Termos de Segurança da Informação
O FORNECEDOR deverá fornecer os Serviços e cumprir suas obrigações nos termos do Contrato de acordo com:
uma. (I) estes Termos de Segurança da Informação
b. (ii) Boas Práticas de Segurança
1. DEFINIÇÕES
uma. “Ativo” significa qualquer item ou elemento de hardware e software que é ou pode ser usado com a finalidade de criar, acessar, processar, proteger, monitorar, armazenar, recuperar, exibir ou transmitir dados do CLIENTE.
b. “Dados do CLIENTE” significa quaisquer dados que o CLIENTE, ou uma pessoa agindo em seu nome, fornece ao FORNECEDOR, ou permite que o PROVEDOR acesse e processe, em conexão com o Contrato.
c. “Criptografia” significa o processo de conversão de informações ou dados em um código, especialmente para evitar acesso não autorizado.
d. “Patching” significa qualquer atualização de software e sistema operacional (SO) que resolva vulnerabilidades de segurança em um programa ou produto.
e. “Teste de Penetração” significa um ataque cibernético simulado autorizado em um sistema de computador, realizado para avaliar a segurança do sistema.
f. “Sistema do PROVEDOR” significa qualquer Sistema ou Ativo que seja de propriedade ou gerenciado (no todo ou em parte) para operação por ou em nome do PROVEDOR ou de qualquer uma de suas Afiliadas.
g. “Incidente de Segurança” significa um incidente, evento e/ou problema que resultou em um comprometimento real da confidencialidade, integridade e/ou disponibilidade dos dados do CLIENTE e/ou do Serviço.
h. “Ambiente de Produção” significa o ambiente onde os dados do CLIENTE são armazenados e processados.
eu. “Ambiente de Teste” significa o ambiente disponibilizado para o teste de programas ou produtos de software recentemente desenvolvidos antes de serem lançados em um Ambiente de Produção.
j. “Vulnerabilidade” significa a existência de uma fraqueza/falha encontrada no sistema.
k. “Tráfego Inflacionado Artificialmente” significa qualquer tráfego gerado por meios automatizados ou fraudulentos, incluindo, entre outros, bots, click farms ou qualquer outro meio destinado a inflar artificialmente os volumes de tráfego.
2. ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
O FORNECEDOR deverá:
2.1. definir, documentar, implementar e manter políticas de segurança em conformidade com os padrões do setor, ao mesmo tempo que: - assegurar a manutenção da confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informação. - cumprir os requisitos legais e regulamentares a que o CLIENTE e os Dados do CLIENTE possam estar sujeitos.
2.2. revisar suas políticas e procedimentos anualmente e/ou em resposta a qualquer mudança significativa.
2.3. garantir que as políticas de segurança sejam documentadas e aprovadas pela administração do FORNECEDOR e publicadas e comunicadas às partes interessadas relevantes.
2.4. garantir que tenham o número necessário de profissionais de segurança que serão responsáveis pela coordenação e monitoramento de todas as funções, políticas e procedimentos de segurança da informação.
2.5. manter um processo de validação periódica interna e externa da eficácia dos seus controles de segurança. O PROVEDOR deverá abordar e resolver prontamente quaisquer deficiências na medida necessária para cumprir as obrigações do PROVEDOR nos termos do Contrato e destes Termos.
3. TREINAMENTO DE RECURSOS HUMANOS E SEGURANÇA
O FORNECEDOR deverá:
3.1. definir, documentar, implementar e manter políticas e procedimentos adequados de verificação de antecedentes. As verificações podem incluir a escolaridade e o histórico profissional anterior do indivíduo, antecedentes criminais, verificações de referências e quaisquer requisitos adicionais de verificação de antecedentes padrão do setor, de acordo com as leis e regulamentos relevantes e aplicáveis.
3.2. realizar verificações de antecedentes de todos os funcionários novos e existentes, incluindo funcionários contratados.
3.3. garantir que todos os funcionários estejam vinculados a um acordo de confidencialidade apropriado.
3.4. definir, documentar, implementar e manter um treinamento formal de conscientização sobre segurança e privacidade para todos os funcionários. O FORNECEDOR garantirá que tais treinamentos sejam fornecidos antes de conceder permissão para acesso ou uso de informações confidenciais e de forma contínua a partir de então.
4. GESTÃO DE ATIVOS
O FORNECEDOR deverá:
4.1. definir, documentar, implementar e manter um inventário preciso e atualizado que registre todos os hardwares e softwares, com informações do proprietário e localização de cada um.
