Skip to content
Caso de estudoPreçosSegurançaComparativoBlog

Europe

Americas

Oceania

Conformidade10 min de leitura

Gestão de riscos de terceiros (TPRM): guia completo 2026

Guia completo de gestão de riscos de terceiros (TPRM): BACEN, LGPD, avaliação de fornecedores, monitoramento contínuo e conformidade regulatória no Brasil em 2026.

Ana Oliveira, Especialista em conformidade regulatória
Ana Oliveira, Especialista em conformidade regulatória·
Illustration for Gestão de riscos de terceiros (TPRM): guia completo 2026 — Conformidade

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

A gestão de riscos de terceiros — Third-Party Risk Management (TPRM) — deixou de ser uma função administrativa de compliance para se tornar um imperativo estratégico regulado por múltiplas normas no Brasil. 77% de todas as violações de segurança nos últimos três anos tiveram origem em um fornecedor ou terceiro (Whistic, 2025), e o Banco Central do Brasil (BACEN) estabeleceu, por meio da Resolução BCB nº 538/2025, novas exigências que tornam a gestão documental de provedores de serviços TIC uma obrigação formal com prazo definido.

Este guia apresenta o quadro regulatório brasileiro — BACEN, LGPD e DORA para entidades com operações europeias —, as cinco etapas de um programa TPRM maduro e as práticas concretas para alcançar conformidade até março de 2026.

Este artigo tem carácter exclusivamente informativo e não constitui aconselhamento jurídico, financeiro ou regulatório. Para questões específicas à sua organização, consulte um profissional qualificado.

O que é TPRM e por que é estratégico no Brasil

O TPRM (Third-Party Risk Management) é o processo estruturado de identificação, avaliação, monitoramento e mitigação dos riscos decorrentes das relações com fornecedores externos, subcontratados e parceiros tecnológicos. Inclui riscos operacionais, cibernéticos, de conformidade, reputacionais e de concentração.

O cenário brasileiro em 2026 é definido pela convergência de três obrigações regulatórias principais:

  • As novas Resoluções BCB nº 538/2025 e CMN nº 5.274/2025 do BACEN, com prazo de adaptação até 1º de março de 2026.
  • A Lei Geral de Proteção de Dados (LGPD), cujos artigos 39 e 50 tornam a gestão de fornecedores que tratam dados pessoais um requisito mandatório de adequação para as organizações controladoras.
  • O Regulamento DORA (UE) 2022/2554, aplicável às entidades financeiras com operações na União Europeia desde 17 de janeiro de 2025.
Regulação Âmbito Exigência-chave para TPRM
Resolução BCB nº 538/2025 Instituições financeiras reguladas pelo BACEN Novos critérios para PSTIs, capital mínimo R$ 15M
LGPD (Arts. 39 e 50) Todas as empresas que tratam dados pessoais Gestão e monitoramento de fornecedores suboperadores
DORA (UE) 2022/2554 Entidades com operações na UE Registro TIC, due diligence, cláusulas contratuais Art. 30(2)
NIS2 (UE) 2022/2555 Setores críticos com operações na UE Segurança da cadeia de suprimentos

Quadro regulatório: BACEN, LGPD e DORA

Novas resoluções do BACEN em 2026

As Resoluções BCB nº 538/2025 e CMN nº 5.274/2025 reforçam substancialmente as obrigações das instituições financeiras em relação aos seus provedores de serviços TIC. As principais mudanças incluem:

  • Provedores de Serviços de Tecnologia da Informação (PSTIs): os PSTIs que processam transações críticas do Pix e do STR deverão comprovar capital social mínimo de R$ 15 milhões, certificações internacionais de segurança reconhecidas e contratação de seguro de responsabilidade civil para riscos cibernéticos.
  • Limite operacional para PSTIs não conformes: instituições que utilizarem um PSTI não credenciado ficam sujeitas a um limite de R$ 15.000,00 por transação Pix ou TED, tornando o monitoramento de conformidade de fornecedores um imperative operacional imediato.
  • Rastreabilidade e evidência: a segurança passa a ser tratada como processo contínuo com evidência, rastreabilidade e governança ativa — não mais um conjunto de controles estáticos.

O prazo de adaptação às novas normas é 1º de março de 2026. O BACEN disponibilizou as resoluções completas no portal do Banco Central do Brasil. Organizações que ainda não revisaram suas políticas, processos e responsabilidades relacionados a terceiros estão em risco regulatório iminente.

LGPD e a gestão de fornecedores suboperadores

A LGPD não se aplica apenas internamente. Nos termos dos artigos 39 e 50 da Lei 13.709/2018, os controladores de dados pessoais têm a obrigação de implementar a gestão de seus fornecedores e manter evidências documentadas de que monitoram os ambientes onde os dados pessoais são tratados.

