Relationship
Manager) do Citi.
I.
Despesas não reembolsáveis relacionadas a viagens: o fornecedor e seu
pessoal não devem, em nenhuma circunstância, ser reembolsados por qualquer
item de despesa não reembolsável.
Despesas de viagens
Página 20 de 63
II. Despesas reembolsáveis relacionadas a viagens: sujeitos em todos os casos à
conformidade do fornecedor e de seu pessoal com os termos do acordo de serviços
aplicável, os seguintes itens podem ser qualificados para o reembolso:
A. Geral
1. Reservas de viagens devem ser feitas através de uma agência de viagens
designada (DTA) do Citi, quando aplicável. Para obter as informações de
contato da agência de viagens designada local do Citi, entre em contato com
seu BSRM (Business Supplier Relationship Manager) do Citi. Ao usar a DTA
do Citi, os fornecedores e seu pessoal devem fornecer para a agência uma
identificação de não funcionário do Citi (NEMS ID), quando aplicável, ou a
identificação de funcionário do Citi (GEID) do “patrocinador” do Citi
(o funcionário do Citi com o qual estão conduzindo os negócios).
a. As reservas incluem:
i. Hotéis
ii. Veículos alugados
iii. Viagem aérea direta
iv. Viagem aérea com vários trechos
v. Para viagem de trem elegível, a DTA instruirá o viajante se a
reserva precisa ser feita diretamente com a empresa de
transporte
2. Todas as viagens devem ser classificadas como viagem de geração de
receita do cliente ou sem geração de receita do cliente:
a. Viagens de geração de receita do cliente do Citi/do Citi são definidas
como despesas associadas diretamente com atividades de geração
de receita ou relacionadas aos clientes.
b. Viagens sem geração de receita do cliente do Citi/do Citi são
definidas como atividades cruciais de negócios não associadas com
atividades de geração de receitas incluindo atividades jurídicas,
regulatórias e de continuidade dos negócios.
3. O fornecedor e seu pessoal são incentivados a comprar passagens aéreas e
reservar hotéis, com pelo menos 7 dias antes da data de partida.
4. O fornecedor e seu pessoal não podem fazer ou modificar arranjos de
viagens para ter ganho pessoal.
a. O fornecedor e seu pessoal não podem rebaixar uma classe de
serviço (por ex., classe executiva para classe econômica) para usar
as economias para uso pessoal ou pagar mais do que a tarifa com
desconto para obter um bônus de milhas adicional ou outro benefício.
5. O programa de viagens global do Citi não pode ser usado por um fornecedor
ou seu pessoal para viagem pessoal.
6. As despesas de deslocamento não são reembolsáveis.
7. Os custos de transporte terrestre são reembolsáveis apenas para fins
relacionados aos negócios.
a. Sistemas eletrônicos de cobrança de pedágios (toll tag), compras de
tokens de descontos, passagens de trem e ônibus de uso ilimitado
Despesas de viagens
Página 21 de 63
não são reembolsáveis, exceto quando usados exclusivamente para
viagens relacionadas aos negócios.
8. Viagens de cônjuges não são reembolsáveis.
9. Cobranças de acesso à internet incorrido durante viagens são reembolsáveis
quando o acesso à internet for necessário exclusivamente para fins
comerciais relacionados ao Citi.
10. Se as reservas elegíveis NÃO forem feitas através da agência de viagens
designada quando exigido, o fornecedor e seu pessoal não serão
reembolsados.
11. Mudanças de viagens de emergência devido ao mau tempo (por ex.,
nevasca), continuidade de negócios convocada ou incidente de viagem
notificado (por ex., interrupção dos serviços ou fechamento do aeroporto)
quando o fornecedor e seu pessoal não puderem entrar em contato com a
agência de viagens designada podem ser feitas diretamente com a
companhia aérea comercial, hotel, agência de locação ou fornecedor da
viagem de trem elegível.
B. Viagens aéreas comerciais
1. O fornecedor e seu pessoal deve reservar a passagem aérea funcional com
tarifa mais baixa (Lowest Logical Airfare) em companhia área preferida do Citi.
a. A agência de viagens designada fornecerá informações sobre voos no
período de viagem aplicável e, a partir disso, oferecerá passagem aérea
funcional com tarifa mais baixa.
b. O período de viagem para voos internacionais é duas horas e para voos
nacionais e entre os países de EMEA é de uma hora de cada lado da
hora de partida requerida.
c. O fornecedor e seu pessoal não são obrigados a fazer uma parada
quando o voo sem paradas em uma companhia aérea preferida do Citi
estiver disponível.
d. A agência de viagens designada também pode fornecer informações
sobre passagens aéreas de aeroportos alternativos. A opção de partir de
um aeroporto alternativo é recomendada quando as passagens aéreas
são mais baratas e os objetivos de negócios não são comprometidos.
e. A viagem relacionada ao cliente do Citi que exija que o fornecedor faça o
mesmo voo ou use a mesma classe de serviço que o cliente ou onde a
data de chegada da passagem aérea funcional com tarifa mais baixa não
for conducente a horário de reunião crítico do cliente deve ser reservada
usando a agência de viagens designada.
2. As viagens aéreas devem ser na classe econômica. A classe executiva (ou uma
classe acima da classe econômica) é permitida para:
a. Entre países da EMEA: todos os voos acima de 1900 quilômetros
(viagem de ida)
b. Todos os outros voos acima de 3360 quilômetros (viagem de ida)
3. Se o fornecedor e seu pessoal desejarem utilizar uma classe de serviço superior
ao da classe de serviço permitida, o custo do upgrade não é reembolsável.
Despesas de viagens
Página 22 de 63
4. O fornecedor e seu pessoal devem usar passagens eletrônicas, quando
disponível.
5. O fornecedor e seu pessoal devem cancelar qualquer reserva que não será
usada antes da data de partida agendada para garantir que o reembolso seja
processado.
6. O fornecedor e seu pessoal não podem escolher passagens aéreas mais caras
para ganho pessoal (por ex., milhas por viagens frequentes, status de viajante
frequente ou passagens de acompanhantes). O fornecedor e seu pessoal
podem manter milhas de viagens frequentes, se não houver aumento de custos
para o Citi.
7. Voos fretados não são reembolsáveis.
8. Reembolso
a. Se os voos forem reservados através da agência de viagens
designada
i. O fornecedor e seu pessoal terão o reembolso total se a
passagem aérea funcional com tarifa mais baixa tiver sido
aceita, do contrário o custo excedente não é reembolsável
ii. O fornecedor e seu pessoal devem enviar a fatura e o
itinerário da agência de viagens designadas, incluindo
observações da política, a serem reembolsados
b. Se os voos NÃO forem reservados através da agência de viagens
designada quando exigido, o fornecedor e seu pessoal não serão
reembolsados.
C. Transporte terrestre
Transporte terrestre inclui o uso de veículos motorizados para fins de negócios
incluindo aluguel de carros, veículos pessoais, trens, ônibus, e serviços de carros
particulares ou de táxi.
1. Veículos alugados:
a. As classes aprovadas de veículos aprovadas são Padrão e abaixo.
i. Um carro de tamanho grande ou um veículo utilitário esportivo
pode ser alugado apenas quando quatro ou mais passageiros
usarão o veículo.
ii. Veículos de luxo não são reembolsáveis.
b. Multas por violações de trânsito ou estacionamento não são
reembolsáveis.
c. Custos de combustível para veículos alugados são reembolsáveis.
2. Veículos pessoais:
a. O uso de veículos pessoais para viagem de negócios do Citi é
reembolsável com base na distância adicional percorrida além do
deslocamento normal. Custos de combustível não são reembolsáveis.
b. O fornecedor e seu pessoal que usarem o próprio veículo para
viagens de negócios serão reembolsados de acordo com as leis
fiscais locais com base na documentação da distância viajada, datas
da origem e destino da viagem e um motivo de negócios apropriado.
Despesas de viagens
Página 23 de 63
i. Estacionamento,
pedágios
e
quilometragem
são
reembolsáveis.
ii. Multas por violações de trânsito ou estacionamento não são
reembolsáveis.
iii. Despesas associadas com o roubo ou prejuízo do veículo de
um fornecedor e seu pessoal (incluindo pagamento dedutível
de seguro) enquanto estiverem em negócios do Citi são
reembolsáveis.
iv. Custos de estacionamento e despesas de deslocamento
diário para/do trabalho como parte normal do deslocamento
não são reembolsáveis.
3. Carros particulares:
a. Quando o transporte público não estiver disponível ou não for
apropriado, o serviço de táxi ou de carro particular aprovado de custo
mais baixo deve ser usado, quando disponível. Para obter uma lista
de prestadores de serviço de carro particular aprovado, entre em
contato com seu BSRM (Business Supplier Relationship Manager) do
Citi.
i. O custo é reembolsável apenas quando usado para fins
relacionados aos negócios; por ex., transporte para/do
aeroporto quando estiver em viagem de negócios aprovada ou
transporte para/de uma reunião com cliente.
ii. O fornecedor e seu pessoal que precisarem de transporte
entre escritórios do Citi devem usar transporte público ou
serviços de transporte operados pelo Citi, quando disponível.
iii. O fornecedor e seu pessoal devem utilizar transferências
gratuitas para/do aeroporto quando fornecidas por uma
companhia aérea como parte da passagem aérea. O
fornecedor e seu pessoal serão notificados quando disponível.
iv. O fornecedor e seu pessoal em grandes cidades podem usar
uma empresa de carros não aprovada para o serviço que se
origine ou termine fora dos limites municipais.
v. Tarifas de paradas não são reembolsáveis, exceto
relacionadas a carona quando usadas para viagens de
negócios. O pedido de reembolso de despesas deve incluir o
local de partida/chegada, objetivo de negócios e nomes dos
participantes.
vi. Estacionamento (excluindo aeroportos nos quais recolher um
passageiro na calçada não for permitido), serviço de recepção
no país natal de um fornecedor ou seu pessoal, telefone
veicular, caronas pessoais e taxas por não comparecimento
não são reembolsáveis.
vii. Gorjetas não são reembolsáveis ao usar um serviço de carro
particular aprovado.
Despesas de viagens
Página 24 de 63
viii. O fornecedor e seu pessoal devem enviar o recibo de acordo
com os formulários aceitáveis de documentação de recibo da
gestão de despesas para obter o reembolso.
b. Uso de limusines para seis passageiros ou ampliadas é proibido.
4. Viagem de trem:
a. Viagem de trem elegível deve ser reservada através da agência de
viagens designada. A viagem de trem com outras empresas de
transporte deve ser reservada diretamente com a empresa.
b. Todas as viagens de trem devem ser em classe econômica, segunda
classe ou serviços expressos mais baratos disponíveis.
i.
Viagem de trem na primeira classe é permitida quando usada
em vez de uma passagem aérea carga.
ii.
Fazer uma viagem de trem na primeira classe exige que uma
explicação por escrito seja anexada ao pedido de reembolso
do fornecedor ou seu pessoal.
5. Serviço de transporte:
a. Serviços de transporte oferecem transporte para o pessoal do
fornecedor para/dos edifícios de escritório do Citi selecionados para
reuniões de negócios. A identificação do Citi ou um cartão de
visitante válido deve ser apresentado ao embarcar no serviço de
transporte.
D. Hotéis
1. O fornecedor e seu pessoal devem reservar todos os hotéis, hotéis de estadia
ampliada e apartamentos com central de serviços através da agência de viagens
designada do Citi. Hotéis de estadia ampliada e apartamentos com central de
serviços que não puderem ser reservados através da agência de viagens
designada do Citi devem ser reservados através do departamento de viagens
global do Citi.
Viagem relacionada a cliente que exige que um fornecedor se hospede no
mesmo hotel do cliente deve ser reservada por empresa de viagem designada e
não exige aprovação de exceção.
2. O fornecedor e seu pessoal deve reservar a taxa mais baixa negociada pelo Citi
disponível em um hotel preferido do Citi mais conveniente onde precisam
conduzir negócios do Citi.
3. Em cidades sem um hotel preferido do Citi, o fornecedor e seu pessoal serão
direcionados pela agência de viagens designada do Citi para um hotel e tarifa
aprovados.
4. Quando o pessoal do fornecedor precisar permanecer no hotel por mais de cinco
noites, eles devem se hospedar em acomodação identificada como hotéis de
estadia ampliada ou apartamentos com central de serviços preferidos do Citi,
quando disponível.
5. O fornecedor e seu pessoal deve cancelar qualquer reserva que não será usada
de acordo com a política de cancelamento sem multa do hotel. O fornecedor e
seu pessoal devem obter um número de cancelamento.
Despesas de viagens
Página 25 de 63
6. Reembolso
a. Se os hotéis forem reservados através da agência de viagens designada
i.
O fornecedor ou seu pessoal será reembolsado completamente
se escolherem o hotel e a tarifa aprovados. Qualquer custo