4.2. garantir que apenas aplicativos de software e/ou sistemas operacionais atualmente suportados e/ou recebendo atualizações do fornecedor sejam adicionados ao inventário de software autorizado do FORNECEDOR.
4.3. garantir que todo o software e hardware que suporta EOL (fim de vida útil) seja removido de uso e que o inventário seja atualizado em tempo hábil.
4.4. definir regras para o uso aceitável da informação e dos ativos associados à informação e ao processamento da informação.
4.5. garantir que todas as informações sejam classificadas em termos de requisitos legais, valor, criticidade e sensibilidade, e tratadas de acordo com seu rótulo de classificação.
4.6. garantir o manuseio e descarte adequados dos dados do CLIENTE dos sistemas do PROVEDOR: - a eliminação dos registros de dados do CLIENTE deve ser realizada de maneira segura para garantir que os dados sejam irrecuperáveis. - o certificado de exclusão deve estar disponível para quaisquer solicitações ad hoc do CLIENTE para exclusão de dados.
5. CONTROLE DE ACESSO
5.1. Disposições gerais
O FORNECEDOR deverá:
5.1.1. definir, documentar, implementar e manter políticas e procedimentos de controle de acesso com base nas necessidades de negócios e no princípio de “Privilégio Mínimo” e garantir que apenas funcionários autorizados tenham acesso aos sistemas do PROVEDOR.
5.1.2. garantir que apenas IDs exclusivos sejam usados e documentar qualquer exceção e uso de contas compartilhadas.
5.1.3. garantir que qualquer acesso aos Sistemas do PROVIDER que armazenam ou processam Dados do CLIENTE esteja sujeito à Autenticação Multifator (MFA).
5.1.4. periodicamente, pelo menos anualmente, revisar a adequação dos privilégios de usuário atribuídos.
5.1.5. garantir que as atividades de gerenciamento de usuários (adição, modificação ou remoção de privilégios de usuário) sejam realizadas com base em uma solicitação formal válida e em tempo hábil.
5.2. SEGURANÇA DE ACESSO REMOTO
O FORNECEDOR deverá:
5.2.1. garantir que um conjunto apropriado de controles de segurança seja implementado para evitar acesso remoto não autorizado aos Sistemas PROVIDER. Esses controlos devem incluir pelo menos: - Qualquer acesso remoto aos Sistemas e/ou Rede da PROVIDER será somente via VPN e Autenticação Multifatorial (MFA). - Todos os dados que trafegam através de um mecanismo de acesso remoto devem ser criptografados do terminal (por exemplo, laptop) para a rede. - Todas as tentativas de conexão aos Sistemas do PROVEDOR usando um mecanismo de acesso remoto não autorizado serão rejeitadas e registradas. - As atividades suspeitas serão tratadas de acordo com os protocolos de segurança relevantes.
5.3. GERENCIAMENTO DE SENHA
O FORNECEDOR deverá:
5.3.1. definir, documentar, implementar e manter políticas de senha alinhadas com as melhores práticas do setor e necessidades internas de negócios.
5.3.2. garantir que as senhas tenham comprimento e complexidade suficientes, não contenham palavras facilmente adivinháveis e sejam alteradas em intervalos regulares.
5.3.3. garantir que as contas dos usuários sejam bloqueadas após um certo número de tentativas malsucedidas de inserir a senha errada e que a conta seja bloqueada por um determinado período de tempo.
5.3.4. garantir que as senhas sejam armazenadas de forma segura, tornando-as ininteligíveis enquanto permanecerem válidas.
6. CRIPTOGRAFIA
O FORNECEDOR deverá:
6.1. definir, documentar, implementar e manter políticas e procedimentos relevantes que regulem o uso de controles criptográficos apropriados e os processos de gerenciamento de chaves que estabelecem as regras de uso, proteção e vida útil de chaves criptográficas e material de chaveamento.
6.2. Garanta que os dados do CLIENTE estejam protegidos durante o trânsito ou em repouso usando protocolos seguros (por exemplo, TLS 1.2, AES-256 ou outros padrões recomendados pelo setor).
6.3. gerenciar todas as chaves de criptografia em um sistema de gerenciamento de chaves que pertence e é operado pelo PROVEDOR.
6.4. garantir a segregação adequada das funções no processo de gerenciamento de chaves de criptografia.
7. SEGURANÇA FÍSICA E AMBIENTAL
O FORNECEDOR deverá:
7.1. definir, documentar, implementar e manter políticas e procedimentos de segurança física para evitar acesso físico não autorizado, danos e interferência nas informações da organização e nas instalações de processamento de informações que armazenam dados do CLIENTE.
