Estabelecer regras para que o ambiente de todas as empresas fornecedoras, prestadoras de servi\u00e7os, intermedi\u00e1rias e\/ou parceiras, relacionadas \u00e0 seguran\u00e7a da informa\u00e7\u00e3o contratadas (“CONTRATADA” ou “CONTRATADAS”) pela Sinch Latam(“CONTRATANTE”), tenham o m\u00ednimo de requisitos de Seguran\u00e7a da Informa\u00e7\u00e3o, com vistas \u00e0 mitiga\u00e7\u00e3o de riscos que possam ser causados \u00e0 CONTRATANTE.<\/p>\n\n\n\n
Desta forma, onde houver a palavra “deve” o requisito \u00e9 obrigat\u00f3rio, devendo ser implementado pelo fornecedor, e quando for usada a palavra \u201crecomendamos” o requisito \u00e9 opcional, apenas uma boa pr\u00e1tica.<\/p>\n\n\n\n
Esse guia se aplica \u00e0 todas empresas CONTRATADAS, Fornecedores e\/ou Parceiros, que prestem servi\u00e7o \u00e0 Sinch Latam, cujo atividades abordam acesso a dados de colaboradores, operacionais, clientes ou financeiros da CONTRATANTE.<\/p>\n\n\n\n
4.1.1. <\/strong>Atender todos os itens descritos nesse documento, armazenando-o em um local de comum acesso para todos os colaboradores envolvidos nos produtos ou servi\u00e7os fornecidos para a Sinch Latam.<\/p>\n\n\n\n 4.1.2. <\/strong>Evidenciar a conformidade com todos os itens descritos neste documento, aplic\u00e1veis ao seu neg\u00f3cio. <\/strong><\/p>\n\n\n\n Recomendamos que a CONTRATADA possua uma Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o ou documento equivalente, ressaltando a import\u00e2ncia da Seguran\u00e7a da Informa\u00e7\u00e3o para a empresa. O documento precisa abordar os seguintes temas:<\/p>\n\n\n\n A CONTRATADA tem o papel e a responsabilidade de cada \u00e1rea com a seguran\u00e7a da informa\u00e7\u00e3o. Nesse documento deve incluir a participa\u00e7\u00e3o da alta diretoria e ter claro o seu envolvimento e compromisso com as atividades relacionadas \u00e0 Seguran\u00e7a da Informa\u00e7\u00e3o.<\/p>\n\n\n\n A CONTRATADA deve documentar explicando como as informa\u00e7\u00f5es da CONTRATANTE devem ser classificadas, quais os tipos de classifica\u00e7\u00e3o das informa\u00e7\u00f5es e quando utilizar cada classifica\u00e7\u00e3o, sendo que, as informa\u00e7\u00f5es trocadas entre a Sinch Latam e seus parceiros, precisam ter uma classifica\u00e7\u00e3o m\u00ednima, como confidencial<\/strong>.<\/p>\n\n\n\n A CONTRATADA deve documentar como s\u00e3o tratadas as informa\u00e7\u00f5es dentro da empresa para com as informa\u00e7\u00f5es da CONTRATANTE.<\/p>\n\n\n\n Esse documento precisa abordar o gerenciamento das informa\u00e7\u00f5es f\u00edsicas e l\u00f3gicas, contendo explica\u00e7\u00f5es equivalentes a:<\/p>\n\n\n\n Seguem alguns pontos que os itens citados acima, devem seguir, sempre que poss\u00edvel:<\/p>\n\n\n\n A CONTRATADA deve implementar uma Pol\u00edtica de Privacidade de Dados, abordando os principais aspectos da LGPD (Lei Geral de Prote\u00e7\u00e3o de Dados), incluindo os mecanismos de prote\u00e7\u00e3o dos dados e a lei de privacidade do pa\u00eds (GDPR, PDPA, etc..) caso armazene os dados fora do Brasil.