Entre em contato
Platform
Issuing
Processing
BIN Sponsorship
Gestão de Risco
Casos de uso
Empresa
Recursos
Legais

Política Externa de
Segurança da Informação

1. INTRODUÇÃO

Garantir a segurança da informação é um dos principais objetivos da Pomelo, seus clientes, fornecedores e terceiros que participam da operação, manutenção e desenvolvimento de seus produtos e serviços. O compromisso com a segurança é e deve ser de todos os envolvidos na cadeia de produção, uma vez que o que acontece em qualquer parte de nossa cadeia de produtos e serviços afeta a todos. Portanto, as entidades envolvidas nas operações da Pomelo assumem o compromisso de estabelecer práticas e controles que elevem o nível de maturidade em segurança da informação e cibersegurança.

2. ÂMBITO

Este documento se aplica a todos os clientes, fornecedores e qualquer terceiro que processe, trate, acesse, utilize ou manipule informações confidenciais da Pomelo, seus clientes, fornecedores ou terceiros relacionados e/ou acesse ou utilize os sistemas de informática da Pomelo. Tanto a Pomelo quanto o Cliente comprometem-se a cumprir o presente anexo (doravante denominados em conjunto como "Partes" e individualmente como "Parte"), garantindo o cumprimento efetivo dos requisitos estabelecidos aqui por parte de seus colaboradores e funcionários.

3. PROPRIEDADE DA INFORMAÇÃO

As informações que uma das partes revela, divulga, entrega ou confia à outra durante a execução ou no decorrer dos serviços contratados serão tratadas como informações confidenciais e, portanto, a parte receptora deverá adotar meios técnicos, físicos e administrativos suficientes para garantir a confidencialidade, disponibilidade e integridade dessas informações. A parte receptora deve reconhecer a todo momento a titularidade da parte remetente sobre tais informações, seguindo as instruções que esta última determine para seu manejo e divulgação.

4. MEDIDAS DE SEGURANÇA

Governança de cibersegurança e segurança da informação

As Partes devem estabelecer e implementar um framework para a governança em segurança da informação e cibersegurança, que deve se basear em algum dos padrões reconhecidos pela indústria (ex: NIST, ISO 27001, SOC2, PCI), bem como nas regulamentações, padrões ou normas aplicáveis ao negócio e à indústria. Isso inclui, mas não se limita a: desenvolvimento de políticas, processos/procedimentos e controles. Esta governança deve permitir que a disponibilidade, integridade e confidencialidade sejam respaldadas por controles e ferramentas projetados para mitigar ou reduzir riscos de perda, acesso não autorizado ou corrupção da informação.

Gestão de riscos relacionados à segurança da informação e cibersegurança

As Partes devem estabelecer, implementar e operar um programa de gestão de riscos de segurança da informação e cibersegurança que avalie, mitigue e controle de forma efetiva a evolução dos riscos de segurança em todo o seu ambiente. As Partes devem notificar uma à outra se houver dificuldades em remediar ou reduzir qualquer área de risco essencial que possa afetar as informações e/ou os serviços prestados à outra.

Organização: Funções e responsabilidades

As Partes envolvidas devem garantir que todas as pessoas envolvidas na operação estejam informadas sobre os requisitos de segurança consolidados neste documento e sobre seu cumprimento. Deve-se garantir a existência de pessoas com as habilidades necessárias dentro da organização, com funções e responsabilidades definidas para gerenciar e garantir seu funcionamento eficaz, protegendo os serviços e/ou informações confidenciais em seu poder.

Conscientização em Cibersegurança e Segurança da Informação

As Partes devem estabelecer, implementar e operar um programa de conscientização em segurança da informação e cibersegurança durante o ciclo de vida do relacionamento com seus funcionários e terceiros, a fim de garantir que eles compreendam suas responsabilidades, conheçam os riscos, apliquem as melhores práticas e estejam cientes das medidas de proteção da informação. Também devem fornecer atualizações regulares a seus funcionários sobre as políticas e procedimentos de sua organização.