7.2. implementar processos e controles de segurança física e ambiental alinhados com políticas e procedimentos definidos. O PROVEDOR poderá terceirizar alguns ou todos os controles de segurança física para terceiros e deverá garantir que os controles do mesmo nível estejam em vigor e avaliar regularmente o cumprimento do terceiro.
7.3. garantir que as áreas seguras sejam protegidas por controles de entrada apropriados e que somente pessoal autorizado tenha acesso permitido.
7.4. garantir que todos os visitantes sejam autorizados, possuam identificação adequada e tenham acesso apenas às áreas necessárias.
7.5. garantir que armários com fechadura sejam usados para proteger informações confidenciais.
7.6. garantir que o equipamento que contém mídia de armazenamento seja sobrescrito com segurança antes do descarte ou reutilização.
7.7. garantir que uma política de mesa clara e uma política de tela clara sejam aplicadas às instalações de processamento de informações.
8. SEGURANÇA DE OPERAÇÕES
O FORNECEDOR deverá:
8.1. definir, documentar, implementar e manter procedimentos operacionais de segurança para backup, proteção de endpoint, gerenciamento de vulnerabilidades, antivírus e antimalware, aplicação de patches, proteção do sistema e registro em log.
8.2. realizar avaliações de vulnerabilidade e testes de penetração regularmente de acordo com as melhores práticas do setor e as necessidades internas do negócio. O FORNECEDOR também deverá realizar uma avaliação de risco, seguida de uma correção dos problemas identificados.
8.3. garantir que as vulnerabilidades sejam tratadas de acordo com a priorização definida e dentro dos prazos de resolução exigidos.
8.4. aplicar patches e atualizações em todos os níveis de infraestrutura de acordo com a priorização definida.
8.5. garantir que endpoints, servidores, dispositivos de armazenamento, gateways de correio/web e tráfego de correio sejam protegidos com ferramentas antimalware ativas, sempre que tecnicamente viável, para detectar e, sempre que possível, prevenir infecções por malware.
8.6. criar cópias de backup de informações, software e imagens de sistema e testá-las regularmente de acordo com as melhores práticas do setor e as necessidades internas de negócios.
8.7. garantir que o registro apropriado seja realizado, com detalhes suficientes e mantido de acordo com períodos de retenção definidos, ao mesmo tempo em que está protegido contra adulteração e acesso não autorizado.
8.8. definir, documentar, implementar e manter regras que regem a instalação de software pelos usuários.
8.9. definir, documentar, implementar e manter padrões para a configuração segura de endpoints, incluindo, entre outros, laptops, servidores, máquinas virtuais, bancos de dados e dispositivos de rede para proteger contra perda de confidencialidade, integridade e disponibilidade de Dados do CLIENTE em repouso e em trânsito.
9. SEGURANÇA DE REDE E COMUNICAÇÃO
O FORNECEDOR deverá:
9.1. definir, documentar, implementar e manter mecanismos de segurança e requisitos de gerenciamento de todos os serviços de rede.
9.2. definir, documentar, implementar e manter padrões fortes de criptografia e configuração de segurança para proteger a comunicação em redes públicas e não públicas.
9.3. garantir que os relógios de todos os sistemas de processamento de informações relevantes estejam sincronizados com uma única fonte de tempo de referência.
9.4. monitore o tráfego da web e o perímetro da rede para detectar ataques cibernéticos e bloquear serviços, páginas da web e tráfego maliciosos.
9.5. garantir que as alterações nas regras de firewall sejam controladas por meio de um processo formal de solicitação/aprovação e sejam revisadas regularmente.
9.6. restringir e controlar o acesso às organizações de acordo com as melhores práticas do setor e as necessidades internas de negócios.
9.7. garantir que o modelo de zoneamento seja aplicado e que a rede seja segmentada adequadamente, enquanto apenas acesso e tráfego aprovados são permitidos em cada segmento.
10. CICLO DE VIDA DE DESENVOLVIMENTO DE SOFTWARE (SDLC)
O FORNECEDOR deverá:
10.1. estabelecer um ciclo de vida de desenvolvimento seguro para garantir que os Serviços sejam desenvolvidos e mantidos de maneira segura.
10.2. controlar mudanças em sistemas dentro do ciclo de vida de desenvolvimento por meio de procedimentos formais de controle de mudanças.
10.3. garantir que os ambientes de desenvolvimento, teste e produção sejam segregados para reduzir os riscos de acesso não autorizado ou alterações no ambiente de produção.
10.4. garantir que os requisitos relacionados à segurança da informação sejam incluídos nos requisitos para novos Serviços ou melhorias nos Serviços existentes.
10.5. garantir que os dados de teste sejam criados com cuidado e de maneira controlada e que os dados de produção não sejam usados para fins de teste.
