Solicitar demo
Terceiros (TPRM) Terceiros

TPRM: por que classificar fornecedores por tier muda tudo

Como aplicar tiering torna a gestão de terceiros viável em escala — e não só uma planilha enorme.

07 de junho de 2026 8 min de leitura 8 leituras

O sintoma: questionário gigante para todo mundo

O time de TPRM (Third-Party Risk Management) começa com boas intenções: um questionário detalhado para cada fornecedor novo. Em pouco tempo, surge o problema: o fornecedor de café responde as mesmas 200 perguntas que o provedor de cloud que processa dados sensíveis. Resultado: fornecedores demoram a responder, o time interno demora a revisar, e o programa perde credibilidade.

O que é tiering

Tiering é classificar fornecedores em camadas de criticidade — geralmente 3 a 5 — e aplicar profundidade de avaliação proporcional ao risco que cada um representa.

Uma estrutura comum:

  • Tier 1 (crítico): processa dados sensíveis, é parte do pipeline produtivo, ou sua indisponibilidade interrompe o negócio
  • Tier 2 (alto): processa dados pessoais não sensíveis, ou é fornecedor relevante mas substituível
  • Tier 3 (moderado): acesso limitado a dados, baixo impacto operacional
  • Tier 4 (baixo): sem acesso a dados nem sistemas críticos

Critérios para definir o tier

O tier não pode ser subjetivo. Use critérios objetivos pontuáveis:

Sensibilidade do dado

  • Dados pessoais sensíveis (LGPD art. 5º II): +30 pontos
  • Dados pessoais comuns: +15 pontos
  • Dados financeiros: +20 pontos
  • Dados de propriedade intelectual: +20 pontos
  • Apenas dados públicos ou agregados: 0 pontos

Criticidade operacional

  • Sem este fornecedor, operação para em <4h: +30 pontos
  • Operação degrada em 24h: +15 pontos
  • Operação tolera ausência de 7 dias: +5 pontos
  • Indiferente à operação: 0 pontos

Acesso técnico

  • Acesso administrativo a sistemas produtivos: +25 pontos
  • Acesso de leitura a sistemas produtivos: +10 pontos
  • Acesso a sistemas de homologação: +5 pontos
  • Sem acesso técnico: 0 pontos

Faixas finais:

  • 60+ pontos: Tier 1
  • 35-59 pontos: Tier 2
  • 15-34 pontos: Tier 3
  • 0-14 pontos: Tier 4

Profundidade da avaliação por tier

Com o tier definido, ajuste o esforço:

Tier 1 (crítico)

  • Questionário completo (SIG ou CAIQ)
  • Due diligence documental: SOC 2 Type II, ISO 27001, contratos, seguros
  • Avaliação on-site ou call técnico
  • Reavaliação anual obrigatória
  • Cláusulas contratuais reforçadas: notificação de incidente, direito a auditoria, SLA de disponibilidade
  • Monitoramento contínuo de status (rating externo)

Tier 2 (alto)

  • Questionário SIG-Lite ou versão reduzida
  • Due diligence: ao menos SOC 2 Type I ou equivalente
  • Reavaliação a cada 2 anos
  • Cláusulas contratuais padrão de proteção

Tier 3 (moderado)

  • Questionário curto (20-30 perguntas)
  • Reavaliação a cada 3 anos
  • Acordo de confidencialidade (NDA)

Tier 4 (baixo)

  • Cadastro simples, sem questionário detalhado
  • Sem reavaliação periódica obrigatória

Subprocessadores (a quarta parte)

Fornecedores Tier 1 e Tier 2 quase sempre usam outros fornecedores — os subprocessadores. Você precisa saber:

  • Quem são os subprocessadores
  • Onde estão localizados (LGPD exige base legal para transferência internacional)
  • Como você é notificado de mudanças

Sem mapear a quarta parte, você não tem visibilidade real de onde seus dados estão.

Tiering não é sofisticação opcional — é a única forma de manter TPRM viável em escala. Critérios objetivos, profundidade proporcional e reavaliação periódica fazem o programa funcionar.
Tags: GRC Risco TPRM

Continue lendo

LGPD LGPD na prática: como construir um RoPA que sobrevive à ANPD
Compliance ISO 27001 e SOC 2 sem retrabalho: mapeando controles uma única vez
ESG ESG não é planilha: estruturando indicadores com evidência auditável