excedente não será reembolsado.
ii.
Além da fatura discriminada do hotel, o fornecedor ou seu pessoal
deve enviar a fatura e o itinerário da agência de viagens
designada do Citi incluindo observações da política quanto a
estadias em hotel para o setor de Contas a pagar, para ser
reembolsado.
iii.
O fornecedor e seu pessoal devem enviar o formulário de
aprovação de estadia ampliada e apartamento com central de
serviços para o setor de Contas a pagar do Citi da acomodação
reservada pelo departamento de viagens global do Citi.
b. Onde exigido, se os hotéis NÃO forem reservados através da agência de
viagens designada, o fornecedor ou seu pessoal não será reembolsado.
i. Viagem relacionada a cliente que exige que um fornecedor se
hospede em hotel reservado diretamente pelo cliente ou por
empresa externa que trata da logística da viagem para a viagem
relacionada a cliente.
ii. A participação em seminários externos, conferências, reuniões ou
convenções de associações que oferecem taxas especiais para
grupos ou taxas com desconto no local da reunião ou em hotéis
convenientes para o local não precisa ser reservada através da
agência de viagens designada. Uma cópia do registro da
conferência deve ser enviada com o pedido de reembolso como
comprovante da participação.
Despesas de viagens
Página 26 de 63
6 PRESENTES E ENTRETENIMENTOS
A política do Citi proíbe que seus funcionários, ou qualquer membro da família próxima,
ofereçam para clientes, parceiros de negócios externos, fornecedores e outras pessoas,
ou deles aceitem presentes, entretenimento, serviços, empréstimos ou tratamento
preferencial em troca de uma relação de negócios atual ou futura com o Citi. Os
fornecedores devem apoiar o Citi para garantir conformidade com essas restrições e
proibições e não colocar um funcionário do Citi em posição desconfortável ou
comprometedora. Em geral, os fornecedores não podem oferecer presentes ou
qualquer coisa de valor (incluindo entretenimento) aos funcionários do Citi, se isso
puder criar um conflito de interesses real ou aparente, comprometer o julgamento do
funcionário ou, de outra maneira, potencialmente influenciar a tomada de decisão do
funcionário. Sem limitar as disposições acima, presentes em dinheiro ou seu
equivalente (por ex., cartões-presentes ou vouchers) não são permitidos em nenhuma
circunstância e os fornecedores não devem dar presentes de negócios não monetários2
que excedam, no total, US$ 100 por pessoa por ano civil a um funcionário do Citi. O
recebimento de presentes de negócios pode estar sujeito aos limites adicionais das
políticas de negócios, regionais e/ou de pessoas jurídicas específicas do Citi.
Quando um fornecedor fornece entretenimento de negócios (por ex., um convite para
uma refeição, evento social, esportivo, cultural ou outro evento comparável) a um
funcionário do Citi, o fornecedor deve participar do evento e o entretenimento deve ser
apropriado, habitual e razoável, não suntuoso ou excessivamente frequente e
claramente não destinado a influenciar o negócio do Citi.
O fornecedor não pode presentear ou oferecer entretenimento de qualquer valor a
qualquer funcionário do governo em nome do Citi ou supostamente em nome do Citi,
sem aprovação prévia do setor de conformidade global do Citi (para funcionários do
governo dos EUA) ou um aprovador antissuborno e anticorrupção (para funcionários de
governos fora dos EUA).
2
“Presente de negócios” é qualquer item de valor (exceto entretenimento de negócios) dado ou
recebido por um funcionário do Citi em conexão com negócios do Citi ou negócios da parte
externa, geralmente incluindo itens no valor de US$ 25 ou menos.
Presentes e
entretenimentos
Página 27 de 63
7 GESTÃO DE REGISTROS
O Citi exige que todos os fornecedores em custódia de informações do Citi trabalhem
com o respectivo BSRM (Business Supplier Relationship Manager) do Citi e/ou contato
de negócios principal do Citi ou o gerente de gestão de registros (Records Management
Officer, RMO) para (i) identificar informações como registros ou transitórias, (ii)
classificar registros de acordo com o catálogo de registros mestre (Master Record
Catalogue, MRC), (iii) reter informações com base nos requisitos de retenção e (iv)
quando não houver indicação para reter os registros, descartar as informações
adequadamente no final do ciclo de vida das informações.
O fornecedor deve trabalhar com o BSRM (Business Supplier Relationship Manager) do
Citi e/ou contato de negócios principal do Citi ou RMO para garantir que o inventário de
registro identifique registros de acordo com os códigos de registro do Citi no MRC e que
seja atualizado pelo menos anualmente. Os períodos de retenção identificados no MRC
devem ser aplicados às informações do Citi em custódia do fornecedor. Os registros
que cumpriram a obrigação de retenção listada no MRC e que não estão em uma
retenção de registros devem ser destruídos de acordo com as normas de segurança da
informação do Citi dentro dos 12 meses de elegibilidade. O fornecedor deve suspender
a destruição ou alteração de informações do Citi quando for notificado de uma retenção
de registros. Informações transitórias devem ser destruídas no máximo em dois anos
após a sua última utilização, desde que não estejam sujeitas a uma retenção de
registros.
Os fornecedores não devem descartar informações do Citi, independente de sua
classificação (por ex., confidencial, não confidencial) sem a aprovação do BSRM do Citi
e/ou contato de negócios principal do Citi ou RMO, o que deve incluir uma confirmação
de que nenhuma retenção de registros ativa aplica-se às informações prestes a serem
destruídas. Os requisitos de retenção e todos os requisitos de manipulação de
informações devem sobreviver ao término ou vencimento do acordo, salvo acordo
expresso em contrário.
Os fornecedores devem manter documentação listando todo o pessoal do fornecedor
responsável por supervisionar a gestão de informações do Citi sob custódia do
fornecedor e realizar reuniões periódicas com o respectivo BSRM (Business Supplier
Relationship Manager) do Citi e/ou contato de negócios principal do Citi ou RMO para
revisar e atualizar nomes de contatos, detalhes de procedimentos, funções
responsabilidades e o inventário de registros do fornecedor.
Gestão de registros
Página 28 de 63
8 DIRETRIZES DE LOCAL DE TRABALHO SEGURO
Diretrizes de local de trabalho
seguro
Detalhes
Informações
(documentação
impressa)
Trancar e proteger as informações do Citi depois do horário
normal do trabalho e sempre que o fornecedor estiver longe do
espaço de trabalho designado.
do
Citi
eletrônica e
Propriedade pessoal (carteira,
organizador, telefone celular,
etc.)
e
dispositivos
de
informática (notebooks, PDAs,
blackberrys, telefones celulares,
etc.)
Bens pessoais e dispositivos de informática nunca devem ser
deixados desacompanhados. O Citi não é responsável pela
perda de bens pessoais e dispositivos de informática do
fornecedor.
Computadores pessoais (PCs) e
notebooks
Computadores pessoais e notebooks usados para acessar ou
visualizar informações do Citi devem ser protegidos por senhas
de proteção de tela depois de um período de inatividade.
Sempre que um fornecedor sair do espaço de trabalho
designado, deve bloquear o computador e/ou notebook com
CTRL + ALT + DEL e selecionar “Bloquear computador”. Se um
fornecedor estiver usando um notebook para visualizar
informações do Citi, deverá garantir que tal notebook fique
preso à unidade base por meio de cabo ou trava de segurança
durante o horário de expediente e guardado no final do horário
normal de trabalho.
Logoff dos computadores
O fornecedor deve fazer logoff e desligar todos os
computadores que estiver usando antes de ir embora, a menos
que as necessidades do negócio exijam que fiquem ligados. Se
a estação de trabalho de um fornecedor foi deixada ligada,
certifique-se que é bloqueada e o monitor desligado.
Áreas de armazenamento
As áreas sob as mesas e a parte de cima dos armários não
devem ser usadas para armazenar itens pessoais ou material
que pode contribuir para um incêndio potencial ou perigo físico.
Bloqueie
Armários de arquivo e gavetas devem ser trancados depois do
horário normal do trabalho.
Áreas abertas do escritório
As áreas abertas do escritório não devem ser usadas como
servidor de arquivos/minicentro de dados, a menos que tenham
sido concebidas especificamente para tal uso e documentadas
no Citi.
Bandejas de impressoras,
fotocopiadoras e fax
Todos os papéis com assuntos delicados devem ser retirados
de bandejas de impressoras, fotocopiadoras e fax.
Escritórios privados/salas de
conferência
Todas as diretrizes da política se aplicam, independente do
fornecedor estar ocupando um escritório. Observe que
escritórios
privados/salas
de
conferência
não
são
necessariamente seguros, mesmo quando trancados, porque o
pessoal de serviço tem acesso a eles.
Diretrizes de local de trabalho seguro
Página 29 de 62
Diretrizes de local de trabalho
seguro
Detalhes
Descarte
Descarte de informações do Citi que não são mais necessárias
(siga os cronogramas de retenção específicos). Os documentos
devem ser picados ou colocados em uma lixeira de reciclagem
segura/trancada. Mídia magnética deve ser descartada de
maneira segura depois dos procedimentos adequados de
apagamento serem seguidos.
Diretrizes de local de trabalho seguro
Página 30 de 62
9 SEGURANÇA DA INFORMAÇÃO (IS)
9.1
Visão geral
Esta seção fornece requisitos para os fornecedores do Citi que armazenam, processam,
gerenciam ou acessam informações do Citi e/ou hospedam aplicativos do Citi, com respeito
aos controles de proteção da informação que são esperados pelo Citi para garantir que as
informações sejam protegidas de acordo com os requisitos legais e regulatórios aplicáveis e
os padrões mais altos do setor (por exemplo, ISO/IEC 27002) nos locais em que o Citi e
seus fornecedores fazem negócios.
Essas normas meramente definem requisitos mínimos. Se as leis ou regulamentos locais ou
normas relevantes do setor estabelecerem uma norma mais alta do que a fornecida aqui, os
fornecedores devem cumprir tais leis, regulamentos ou normas. Além disso, pode ser
exigido que os fornecedores incorporem práticas e procedimentos de segurança da
informação adicionais como parte da conformidade deles com outras políticas do Citi e
termos e condições de um contrato que assinaram.
Se um fornecedor decidir implementar práticas de segurança adicionais ou procedimentos
detalhados para segurança da informação, deverá garantir que essas práticas e
procedimentos não entrem em conflito com os controles mínimos definidos neste
documento.
9.2
Política de segurança da informação
a. Documento da política de segurança da informação
1. Os fornecedores devem ter documentado as políticas e normas de segurança da
informação. A propriedade destes documentos deve ser atribuída a um executivo
ou equipe do fornecedor cujas responsabilidades incluem revisões e
atualizações anuais (a partir daqui os responsáveis).
2. O fornecedor deve ter um processo documentado que descreva as funções,
responsabilidades e governança para as políticas, procedimentos e normas de
segurança da informação dele.
b. Revisão da política de segurança da informação
As políticas e normas de segurança da informação do fornecedor devem ser revistas
pela gestão, no mínimo anualmente, quanto à adequação organizacional,
consistência com a evolução da tecnologia, as normas mais recentes do setor e
conformidade com os requisitos legais e regulatórios.
9.3
Segurança da informação organizacional
a. Gestão comprometida com a segurança da informação/avaliações
1. Os fornecedores estão sujeitos ao processo de avaliação de segurança da
informação de terceiros (Third Party Information Security Assessment, TPISA) do
Citi para avaliação das políticas, procedimentos e controles do Fornecedor sobre
a conformidade com essas normas e quaisquer requisitos legais e/ou
regulatórios (aplicáveis ao Citi ou ao fornecedor) que dizem respeito à segurança
da informação. A avaliação compreenderá questionários de segurança exigindo
respostas do fornecedor e visitas aos locais onde as informações confidenciais
do Citi podem ser armazenadas, processadas, administradas ou, de outra forma,
acessadas. Se as descobertas de um TPISA revelarem ou indicarem problemas
ou preocupações de segurança, o Citi documentará as descobertas em um aviso
para o fornecedor e trabalhará com ele para identificar meios de corrigir os
Segurança da Informação (IS)
Página 31 de 62
problemas. Os fornecedores devem fazer as correções necessárias
eficientemente e lidar com as preocupações para a satisfação razoável do Citi.
2. O fornecedor deve realizar com regularidade avaliações de suas operações de