11. RELACIONAMENTOS COM FORNECEDORES
O FORNECEDOR deverá:
11.1. definir, documentar, implementar e manter políticas e procedimentos de gestão de relacionamento com fornecedores que definam princípios e regras básicas para gerenciar relacionamentos com fornecedores que cumpram os negócios, requisitos de segurança, bem como regulamentos aplicáveis, melhores práticas e padrões internacionais.
11.2. para cada fornecedor que possa acessar, processar ou armazenar dados do CLIENTE, o PROVEDOR avaliará e documentará a conformidade da solução do fornecedor. Para fornecedores críticos, incluindo subprocessadores, a reavaliação deverá ser realizada anualmente.
11.3. garantir que todos os requisitos relevantes de segurança da informação sejam estabelecidos e acordados com cada fornecedor que possa acessar, processar ou armazenar dados do CLIENTE.
11.4. garantir que um acordo válido que defina o escopo do trabalho, a confidencialidade, a segurança e os requisitos técnicos (se aplicável) do relacionamento comercial esteja em vigor com cada fornecedor que possa acessar, processar ou armazenar dados do CLIENTE.
12. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
O FORNECEDOR deverá:
12.1. definir, documentar, implementar e manter um processo formal para relatar, responder e gerenciar incidentes de segurança da informação. Isto deve incluir, no mínimo: - Um procedimento para relatar tais incidentes/violações à gestão apropriada dentro da organização do PROVEDOR. - Um processo de identificação, avaliação e tratamento de incidentes de segurança da informação. - Uma equipe claramente designada para gerenciar e coordenar a resposta a um incidente. - Um processo documentado e testado para gerir a resposta a um incidente, incluindo o requisito de manter registos de problemas e ações apropriados, incluindo o momento em que o incidente ocorreu, a pessoa que comunicou o incidente, a quem foi comunicado e os seus efeitos. - A exigência de notificar o CLIENTE em tempo hábil e no prazo máximo de 72 horas após a confirmação do incidente de segurança da informação e do impacto negativo nos serviços prestados ao CLIENTE. Será aplicado um período de notificação mais curto se tal exigência for baseada na legislação e/ou regulamento aplicável. - A equipe de gerenciamento de incidentes do PROVEDOR deverá, quando apropriado, trabalhar em conjunto com os representantes de segurança do CLIENTE até que o incidente de segurança da informação seja resolvido de forma satisfatória. - O FORNECEDOR deverá se alinhar com todos os regulamentos e legislações nacionais relativos à notificação de incidentes de segurança da informação às autoridades policiais, regulatórias ou quaisquer outras autoridades nacionais.
13. GESTÃO DE CONTINUIDADE DE NEGÓCIOS
O FORNECEDOR deverá:
13.1. definir, documentar, implementar e manter um Programa de Continuidade de Negócios.
13.2. identificar e priorizar os produtos e serviços críticos do SMSBAT usando um processo de Análise de Impacto nos Negócios (BIA).
13.3. usar informações e métodos de avaliação de risco para avaliar a ameaça de interrupção.
13.4. com base nos resultados da Análise de Impacto nos Negócios e Avaliação de Riscos, desenvolver estratégias de resposta e recuperação para mitigar o impacto nos serviços críticos durante um incidente disruptivo.
13.5. desenvolver planos de continuidade e recuperação de negócios adequados à finalidade, revisados regularmente, disponíveis e simples de seguir e entender.
13.6. desenvolver planos de gestão e comunicação de crises para uma gestão eficaz de crises, priorização na comunicação e formas de alertar sobre os incidentes.
13.7. fornecer treinamento e exercícios, desenvolvidos de acordo com as competências exigidas e entregues a funcionários com responsabilidade direta pela continuidade dos negócios.
13.8. melhorar continuamente o Programa de Continuidade de Negócios do SMSBAT por meio de avaliação regular e levando em consideração quaisquer alterações nos requisitos legais e regulamentares.
14. CONFORMIDADE
O FORNECEDOR deverá:
14.1. Submeta-se a auditorias regulares de acordo com os padrões do setor anualmente. Mediante solicitação por escrito do CLIENTE, o FORNECEDOR fornecerá ao CLIENTE uma cópia completa ou resumida, conforme aplicável, de seus relatórios então vigentes. O PROVEDOR também fornecerá, no prazo máximo de 10 (dez) dias úteis, respostas por escrito a todas as solicitações razoáveis (questionários, formulários, etc.) feitas pelo CLIENTE, a fim de verificar se o PROVEDOR está cumprindo os requisitos destes Termos.