<\/p>\n\n\n\n A CONTRATADA deve documentar o per\u00edmetro de seguran\u00e7a f\u00edsicos existentes, considerando a classifica\u00e7\u00e3o das \u00e1reas e\/ou setores, informando:<\/p>\n\n\n\n A CONTRATADA deve fazer o uso de criptografia nos seguintes cen\u00e1rios:<\/p>\n\n\n\n Para situa\u00e7\u00f5es onde n\u00e3o for poss\u00edvel realizar o uso de criptografia, favor considerar a utiliza\u00e7\u00e3o de HASH<\/strong>.<\/p>\n\n\n\n Para comunica\u00e7\u00f5es entre as aplica\u00e7\u00f5es, considerar sempre o uso do TLS 1.2<\/strong> ou superior.<\/p>\n\n\n\n Realizar o monitoramento da rede de dados atrav\u00e9s de dispositivos como:<\/p>\n\n\n\n Garantir que esses equipamentos estejam gerando logs e emitindo alertas quando necess\u00e1rio. Deve ser realizada a revis\u00e3o peri\u00f3dica dos logs. Recomendamos que se registre e comunique os incidentes que forem alertados por esses dispositivos, assim como, as medidas realizadas para evitar sua reincid\u00eancia.<\/p>\n\n\n\n A CONTRATADA deve documentar ter documentado como a criptografia deve ser utilizada sobre os dados da CONTRATANTE e, exemplificar sua utiliza\u00e7\u00e3o em determinados dispositivos, como Notebooks e Aplica\u00e7\u00f5es. Assim como, tamb\u00e9m deve ser utilizada em discos de armazenamento.<\/p>\n\n\n\n O documento deve conter recomenda\u00e7\u00f5es sobre quais tipos de algoritmos criptogr\u00e1ficos s\u00e3o devem ser utilizados e o que fazer em casos onde n\u00e3o se aplicam a criptografia ou seu uso se torna invi\u00e1vel.<\/p>\n\n\n\n A CONTRATADA deve realizar a gest\u00e3o dos ativos da empresa atrav\u00e9s de uma planilha ou de um sistema automatizado, desde que contenham as seguintes informa\u00e7\u00f5es:<\/p>\n\n\n\n Importante que haja tamb\u00e9m, o registro de trocas efetuadas quando o ativo contiver informa\u00e7\u00f5es da CONTRATANTE. Ter um documento informando qual o processo de solicita\u00e7\u00e3o de um ativo dentro da CONTRATADA.<\/p>\n\n\n\n A CONTRATADA deve realizar a gest\u00e3o dos acessos l\u00f3gicos e f\u00edsicos, fazendo uso dos princ\u00edpios de Need to Know<\/em><\/strong> e Least Privilege<\/em><\/strong> para evitar que pessoas n\u00e3o autorizadas tenham acesso a informa\u00e7\u00f5es confidenciais.<\/p>\n\n\n\n \u00c9 preciso garantir que as contas de acesso tenham um tempo m\u00e1ximo de 90 dias para inativa\u00e7\u00e3o em caso de n\u00e3o uso. Tamb\u00e9m \u00e9 necess\u00e1rio ter identificado e segmentado as contas que s\u00e3o usadas somente para servi\u00e7os, evitando que essas sejam utilizadas para realiza\u00e7\u00e3o de login. \u00c9 importante que todos os acessos sejam registrados e que os usu\u00e1rios possam ter IDs \u00fanicos, visando facilitar sua identifica\u00e7\u00e3o.<\/p>\n\n\n\n A revis\u00e3o dos acessos deve ser no m\u00ednimo realizada anualmente, para assim garantir que nenhum colaborador desligado ou que tenha mudado de fun\u00e7\u00e3o, continue com acessos indevidos \u00e0 algum sistema e\/ou fun\u00e7\u00f5es. Quando um colaborador for desligado, ele deve ter seus acessos removidos imediatamente ou em um curto espa\u00e7o de tempo.