negócios e controles relacionados em comparação às suas normas, políticas e
procedimentos de segurança da informação.
3. As avaliações periódicas devem incluir, no mínimo:
i.
Avaliação dos processos que o fornecedor usa para garantir a
conformidade com a política e normas de segurança da informação.
ii.
Avaliação dos recursos de apoio, como aplicativos e infraestrutura usada
pelo fornecedor e processos de segurança da informação usados pelos
subcontratados do fornecedor (se aplicável) que apoiem suas operações
de negócios.
4. Os problemas que forem identificados como um resultado de qualquer avaliação
de risco da segurança da informação devem ser documentados e
acompanhados até a conclusão.
5. Se a função de gestão de segurança da informação do fornecedor for realocada
para além das fronteiras do país, o fornecedor deve obter aprovação
documentada do Citi.
6. Se o fornecedor adquirir uma nova entidade, deve completar uma avaliação da
entidade adquirida para conformidade com essas normas de acordo com os
requisitos nesta seção.
7. O fornecedor não deve terceirizar as funções de gestão de segurança incluindo,
entre outros, gestão de firewall, de configuração de segurança, de patch ou
funções de administração da segurança da informação (Information Security
Administration, ISA), nos sistemas usados para armazenar, processar e/ou
transmitir informações do Citi, a menos que tenha sido previamente aprovado
por escrito pelo Citi.
8. Se o fornecedor hospedar um site que contém informações do Citi ou tem a
marca do Citi, avaliações periódicas de vulnerabilidade desse site devem ser
realizadas e problemas materiais identificados durante a avaliação devem ser
remediados oportunamente.
9. Se for necessária conectividade com servidores e/ou sistemas de informação na
rede interna do Citi, então o fornecedor deve notificar o contato de negócios dele
no Citi, de modo que o processo de conectividade atual possa ser seguido.
10. O fornecedor deve notificar imediatamente o contato apropriado do Citi sobre
qualquer acesso não autorizado ou aquisição, perda, corrupção, exclusão de
informações do Citi ou qualquer outro comprometimento dos sistemas de
informação usados para armazenar, processar e/ou transmitir informações do
Citi.
9.4
Partes externas
a. Identificação de riscos relacionados às partes externas
1. O fornecedor deve notificar o Citi, por escrito, de qualquer intenção de usar
sub-contratados para apoiar operações que envolvem informações do Citi.
Um acordo de confidencialidade (NDA) ou um acordo que contém
obrigações de confidencialidade da parte de tal subcontratado potencial
deve ser executado pelo fornecedor com cada subcontratado potencial
antes de discussões sobre, ou a troca de, quaisquer informações do Citi e
tal acordo deve estar em vigor pelo tempo em que quaisquer informações
do Citi sejam disponibilizadas por tal subcontratado potencial.
Página 32 de 62
2. O fornecedor deve garantir segurança apropriada das informações e sistemas
da informação do Citi que são acessados, processados, descartados ou
geridos pelos sub-contratados.
i.
O fornecedor deve garantir que a segurança das informações e
sistemas da informação do Citi não seja comprometida pela introdução
dos produtos ou serviços fornecidos por um sub-contratado.
ii.
O fornecedor deve revisar periodicamente os controles de segurança
da informação dos sub-contratados que hospedam um aplicativo para
a internet com marca do Citi ou que tenham recebido acesso às
informações do Citi.
iii.
O fornecedor deve avaliar anualmente seu relacionamento com tais
sub-contratados que cumprem os critérios especificados acima para
determinar se uma revisão dos controles de segurança deles é
necessária.
3. Quando o acesso às informações do Citi precisa ser fornecido para as partes,
os subcontratados, fora das instalações do fornecedor e da supervisão de
gestão, as exigências de segurança da informação, conforme apropriado,
devem ser tratadas em um acordo documentado entre o fornecedor e a parte
adicional que inclui:
i.
O direito de realizar periodicamente uma avaliação de segurança da
informação, consistente completamente com a que o Citi pode
conduzir para o fornecedor e uma obrigação de ter, mediante pedido,
qualquer problema material encontrado na avaliação remediado ou
estabelecer controles de compensação correspondentes.
ii.
Uma exigência de que a parte notifique o fornecedor quando tiver
ocorrido qualquer acesso ou aquisição não autorizado de informações
do Citi ou qualquer comprometimento dos sistemas da informação
usados para armazenar, processar ou transmitir informações do Citi.
iii.
Exigências de que a parte realize todos os esforços razoáveis para
devolver ou destruir todas as informações do Citi em um ponto no
tempo acordado durante ou no final do acordo.
iv.
Exigências para notificar o Citi do uso pelos fornecedores de
subcontratados que receberão acesso a informações sensíveis ou
confidenciais do Citi, bem como o direito do Citi aprovar os
subcontratados ou o direito de rescindir o acordo com aviso prévio ao
fornecedor.
v.
Exigência de que os subcontratados limitem o acesso às informações
do Citi a apenas aqueles funcionários do subcontratado que
necessitam tal acesso para fornecer os serviços subjacentes ao
fornecedor.
vi.
A obrigação do subcontratado de usar as informações apenas com o
objetivo de fornecer serviços ao fornecedor e não divulgar as
informações a qualquer um de seus subcontratados ou terceiros sem
permissão por escrito do Citi, a menos que exigido pela lei.
vii.
O direito de rescindir o acordo, com aviso à parte, se os requisitos de
segurança do fornecedor mudarem e a parte não concordar com tais
mudanças.
Página 33 de 62
4. Os acordos com partes, que exigem acesso ou conectividade aos servidores
e sistemas de informação na rede interna dos fornecedores, devem, além dos
requisitos acima, incluir o direito para o fornecedor de revogar o acesso ou
interromper a conexão entre os sistemas do fornecedor e da parte.
5. Cada uso de provedor externo de sistema de nuvem envolvendo informações
confidenciais ou de classificação mais alta ou servindo como um sistema de
produção deve ser aprovado pelo Citi antes da ativação e anualmente depois
disso.
9.5
Gestão de ativos
a. Inventário de ativos
1. O fornecedor deve garantir a manutenção de um inventário de todos os
aplicativos e hardware sob seu controle que são usados para armazenar,
processar e/ou transmitir informações do Citi.
2. O fornecedor deve garantir que um inventário de ativos de informações do Citi
seja mantido sob seu controle.
3. Se o fornecedor usar IDs funcionais nos sistemas de informações de
produção/continuidade de negócios (CoB), as identificações devem ser mantidas
em um inventário, capturando os principais atributos.
b. Proteção dos ativos
1. O fornecedor deve ser responsável por proteger todas as informações do Citi
sob seu controle.
2. Todas as IDs funcionais nos sistemas de informação de produção/CoB onde as
informações do Citi residem não devem ser criadas se não houver um
responsável designado.
c. Acesso e uso aceitável dos ativos
1. O fornecedor deve garantir a responsabilidade da atividade de seus usuários de
maneira consistente com a prática do setor
2. O acesso dos usuários a contas de e-mail externas pessoais deve ser restrito na
rede global do fornecedor onde as informações do Citi residem
d. Classificação das informações
1. O Citi classifica as informações de acordo com a classificação de informações
seguinte:
 RESTRITAS
 CONFIDENCIAIS
 INTERNAS
 PÚBLICAS
As informações de identificação pessoal (PII) confidenciais são um subconjunto
de informações confidenciais e as PII internas são um subconjunto de
informações internas. Nesses casos, os dados devem estar em conformidade
com todos os requisitos das classificações confidencial e interna
respectivamente, assim como quanto aos requisitos adicionais para PII.
Página 34 de 62
 AUTENTICAÇÃO
Autenticação é uma classificação separada com seus próprios requisitos,
conforme definidos nas normas. É uma classificação completamente
independente de outras classificações de informações.
e. Rotulagem, manuseio e armazenamento de informações
1. Com base na classificação de informações do Citi, o fornecedor deve especificar
o nível de segurança necessário para proteger tais informações e garantir que
controles suficientes estão em vigor, em conjunto com qualquer nível
intensificado ou modificado que o Citi pode definir subsequentemente.
2. As informações do Citi devem ser armazenadas em:
i. Dispositivos e aplicativos que são administrados de acordo com as políticas e
normas de segurança da informação do fornecedor
ii. Dispositivos administrados pelo sub-contratado. O subcontratado está sujeito
a um contrato com o fornecedor para respeitar as políticas e normas de
segurança da informação do fornecedor
3. Apenas informações classificadas pelo Citi como públicas podem ser
armazenadas em dispositivos pertencentes aos funcionários do fornecedor (por
ex., computadores residenciais, assistentes digitais pessoais (PDA), aplicativos
móveis de internet e e-mail).
9.6
Segurança física e ambiental
a. Segurança contra incêndios
1. O fornecedor deve cumprir os requisitos legais e regulatórios aplicáveis que
regulamentam a segurança física e o estabelecimento de um ambiente de
trabalho seguro, incluindo os códigos locais a respeito de incêndios.
2. O fornecedor deve utilizar sistemas de detecção, alarme e contenção de
incêndios. Os sistemas devem ser inspecionados e testados anualmente.
b. Segurança física
1. As informações do Citi devem ser armazenadas em áreas com controles que
restrinjam o acesso apenas a pessoal autorizado.
2. O fornecedor deve ter um sistema de acesso físico documentado e auditável em
vigor.
3. O fornecedor deve utilizar uma combinação de sistemas de alarme de
segurança/de invasão que incluam um alarme de segurança monitorado por uma
terceira parte, seguranças e vigilância por vídeo, conforme apropriado para o
ambiente e para os serviços fornecidos.
4. O fornecedor deve ter uma política de visitantes documentada que inclua o
requisito de todos os visitantes fornecerem identificação verificável na chegada e
assinarem uma lista de entrada e saída.
9.7
Gestão de comunicações e operações
a. Documentar procedimentos operacionais
O fornecedor deve ter um ciclo de vida de desenvolvimento de sistemas seguros
(Secure System Development Life Cycle, S-SDLC) documentado em vigor, em
adesão às normas mínimas do Citi, no caso de o fornecedor prestar serviços de
desenvolvimento de software ao Citi.
Página 35 de 62
b. Gestão de mudanças
O fornecedor deve ter um processo estabelecido e documentado de gestão de
mudanças.
c. Segregação de funções
1. O fornecedor deve colocar processos em vigência para garantir que nenhuma
pessoa com acesso às informações do Citi possa realizar duas funções de
negócios ou funções de sistema de informações controladas com acesso
contínuo para a mesma atividade, mudança, sistema da informação controlado
ou transação sem autorização ou detecção a menos que controles adequados
de compensação estejam presentes para mitigar o risco. Atualmente, os itens
seguintes são as únicas exceções reconhecidas:
i. Um usuário pode iniciar ou aprovar uma transação real e ainda participar do
teste de novos requisitos para o mesmo sistema da informação do Citi em
um ambiente sem produção.
ii. Um usuário com a função de desenvolvimento pode fornecer suporte para a
produção, mas o acesso contínuo ao sistema da informação do Citi somente
pode ser concedido se o acesso for limitado apenas a leitura e visualização e
não incluir acesso a PII confidenciais ou dados restritos.
2. Uma pessoa com a função de desenvolvimento ou certificação que precise
fornecer suporte de interrupção/conserto utilizando a função de implementação
deve usar acesso privilegiado temporário ao sistema de informações
controladas.
3. Uma pessoa que precise atualizar os dados de produção fora dos controles do
aplicativo deve usar acesso privilegiado temporário.
4. Procedimentos de controle de mudanças padrão do setor devem ser seguidos
para todas as atividades de mudança.
5. Responsabilidade operacional para operações de rede deve ser separada da
responsabilidade para operações de computação.
d. Separação de instalações de desenvolvimento, de testes e operacionais
Quando for aplicável, o fornecedor deve garantir que os ambientes de
desenvolvimento, testes e produção são todos separados física e/ou logicamente
uns dos outros.
e. Entrega de serviço
O fornecedor deve ter acordos documentados em vigor com sub-contratados que
tenham acesso às informações do Citi que cumpram completamente as normas do
Citi, em conjunto com mecanismos em vigor para garantir a conformidade de