Na prática, isso significa:

  • Cláusulas LGPD obrigatórias em contratos com fornecedores que tratam dados pessoais.
  • Avaliação periódica das políticas de privacidade e segurança dos suboperadores.
  • Planos de resposta a incidentes que incluam a notificação da ANPD em até 72 horas.
  • Registros de atividades de tratamento dos fornecedores.

A não conformidade com a LGPD na gestão de terceiros pode resultar em sanções severas, incluindo multas de até 2% do faturamento no Brasil, limitadas a R$ 50 milhões por infração, nos termos do artigo 52 da Lei 13.709/2018 (LGPD).

As cinco etapas de um programa TPRM eficaz

Etapa 1: Inventário e classificação de terceiros

Um programa TPRM começa com um inventário completo e atualizado de todos os terceiros — fornecedores diretos, subcontratados, parceiros tecnológicos e provedores cloud. Segundo dados de 2025, as empresas gerenciam em média 286 fornecedores, com um ratio médio de 33,6 fornecedores por profissional do risco, tornando a priorização indispensável.

Cada terceiro é classificado por criticidade:

  • Crítico: funções essenciais, acesso a dados sensíveis, alta dependência operacional (ex.: PSTIs que processam Pix).
  • Importante: impacto moderado em caso de falha, acesso limitado a dados.
  • Padrão: serviços periféricos, baixo impacto operacional.

Etapa 2: Due diligence pré-contratual

A due diligence pré-contratual para fornecedores críticos deve abranger:

  • Solidez financeira (demonstrações contábeis auditadas, rating de crédito, coberturas de seguro).
  • Postura de segurança (certificações ISO 27001, SOC 2 Tipo II, resultados de testes de penetração).
  • Conformidade regulatória (LGPD, resoluções BACEN/CMN, setorial).
  • Capacidade de continuidade de negócios e recuperação de desastres.
  • Para PSTIs: capital social mínimo de R$ 15 milhões e seguro cibernético obrigatório.

CheckFile automatiza a coleta e verificação dos documentos fornecidos pelos fornecedores nesta fase — certidões, certificações, apólices de seguro, balanços — identificando automaticamente documentos ausentes ou expirados e reduzindo a carga manual sobre as equipes de compliance.

Etapa 3: Contratos com cláusulas de conformidade

Os contratos com fornecedores críticos devem incluir cláusulas específicas de TPRM, exigidas tanto pela LGPD quanto pelas novas resoluções do BACEN. As cláusulas mínimas incluem:

  • Descrição precisa dos serviços e níveis de desempenho (SLA).
  • Direitos de auditoria e inspeção para a organização e seus reguladores.
  • Notificação de incidentes de segurança em prazo definido (recomendado: 4 horas para incidentes graves).
  • Condições de rescisão e estratégia de saída documentada.
  • Restrições à subcontratação de funções críticas sem aprovação prévia.
  • Cláusula LGPD com obrigações do suboperador.
  • Localização dos dados e regime jurídico aplicável.

Etapa 4: Monitoramento contínuo

O monitoramento pontual não é mais suficiente. 46% das organizações ainda não possuem um programa de TPRM considerado maduro (Netrin, Third-Party Risk Insights 2026). As boas práticas de monitoramento contínuo incluem:

  • Reavaliações periódicas calibradas à criticidade do fornecedor (trimestral para críticos, anual para padrão).
  • Monitoramento externo da postura de segurança (pontuações de segurança, alertas de vulnerabilidades).
  • Acompanhamento da saúde financeira dos fornecedores críticos.
  • Rastreamento de mudanças regulatórias e geopolíticas que afetem fornecedores.
  • Alertas automáticos sobre vencimento de certificações e licenças regulatórias.

CheckFile centraliza a documentação de conformidade de fornecedores e emite alertas automáticos quando uma certificação ISO, apólice de seguro ou licença regulatória se aproxima do vencimento, garantindo rastreabilidade para auditorias do BACEN e da ANPD.

Etapa 5: Gestão de incidentes e estratégias de saída

As resoluções do BACEN e a LGPD exigem que as organizações disponham de planos de resposta a incidentes documentados para eventos envolvendo terceiros. Uma estratégia de saída eficaz inclui:

  • Identificação de fornecedores alternativos ou planos de internalização.
  • Procedimentos documentados de migração de dados e transição de sistemas.
  • Prazos de aviso prévio contratuais calibrados à complexidade da transição.
  • Registro completo de dependências técnicas e fluxos de dados.

Para mais detalhes sobre os requisitos de verificação documental no setor financeiro, consulte nosso artigo sobre DORA 2026.

Desafios práticos do TPRM no mercado brasileiro

Os foros de compliance e os profissionais de risco no Brasil identificam recorrentemente os mesmos obstáculos para implementar um programa TPRM maduro.