Gestão de Identidades e Acessos

As Partes devem restringir o acesso à informação, levando em consideração os princípios de privilégios mínimos, divulgação da informação apenas quando necessário e segregação de funções. Deve ser demonstrado que o acesso aos dados ou informações será gerenciado adequadamente e limitado apenas às pessoas autorizadas a acessá-los. Considerar:

- Todos os sistemas que armazenam ou processam ativos de informação e que devem incluir novos funcionários, aqueles que mudam de cargo, saem da empresa ou têm acesso remoto.

- Controles para autorização que legitimem o processo de provisionamento, modificação e remoção de acessos, incluindo um nível de autorização ajustado aos privilégios concedidos.

- Revisão periódica dos acessos, incluindo acessos privilegiados.

- Controles de autenticação.

Computação em nuvem

Esta seção se aplica somente quando uma das Partes processa, armazena ou manipula informações confidenciais por meio de algum modelo de serviço em nuvem - SaaS, PaaS e IaaS.

As Partes devem garantir que o serviço em nuvem utilizado tenha um conjunto definido de controles de segurança para proteger a disponibilidade, integridade e confidencialidade, bem como seu funcionamento eficaz, a fim de proteger o serviço e/ou as informações.

Devem ser solicitadas ao provedor de nuvem certificações periódicas de conformidade com padrões de segurança reconhecidos pela indústria (SOC2, ISO 27001, PCI, NIST, entre outros). Em todos os momentos, devem ser implementadas medidas para garantir que todo uso de tecnologia em nuvem seja seguro.

As Partes serão responsáveis pela segurança dos dados relacionados aos ativos de informação e/ou dados em seu poder, incluindo dados pessoais na nuvem, e o provedor de serviços em nuvem será responsável pela segurança do serviço em nuvem. As Partes continuam sendo responsáveis pela configuração e supervisão dos controles de segurança implementados para oferecer proteção contra incidentes de segurança, incluindo violações de segurança de dados.

O provedor de nuvem deve implementar medidas de segurança em todos os aspectos do serviço a ser prestado, incluindo o modelo de responsabilidade compartilhada na nuvem, para proteger a confidencialidade, integridade, disponibilidade e acessibilidade, minimizando a oportunidade de acesso não autorizado a informações confidenciais das Partes. Os controles de segurança na nuvem devem estar em conformidade com os modelos de implantação (IaaS/PaaS/SaaS).

Quando um provedor de serviços em nuvem for manter dados confidenciais e/ou restritos, ele deve fornecer informações relevantes, como localizações, zonas de dados, entre outras, que permitirão identificar adequadamente o armazenamento de dados.

Gestão de ativos de informação e tecnológicos

As Partes devem dispor, manter e gerenciar ativos tecnológicos e de informação durante todo o seu ciclo de vida e em uso, trânsito e repouso, desde o recebimento até a retirada/eliminação, garantindo sua confidencialidade, disponibilidade e integridade.

Deve ser mantido um inventário, classificação e rotulagem dos ativos tecnológicos e de informação de acordo com o nível de criticidade, e pelo menos uma revisão anual deve ser realizada para validar que o inventário está atualizado, completo e correto.

As Partes devem implementar práticas e controles para mitigar a introdução de tecnologias incompatíveis ou obsoletas e, no final de sua vida útil, realizar a retirada e destruição de ativos e informações para mitigar o risco de comprometimento. Da mesma forma, devem:

- Fazer uma revisão constante das informações e/ou dados confidenciais existentes e novos.

- Ter um gerenciamento e armazenamento seguro de informações e/ou dados confidenciais, de acordo com o nível de classificação.

- Promover a conscientização de todo o pessoal sobre os requisitos de rotulagem, armazenamento e tratamento de informações e como aplicar a classificação correta das informações.

Prevenção de vazamento de informações e/ou perda de dados

As Partes devem garantir que os ativos de informação e/ou dados confidenciais sob sua custódia sejam protegidos por meio de uma combinação de técnicas de criptografia, meios seguros de acesso aos dados, proteção da integridade e técnicas e controles de prevenção de vazamento de informações. O acesso aos ativos de informação/dados confidenciais, incluindo dados pessoais, deve ser limitado para garantir sua segurança.