14.2. Na medida exigida pela regulamentação aplicável, uma vez por ano, mediante notificação prévia de pelo menos 30 dias corridos, o PROVEDOR deverá permitir que o CLIENTE, seus respectivos auditores ou outros agentes (cada um deles uma “Parte Auditora”) acessem as instalações, registros e documentos do Fornecedor conforme razoavelmente exigido pela Parte Auditora para verificar se o PROVEDOR está cumprindo os requisitos destes Termos. Qualquer revisão de acordo com este parágrafo não exigirá a revisão de quaisquer dados de terceiros e a Parte Auditora poderá ser obrigada a celebrar um acordo de confidencialidade com o FORNECEDOR, conforme razoavelmente necessário para respeitar a confidencialidade das informações das quais a Parte Auditora possa tomar conhecimento durante a realização da revisão. Cada Parte suportará os seus próprios custos em relação a essa auditoria. Caso a auditoria revele o descumprimento das obrigações do FORNECEDOR sob estes Termos, o FORNECEDOR deverá retificar tal descumprimento dentro do prazo mutuamente acordado e arcar com os custos de tais ações.
14.3. O FORNECEDOR reserva-se o direito de impor limitações e restrições à apresentação de informação confidencial interna e à realização de cópias de quaisquer provas solicitadas nos pontos 14.1 e 14.2.
15. REQUISITOS DE SEGURANÇA DO CLIENTE
15.1. Medidas gerais de segurança
O FORNECEDOR deverá:
15.1.1. A PROVIDER definiu, documentou, implementou e mantém recomendações de segurança para CLIENTES que usam seus serviços de comunicação em nuvem. O CLIENTE deverá revisar tais recomendações e implementá-las de acordo com suas necessidades de negócios, capacidade técnica e apetite ao risco.
15.1.2. O CLIENTE será totalmente responsável pela configuração adequada de medidas de segurança de sua parte e não imporá qualquer responsabilidade ao FORNECEDOR no caso de um incidente de segurança resultante de configuração inadequada de medidas técnicas e de segurança ou negligência na implementação de medidas conforme recomendado pelo FORNECEDOR.
15.2. Medidas de mitigação de segurança AIT
O FORNECEDOR deverá:
15.2.1. A PROVIDER definiu, documentou e mantém diretrizes de segurança para prevenção de casos de fraude.
15.2.2. Risco potencial pode surgir no site ou aplicativo móvel do CLIENTE integrado aos Sistemas PROVIDER se um registro ou outro formulário que executa SMS MT com OTPs não estiver protegido com um mecanismo anti-bot como CAPTCHA. Vulnerabilidades em tais aplicações podem levar a ataques de tráfego inflacionado artificialmente (AIT). Um mecanismo anti-bot como o CAPTCHA é essencial para proteger o fluxo de inscrição do usuário contra registros falsos automatizados que executam SMS MT com OTPs.
15.2.3. Quando ocorrem ataques AIT, o tráfego é enviado para a infraestrutura do PROVEDOR com o endereço IP de origem utilizado pelo CLIENTE no momento do envio. O conteúdo SMS MT do tráfego é indistinguível do tráfego genuíno do CLIENTE. Na ausência de qualquer feedback do CLIENTE, o PROVEDOR não consegue diferenciar entre o AIT no aplicativo do CLIENTE e o tráfego genuíno do mesmo aplicativo. Como resultado, o FORNECEDOR não pode ser responsabilizado pela segurança da(s) aplicação(ões) web ou móvel(s) do CLIENTE. O CLIENTE reconhece ainda que todo o tráfego recebido da infraestrutura do CLIENTE será roteado para Operadoras de Rede e cobrado do CLIENTE de acordo com os termos do Contrato.
15.2.4. O bloqueio das redes afetadas não impediria que um problema semelhante ocorresse novamente em redes habilitadas, pois a causa raiz do problema está na infraestrutura do CLIENTE. Portanto, é imprescindível que o CLIENTE aborde todos os formulários em seu site ou aplicativo móvel que executem códigos SMS MT OTP.
15.3. Solicitação de aumento do limite de crédito
O FORNECEDOR deverá:
15.3.1. O limite pode ser rapidamente esgotado se as vulnerabilidades no site do CLIENTE não forem resolvidas. Portanto, a PROVEDORA solicita ao CLIENTE a confirmação da consciência dos riscos e da compreensão das potenciais consequências do aumento do limite de crédito.
15.3.2. Ao solicitar um aumento no limite de crédito, o CLIENTE reconhece a responsabilidade por qualquer perda potencial devido a ataques AIT e compromete-se a pagar por quaisquer despesas que possam surgir em consequência.