O primeiro desafio é obter a documentação adequada dos fornecedores: 48% das equipes de compliance citam isso como sua principal dificuldade (ISACA, 2020). Muitos fornecedores, especialmente as PMEs brasileiras, carecem de programas de compliance estruturados e têm dificuldade em fornecer a documentação exigida.

O segundo desafio é a falta de recursos internos: 62% dos líderes de risco consideram que seu programa TPRM é insuficientemente dotado de pessoal. Com ratios de 33,6 fornecedores por profissional do risco, a automação documental deixa de ser opcional.

O terceiro desafio é a obtenção do apoio da diretoria: apenas 40% das empresas reporta regularmente sobre riscos de terceiros ao seu conselho. O argumento é direto: o custo médio de uma violação de dados atingiu USD 4,88 milhões em 2024 (IBM Cost of a Data Breach Report 2024), e as sanções da ANPD por não conformidade com a LGPD podem chegar a R$ 50 milhões por infração.

Para uma visão abrangente do quadro de governança no qual o TPRM se insere, consulte nosso guia GRC e o guia de conformidade documental.

Checklist operacional do programa TPRM

Um programa TPRM maduro inclui os seguintes elementos:

  • Política TPRM escrita e aprovada pela diretoria.
  • Inventário completo e atualizado de terceiros com classificação por criticidade.
  • Questionários de avaliação adaptados ao nível de risco.
  • Registro de contratos TIC conforme requisitos BACEN/DORA.
  • Cláusulas contratuais de conformidade LGPD e TPRM para fornecedores críticos.
  • Processo de monitoramento contínuo documentado.
  • Estratégias de saída testadas para fornecedores críticos.
  • Relatório anual TPRM apresentado ao conselho.
  • Mapa de riscos de concentração.
  • Procedimento de gestão de incidentes com envolvimento de terceiros.

Para centralizar a gestão documental de fornecedores e automatizar o acompanhamento de certificações e contratos, conheça o CheckFile.

Perguntas frequentes

O que é TPRM e por que é obrigatório no Brasil?

O TPRM (Third-Party Risk Management) é o conjunto de processos para identificar e gerir os riscos decorrentes de fornecedores externos. No Brasil, é obrigatório para instituições financeiras pelas Resoluções BCB nº 538/2025 e CMN nº 5.274/2025 do BACEN, e para todas as organizações que tratam dados pessoais pelos artigos 39 e 50 da LGPD.

Como as novas resoluções do BACEN de 2025 afetam a gestão de fornecedores?

As Resoluções BCB nº 538/2025 e CMN nº 5.274/2025 estabelecem novos critérios para PSTIs (provedores de serviços TIC críticos) — capital social mínimo de R$ 15 milhões, certificações internacionais de segurança e seguro cibernético — e impõem um limite de R$ 15.000 por transação para instituições que utilizem PSTIs não conformes. O prazo de adaptação é 1º de março de 2026.

Qual é a diferença entre TPRM e gestão de fornecedores?

A gestão de fornecedores concentra-se no desempenho operativo e nas condições comerciais. O TPRM acrescenta uma dimensão de risco estruturada: avaliação de segurança, conformidade regulatória, solidez financeira e resiliência, com documentação destinada aos reguladores.

Que documentos devem ser exigidos dos fornecedores críticos?

Os documentos mínimos para um fornecedor TIC crítico incluem: contrato com cláusulas de compliance, certificados de segurança (ISO 27001, SOC 2), plano de continuidade de negócios, plano de resposta a incidentes, estratégia de saída e relatórios de auditoria recentes. Para PSTIs, adicionalmente: comprovação de capital social mínimo de R$ 15 milhões e apólice de seguro cibernético.

Quais sanções pode aplicar a ANPD por não conformidade com a LGPD na gestão de terceiros?

A ANPD pode aplicar multas de até 2% do faturamento anual da organização no Brasil, limitadas a R$ 50 milhões por infração. Podem ainda ser impostas sanções como publicização da infração, bloqueio temporário ou eliminação dos dados pessoais relacionados à infração.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Conformidade15 min

Avaliação de riscos de conformidade: guia prático para empresas 2026

Como identificar, avaliar e mitigar riscos regulatórios. Guia completo de compliance risk management alinhado com AMLD6, Banco de Portugal e BACEN.

Ler
Conformidade9 min

GRC: governança, riscos e conformidade — guia completo 2026

O que é GRC (governance risk management compliance)? Os três pilares, exigências do Banco Central do Brasil e COAF, e como implementar um programa eficaz no Brasil.

Ler
Conformidade10 min

Como construir um programa de conformidade documental do zero

Guia metodológico para construir um programa de conformidade documental: modelo de maturidade em 5 níveis, Lei 83/2017, Banco de Portugal, RGPD e automatização.

Ler