As Partes devem adotar práticas e controles para proteger contra vazamentos de informações, considerando minimamente os principais vetores de vazamento: transferência não autorizada de informações fora da rede interna ou da rede, e-mail, web/internet, incluindo armazenamento online e e-mail na nuvem, DNS, perda ou roubo de ativos de informação em mídias eletrônicas portáteis, como informações eletrônicas de estações de trabalho, dispositivos móveis, discos rígidos portáteis, transferência não autorizada de informações, compartilhamento não seguro de informações com terceiros e/ou impressão ou cópia inadequadas de informações.

Eliminação e destruição de ativos de informação físicos e eletrônicos

Nos casos aplicáveis, as Partes devem devolver/destruir e/ou apagar ativos de informação armazenados em formato físico ou eletrônico, seja devido ao término do relacionamento comercial ou quando solicitado pelo proprietário das informações confidenciais e/ou pelo controlador de dados pessoais pertinente.

Ao eliminar ativos de informações armazenados em formato físico ou eletrônico, deve-se garantir que as informações/dados em questão não possam ser recuperados. Para ativos de informações em formato eletrônico, preferencialmente, utilizar técnicas como exclusão segura, purga, eliminação ou destruição de dados ou métodos baseados em software para sobrescrever os dados ou usar um framework padrão da indústria (por exemplo, NIST) para a exclusão de dados. Para a eliminação de informações em papel, é recomendado o uso de cortes em tiras ou transversais que impossibilitem a reconstrução dos documentos ou a recuperação de qualquer informação contida neles, ou então é possível incinerá-los. Os documentos e/ou mídias devem ser guardados até o último momento antes de sua eliminação e/ou destruição.

A Parte que precisar contar com terceiros para eliminar e/ou destruir informações ou ativos tecnológicos devido à incapacidade de realizar essa função por conta própria deve estabelecer e assinar acordos de confidencialidade e não divulgação para proteger as informações. Este acordo entre a Parte e o terceiro deve especificar, no mínimo, a necessidade de:

- Proteção adequada das informações para evitar sua divulgação.

- A custódia total e a rastreabilidade da documentação até sua completa destruição.

- Eliminação e/ou destruição imediata dos documentos assim que recebidos nas instalações do terceiro.

- Meio de transporte para documentos físicos.

- Método seguro e aceitável de eliminação e/ou destruição.

- Fornecimento de certificado ou evidência de eliminação e/ou destruição.

- Assinatura de acordos de confidencialidade pelo pessoal responsável pelo processo de destruição e/ou eliminação.

- O pessoal responsável pelo processo de destruição e/ou eliminação pertence ao terceiro e não a outra empresa.

- A Parte deve manter evidências da eliminação e/ou destruição das informações ou ativos tecnológicos, que deve ser realizada dentro do prazo acordado entre as partes, de acordo com as instruções recebidas, e deve fornecer um certificado à contraparte, que deve incluir no mínimo:

- Detalhes dos procedimentos ou métodos utilizados para a devolução, destruição e/ou remoção da informação.

- Declaração de que não há cópias ou backups adicionais.

- Responsáveis pelo procedimento, incluindo terceiros.

- Registros de auditoria (se aplicável).

- Prova e certificação de exclusão / destruição (incluindo datas).

- Em geral, um relatório de destruição / eliminação que confirme o sucesso ou fracasso de qualquer procedimento.

Segurança na rede

As Partes devem garantir que todos os sistemas e componentes tecnológicos que utilizem sejam protegidos contra ameaças de entrada e saída da rede. Deve-se considerar minimamente:

- Manter inventários atualizados dos componentes de rede da organização, com arquiteturas/diagramas de rede.

- Revisão periódica de potenciais vulnerabilidades no ambiente de rede.

- Aplicação de mecanismos e tecnologias de proteção, como segmentação de rede, firewalls, controles de acesso físico a equipamentos de rede, etc., além daqueles que evitem intrusões na rede para detectar e evitar a entrada de tráfego malicioso na rede.

- As Partes devem garantir que nenhum servidor usado seja implantado em redes que não sejam confiáveis, ou seja, redes fora do perímetro de segurança que escapem ao controle administrativo. A Parte que hospeda informações confidenciais em um data center nas próprias instalações ou na nuvem deve demonstrar conformidade com as melhores práticas recomendadas pelo setor.