quaisquer desses sub-contratados com tais acordos e essas normas.
f.
Gestão de capacidade
O fornecedor deve ter um processo de gestão de capacidade documentado em vigor
que cumpra as normas relevantes do setor.
g. Aceitação do sistema
O fornecedor deve ter processos de gestão do escopo do projeto e aceitação do
sistema documentados em vigor que satisfaçam as normas relevantes do setor.
h. Controles contra código mal-intencionado
O fornecedor deve garantir que as precauções necessárias sejam tomadas para
prevenir e detectar a introdução de qualquer código mal-intencionado (por ex., vírus,
Página 36 de 62
worms, vírus Cavalo de Troia, adware, spyware) e deve implementar controles
preventivos, de detecção e recuperação para proteger contra código
mal-intencionado. O fornecedor deve:
i.
Implementar, atualizar e manter tecnologia para anti-vírus e anti-spyware
em todos os computadores pessoais e tecnologia para anti-vírus em
todos os servidores de rede local (LAN), servidores de e-mail e outros
dispositivos que armazenam, processam e/ou transmitem informações do
Citi.
ii.
Estabelecer uma estratégia de bloqueio apropriada no perímetro da rede.
iii.
Implementar controles técnicos e de processo para garantir que a equipe
não acesse contas de e-mail de internet externas ou sites não
relacionados aos negócios a partir da rede do fornecedor.
iv.
Implementar a infraestrutura do perímetro que fornece a capacidade para
bloquear o acesso a sites da internet que são considerados não
relacionados aos negócios ou que apresentem um risco à segurança da
informação.
i.
Controles contra código móvel
Os fornecedores devem garantir que as precauções necessárias sejam tomadas
para controlar apropriadamente o uso do código móvel. Onde o uso do código móvel
for autorizado, a configuração deve, no mínimo, satisfazer todas as normas do setor
e obrigações contratuais para o Citi, garantir que o código móvel autorizado opere
de acordo com uma política de segurança definida claramente e documentada e
impedir que código móvel não autorizado seja executado.
Para código móvel que pode afetar o sistema ou plataforma operacional subjacente
(ou seja, fora da “área restrita”), o fornecedor deve garantir o seguinte:
i.
O código móvel publicado pelo fornecedor deve ser assinado por uma
autoridade de certificados aprovada pelo Citi e o ciclo de vida do
certificado deve ser gerenciado pelo fornecedor para tratar do vencimento
ou rotação do certificação.
ii.
O código móvel assinado com certificados vencidos deve ser removido da
produção.
j.
Controles de rede
1. As redes do fornecedor usadas para armazenar, processar e/ou transmitir
informações do Citi devem ser protegidas de ameaças e a segurança deve ser
mantida para os sistemas da informação que usam a rede. Isso inclui
informações em trânsito através da rede.
2. Informações com uma classificação de informações do Citi confidencial ou mais
alta não devem ser armazenadas de forma persistente em um sistema em zona
desmilitarizada (Demilitarized Zone, DMZ) para a internet.
3. Com respeito às redes usadas para armazenar, processar e/ou transmitir
informações do Citi, o fornecedor deve garantir que:
i.
Apenas redes locais sem fio (WLANs) ou outras soluções de dispositivos
sem fio que incluem controles razoáveis para proibir o acesso não
autorizado (PEAP-TLS, EAP-TTLS, etc.) possam ser conectadas às
redes que contêm informações do Citi.
ii.
Todas as conexões de IP externo para a rede global do fornecedor são
protegidas por um firewall administrado pelo fornecedor.
iii.
Um sistema de detecção de invasão (Intrusion Detection System, IDS) ou
um sistema de prevenção de invasão (Intrusion Prevention System, IPS)
que monitora e protege em tempo real todas as suas conexões de
Página 37 de 62
iv.
v.
internet para a sua rede, onde as informações do Citi são armazenadas,
processadas e/ou transmitidas, está em vigor.
Todos os aplicativos e serviços de internet com a marca do Citi
hospedados em sites do fornecedor devem ter serviços anti-DDoS
(Distributed Denial of Service) ou controles comparáveis validados pelo
Citi.
Firewalls externos devem ser configurados com a regra padrão “negar
tudo”. As regras de firewall devem ser configuradas com base no
princípio de privilégio mínimo.
k. Gestão de mídia removível
1. O fornecedor deve proteger as informações do Citi independente da mídia na
qual são mantidas. Esta norma aplica-se, entre outros, aos seguintes tipos de
mídia nos quais as informações são mantidas: cartão, cassete, disco compacto
(CD), disquete ou outro dispositivo de armazenamento removível, saída de
cópias impressas, disco magnético, fita magnética, microfilme, microficha, disco
óptico ou documento impresso.
2. A configuração padrão para acessar mídia portátil/dispositivos de
armazenamento para os sistemas nos quais as informações do Citi são
armazenadas deve ser apenas de leitura. Se exceções forem concedidas e
assim o acesso de leitura e gravação for permitido, os dados devem ser
criptografados no dispositivo de mídia portátil.
l.
Descarte de mídia
Quando informações do Citi com uma classificação do Citi de confidencial ou mais
alta e as informações forem elegíveis para descarte de acordo com as instruções
fornecidas pelo Citi (ou seja, no ponto em que as informações não são mais exigidas
ou úteis para o Citi, mais qualquer período adicional de retenção exigido por lei,
regulamento e/ou políticas do Citi), o fornecedor deve destruir tais informações que
maneira que as tornem inutilizáveis e irrecuperáveis.
m. Procedimentos de manuseio de informações
1. O fornecedor sempre deve proteger as informações do Citi contra acesso,
modificação ou exclusão não autorizada.
2. As informações do Citi colocadas em mídia transportável eletrônica (Electronic
Transportable Media, ETM) devem ser transferidas de maneira segura e a
entrega deve ser confirmada.
O fornecedor deve confirmar que a ETM foi recebida pelo destinatário pretendido
na data esperada de entrega e continuar a acompanhar o destinatário pretendido
até o momento em que a entrega é confirmada. Se a confirmação de
recebimento não for recebida até a data esperada de entrega, o fornecedor deve
notificar o Citi.
n. Mensagens eletrônicas
Mensagens eletrônicas, redes ponto a ponto ou outras ferramentas colaborativas de
internet não podem ser usadas para transmitir ou armazenar informações do Citi fora
da rede do fornecedor ou de redes que contêm informações do Citi, a menos que
criptografia apropriada esteja em vigor para todos os dados do Citi conforme a seção
9.9c (política sobre o uso de controles criptográficos).
o. Comércio eletrônico
Os sistemas de informação usados para armazenar, processar e/ou transmitir
informações do Citi, que usam senhas dinâmicas ou certificados digitais devem usar
Página 38 de 62
serviços de autenticação que são reconhecidos pelos analistas do setor para
satisfazer critérios mínimos para segurança da informação para validar as
credenciais.
p. Transações online
1. Quando aplicável, o fornecedor deve ter sistemas de informação que utilizam
senhas dinâmicas ou certificados digitais para validar as credenciais.
2. O tempo de vida de todos os certificados não deve exceder dois anos.
3. Para todos os sites para a internet e comunicações de ponta a ponta entre o Citi
e o fornecedor, devem ser usados certificados de validação estendida (Extended
Validation, EV).
4. Todos os aplicativos do fornecedor armazenando, processando ou transmitindo
informações do Citi devem:
i.
Cumprir os requisitos de autenticação no Anexo A.
ii.
Executar uma avaliação de conformidade de autenticação multifatorial
(Multifactor Authentication, MFA); o fornecedor deve entrar em contato
com seu BSRM (Business Supplier Relationship Manager) para obter os
requisitos atuais.
iii.
Implementar uma solução on-line de detecção de atividade suspeita
(Suspicious Activity Detection, SAD); o fornecedor deve entrar em contato
com seu BSRM (Business Supplier Relationship Manager) para obter os
requisitos atuais.
q. Registro de auditoria
O fornecedor deve garantir que todos os sistemas de informações controladas
usados para armazenar, processar e/ou transmitir informações usem trilhas de
auditoria em um nível de infraestrutura ou aplicativo para registrar os itens
seguintes:
1. Ações relevantes de segurança de infraestrutura para a plataforma associada
devem ser registradas.
2. Todos os alarmes de sistema associados com um firewall ou evento de
segurança gerado por IDS/IPS devem ser registrados.
3. Todas as tentativas de violações da segurança do sistema (por ex., tentativas
fracassadas de logon de usuário) devem ser registradas.
4. Todos os eventos significantes relacionados a transações financeiras e
informações do Citi que incluem especificamente os itens seguintes devem ser
registrados:
i.
Atualizações em transações financeiras
ii.
Atualizações em dados de PII confidenciais
iii.
Atualizações em dados restritos
iv.
Atualizações em dados de autenticação
5. Dispositivos de sessão (endereço IP no mínimo, ou outras informações
pertinentes), como identificação de dispositivo único, devem ser capturados, se
tecnicamente viável e registrados para aplicativos para o Citi (aplicativos de sites
e móveis) para apoiar as investigações de fraude. Esses dispositivos devem ser
capturados para as transações do Citi e para atividade de abertura de contas do
Citi. As informações devem ser capturadas de uma maneira que o dispositivo da
sessão pode ser vinculado à transação ou abertura de conta.
6. Eventos ISA significativos devem ser registrados especificamente, incluindo os
itens seguintes:
i.
Criação de usuário
ii.
Modificação dos direitos de acesso do usuário
Página 39 de 62
iii.
Exclusão, criação e modificação de funções/perfis no sistema de
informações controladas
iv.
Redefinição de senha
v.
Mudanças na configuração de segurança do sistema
7. Todas as atividades interativas de IDs funcionais com privilégios devem ser
registradas.
8. Os registros de segurança devem conter pelo menos as informações abaixo,
independente do sistema que gera o registro, a menos que não seja viável
tecnicamente.
i.
Data e hora do evento (horário em formato UTC)
ii.
Identificação de usuário da pessoa realizando a ação
iii.
Tipo de evento
iv.
Nome do ativo ou recurso afetado
v.
Tipo de acesso (excluir, modificar, etc.)
vi.
Sucesso ou falha do evento
vii.
Fonte (terminal, porta, local, IP, nome do host, etc.)
r. Uso do sistema de monitoramento
1. Os eventos seguintes devem ser capturados, registrados e revistos diretamente
ou através de um processo de revisão automatizado:
Todos os alarmes do sistema associados com um firewall ou evento de
segurança gerado por IDS/IPS devem ser revistos.
2. Eventos ISA significantes como observados na seção 9.7q (registro de auditoria)
com exceção de:
i.
Remoção de direitos de usuário, função ou perfil.
ii.
Onde a atividade de administração de segurança da informação for
executada por um sistema de fluxo de trabalho automatizado/cumprimento
que tem controles de integridade extremidade-a-extremidade.
3. Todas as atualizações dos recursos críticos como identificadas na compilação
padrão segura.
4. Todas as atividades interativas realizadas pelas IDs funcionais com privilégios
devem ser revistas.
s. Proteção de informações do registro
1. O fornecedor deve garantir que os controles de acesso estejam em vigor para
preservar a integridade das trilhas de auditoria:
i.
Durante início e desligamento
ii.
No armazenamento e durante transmissão
2. Para prevenir modificações não autorizadas nos registros de auditoria, o
fornecedor deve garantir que os registros não possam ser substituídos ou
modificados pelos usuários do sistema cuja atividade rastreiam.
3. O fornecedor deve definir o período de retenção para os dados de registro que
cumprem todos os requisitos legais e regulatórios aplicáveis e manter e cumprir
tais requisitos de retenção.
t.
Sincronização do relógio
Os relógios de todos os sistemas de processamento de informações relevantes em
uma organização ou domínio de segurança devem ser sincronizados em uma fonte
de tempo precisa.
Página 40 de 62
9.8
Controle de acesso
a. Política de controle de acesso
1. O fornecedor deve implementar controles de acesso que:
i.
sejam integralmente documentados;
ii.
sejam auditáveis.
2. O fornecedor deve proteger todos os sistemas de informações controladas
usados para armazenar, processar e/ou transmitir informações do Citi de acesso
não autorizado e deve protegê-los usando produtos, funções ou processos de
segurança compatíveis com os níveis de riscos de segurança da informação dos
sistemas da informação e a classificação de informações aplicável.
3. O fornecedor é responsável pelos direitos de acesso dos usuários em sua
organização.