<\/p>\n\n\n\n O acesso remoto aos recursos da CONTRATADA, deve ser feito preferencialmente atrav\u00e9s de VPN ou da forma que a CONTRATADA julgar ser melhor, desde que esse acesso seja aprovado por um gestor e tenha os acessos monitorado.<\/p>\n\n\n\n A CONTRATADA deve documentar o procedimento, informando como s\u00e3o realizados os registros e tratamentos dos incidentes relacionados \u00e0 seguran\u00e7a da informa\u00e7\u00e3o, que envolverem ou n\u00e3o a CONTRATANTE.<\/p>\n\n\n\n A CONTRATADA deve realizar uma an\u00e1lise peri\u00f3dica dos incidentes relatados, para que se tenha conhecimento, se as medidas de preven\u00e7\u00e3o est\u00e3o sendo eficazes.<\/p>\n\n\n\n Ter um documento com os procedimentos adequados para a realiza\u00e7\u00e3o do backup dos dados, contendo:<\/p>\n\n\n\n A CONTRATADA tamb\u00e9m deve informar, quais os tipos de dados devem fazer parte das c\u00f3pias e seus respectivos donos. Ela tamb\u00e9m deve ter, um documento com os procedimentos adequados para a realiza\u00e7\u00e3o da restaura\u00e7\u00e3o dos dados, contendo:<\/p>\n\n\n\n Documentar todos os testes realizados e, fazer o registro de incidente sempre que houver um resultado fora do esperado. Para realiza\u00e7\u00e3o dos testes, os backups devem ser escolhidos de maneira aleat\u00f3ria.<\/p>\n\n\n\n \u00c9 importante que a CONTRATANTE fa\u00e7a a gest\u00e3o das atualiza\u00e7\u00f5es, pertinentes aos sistemas por ela utilizados, onde se deve ter uma m\u00e1xima aten\u00e7\u00e3o as atualiza\u00e7\u00f5es que forem consideradas cr\u00edticas e para os patches de seguran\u00e7a. Deve-se manter os registros, acompanhando atrav\u00e9s de listas de discuss\u00e3o, f\u00f3runs ou newsletter<\/em> do fabricante.<\/p>\n\n\n\n Deve-se ter um procedimento documentado de como aplicar essas atualiza\u00e7\u00f5es patches, de maneira que n\u00e3o venham a impactar no neg\u00f3cio.<\/p>\n\n\n\n A CONTRATADA deve definir um procedimento documentado, onde existam as a\u00e7\u00f5es necess\u00e1rias para a realiza\u00e7\u00e3o da gest\u00e3o de vulnerabilidades e pentests, contendo:<\/p>\n\n\n\n O documento ainda deve informar como s\u00e3o classificados os riscos, os impactos e levar em conta a probabilidade de explora\u00e7\u00e3o de uma falha encontrada. Importante conter a forma como os pontos encontrados s\u00e3o repassados para os times respons\u00e1veis.<\/p>\n\n\n\n A CONTRATANTE se d\u00e1 o direito de realizar Pentest e scans de vulnerabilidade na infraestrutura da CONTRATADA, bem como, em seu produto e servi\u00e7os prestados \u00e0 CONTRATANTE. O processo ser\u00e1 alinhado previamente e a CONTRATADA receber\u00e1 um relat\u00f3rio final contendo status da an\u00e1lise, bem como, prazos para corre\u00e7\u00e3o de poss\u00edveis vulnerabilidades identificadas.<\/p>\n\n\n\n A CONTRATADA deve realizar campanhas peri\u00f3dicas de conscientiza\u00e7\u00e3o de colaboradores, abordando temas do sistema de gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o, tais como:<\/p>\n\n\n\n Abordando os principais vetores de ataques que s\u00e3o utilizados hoje, que s\u00e3o mensagens por SMS\/WhatsApp, e-mails falsos, liga\u00e7\u00f5es se passando por outra pessoa, pendrives ou dispositivos de m\u00eddia remov\u00edvel que podem ser \u201cachados\u201d etc.