Detecção de negação de serviço

As Partes devem dispor de capacidades de detecção e proteção contra ataques de negação de serviço (DoS) e distribuição de negação de serviço (DDoS). Devem garantir que os canais externos ou conectados à internet que forem utilizados tenham uma proteção adequada contra esse tipo de ataque, a fim de garantir a disponibilidade.

Se uma das Partes hospedar um aplicativo conectado à Internet, deverá protegê-lo usando tecnologias adequadas para essa finalidade em todas as camadas.

Acesso remoto

As Partes devem dispor de controles para mitigar os riscos do acesso remoto, visando mitigar a potencial exposição decorrente do uso não autorizado.

Caso seja permitido o acesso remoto a informações confidenciais, deve-se implementar, pelo menos:

- Segurança, controle e criptografia por meio do uso de firewalls e redes virtuais privadas (VPNs).

- Garantia de segurança das estações a partir das quais o acesso remoto é realizado, em conformidade com os procedimentos recomendados pelo setor, como nível de patches, status das soluções antimalware, solução EDR de detecção e resposta de ponto de extremidade, processo de login, etc.

- Sempre utilizar autenticação multifator.

Gestão de logs de segurança

As Partes devem coletar, gerenciar e analisar os logs de auditoria de eventos que possam ajudar a monitorar, detectar, compreender e remediar um ataque, nos sistemas, componentes tecnológicos e processos-chave de sua empresa, incluindo aplicativos, equipamentos de rede, bancos de dados, endpoints, dispositivos de segurança, infraestrutura, servidores e outros elementos úteis em componentes tecnológicos e sistemas de informação que sejam configurados para produzir os logs necessários, de acordo com padrões e práticas recomendadas.

Esses logs devem ser devidamente protegidos, armazenados e mantidos, podendo-se considerar o uso de criptografia, autenticação multifator, controle de acesso e backups, entre outros. Esses logs podem ser solicitados entre as Partes se for identificado um evento que comprometa os processos e informações de uma das organizações e sempre que possível apoiar as respectivas investigações.

As Partes devem usar ferramentas analíticas de log ou gerenciamento de eventos e informações de segurança para correlação e análise dos logs. Além disso, o uso de ferramentas para agregação e correlação em tempo real de atividades anômalas, alertas de rede, sistemas de inteligência de ameaças cibernéticas e eventos vinculados de várias fontes, internas e externas, para detectar e prevenir ataques cibernéticos.

Controles contra software malicioso

As Partes devem dispor de políticas, processos e controles técnicos para evitar a execução de software malicioso em seus ecossistemas tecnológicos. Devem garantir que a proteção contra software malicioso seja aplicada a todos os ativos de informática aplicáveis em todos os momentos para evitar interrupções de serviço ou violações de segurança.

A proteção contra software malicioso deve incluir, entre outras coisas:

- Soluções tecnológicas contra software malicioso, gerenciadas de forma centralizada para controlar e defender continuamente o ambiente computacional da organização.

- Atualização regular das versões do software e do banco de dados de assinaturas, de acordo com os procedimentos recomendados do setor.

- Encaminhar todos os eventos de detecção de software malicioso para ferramentas de gerenciamento de software malicioso e servidores de registros de eventos para análise e alerta.

Padrões de configuração segura

As Partes devem estabelecer um framework para garantir que todos os sistemas/equipamentos de rede, dispositivos de rede, sistemas operacionais, aplicativos, servidores e componentes tecnológicos em geral sejam configurados de forma segura de acordo com os padrões recomendados do setor, como ISO, NIST, SANS, CIS. Também devem ter processos de gerenciamento de configuração que governem os padrões de configuração segura e detectem, alertem e respondam efetivamente a alterações na configuração ou desvios.

A configuração segura deve levar em consideração princípios de segurança, como: controles de limitação de portas, protocolos e serviços, software não autorizado, remoção e desativação de contas de usuário desnecessárias, alteração de senhas padrão em contas, remoção de software desnecessário, etc.

Devem ser implementados procedimentos para verificar regularmente, pelo menos uma vez por ano, se as violações dos padrões básicos de segurança estão sendo gerenciadas.

