Governança de terceiros pronta para auditoria.
Do cadastro ao contrato.
Unifique onboarding, due diligence, contratos, evidências, vencimentos e decisões de risco em uma operação rastreável, com trilha auditável e IA como apoio do analista.
- 360°
- cadastro, risco, contrato e evidência no mesmo fluxo
- 5+ anos
- de trilha de auditoria por evento
- LGPD
- CNPJ, DPA e evidências em português
Carteira de fornecedores
Visão geral do TPRM
FinCore Pagamentos
Acme Cloud Services
LegalBR Consultoria
DataSync Analytics
Due diligence em andamento
3 questionários · 1 evidência pendente · 1 contrato vence em 28d
Frameworks de due diligence suportados out-of-the-box
Importe seu próprio questionário ou use os pré-prontos. Cada resposta fica versionada com evidência e trilha auditável.
Operação premium
Menos tela decorativa. Mais decisão com contexto.
A VenRisk organiza o trabalho do gestor de terceiros em torno da carteira: o que precisa de atenção, quem responde, qual risco permanece e que evidência sustenta a decisão.
Carteira 360
Logo, categoria, risco, contatos, ciclo de revisão e pendências aparecem na mesma ficha operacional.
Assessment versionado
Templates, respostas, evidências e decisões ficam rastreados por versão e por responsável interno.
Contrato conectado
Vigência, cláusulas críticas, anexos e alertas de renovação seguem vinculados ao fornecedor correto.
Evidência auditável
Cada upload, revisão e aprovação preserva ator, data, tenant e contexto para auditoria posterior.
Produto
TPRM completo em um único produto.
Da entrada do fornecedor até o offboarding — passando por contratos, evidências, remediação e renovações. Sem precisar plugar três ferramentas diferentes nem manter planilha em paralelo.
Cadastro & onboarding
Crie fornecedor, atribua categoria/criticidade e dispare convite para o vendor responder due diligence externamente.
Due diligence configurável
Use os questionários pré-prontos (CAIQ-Lite, SIG-Lite, LGPD-DPO) ou suba o seu. Versionado, com evidências por pergunta.
Contratos & obrigações
Repositório contratual integrado ao TPRM: vigências, cláusulas críticas (LGPD, encerramento), upload de PDF e alertas de renovação.
Remediação & SLAs
Gaps viram issues, viram planos de ação com owner, SLA e evidência de fechamento. Audit log por iteração.
Offboarding controlado
Checklist de desligamento que bloqueia novos contratos e força a captura da evidência final (devolução de dados, revogação de acesso).
Audit trail imutável
Cada criação, edição, decisão e download fica registrada com ator, IP, tenant e timestamp. Retenção mínima de 5 anos.
Diferenciais
Construído pra operação brasileira, não traduzido.
Validação de CNPJ, identidade BR no cadastro, contratos com vigência em pt-BR, DPA conforme LGPD. Não é um TPRM americano com etiqueta traduzida.
Identidade brasileira nativa
Validação de CNPJ no cadastro, tratamento fiscal correto, DPA template em pt-BR conforme LGPD. Workflow comercial e jurídico falam o português que o seu time já fala.
Contratos no mesmo workspace
Cláusula crítica, vigência, anexo de PDF e alertas de renovação ficam atados ao fornecedor — não em outra ferramenta. Audit trail consolidado entre due diligence e contrato.
Trilha auditável de verdade
Audit log imutável, retenção mínima de 5 anos, com ator, IP, tenant e timestamp em cada evento. Export pronto para SOC 2 Type I, ISAE 3402 e exigências de auditoria interna.
IA com postura
IA é copiloto do analista. Não um agente autônomo.
Gestão de risco de terceiros não tolera alucinação. A nossa IA sugere, classifica e resume — mas a decisão e a assinatura são humanas. Cotas por tenant, registro de cada chamada, custo previsível e transparente.
- Analista sempre revisa antes de salvar
- Cota configurável por tenant (sem surpresa de custo)
- Cada chamada registrada em audit log
- CNPJ e PII direto do fornecedor não são enviados à IA por padrão
Classifica risco inerente do fornecedor
A partir da descrição do serviço (acesso a dados, criticidade, categoria), sugere score e justificativa. Analista revisa antes de salvar.
Extrai controles de SOC 2 Type II
Suba o relatório do fornecedor; a IA mapeia cada control para ISO 27001:2022 Annex A e NIST CSF 2.0, listando exceções relevantes.
Sugere plano de remediação
Para gaps abertos, propõe ação, owner e SLA com base no histórico do tenant. Sempre editável pelo analista antes de submeter.
Para quem é
Feito pra quem precisa governar terceiros — não só listar.
Setor regulado pelo BC, CVM, SUSEP, PREVIC? LGPD com fornecedores tratando dados sensíveis? Auditoria interna ou externa cobrando evidência? A plataforma cobre o ciclo completo de TPRM com a granularidade que o auditor pede.