4. Todos os acessos dos usuários aos sistemas de informações controladas
usados para armazenar, processar e/ou transmitir as informações do Citi devem
garantir privilégio mínimo pelo aprovador do acesso para fazer cumprir o
conjunto mais restritivo de direitos/privilégios de acesso necessário pelos
usuários para realizar seu trabalho.
5. O acesso com privilégio temporário aos sistemas de informações controladas
deve seguir um processo de senha/liberação de conta documentado que:
i.
Exige que o solicitante esteja em uma lista de usuários autorizados
pré-aprovada ou tenha uma aprovação no tempo de uso.
ii.
Exige uma justificativa documentada em um tíquete de mudança/problema
antes de o acesso ser concedido.
iii.
Inclui uma análise independente da atividade realizada com o acesso.
iv.
Inclui um processo para revogar/remover o acesso depois de um período
de tempo pré-definido de não mais que 24 horas.
v.
Permite, para produção e estabilização após implementação, como após
um upgrade importante ou resolução de interrupção, que o acesso seja
estendido até sete dias consecutivos.
b. Registro de usuário
1. O fornecedor deve garantir que nenhum usuário pode obter acesso por ele
mesmo em um sistema de informações controladas usado para armazenar,
processar e/ou transmitir informações do Citi sem aprovação do gerente ou
encarregado do gerente.
2. O acesso com privilégios contínuo pode ser concedido a um usuário em um
sistema de informações controladas usado para armazenar, processar e/ou
transmitir informações do Citi apenas quando todas as condições seguintes são
cumpridas
i.
A justificativa para o acesso contínuo é documentada como parte da
aprovação
ii.
O gerente do usuário e o responsável pelas informações/representante do
sistema de informações controladas aprovam o acesso.
3. Todas as IDs funcionais novas, ou modificações a IDs funcionais existentes, em
sistemas de informação CoB/produção devem ser aprovadas pelo responsável
pelas IDs/representante e pelo proprietário do sistema de informação no qual
residem, como parte do processo de criação e/ou modificação de IDs.
4. O proprietário/representante da ID funcional de qualquer ID funcional com
privilégio deve aprovar adições à lista de usuários autorizados, se tal lista existir.
Página 41 de 62
c. Gestão de privilégios
1. O fornecedor deve implementar controles de acesso que garantem que os
usuários recebam apenas os privilégios e direitos necessários para realizar a
função deles.
2. O fornecedor deve implementar um processo para garantir que todas as
capacidades de acesso padrão sejam removidas, desabilitadas ou protegidas
para impedir o uso não autorizado.
3. O logon direto a uma ID funcional com privilégios deve ser concedido através de
um processo de acesso com privilégios temporário.
d. Revisão dos direitos de acesso do usuário
1. O fornecedor deve implementar um processo documentado para revisar, verificar
e excluir direitos de usuário desnecessários para os sistemas de informações
controladas usados para armazenar, processar e/ou transmitir informações do
Citi.
2. O fornecedor deve rever todos os direitos de usuário pelo menos
semestralmente e remover qualquer acesso desnecessário.
3. Os usuários não devem rever ou aprovar os próprios direitos ou os direitos de
uma pessoa que delegou a responsabilidade de revisão a eles.
4. Os direitos para todas as IDs funcionais não fixas com privilégios nos sistemas
de informação de produção/CoB devem ser revistos anualmente pelo
responsável pelas IDs/representante.
e. Uso de senhas
1. Senhas fixas de usuários nunca devem ser compartilhadas, tornadas públicas
aos outros ou escritas.
2. Senhas de IDs funcionais interativas com privilégios nos sistemas de
informações de produção/CoB não devem ser compartilhadas.
f.
Política de mesa limpa e tela limpa
A equipe do fornecedor deve proteger as informações do Citi em todas as formas,
incluindo informações físicas usadas ou armazenadas no espaço de trabalho da
equipe.
g. Autenticação de usuário para conexões externas
1. Acesso remoto a sistemas de informação usados para armazenar, processar
e/ou transmitir informações do Citi deve ser protegido contra o uso não
autorizado.
2. Se o usuário permitir o acesso remoto de pessoas à sua rede, o fornecedor deve
garantir que o acesso remoto seja protegido por autenticação com base em
token ou com base em certificado usando tecnologias de acesso remoto padrão
(ou seja, VPN, Citrix, etc.).
h. Identificação de equipamentos nas redes
1. Apenas dispositivos do fornecedor (ou seja, hardware, incluindo, entre outros:
computadores, notebooks, mídia de armazenamento de dados removível) que
cumpram essas normas e que sejam autorizados pelo fornecedor podem
acessar a rede do fornecedor onde as informações do Citi são armazenadas,
processadas ou transmitidas.
Página 42 de 62
2. Apenas dispositivos do fornecedor (ou seja, hardware, incluindo, entre outros:
computadores, notebooks, mídia de armazenamento de dados removível) que
cumpram essas normas e que sejam autorizados pelo Citi podem ter acesso à
rede do Citi.
i.
Segregação em redes
1. O fornecedor deve garantir que todos os sistemas de informação e aplicativos
que são usados para armazenar, processar e/ou transmitir informações do Citi e
que podem ser acessados por meio da internet, somente possam ser acessados
por meio da zona desmilitarizada (DMZ) do fornecedor.
2. Durante um evento de emergência, o fornecedor deve ser capaz de filtrar o
acesso entre as partes da rede para reduzir o impacto de eventos de segurança
da rede (por ex., filtragem de porta durante um surto de vírus).
3. Acesso remoto e segurança de host devem implementar controles de acesso
com base em grupos (por ex., equipe, sub-contratados) para limitar o acesso aos
recursos da rede na rede do fornecedor. No nível do host, o controle de acesso
pode ser feito em nível de grupos ou de pessoas.
j.
Procedimentos seguros de logon
As IDs de logon associadas com uma senha fixa devem ser desabilitadas após, no
máximo, seis tentativas de logon consecutivas fracassadas.
i.
As IDs funcionais estão isentas do requisito de bloquear as IDs de logon
depois do número prescrito de tentativas de logon fracassadas.
ii.
IDs de logon de usuários bloqueadas devem ser habilitadas novamente
através de um serviço de redefinição padrão do setor ou outra função
autorizada.
k. Identificação e autenticação de usuários
1. Todos os sistemas de informações controladas do fornecedor devem autenticar
a identidade dos usuários ou sistemas que acessarem essas plataformas antes
de iniciar uma sessão ou transação nas quais as informações do Citi podem ser
acessadas.
2. Todos os usuários devem ser:
i. identificados exclusivamente ou mapeados para a plataforma tecnológica
por uma ID de usuário;
ii. autenticados para a plataforma tecnológica usando um método de
autenticação, o fornecedor deve entrar em contato com seu BSRM
(Business Supplier Relationship Manager) para obter os métodos
aprovados atuais.
O uso de infraestrutura de autenticação compartilhada [por ex., Single
Sign-on (logon único), Reduced Sign-on, e outros serviços de
autenticação compartilhados) deve estar de acordo com os requisitos
de autenticação; o fornecedor deve entrar em contato com seu BSRM
(Business Supplier Relationship Manager) para obter os métodos
aprovados atuais.
iii. Os responsáveis pelas IDs funcionais devem garantir que os processos
sejam implementados, o que demonstra claramente a responsabilidade
pelo acesso interativo.
Página 43 de 62
l.
Sistema de gestão de senhas
1. As senhas fixas de usuários nunca devem ser exibidas na tela em texto claro.
Senhas de IDs funcionais interativas com privilégios não devem ser inseridas
no código em texto claro.
2. Senhas fixas (exceto PINs) devem ser compostas de, no mínimo, seis caracteres
que devem conter letras e números e, se viável tecnicamente, diferenciar
maiúsculas de minúsculas.
3. Podem ser usados PINs como único método de autenticação para acessar os
sistemas de informação apenas se os PINs forem necessários para satisfazer
restrições dos dispositivos físicos (por ex., teclado, telefone, cartão inteligente).
4. Todas as senhas fixas devem ser modificadas a cada 90 dias no mínimo.
Senhas fixas para IDs funcionais são isentas deste requisito. Também observe:
i. IDs funcionais podem ser configuradas para não expirar.
ii. Todos os sistemas de autenticação devem impor um controle de
inatividade/não uso de logon que não deve exceder 100 dias se
tecnicamente viável (IDs funcionais e IDs de logon de clientes estão isentas
deste requisito). Logons desabilitados podem ser habilitados novamente
pelo usuário ou outra função autorizada.
iii. O processo de autenticação deve garantir que a mesma senha não foi
usada pelo menos nas últimas seis mudanças.
m. Uso de utilitários do sistema
O fornecedor deve garantir que o uso de programas utilitários que são capazes de
anular os controles de sistemas e aplicativos (por ex., inicialização de dispositivos
periféricos) seja restrito e controlado.
n. Sessão expirada
1. Nova autenticação ou logon deve ocorrer para todos os usuários de um sistema
de informações controladas usado para armazenar, processar e/ou transmitir
informações do Citi.
2. Os usuários devem autenticar novamente depois de um período de inatividade
que não excede 30 minutos. Atividade inclui qualquer entrada em um terminal
(mouse, teclado, tela sensível ao toque, etc.). Onde a imposição for
providenciada pela proteção de tela protegida por senha, a imposição de
aplicativo/logon único não é necessária.
o. Computação e comunicações móveis
1. Todos os notebooks e computadores de mesa gerenciados pelo fornecedor e
usados para armazenar, processar e/ou transmitir informações do Citi, usando
acesso remoto onde há armazenamento/processamento local de informações
com uma classificação de informações do Citi confidencial ou restrita devem ser
criptografados usando-se uma ferramenta de criptografia que satisfaça as
normas do setor.
2. Computadores gerenciados pelo fornecedor devem ter um firewall pessoal ativo
quando conectados diretamente (ou seja, não através de um firewall ou proxy
gerenciado pelo fornecedor) na internet.
3. Qualquer aplicativo móvel do Citi deve ser assinado e publicado nos mercados
móveis (por ex., iTunes) pelo Citi.
p. Teletrabalho
Toda conectividade para a rede do fornecedor deve usar soluções de conectividade
remota aprovadas que estejam em conformidade com as normas acima.
Página 44 de 62
9.9 Aquisição, desenvolvimento e manutenção de sistemas de informação
a. Análise e especificação de requisitos de segurança
1. O fornecedor deve incorporar procedimentos de segurança da informação em
seus processos e procedimentos para a seleção, desenvolvimento e
implementação de aplicativos, produtos e serviços.
2. O fornecedor deve ter um procedimento de compilação seguro para todos os
sistemas onde as informações do Citi são armazenadas, processadas e/ou
transmitidas.
3. O procedimento de compilação seguro deve incluir ferramentas para apoiar
verificação de configuração automatizada das configurações de compilação de
segurança/padrão no momento da implantação da produção.
b. Validação de dados de entrada
1. Os fornecedores devem ter controles em vigência para proteger contra ameaças
de segurança on-line (ou seja, script entre sites, injeção de SQL, etc.)
2. A validação de entrada deve ser implementada para todos os aplicativos de
internet e intranet.
c. Política sobre o uso de controles criptográficos
A tabela seguinte descreve os requisitos de criptografia. Para transmissões que
envolvem informações com uma classificações de informações do Citi PII
confidenciais ou informações com classificação mais alta, a criptografia deve ser
realizada aplicativo para aplicativo/servidor para servidor. Quando as informações
são armazenadas ou transmitidas por um aplicativo hospedado pelo fornecedor, o
fornecedor é responsável pela conformidade.
Função/Dados
Criptografar em transmissão3
Dados restritos
Dados de
autenticação
Dados PII
confidenciais
Todos os ambientes
Todos os ambientes
Internet
Todos os ambientes (Novos aplicativos)
(b) (c)
Dados confidenciais
Internet
(b)
Acesso remoto
Todos os ambientes
Não aplicável
(a)
Criptografar em
armazenamento
persistente
Todos os ambientes
Todos os ambientes
(a)
(b)
(b)
(a)
Dados de autenticação: senhas de uso único, dinâmicas, vencidas previamente não
precisam ser criptografadas durante transmissão e armazenamento.
(b)
Dados confidenciais ou dados PII confidenciais devem ser criptografados quando
transmitidos ou armazenados persistentemente em uma infraestrutura não gerenciada
pelo Citi que não satisfaz as normas de segurança do Citi.
3
A transmissão de dados pode assumir muitas formas, incluindo, entre outras, transferências