Segurança nos endpoints ou dispositivos de acesso

As Partes devem reforçar a segurança dos dispositivos usados para acessar a rede ou as informações confidenciais em sua posse, a fim de protegê-los contra ataques e ameaças cibernéticas. Deve-se seguir as melhores práticas recomendadas pelo setor para a segurança dos dispositivos de acesso, considerando:

- Criptografia de disco.

- Desabilitação de software/serviços/portas desnecessários.

- Desabilitação do administrador local da máquina.

- Impedir que funcionários não autorizados possam fazer alterações nas configurações básicas dos dispositivos.

- Desabilitação do uso de portas USB para evitar a produção de cópias de informações em dispositivos externos. O uso deve ser habilitado apenas por razões legítimas de negócios.

- Atualização com as últimas assinaturas de antivírus e patches de segurança.

- Aplicação de políticas de prevenção de vazamento de informações com relação a informações confidenciais.

- Controle para acesso a sites de redes sociais, serviços de e-mail pessoal e sites que possam armazenar informações na Internet, como Google Drive, Dropbox, iCloud, entre outros.

- Controle na transmissão de informações confidenciais por meio de ferramentas de mensagens instantâneas.

- Capacidade de detectar software não autorizado identificado como malicioso e evitar a instalação de software não autorizado.

- Uso de imagens ou modelos seguros para todos os sistemas da empresa com base em padrões de configuração e melhores práticas do setor.

Segurança em aplicações

Se alguma das Partes desenvolver aplicações para uso de seus colaboradores, clientes ou fornecedores, ela deve dispor de um framework de desenvolvimento seguro para prevenir impactos à segurança e identificar e corrigir vulnerabilidades no código durante o processo de desenvolvimento.

No desenvolvimento de aplicações, devem ser usados padrões e ambientes de desenvolvimento seguros, adequados à linguagem de programação, alinhados com as recomendações do setor, como OWASP, a fim de minimizar vulnerabilidades e interrupções do serviço.

Deve-se considerar:

- Manter ambientes separados para sistemas produtivos e não produtivos. Controlar os ambientes produtivos e realizar a segregação de funções. Deve-se ter cuidado com o uso de dados de produção em outros ambientes.

- Armazenar e proteger o código em condições adequadas de segurança para minimizar impactos na confidencialidade, disponibilidade e integridade.

- Utilizar apenas componentes de terceiros atualizados e confiáveis.

- Aplicar ferramentas de análise de código para verificar o cumprimento das práticas de codificação seguras.

- Ter cuidado com o uso de informações confidenciais em ambientes que não sejam de produção.

- Proteger as aplicações da web com firewalls de aplicativos da web (WAF) que inspecionem o tráfego para evitar ataques. No caso de aplicações não web, considerar o uso de firewalls específicos para as aplicações, se eles estiverem disponíveis para o tipo de aplicação. Se o tráfego for criptografado, o dispositivo deve estar atrás da criptografia ou ser capaz de descriptografar o tráfego antes da análise. Se nenhuma dessas opções for adequada, deve-se considerar a implantação de um firewall de aplicativos da web baseado no host.

Gestão de vulnerabilidades

As Partes devem dispor de políticas, processos e controles implementados para o monitoramento efetivo, detecção e remediação de vulnerabilidades em suas aplicações, infraestrutura e componentes tecnológicos. A gestão de vulnerabilidades deve incluir, entre outras coisas:

- Funções, responsabilidades e obrigações definidas para o monitoramento, relato de informações e atendimento.

- Ferramentas e infraestrutura apropriadas para análise de vulnerabilidades.

- Realizar análises de vulnerabilidades de forma rotineira, identificando efetivamente vulnerabilidades conhecidas e desconhecidas em todas as classes de ativos do ambiente tecnológico.

- Priorizar a remediação das vulnerabilidades detectadas com base no risco.

- Implementar um processo de remediação de vulnerabilidades que inclua verificação rápida e efetiva da remediação em diferentes ativos do ambiente tecnológico.

- Resolver as vulnerabilidades de forma efetiva por meio de ações imediatas de remediação, em conformidade com as recomendações do setor, a fim de reduzir o risco de exploração das mesmas.