Bancos e fintechs
Exigência de TPRM por BACEN/CMN para gestão de contratação relevante e PLD/FT. Onboarding, due diligence e contratos auditáveis sem planilha paralela.
Seguradoras e resseguradoras
Governança de corretores, MGAs, peritos e prestadores terceirizados. Vigência contratual, cláusulas obrigatórias, evidência de capacitação.
Previdência complementar
PREVIC exige due diligence formal de gestores, custodiantes e auditores. Plano + evidência + assinatura, com trilha auditável aceita pelo regulador.
Qualquer empresa com LGPD
Mapa de tratamentos por fornecedor, DPA assinado, direito ao esquecimento e evidência de subcontratação. Funciona pra empresa não-regulada que só precisa provar LGPD.
Arquitetura
Maturidade operacional que você pode auditar.
Segurança não é slide em pitch deck. É decisão de arquitetura, teste de restore documentado e policy que o compliance officer do cliente pode ler.
audit-log · evento recente
{
"event": "vendor.created",
"tenant_id": "org-banco-sp",
"actor_user_id": "u-a31c",
"ip_address": "200.204.x.x",
"created_at": "2026-04-24T18:41:07Z",
"entity_type": "vendor",
"entity_id": "v-9c7f",
"metadata": { "name": "Acme Ltda", "tax_id_hash": "…" }
}Multi-tenant isolado + encryption at rest
Cada tenant é uma fronteira de dados. Fernet app-layer em segredos críticos (OIDC, TOTP).
MFA obrigatório + SSO/OIDC
TOTP mandatório pra admin. SSO por organização via IdP corporativo.
Audit log 5+ anos, imutável
Cada evento registra ator + tenant + IP + timestamp. Retenção alinhada a bancário / SOC 2.
Backup diário + RTO 4h / RPO 24h
Snapshots criptografados, teste trimestral de restore documentado.
LGPD nativo: right-to-be-forgotten
Endpoint de anonimização + DPA template + registro de tratamento.
Antivírus em uploads + validação magic bytes
ClamAV pluggável + signature check. Uploads maliciosos recusados com 422.
Perguntas frequentes
O que mais nos perguntam em reunião.
Os dados ficam no Brasil?
Hoje a infra roda em US-West (Railway + Postgres) com criptografia em trânsito e em repouso. Temos roadmap pra região BR quando Railway disponibilizar. Para clientes que exigem data residency BR imediata, contamos caso-a-caso.
Vocês têm SOC 2 Type II?
Estamos em preparação de SOC 2 Type I — políticas formalizadas (access control, change mgmt, retenção, continuidade, BC/DR), audit log alinhado, testes trimestrais de DR. Type II depende de janela de observação de 6-12 meses.
Como é a integração com meu IdP corporativo?
SSO via OIDC (qualquer IdP compatível — Okta, Azure AD, Google Workspace, Keycloak). Provisionamento SCIM no roadmap. MFA (TOTP) obrigatório para admins.
Posso usar meus próprios questionários de due diligence?
Sim. A plataforma traz CAIQ-Lite, SIG-Lite e LGPD-DPO prontos, mas você pode subir o seu próprio questionário (qualquer combinação de perguntas de texto livre, escala, múltipla escolha, evidência). As respostas ficam versionadas e auditáveis.
Os fornecedores precisam ter conta pra responder?
Não. Você dispara um convite por link único (com expiração), e o fornecedor responde a due diligence + anexa evidência num portal externo sem precisar criar usuário. A resposta volta amarrada ao registro do vendor no seu workspace.
E o pricing?
B2B consultivo. Começa por volume de fornecedores monitorados + qtd de usuários internos. Pilotos pagos de 90 dias têm desconto e migram pra contrato quando comprovamos fit. Entre em contato via 'Agendar reunião' pra valores específicos.
Vamos conversar
Reunião objetiva de 30 minutos.
Sem cadastro, sem rodeio.
Escolha o horário. Você recebe um convite de calendário direto no seu email. A conversa começa com o contexto do seu portfólio de terceiros, entende o que está travando hoje e mostra se a VenRisk faz sentido. Se não fizer, indicamos quem atende melhor.
- Duração: 30 minutos
- Horário: seg–sex, 09h–12h e 14h–17h (BRT)
- Antecedência mínima: 24 horas
- Sem rastreadores: só o convite de calendário
Prefere conversar por mensagem antes? Use o campo de contexto do agendamento para antecipar o que precisa avaliar.
Agende uma reunião
Escolha um horário de 30 minutos com nosso time.
Reuniões disponíveis segunda a sexta, 09h–12h e 14h–17h (BRT). Antecedência mínima de 24 horas. Você recebe o convite de calendário direto por email assim que confirmar.