eletrônicas de arquivo (por ex., FTP, NDM), tráfego de Web, e-mail e comunicações entre processos
(por ex., aplicativo para aplicativo) usando vários protocolos.
Página 45 de 62
(c)
Dados PII confidenciais usados para verificação de identidade (exemplos incluem, entre
outros, histórico de transação, informações de crédito, endereço, etc.) não estão sujeitos
a requisitos de criptografia adicionais para dados de autenticação.
Além do requisito de criptografia acima, critérios adicionais foram definidos para os
seguintes ambientes:
1. E-mail individual externo: o requisito de criptografia para e-mails individuais
entre o Citi e o fornecedor contendo informações classificadas pelo Citi como
confidenciais (não PII), em que o fornecedor não tem permissão de usar
ferramentas ou software de criptografia de ponta a ponta aprovados pelo Citi
conforme regulamento e/ou política do fornecedor, pode ser cumprido ainda
através de criptografia de transporte [por ex., criptografia gateway a gateway por
meio da segurança da camada de transporte (Transport Layer Security, TLS)].
2. Banco de dados: informações restritas armazenadas em bancos de dados
podem ser armazenadas não criptografadas, contanto que um sistema de gestão
de dados aprovado pelo Citi (aprovado para o armazenamento de informações
restritas) seja usado. Esta exclusão não se aplica aos dados de autenticação
(por ex., senhas) que devem ser criptografados.
3. Redes privadas: redes privadas que são regulamentadas independentemente
por uma autoridade reconhecida e que são consideradas padrão para o setor de
serviços financeiros para efetuar transações entre contrapartes licenciadas ou
credenciadas (por ex., a SWIFT ou um banco central) podem ser consideradas
isentas do requisito de criptografia em trânsito de PII confidenciais até o
momento em que essas redes forneçam a infraestrutura necessária para apoiar
completamente transmissões criptografadas.
4. Partes externas: quando dados do Citi classificados como confidenciais ou com
classificação mais alta são fornecidos pelo fornecedor a uma parte externa
(subcontratado), essa parte externa deve satisfazer os requisitos desses
requisitos de criptografia ou fornecer controles comparáveis validades por uma
avaliação de segurança da informação e aceitos pelo fornecedor. (Tais
informações devem ser criptografadas em trânsito para e do subcontratado
quando enviadas eletronicamente.)
5. Chamadas de voz e fax: informações com uma classificação de informações do
Citi confidenciais ou mais alta enviadas por Fax ou discutidas em chamadas de
voz (incluindo VOIP) podem ser enviadas sem criptografia. Se exigido, o
fornecedor deve desenvolver procedimentos específicos e orientação para
proteger informações confidenciais ou com classificação mais alta enviadas por
meio desses canais.
d. Gestão de chaves
1. Algoritmos criptográficos padrão do setor e tamanhos mínimos de chave devem
ser usados para implementar a criptografia.
2. Redes sem fio devem ser criptografadas com algoritmos criptográficos padrão do
setor.
3. Fornecedores utilizando qualquer forma de mecanismo criptográfico devem usar
ferramentas e técnicas de gestão de chaves padrão do setor.
Página 46 de 62
e. Controle de software operacional
1. O fornecedor deve garantir que:
i. sejam usados apenas sistemas operacionais e software atualmente
suportados por um prestador de serviços comerciais aceito do setor ou que
tenham liberação ativa e apropriada de patches e atualizações de
configuração disponíveis para lidar com problemas de segurança;
ii. seja implementado um processo documentado que especifique os períodos
de tempo em que todos os patches de segurança e configurações aprovados
são aplicados.
2. O fornecedor deve garantir que, independentemente de qualquer contrato de
manutenção separado entre o fornecedor e o Citi, o software desenvolvido para
o Citi e regulamentado sob um acordo de licença:
i. não exige o uso de versões de software sem suporte com vulnerabilidades
conhecidas;
ii. é atualizado e corrigido conforme exigido de maneira oportuna.
f.
Proteção de dados de teste do sistema
1. Informações com uma classificação de informações do Citi PII confidenciais ou
mais alta não podem ser colocadas em um sistema não de produção sem a
autorização expressa por escrito do Citi.
2. Quando o fornecedor tiver recebido permissão por escrito para armazenar esses
tipos de dados, o fornecedor deve remover dados de maneira irreversível usando
ferramenta/métodos que satisfaçam as normas do setor de modo que não sejam
mais sensíveis ou deve implementar os mesmos controles de um sistema de
produção.
g. Procedimentos de controle de mudanças
1. O fornecedor deve garantir que as mudanças de configuração de firewall,
sistemas de detecção de invasão (IDS) e sistemas de prevenção de invasão
(IPS) passem pelo processo de gestão de mudanças do fornecedor.
2. O acesso concedido à produção através de IDs temporárias deve ser registrado
e monitorado para acompanhar as mudanças feitas no ambiente.
3. Para sistemas de informações controladas contendo informações do cliente com
uma classificação do Citi de PII confidencial ou mais alta ou uma integridade ou
uma disponibilidade de alta, os registros capturados de acordo com a seção 9.7s
(Registro de auditoria) devem ser revistos pelo fornecedor com base em
amostras. As revisões podem ser baseadas em uma metodologia de
amostragem com base em riscos apropriada.
4. A revisão deve confirmar que as mudanças a serem concluídas como parte de
acesso privilegiado temporário foram feitas como pretendido.
h. Vazamento de informações
O fornecedor deve ter uma norma de codificação segura em vigor que previna
vazamento de informações, incluindo:
i. Informações detalhadas do sistema (por ex., tipo e tecnologia do servidor).
ii. Rastreamentos de pilha e erros de exceção que revelam a estrutura de
árvore de diretórios e o tipo de banco de dados subjacente.
Página 47 de 62
i.
Controle de vulnerabilidades técnicas
1. Se o fornecedor estiver acessando, armazenando ou processando dados do Citi
em aplicativos ou infraestrutura que gerencia, então deve assegurar que
avaliações de vulnerabilidade sejam realizadas e que quaisquer problemas de
vulnerabilidade sejam remediados de acordo com os requisitos do Teste de
segurança do sistema para fornecedores.
Página 48 de 62
9.10
Gestão de incidentes de segurança da informação
a. Comunicação de eventos de segurança da informação
1. O fornecedor deve relatar imediatamente os seguintes incidentes, eventos e
vulnerabilidades de segurança da informação para o Citi, como segue:
i. A suspeita de vírus e/ou código malicioso deve ser relatada imediatamente a
uma help desk designada ou estrutura de suporte.
i. Vírus Cavalo de Troia confirmados devem ser tratados como incidentes
de segurança da informação.
ii. Vírus que causam uma negação de serviço ou sejam direcionados
especificamente ao Citi devem ser tratados como incidentes de
segurança da informação.
iii. Suspeita de eventos de phishing deve ser comunicada ao Citi.
2. O fornecedor deve agir e notificar o Citi de qualquer atividade suspeita
relacionada aos dados ou sistemas de informação do Citi imediatamente.
b. Comunicação de vulnerabilidades de segurança
O fornecedor deve ter um processo para garantir que as vulnerabilidades de
aplicativos e infraestrutura que resultam em um comprometimento de ativos de
informação do Citi sejam comunicadas ao Citi imediatamente.
c. Responsabilidades e procedimentos
O fornecedor deve garantir que uma abordagem eficaz seja aplicada à gestão de
incidentes de segurança da informação que afetam as informações do Citi.
O fornecedor deve manter processos para responder a um evento de segurança e
notificar o Citi em um período de tempo combinado, que não deve exceder uma (1)
hora a contar do conhecimento do evento, 24 horas por dia, nos 7 dias da semana.
Isso inclui, entre outros, alertas gerados a partir dos sistemas IDS/IPS/de detecção
de anomalias de comportamento de rede (network behavior anomaly detection,
NBAD).
Página 49 de 62
10 CONTINUIDADE DE NEGÓCIOS
10.1
Visão geral
O Citi mantém planos de continuidade de negócios para minimizar perdas financeiras e
responder às necessidades do mercado e dos clientes no evento de qualquer desastre,
crise, interrupção ou emergência natural ou provocada pelo homem. O Citi deve estar
preparado para responder a qualquer evento que possa afetar operações normais de
negócios.
Todos os fornecedores do Citi devem ter planos de continuidade de negócios
documentados em vigor para garantir que qualquer interrupção com respeito aos produtos e
serviços que o fornecedor fornece ao Citi seja tratada e corrigida dentro dos períodos de
tempo de recuperação definidos do Citi.
Se aplicável, os planos de continuidade devem conter os seguintes elementos ou, senão,
indicar que o elemento não é aplicável: Tempo de recuperação (Recovery Time Objectives,
RTO) e ponto de recuperação (Recovery Point Objectives, RPO), procedimentos de
recuperação, soluções alternativas manuais a serem empregadas quando a tecnologia não
estiver disponível, requisitos de locais e recursos de recuperação, plano de alocação de
pessoal para os locais de recuperação (incluindo equipe de recuperação de negócios e
tecnologia), informações de contato do Citi (por ex., contatos, níveis de serviço contratado),
informações do sub-contratado, informações do aplicativo, procedimentos para voltar ao
local de trabalho primário, listas de chamada, procedimentos de chamada e listas de
armazenamento fora do local.
Os planos de continuidade de negócios do fornecedor devem ser atualizados pelo menos
anualmente.
Todos os fornecedores do Citi devem fornecer ao BSRM os procedimentos operacionais a
serem realizados no caso de os planos de retomada de negócios e recuperação de
desastre serem implementados.
10.2
Recursos de recuperação
Os planos de continuidade de negócios dos fornecedores devem fornecer recursos
alternativos capazes de entregar todos os produtos e serviços para o Citi no evento de os
locais principais do fornecedor ficarem incapacitados. Os recursos de recuperação devem
estar localizados em locais separados geograficamente dos locais principais com separação
suficiente para minimizar ou eliminar a ameaça do mesmo desastre poder afetar os locais
principal e de recuperação. Os recursos de recuperação não estão limitados aos sistemas
de informação, mas incluem todos os recursos necessários para a entrega contínua de
produtos e serviços para o Citi e podem incluir equipe, prédios, equipamentos de negócios,
centro de dados, redes de dados e voz e serviços de transporte.
10.3
Níveis de serviço de recuperação
A continuidade de negócios do fornecedor deve satisfazer os níveis de serviço
estabelecidos para ser eficiente para o Citi. No mínimo, cada acordo com fornecedor deve
estabelecer valores específicos para as variáveis seguintes. Em alguns casos, vários
conjuntos das variáveis seguintes podem ser aplicados a produtos ou serviços específicos
no âmbito do acordo:
Tempo de recuperação
A duração em horas entre o momento de uma interrupção de serviço e a
restauração dos produtos e serviços.
Continuidade de Negócios
Página 50 de 62
Ponto de recuperação
O ponto no tempo no passado, mencionado em horas, em que os dados devem
ser recuperados depois de uma interrupção de negócios. É o período específico
máximo no qual os dados podem ser perdidos de um serviço de TI devido a um
incidente importante. O RPO é apenas uma medida do período de tempo máximo
no qual os dados podem ser perdidos se houver um incidente importante que afete
um serviço de TI, não é uma medida direta de quantos dados podem ser perdidos.
Por exemplo, o processamento até o fim do dia anterior.
Capacidade de recuperação
O volume, quantidade ou velocidade da entrega para os produtos e serviços do
fornecedor, expressos como uma porcentagem da entrega normal de produtos e
serviços.
Duração da recuperação
É a duração máxima, em dias, que o fornecedor é capaz de sustentar as
operações enquanto estiver em modo de recuperação.
10.4
Teste
Todos os recursos e planos de recuperação do fornecedor devem ser testados pelo menos
anualmente e os resultados dos testes de recuperação devem ser entregues ao Citi no
período de uma semana da data do teste, em um formato definido pelo Citi. O teste deve
demonstrar a capacidade do fornecedor de cumprir os níveis de serviço de recuperação
para todos os produtos e serviços entregues ao Citi.
Os fornecedores devem informar o Citi do teste de recuperação dos serviços fornecidos ao
Citi com pelo menos 30 dias de antecedência. O Citi pode participar ou observar o teste de
recuperação do fornecedor.
Os fornecedores devem testar os seguintes cenários de interrupção:



Teste de recusa de acesso (Denial of Access, DOA) que valida a equipe e o suporte
para os processos de negócios do Citi que podem ser recuperados dentro do prazo
de RTO definido.
Teste de recusa de atendimento (Denial of Service, DOS) que valida a tecnologia
que oferece suporte para os processos de negócios do Citi que podem ser
recuperados dentro do prazo de RTO definido e os dados podem ser recuperados
dentro do prazo de RPO definido.
Exercícios de cenários que demonstrem a capacidade de recuperação no caso de
um evento de tecnologia ou infraestrutura natural ou provocado pelo homem.
A comprovação do teste deve incluir uma descrição do teste, seu escopo e objetivo,
resultados e ações de acompanhamento.
10.5
Gestão de crises
Em conjunto com seu plano de continuidade de negócios, o fornecedor deve manter um
plano de gestão de crises para controlar as operações de recuperação. No mínimo, o plano
de gestão de crises do fornecedor deve identificar pessoas específicas com autoridade
suficiente para ativar uma operação de recuperação, definir protocolos de comunicação
para coletar e divulgar informações da crise e incluir protocolos de notificação para
comunicação com o Citi no caso de uma crise.
Continuidade de Negócios
Página 51 de 62
11 NORMAS GLOBAIS DA VERIFICAÇÃO DE ANTECEDENTES
11.1
Visão geral
O objetivo desta seção é definir as normas globais do Citi para verificação de antecedentes
para fornecedores. A verificação de antecedentes deve ser realizada de acordo com todas
as leis e regulamentos locais aplicáveis para todo o pessoal dos fornecedores que terá
acesso a informações exclusivas ou confidenciais do Citi, sistemas e/ou acesso sem
acompanhamento nas instalações do Citi, bem como o pessoal nas posições designadas.
Mais informações sobre requisitos específicos do país e exceções a essas normas podem
ser encontradas aqui:
http://www.citigroup.com/citi/suppliers/data/ctry_background_screening_requirements.pdf
Todas as informações e auto-divulgações descritas neste documento devem ser fornecidas
pelo pessoal do fornecedor, conforme apropriado. Falsificação ou omissão das informações,
quer seja no currículo, durante uma entrevista, em um formulário de integração ou durante o
processo de integração, não importa quando for descoberto, pode constituir motivos de
recusa ou término da atribuição no Citi de acordo com a lei local. Resultados adversos de
qualquer verificação realizada, não importa quando for descoberto, também podem
constituir motivos de recusa ou término da atribuição no Citi de acordo com a lei local.
O Citi pode, quando quiser, solicitar informações confirmando que qualquer pessoa que um
fornecedor pretenda designar ou designou para realizar serviços para o Citi completou com
sucesso todos os requisitos de verificação de antecedentes de acordo com essas normas e
leis e regulamentos locais aplicáveis.
11.2 Coleta de informações básicas, histórico de residência e verificação de
identidade
Antes de qualquer funcionário do fornecedor começar uma atribuição no Citi, os
fornecedores devem verificar nome e sobrenome, endereço de correspondência e endereço
permanente (se diferente), número de telefone e e-mail (se aplicável) das pessoas. Além
disso, as pessoas devem fornecer seus três (3) últimos endereços residenciais ou os
endereços residenciais dos últimos seis (6) anos, o que for maior. Onde for legalmente
permitido, o histórico de residência fornecido pode ser verificado para confirmar que o
pessoal do fornecedor descreveu com precisão os endereços das últimas três (3)
residências ou dos últimos seis (6) anos, o que for maior.
O pessoal do fornecedor também deve fornecer documentação que confirme sua
identidade. Isso pode incluir fornecer informações e/ou documentação de um número de
identificação nacional, cartão de identificação emitido pelo governo com foto ou um
passaporte.
11.3
Verificação de sanções
Todo o pessoal do fornecedor deve ser verificado em comparação à lista de cidadãos
especialmente designados e pessoas bloqueadas (a “Lista SDN”) do Gabinete de Controle
de Ativos Estrangeiros (Office of Foreign Assets Control, OFAC) do Departamento do
Tesouro (Treasury Department) dos Estados Unidos e à lista de países sujeitos a sanções
impostas pelos Estados Unidos (“sanções dos EUA”), bem como listas de controle de
governos ou agências locais apropriadas. Isso inclui o uso de nomes, pseudônimos e datas
de nascimento fornecidos no processo de verificação antes do primeiro dia da atribuição
(exceto onde não for permitido pela lei local). Qualquer indicação ou declaração falsa pode
resultar na inelegibilidade para (ou término da) atribuição.
Normas globais da verificação de antecedentes
Página 52 de 62
11.4
Elegibilidade para o emprego
O fornecedor deve confirmar que seu pessoal está autorizado a trabalhar no país em que a
atribuição está localizada e deve ser capaz de verificar a autorização de trabalho conforme
exigido pela lei local aplicável. O pessoal do fornecedor deve fornecer documentação que
confirme a elegibilidade para o emprego no início do trabalho de acordo com as leis locais.
Isso pode incluir fornecer informações e/ou documentação de um número de identificação
nacional, cartão de identificação emitido pelo governo com foto, um passaporte e um visto
de trabalho.
11.5
Histórico profissional
Os fornecedores devem confirmar o histórico profissional de seu pessoal quanto aos últimos
três (3) empregadores ou últimos sete (7) anos de emprego, o que for maior. O histórico
profissional da pessoa deve ser confirmado para garantir que empregadores, cargos, datas
e obrigações associadas foram descritos com precisão.
A confirmação do histórico profissional não é obrigatória para estagiários.
O pessoal do fornecedor também deve divulgar qualquer emprego ou atribuição prévia
como consultor ou trabalhador temporário no Citi ou qualquer de suas empresas anteriores
(incluindo, entre outros: Citibank, Citicorp, Travelers, Salomon Brothers e/ou Smith Barney).
Os funcionários também devem divulgar se foram despedidos, pediram demissão ou
recusaram a contratação ou atribuição depois de receber uma oferta do Citi ou qualquer
uma de suas empresas anteriores.
O pessoal do fornecedor deve identificar quaisquer valores mobiliários, seguros, hipotecas,
licenças de mercadorias ou outras licenças profissionais que possuem com as autoridades
nacionais ou estrangeiras. Onde for exigido por lei, cópias das licenças exigidas para a
tarefa devem ser mantidas pelo fornecedor no início da atribuição do candidato.
11.6
Histórico da formação
Os fornecedores devem confirmar o nível mais alto de formação de seu pessoal. As
informações confirmadas devem incluir as datas de participação, nomes das instituições,
endereços e graduações obtidas.
Isso pode ser feito entrando em contato com a instituição diretamente ou ao revisar/aceitar
cartas, transcrições e diplomas emitidos pela instituição, conforme apropriado.
11.7
Relacionamentos internos e com o governo
Onde for permitido legalmente, o pessoal do fornecedor deve divulgar qualquer
relacionamento que tem com membros do conselho de administração do Citi, oficiais
administrativos do Citi ou qualquer funcionário do governo onde houver um conflito de
interesses percebido ou real com o funcionário do governo ou a entidade do governo que o
funcionário do governo representa. Funcionários públicos incluem (mas não se limitam a)
oficiais de serviço público, funcionários ou representantes de governo fora dos EUA, a
qualquer nível; oficiais de serviço público ou candidatos a cargos públicos de qualquer
partido político, oficiais de organizações internacionais públicas, funcionários de empresas
estatais, funcionários de organização autorreguladoras para a indústria de serviços
financeiros e funcionários de fundos soberanos, fundos de pensão públicos e instituições
educacionais estabelecidas ou operadas por entidade governamental federal, estadual ou
municipal.
Página 53 de 62
11.8
Antecedentes criminais
Onde for permitido legalmente, os fornecedores devem confirmar que seu pessoal não tem
condenações criminais, confissão de culpa ou condenação sem contestação (incluindo
qualquer prisão preventiva) em qualquer tribunal por qualquer delito criminal, antes do início
da tarefa do Citi.
A análise administrativa de registros criminais e/ou verificações de impressões digitais
devem ser iniciadas antes da data de início da tarefa onde for permitido legalmente e estiver
disponível.
Condenações criminais por infrações relacionadas a roubo, fraude, desonestidade ou a
violações de confiança, exceto onde proibido por lei, resultarão em recusa e/ou
inelegibilidade para a tarefa. Outras condenações podem resultar em recusa e/ou
inelegibilidade para a tarefa com base nas leis e regulamentos locais aplicáveis. As
decisões de tarefas no que diz respeito às condenações criminais devem estar de acordo
com as leis e regulamentos locais.
11.9
Exame toxicológico
Onde for permitido legalmente, os fornecedores devem garantir que seus funcionários
passem por um exame toxicológico antes do início da tarefa para o Citi. No mínimo, o
exame toxicológico deve ser um teste de cinco painéis, que busca a presença de
anfetaminas, canabinóides (THC), cocaína, opiáceos e fenciclidina (PCP). Resultados
positivos devem ser determinados por um médico e são suficientes para recusar a
atribuição da tarefa, se os resultados forem recebidos antes ou depois do início do trabalho,
exceto onde não permitido pela lei local.
Pode ser determinado que certos funcionários do fornecedor passem por um exame
toxicológico durante a tarefa por causa dos requisitos do cargo (por ex., motoristas, pilotos)
ou outras razões de acordo com as leis e regulamentos locais.
11.10 Verificação de crédito
Os fornecedores podem realizar uma verificação de crédito para seus funcionários
designados para o Citi em determinados cargos ou cargos que envolvem aconselhar
clientes do Citi sobre produtos financeiros e/ou investimentos ou onde seja uma prática local
e permitido legalmente. As decisões de atribuição de tarefa com base em verificações de
crédito devem estar de acordo com as leis e regulamentos locais.
11.11 Nova verificação
Os funcionários do fornecedor cuja atribuição de tarefa termina devem passar por nova
verificação no caso de serem designados novamente ao Citi. Para obter informações
adicionais sobre os requisitos de nova verificação, consulte a tabela 2: Nova verificação pela
duração do intervalo no serviço.
11.12 Transferências internacionais
Toda verificação deve ser concluída de acordo com os regulamentos do país em que a
atribuição da tarefa está localizada. Se um funcionário do fornecedor for transferido para um
novo país e houver um intervalo no serviço para o Citi, a pessoa deve ser verificada
novamente de acordo com os requisitos do novo país. Para obter informações adicionais
sobre os requisitos de nova verificação, consulte a tabela 2: Nova verificação pela duração
do intervalo no serviço.
Página 54 de 62
11.13 Verificação adicional
Se for identificado pelo Citi como sendo necessária para a tarefa sendo realizada,
verificação adicional pode ser necessária. Isso pode incluir, entre outros, avaliações
relacionadas à tarefa e verificação médica. Todas as verificações adicionais devem ser
feitas de acordo com a lei e a regulamentação local.
Página 55 de 62
Tabela 1: Tempo de conclusão da verificação de antecedentes
Tipo
Informações
básicas
Obrigatório
Autodivulgação
X
Histórico de
residência
Verificação
Início
Conclusão
X
Préoferta
Pré-oferta
São fornecidas informações pessoais
gerais (nome, endereço, número de
telefone, endereço de e-mail)
X
No
início
ou
antes
≤90 dias
depois do
início
Obtenção de, e se necessário,
verificação de três (3) residências
passadas ou seis (6) anos.
≤5 dias
depois do
início
O pessoal do fornecedor deve ser
verificado em relação às listas
apropriadas de controle do governo
local ou agência usando nomes,
apelidos e data de nascimento
fornecidos.
No início
ou antes
Número e documentação de
identificação nacional que confirmam a
identidade são fornecidos.
Verificação de
sanções
X
Verificação de
identidade
X
X
X
Elegibilidade
para o emprego
X
X
X
X
Avaliações de
seleção
X
Verificação de
histórico
profissional
X
X
X
Verificação de
histórico de
formação
X
X
X
No
início
ou
antes
No
início
ou
antes
No
início
ou
antes
Préoferta
No
início
ou
antes
No
início
ou
antes
≤3 dias
depois do
início
Pré-oferta
Verificação dos últimos três (3)
empregadores ou sete (7) anos, o que
for maior.
≤90 dias
depois do
início
Verificação das datas, instituição e
graduação do nível mais alto da
formação.
No início
ou antes
X
No
início
ou
antes
≤30 dias
depois do
início
X
No
início
ou
antes
≤5 dias
depois do
início
Verificação
médica
X
No
início
ou
antes
≤30 dias
depois do
início
Verificação de
crédito
X
No
início
ou
antes
≤90 dias
depois do
início
X
X
Verificação de
antecedentes
criminais
X
X
Exame
toxicológico
X
Número de identificação nacional e
documentação de autorização que
validam a elegibilidade para o
emprego são fornecidos.
Avaliações realizadas para garantir
que os candidatos têm conhecimento,
habilidades e/ou atitude necessárias
para completar os deveres da posição,
onde exigido e legalmente permitido.
≤90 dias
depois do
início
No
início
ou
antes
Relacionamentos
internos e
governamentais
Descrição
Auto-divulgação de qualquer
relacionamento com membros do
conselho de administração do Citi,
oficiais administrativos do Citi ou
qualquer funcionário do governo.
Verificação de qualquer condenação,
confissão de culpa ou condenação
sem contestação em qualquer tribunal,
uma análise administrativa de registros
disponíveis e/ou verificação de
impressão digital (onde for legalmente
permitido e disponível).
Teste de cinco painéis quanto à
presença de anfetaminas,
canabinóides (THC), cocaína,
opiáceos e fenciclidina (PCP) (de
acordo com as leis locais).
Verificação médica realizada para
garantir que o candidato pode
completar as obrigações do cargo,
onde for exigido e permitido
legalmente.
Pode ser realizada onde for permitido
legalmente para trabalhadores em
cargos que envolvem aconselhar
clientes do Citi sobre produtos e/o
investimentos financeiros. Também
pode ser realizada onde for uma
prática local.
Página 56 de 62
Tabela 2: Nova verificação pela duração do intervalo no serviço
Tipo
Qualquer intervalo
7 dias < Intervalo ≤ 30
dias
Intervalo > 30 dias
Verificação de
antecedentes criminais
X
X
X
X
X
X
X
Exame toxicológico
Verificação de sanções
Verificação completa
1
X
1 – Componentes da verificação de antecedentes que 1) não retornariam qualquer
resultado novo ou diferente e 2) não são exigidos pela lei, ou por outros motivos, no início
da tarefa, não exigem nova verificação (por ex., verificação da formação), contanto que
possa ser confirmado que a verificação foi realizada no passado e que os registros
relacionados à verificação foram mantidos.
Página 57 de 62
ANEXO A - DEFINIÇÕES
Afiliada é qualquer entidade que controla de forma direta ou indireta, é controlada ou está
sob controle comum do Citi, em que “controle” significa a propriedade ou o poder de voto,
em pelo menos 20% das ações, títulos ou participações com direito a voto de tal entidade.
Verificação de antecedentes: o processo de verificação de informações fornecido pelo
pessoal do fornecedor e registros relevantes de compilação (ou seja, antecedentes
criminais, uso de drogas, etc.) sobre os antecedentes dele.
Gerente de relacionamento de fornecedores de negócios (Business Supplier
Relationship Manager, BSRM) é o funcionário do Citi responsável pela gestão do
desempenho do fornecedor para o contrato e níveis de serviço necessários, quando
aplicável. Isso inclui negociações diárias com fornecedores críticos e fornecedores mais
críticos com respeito ao suporte, entregas de serviços e quaisquer planos de estratégia de
saída necessários. As responsabilidades também incluem, entre outras, a validação de
informações do fornecedor no CASP, conformidade com os requisitos de segurança da
informação e requisitos para prestadores de serviços terceirizados, quando aplicável. Um
BSRM (Business Supplier Relationship Manager) normalmente pertence à área de
negócios. Pode haver mais de um BSRM (Business Supplier Relationship Manager)
nomeado para um fornecedor.
Enterprise Supply Chain (ESC) (Compras) é a organização global do Citi com
responsabilidade pelo suporte do processo de ciclo de vida do fornecedor de ponta a ponta,
avaliação de risco do fornecedor, para licitação e seleção, contratação e pagamento.
Atividades específicas incluem a diligência devida dos fornecedores para garantir a entrega
contínua de mercadorias e serviços críticos para nossos parceiros de negócios, integração
de fornecedores, suprimentos estratégicos, negociações de contratos para uma ampla
variedade de produtos e serviços, compra e cumprimento de pedidos, processamento de
pagamentos, bem como iniciativas diversas e sustentáveis de fornecedores.
Programa de fornecedores aprovados do Citi (Citi Approved Supplier Program, CASP)
é um programa global que promove processos padrão de SRM (Supplier Risk Management)
e avaliações de controle em toda a empresa, para mitigar o risco do Citi com fornecedores,
ao mesmo tempo que incentiva a consolidação do fornecedor para maximizar a
alavancagem econômica do Citi. O sistema CASP hospeda a lista de fornecedores
aprovados de todo o Citi, permite que as unidades de negócios do Citi gerenciem de
maneira mais eficiente os fornecedores aprovados e fornece uma localização central para
as unidades de negócios: identificar e classificar fornecedores com base em diversas
características e atributos de risco, como criticidade de negócios, pontos de contato do OSP
(Outsource Service Providers), acesso a informações confidenciais ou de classificação alta
e limites de gasto; visualizar pontos de contato do fornecedor e do Citi; analisar informações
de diligência devida do fornecedor; e acessar relatórios e pontuações de gestão de risco de
fornecedores.
Cliente deve significar qualquer cliente do Citi e pode incluir indivíduos (ou seja, pessoas
naturais), bem como empresas, instituições, organizações e entidades legais.
Informações do Citi: refere-se a qualquer tipo de informações que pertencem ao Citi e as
que o Citi é obrigado a proteger. A propriedade é definida no contrato do fornecedor e
determinada pelo departamento jurídico do Citi.
Informações confidenciais são informações que os negócios do Citi são obrigados a
proteger, inclusive, entre outros, informações pertencentes a clientes, funcionários, terceiros
ou empresas do Citi.
Anexo A - Definições
Página 58 de 62
Informações de identificação pessoal (Personally Identifiable Information, PII)
confidenciais: quaisquer informações de identificação pessoal que facilitariam o roubo de
identidade, fraude de crédito ou outro tipo de fraude financeira contra um indivíduo são
consideradas confidenciais. Quaisquer PII sob uma lei, regulamento do país/estado, ou
contrato que exigem proteção reforçada (por exemplo, criptografia, autenticação multi-fator)
de tais dados.
Contrato é um documento legal por escrito, assinado por duas ou mais partes, que inclui
oferta, aceitação, consideração, obrigações das partes e legalidade do objetivo. Exemplos
de contratos podem incluir acordos mestres para produtos e serviços, especificações de
trabalho/ordens de serviço, emendas e adendos, cronograma, pedidos, ou qualquer outro
documento escrito e assinado por uma entidade do Citi e um fornecedor. Um acordo de
confidencialidade (NDA) também é considerado um contrato para os fins desta política.
Verificação de sanções inclui a Lista SDN (cidadãos especialmente designados) do OFAC
(Gabinete de Controle de Ativos Estrangeiros) dos EUA, a lista de países sujeitos a sanções
impostas pelos Estados Unidos (“sanções dos EUA”), listas aplicáveis do governo local e
listas aplicáveis de controle de agências.
Classificação das informações
Restritas são informações que, se divulgadas a qualquer indivíduo não autorizado,
inclusive pessoas que trabalham no Citi, poderiam ter um impacto significativo sobre
as obrigações legais e regulamentares do Citi ou sobre o seu respectivo status
financeiro, clientes ou franquias.
Confidenciais são informações que os negócios do Citi são obrigados a proteger,
inclusive, entre outros, informações pertencentes a clientes, funcionários, terceiros
ou empresas do Citi. Informação confidencial é qualquer combinação de dados
sujeitos a restrições regulatórias e contratuais sobre divulgação. Além disso,
informações que os negócios determinam que, se divulgadas a pessoas não
autorizadas, têm o potencial de fornecer uma vantagem competitiva ou ter um
impacto significativo sobre o negócio.
Informações internas geralmente são compartilhadas no Citi, não se destinam a
distribuição para ninguém fora do Citi e não são classificadas como restritas ou
confidenciais. Exemplos de informações internas incluem nossas políticas e normas.
Públicas são informações livremente disponibilizadas fora do Citi ou com a intenção
de serem utilizadas pelo público, como comunicados à imprensa do Citi ou artigos
que aparecem nas notícias sobre o Citi.
Confidenciais ou de classificação mais alta são definidas como confidenciais, PII
confidenciais, restritas ou de autenticação*.
*Autenticação é uma classificação separada com seus próprios requisitos,
conforme definidos nas normas. É uma classificação completamente independente
de outras classificações de informações.
PII confidenciais definidas como qualquer combinação de PII que identifica um único ser
humano de uma forma que facilitaria o roubo de identidade, a fraude de crédito ou outra
fraude financeira. Isso inclui quaisquer PII de acordo com a lei, regulamentação
nacional/estadual ou contrato que exigem proteção adicional (por ex.: criptografia) de tais
dados. Alguns exemplos de PII confidenciais são, mas não se limitam ao seguinte:


Nome do cliente ou informações de contato em combinação com o número de
seguridade social, ID nacional ou número fiscal, carteira de habilitação, número de
passaporte, número de cartão de crédito ou outro número de conta financeira
Número de seguridade social dos EUA
Página 59 de 62




Número de identificação emitido pelo governo que é equivalente no uso ao número
de seguridade social dos EUA
Informações do cartão de pagamento ou números da conta financeira do cliente que
são usados pelo Citi como um autenticador para verificar a identidade de um cliente
Nome do funcionário do Citi, identificação do funcionário ou informações de contato
em combinação com raça, religião, etnia, cidadania, filiação política ou associação
sindical
Nome do funcionário do Citi, identificação do funcionário ou informações de contato
em combinação com avaliação do desempenho do funcionário, informações de
remuneração, saúde física ou mental, ou delitos criminais
PII internas permitem processos internos do Citi, como comunicações, identificação ou
administração.
Alguns exemplos de PII internas são, entre outros, o seguinte:



Nomes dos funcionários do Citi, IDs dos funcionários e informações de contatos
comerciais quando usadas para viabilizar a comunicação, a identificação ou a
administração relacionada às atividades comerciais do Citi.
Informações de contato pessoal e informações de contato de emergência dos
funcionários do Citi quando usadas internamente para manter a Continuidade do
Negócio (Continuity of Business, CoB), como árvores de chamadas de CoB.
Nomes de clientes do Citi em combinação com o endereço postal, endereços de
e-mail ou números de telefone quando usados para se comunicar diretamente
com o cliente com um fim comercial legítimo.
PII confidenciais são um subconjunto de informações confidenciais e PII internas. Nesses
os casos, os dados devem estar em conformidade com todos os requisitos das
classificações confidencial e interna respectivamente, assim como quanto aos requisitos
adicionais para PII.
Contrato Master é um contrato negociado por uma entidade do Citi que estabelece termos
e condições consistentes e permite, mas normalmente não obriga, que as entidades do Citi
adquiram produtos e serviços do fornecedor de acordo com o acordo mestre através da
execução de documentações da transação na forma de cronogramas e pedidos. O contrato
master pode refletir um cronograma de fixação de preços negociados ou a fixação de
preços pode precisar ser negociada separadamente como parte da negociação do
documento aplicável da transação.
Acordo de confidencialidade (Non-Disclosure Agreement, NDA) é um acordo entre o
Citi e um fornecedor em que a troca, utilização e divulgação de informações são regidas
pelos termos do acordo.
Prestador de serviços terceirizados (Outorgável Service Provider, OSP) é um prestador
de serviço externo ou afiliado, que tem um acordo com um negócio do Citi para operar,
executar ou gerir toda ou parte significativa de uma função de negócio, cargo, serviço ou
operação de sistema, que foi realizado internamente uma vez pelo negócio do Citi ou
normalmente seria realizado internamente por um negócio similar. Nesses acordos, o Citi
mantém as responsabilidades de definir normas, medir o desempenho real e tomar a
medida corretiva apropriada, quando aplicável. Os OSPs não incluem os serviços dos quais
o negócio do Citi detém o controle direto de gestão do serviço recebido, como contratos de
manutenção de terceiros, serviços jurídicos, de auditoria e de outros serviços profissionais;
consultores ou equipes temporárias que estejam trabalhando sob a direção do Citi. O
controle de gestão direta pode incluir funções administrativas, tais como planejamento,
organização, contratação de pessoal e direção. Um relacionamento com um OSP pode
Página 60 de 62
envolver uma terceirização de processos de negócios essenciais, terceirização de
tecnologia da informação ou um processo de negócios não essencial.
Terceirização de processo de negócios (Business Process Outsourcing, BPO)
essencial é uma função, operação ou serviço que, se não puder ser prestado, afeta a
capacidade do negócio de operar de modo efetivo, entregar produtos e serviços e/ou
cumprir os requisitos jurídicos e regulatórios aplicáveis. Um BPO essencial pode incluir,
entre outros, processamento de empréstimos; processamento de depósitos; atividades
fiduciárias e de comércio; serviços de internet banking, operações de tesouraria, serviços de
processamento mercantil; serviços de gestão de registros; centrais de atendimento de
clientes (de recepção ou atenção ao cliente). Para o objetivo desta política, funções de
auditoria interna e de conformidade também são consideradas BPO essencial.
Terceirização de tecnologia da informação (Information Technology Outsourcing, ITO)
é a terceirização para um fornecedor de toda ou de uma parte significativa de uma área
funcional, operação, função ou serviço de tecnologia da informação (TI) de um negócio do
Citi que pode incluir, entre outros, desenvolvimento e manutenção de sistemas, suporte de
produção, monitoramento e teste de segurança, operações de rede, serviços de
hospedagem de Web e sistemas de suporte de operações de help desk.
Processo de negócios não essencial é uma função, operação ou serviço que não seja um
BPO essencial. Processos de negócios não essenciais podem incluir, entre outros,
operações da sala de expedição de correspondência, gestão de propriedade e serviços de
relocação.
Terceirização é um acordo para um prestador de serviços externo ou de afiliada operar,
executar ou gerir toda ou parte significativa de uma função de negócio, cargo, serviço ou
operação de sistema do Citi, que foi realizado internamente uma vez pela unidade de
negócios ou geralmente seria realizado internamente por uma empresa semelhante. Isso
não inclui os serviços dos quais o Citi detém o controle direto de gestão do serviço recebido,
como contratos de manutenção de terceiros, serviços jurídicos, de auditoria e de outros
serviços profissionais; consultores ou equipes temporárias que estejam trabalhando sob a
direção do Citi. A terceirização pode incluir três tipos de contratos de negócios:
(1) Acordos entre uma unidade de negócios e um prestador de serviços terceirizados
(Outsource Service Providers, OSP) localizados no mesmo país (ou seja,
terceirização nacional/onshore)
(2) Acordos entre uma unidade de negócios e um OSP (Outsource Service
Providers) localizado em países diferentes, incluindo arranjos com fornecedores em
estreita proximidade geográfica com o negócio (ou seja, terceirização nearshore) e
arranjos com fornecedores em uma região geográfica diferente do negócio (ou seja,
terceirização offshore). Para o objetivo desta política, “offshore” refere-se a arranjos
de terceirização “offshore” e “nearshore”
(3) Contratos de serviços intra-Citi (Intra-Citi Service Agreements, ICSAs), que são
contratos legais entre dois ou mais afiliadas do Citi. Em certas situações, segundo as
leis aplicáveis em determinadas jurisdições, os ICSAs devem refletir uma transação
com base equitativa e termos de pagamentos com base em taxas de mercado. Os
ICSAs também podem ser conhecidos como “acordos entre afiliadas”. Os termos
dos ICSAs podem referir-se a terceirização nacional ou offshore
Informações de identificação pessoal (Personally Identifiable Information, PII) são
todas as informações que se relacionam a e identificam ou podem ser usadas para
identificar um indivíduo. As PII podem se relacionar a qualquer indivíduo, incluindo clientes
atuais e passados do Citi, candidatos a produtos ou serviços do Citi, pessoal ou
fornecedores do Citi, funcionários do Citi e seus dependentes, candidatos a cargos do Citi e
quaisquer outras pessoas.
Página 61 de 62
Pessoal como usado nesta política refere-se a executivos, funcionários, agentes, auditores,
consultores, contratados e subcontratados, bem como diretores, executivos, funcionários,
agentes, auditores, consultores ou outros representantes de qualquer afiliada, contratado,
ou subcontratado utilizado pelo fornecedor para fornecer quaisquer produtos ou serviços
para o Citi.
Pré-tarefa: o período de tempo antes de um recurso do fornecedor receber acesso aos
sistemas ou instalações do Citi ou realização de serviços em nome do Citi.
Pré-oferta: o período de tempo antes de um candidato receber uma oferta de tarefa.
Registros: informações que o Citi é obrigado a manter por motivos legais, regulatórios ou
de negócios aprovados.
Inventário de registros: listagem detalhada que inclui os tipos de registro, localização,
datas, etc. de registros do Citi e é necessário para uma empresa gerenciar adequadamente
seus registros através do ciclo de vida de informações.
Retenção de registros é um requisito colocado nos registros e informações que suspende
a modificação ou descarte até que retirado pela autoridade que emitiu a retenção.
Informações restritas são informações que se divulgadas a pessoas não autorizadas
poderiam ter um impacto significativo sobre as obrigações legais e regulamentares do Citi
ou sobre o seu respectivo status financeiro, clientes ou franquias.
Gerente de recursos de ESC é uma pessoa na cadeia de suprimentos empresarial
(Enterprise Supply Chain, ESC) que é responsável pela negociação dos termos de negócios
do contrato, requisitos e fixação de preços, incluindo requisição de proposta (RFP) e outras
atividades de seleção de fornecedores, administração para os termos e condições do
contrato e requisitos de reconhecimento de avaliação financeira. O gerente de recursos da
ESC também é responsável por envolver o suporte legal, se necessário, para ajudar na
negociação dos termos e condições jurídicos.
Fornecedor é qualquer terceira parte, em conjunto com seus funcionários, agentes ou
representantes, que fornece produtos e/ou serviços para o Citigroup Inc. ou qualquer
uma de suas afiliadas, incluindo suas subsidiárias (de maneira coletiva ou individual,
tais entidades são citadas aqui como “Citi” ou a “empresa”).
Página 62 de 62

Normas Do Citi Para Fornecedores

Transcrição

Documentos relacionados

CitiDirect Online Banking for Trade

Citigroup reestrutura o comando no Brasil

CITIBANK HALL SERÁ O NOVO NOME DO CREDICARD

CitiDirect BESM

Citi Central Travel Account

Prezados Acionistas

Sobre o Citi América Latina

RELATÓRIO ANUAL 2007

Solução Conta de Pagamento Internacional (IPA) do Citi

Minério de ferro pode cair para cerca de U$50 no