- Comparar regularmente os resultados de análises anteriores de vulnerabilidades para garantir que elas tenham sido corrigidas.

- Todos os problemas e vulnerabilidades de segurança que possam afetar significativamente os serviços prestados ou colocar em risco informações confidenciais fornecidas pela contraparte devem ser relatados imediatamente.

Gestão de patches

As Partes devem ter políticas, processos e controles implementados para monitorar e controlar a implementação de patches de segurança para o ambiente tecnológico que exigir. Devem aplicar as versões mais recentes dos patches de segurança aos sistemas, ativos, redes e aplicativos de forma oportuna e de acordo com os procedimentos recomendados do setor. Devem incluir testes antes da implementação em sistemas em produção, implementação de controles compensatórios caso um sistema não possa ser corrigido, um processo de gerenciamento de mudanças que registre, teste e autorize todas as mudanças antes da implementação, a fim de evitar interrupções do serviço ou violações de segurança.

Devem garantir que os patches sejam refletidos em ambientes de produção e de recuperação de desastres.

Gestão de incidentes de cibersegurança

As Partes devem dispor e operar um framework para a gestão de eventos e incidentes de cibersegurança e segurança da informação que valide, encaminhe, contenha e repare efetivamente os incidentes de segurança e contenha fases de detecção, investigação e resposta à ocorrência desses incidentes.

Também devem ter planos de resposta a incidentes por escrito e testados, adaptados a diferentes categorias de incidentes conhecidos. Deve ser comunicado à contraparte, de forma oportuna e no máximo dentro de 24 horas após a identificação, qualquer incidente de cibersegurança que resulte em violação das políticas de cibersegurança e segurança da informação e que ameace a confidencialidade, integridade ou disponibilidade das informações que a organização processa em seus sistemas de informação ou nos de terceiros e afetem a contraparte. Para esse fim, as Partes devem estabelecer canais de comunicação para relatar incidentes de segurança, que devem ser comunicados oportunamente entre elas.

Algumas possíveis categorias de incidentes de segurança são:

- Código Malicioso: software que se infiltra ou é inserido intencionalmente em um sistema com o objetivo de causar danos, sem o consentimento do usuário, mas normalmente precisa de sua interação para ser ativado.

- Disponibilidade: ataques direcionados a indisponibilizar sistemas por meio de altos volumes de tráfego ou solicitações, com o objetivo de prejudicar a produtividade ou a imagem das organizações. Também pode ser causado por erros humanos, sem má intenção ou negligência.

- Comprometimento de Informações: incidentes relacionados com a perda de Ativos de Informação por roubo (confidencialidade), exclusão ou modificação (integridade) não autorizada de informações não públicas.

- Obtenção de informações: ataques direcionados a pessoas ou dispositivos por meio de engenharia social ou varredura de vulnerabilidades, com o objetivo de coletar informações que possam permitir a execução de ataques mais sofisticados.

- Intrusões: ataques direcionados à exploração de vulnerabilidades de design, operação ou configuração de sistemas, com o objetivo de se infiltrar fraudulentamente neles.

- Fraude: uso de recursos tecnológicos para obter lucro ou cometer fraude por meio de falsidade ideológica ou suplantação de identidade.

- Violação de políticas: infrações às Políticas de Segurança aprovadas pela Organização.

- Vulnerabilidades: sistemas que não possuem configuração adequada, atualização ou mecanismos criptográficos fortes.

A Parte que sofre o incidente será responsável por conter e solucionar a situação apresentada; no entanto, a contraparte poderá entrar em contato com as pessoas responsáveis por esse processo para conhecer e discutir ações preventivas ou corretivas. Portanto, as Partes devem ter uma lista de contatos da equipe responsável pela gestão de incidentes.

A Parte que sofre o incidente deve informar à outra os indicadores de comprometimento (IoC) identificados no incidente, bem como as ações preventivas que possam ser aplicadas para conter algum comprometimento ou ação anômala. Além disso, deve fornecer atualizações diárias sobre a situação até que seja contida, para o endereço de e-mail designado e também um relatório final quando a situação for resolvida.