<\/p>\n\n\n\n Import\u00e2ncia de se utilizar um gerador de senhas, implementar um segundo fator de autentica\u00e7\u00e3o ou se atentar a utilizar no m\u00ednimo 8 caracteres para composi\u00e7\u00e3o da senha e utilizar de espa\u00e7os, n\u00fameros, caracteres especiais e letras mai\u00fasculas e min\u00fasculas.<\/p>\n\n\n\n No caso dos aplicativos que fazem a gera\u00e7\u00e3o autom\u00e1tica de senhas, temos alguns bem conhecidos, como:<\/p>\n\n\n\n Como segundo fator de autentica\u00e7\u00e3o, recomendamos que seja utilizado um aplicativo e n\u00e3o o envio de mensagens para celular. Existem alguns aplicativos como:<\/p>\n\n\n\n Alguns exemplos de senhas seguras que podem ser criadas sem a ajuda de um aplicativo, s\u00e3o as senhas criadas a partir de frases, letras de m\u00fasicas ou coisas relacionadas \u00e0s atividades comuns, como exemplo:<\/p>\n\n\n\n N\u00e3o deixar documentos importantes sobre a mesa, se atentando principalmente aos que s\u00e3o classificados como confidencial e n\u00e3o sobrecarregar a \u00e1rea de trabalho com documentos ou \u00edcones que possam facilitar a a\u00e7\u00e3o de um ataque de engenharia social.<\/p>\n\n\n\n A CONTRATADA deve aplicar treinamentos ao menos uma vez a cada ano e com um foco na seguran\u00e7a da informa\u00e7\u00e3o como um todo, informando principalmente os objetivos e import\u00e2ncia de se ter um ambiente seguro. \u00c9 importante se ter o registro das campanhas e de suas efic\u00e1cias.<\/p>\n\n\n\n A CONTRATADA deve fazer a gest\u00e3o dos logs e dados de auditoria dos sistemas considerados cr\u00edticos e armazen\u00e1-los em um local adequado, que possa garantir sua integridade, confidencialidade e disponibilidade.<\/p>\n\n\n\n Todos os logs que forem gerados pelos sistemas\/ativos que forem considerados cr\u00edticos para a CONTRATANTE, devem conter o m\u00e1ximo de detalhes para facilitar sua rastreabilidade.<\/p>\n\n\n\n A CONTRATADA deve realizar a segrega\u00e7\u00e3o dos ambientes com o intuito de manter os dados de teste, homologa\u00e7\u00e3o e produ\u00e7\u00e3o, separados. A CONTRATADA deve garantir que as informa\u00e7\u00f5es oficiais da CONTRATANTE contidas no ambiente de produ\u00e7\u00e3o n\u00e3o ser\u00e3o replicadas em ambiente de homologa\u00e7\u00e3o, evitando que pessoas n\u00e3o autorizadas tenham acesso a dados confidenciais.<\/p>\n\n\n\n Importante tamb\u00e9m, que todas as altera\u00e7\u00f5es sejam realizadas nos ambientes de homologa\u00e7\u00e3o e testes, antes de irem para o ambiente de produ\u00e7\u00e3o, visando minimizar os impactos que podem ser gerados por tais altera\u00e7\u00f5es.<\/p>\n\n\n\n Mesmo estando em ambientes separados, todo tipo de altera\u00e7\u00e3o que for realizada, deve ser documentada.<\/p>\n\n\n\n A CONTRATADA deve documentar as melhores pr\u00e1ticas a serem seguidas para um desenvolvimento seguro, contendo:<\/p>\n\n\n\n A CONTRATADA deve se deve-se comprometer a realizar e\/ou indicar treinamentos ou workshops para os times de desenvolvimento, mostrando a import\u00e2ncia de se manter um c\u00f3digo seguro, mostrando as recorrentes exposi\u00e7\u00f5es de dados que ocorrem por falha no processo de desenvolvimento.