Se for identificado um evento que comprometa os processos e informações da contraparte, esta última poderá solicitar a qualquer momento à outra as informações que possam apoiar as respectivas investigações, incluindo documentação de processos, logs de acesso a instalações físicas, mídias digitais e/ou físicas, logs de aplicativos e sistemas que suportam a operação, informações que possam ser necessárias para atividades de análise forense ou análise contínua para monitoramento de eventos de segurança e gestão de incidentes, informações relacionadas a indicadores de comprometimento, como endereços IP, nomes de domínio, hashes, artefatos de malware, resultados de suas próprias ferramentas de cibersegurança ou outros documentos ou elementos relacionados ao evento. Essas informações devem ser fornecidas de forma oportuna.

Testes de penetração ou ethical hacking

As Partes devem realizar testes de penetração ou ethical hacking em sua infraestrutura de tecnologia, incluindo centros de contingência, aplicativos, sistemas de informação e componentes tecnológicos que afetem o serviço contratado, pelo menos uma vez por ano, com o objetivo de identificar possíveis lacunas que possam expor a organização a ataques cibernéticos.

As Partes devem estabelecer prioridades e planos de ação para as descobertas encontradas e realizar acompanhamentos periódicos. Esse teste deve ser realizado de acordo com as melhores práticas recomendadas pelo setor.

Gestão de fornecedores e subcontratados

As Partes devem garantir que seus fornecedores e subcontratados cumpram pelo menos os mesmos padrões de segurança da informação definidos neste documento. Além disso, as Partes devem auditar e/ou monitorar periodicamente o cumprimento de seus fornecedores em relação aos padrões de segurança razoavelmente aplicáveis, dependendo da criticidade do serviço prestado pelo fornecedor/subcontratado, sendo responsáveis por qualquer dano que seus fornecedores/subcontratados possam causar às Partes e/ou aos titulares de dados pessoais como resultado de falhas ou negligência em seus sistemas de segurança da informação.

Direito de auditoria

Cada uma das Partes autoriza a outra, mediante notificação por escrito dentro de um prazo razoável, a conduzir uma auditoria de segurança em qualquer instalação, tecnologia ou serviços utilizados pela Parte para desenvolver, testar, melhorar, manter ou operar os sistemas utilizados nos serviços, a fim de verificar o cumprimento das obrigações detalhadas neste acordo.

Qualquer não conformidade identificada durante uma revisão deve ser submetida a uma avaliação na qual representantes das Partes devem participar, e, dependendo do risco, um prazo deve ser especificado para a correção.

As Partes se comprometem a prestar à outra toda assistência possível durante os processos de revisão/auditoria. Além disso, a Parte que conduz a auditoria deve fazer todos os esforços necessários para não prejudicar a operação da outra durante os processos de auditoria.

Caso qualquer das Partes pretenda realizar testes de penetração e/ou ethical hacking durante os processos de auditoria, esses testes devem ser pagos pela Parte que solicita o teste e, sob nenhuma circunstância, devem ser realizados em ambientes produtivos; em vez disso, devem ser realizados em ambientes de teste criados e autorizados pela contraparte para esse tipo de análise.

Acesso a Dados Críticos de Cartão

Qualquer uma das Partes que pretenda usar, acessar ou armazenar dados críticos de cartão e/ou quaisquer dados afetados pelas regulamentações da Payment Card Industry (PCI DSS) deve cumprir os requisitos estabelecidos por essa norma para acessar os dados do cartão. Nesse caso, as Partes podem fornecer as certificações, avaliações e/ou autoavaliações (por exemplo, AOC, SAQ) necessárias de acordo com a regulamentação correspondente. A Parte que não cumprir ou deixar de cumprir a qualquer momento durante o relacionamento contratual esse requisito deve notificar imediatamente a outra e evitar o acesso, processamento e/ou armazenamento dos dados do cartão até que esteja em conformidade com os padrões PCI.

Hablemos

Construa o produto
que o seu negócio
precisa.

Agende uma reunião com o nosso time.

Cecilia BrittoHead of Business
Alfonso TorreguitarHead of Global Solutions
Santiago WitisCountry Manager Cono Sur Latam
Jacob LevinCountry Manager México
Rafael GoulartCountry Manager Brasil
Paula BarnesHead of Risk
Entre em contacto