<\/p>\n\n\n\n A CONTRATADA deve documentar todos os fornecedores que est\u00e3o diretamente relacionados os produtos ou servi\u00e7os fornecidos \u00e0 CONTRATANTE, e garantir que os requisitos de seguran\u00e7a da informa\u00e7\u00e3o seja um requisito acordado com estes fornecedores, para minimizar os riscos de confidencialidade, disponibilidade e integridade das informa\u00e7\u00f5es da CONTRATANTE.<\/p>\n\n\n\n A CONTRATADA deve documentar um plano de conting\u00eancia, visando garantir a disponibilidade dos produtos ou servi\u00e7os fornecidos \u00e0 CONTRATANTE, descrevendo os procedimentos a serem seguidos em caso de desastres, evitando ou minimizando o impacto destes incidentes O documento deve conter:<\/p>\n\n\n\n Al\u00e9m disso, a CONTRATADA deve disponibilizar em locais de f\u00e1cil acesso e visibilidade, uma lista com telefones de autoridades e pessoas que devem ser acionadas caso algum incidente ocorra.<\/p>\n\n\n\n A CONTRATADA deve identificar e garantir a conformidade com os requisitos legais relacionados aos produtos ou servi\u00e7os fornecidos \u00e0 CONTRATANTE.<\/p>\n\n\n\n Caso a CONTRATADA tome conhecimento ou suspeite de qualquer acontecimento que viole as regras desta Pol\u00edtica ou coloque em risco a seguran\u00e7a das informa\u00e7\u00f5es da Companhia, ele dever\u00e1 imediatamente comunicar o ocorrido para security-latam@sinch.com ou security@sinch.com.<\/p>\n\n\n\n \u00daltima modifica\u00e7\u00e3o: 28 de mar\u00e7o de 2022<\/strong><\/p>\n","protected":false},"author":6,"parent":0,"menu_order":316,"template":"","meta":{"_acf_changed":false,"footnotes":""},"legal_category":[391],"class_list":["post-36399","legal","type-legal","status-publish","hentry","legal_category-privacy-notices-pt"],"acf":[],"yoast_head":"\n5. DIRETRIZES<\/h2>\n\n\n\n
\n
5.1. Pap\u00e9is e responsabilidades de cada time<\/h3>\n\n\n\n
5.2. Classifica\u00e7\u00e3o da informa\u00e7\u00e3o dentro da empresa<\/h3>\n\n\n\n
\n
\n
5.3. Monitoramento do ambiente f\u00edsico e l\u00f3gico<\/h3>\n\n\n\n
5.3.1. Seguran\u00e7a f\u00edsica<\/h4>\n\n\n\n
\n
5.3.2. Seguran\u00e7a l\u00f3gica<\/h4>\n\n\n\n
\n
\n
\n
5.3.3. Uso de criptografia<\/h4>\n\n\n\n
5.4. Gest\u00e3o de ativos<\/h4>\n\n\n\n
\n
5.5. Gest\u00e3o de acesso<\/h4>\n\n\n\n
5.6. Resposta a incidentes de seguran\u00e7a<\/h4>\n\n\n\n
\n
\n
\n
5.7. Backup e restore<\/h4>\n\n\n\n
\n
\n
5.8. Gest\u00e3o de atualiza\u00e7\u00f5es<\/h4>\n\n\n\n
5.9. Gest\u00e3o de vulnerabilidades e pentests<\/h4>\n\n\n\n
\n
5.10. Conscientiza\u00e7\u00e3o de colaboradores<\/h4>\n\n\n\n
\n
\n
\n
\n
\n
5.11. Gest\u00e3o e armazenamento de logs<\/h4>\n\n\n\n
5.12. Segrega\u00e7\u00e3o de ambientes<\/h4>\n\n\n\n
5.13. Desenvolvimento seguro<\/h4>\n\n\n\n
\n
5.14. Gest\u00e3o da cadeia de suprimentos<\/h4>\n\n\n\n
5.15. Plano de conting\u00eancia<\/h4>\n\n\n\n
\n
5.16. Conformidade<\/h4>\n\n\n\n
5.17. Incidente de Seguran\u00e7a da Informa\u00e7\u00e3o<\/h4>\n\n\n\n
6. Hist\u00f3rico<\/h2>\n\n\n\n