Common use of Desenvolvimento Seguro de Aplicativos de Software Clause in Contracts

Desenvolvimento Seguro de Aplicativos de Software. A TIM considera que a mitigação de vulnerabilidades de segurança é fundamental para todos os tipos de aplicativos adquiridos por terceiros, tanto do tipo "Buy" - software para o qual a TIM não tem acesso direto ao código - quanto do tipo "Make" - software dos quais a TIM possui a propriedade intelectual do código- fonte. Esse conjunto de requisitos deve ser considerado aplicável a todos os tipos de software, incluindo aplicativos móveis desenvolvidos para diferentes plataformas (por exemplo: Android, iOS e Windows Phone). Os requisitos, listados abaixo, também são divididos de acordo com o diferente nível de exposição dos sistemas de TI ou dos aplicativos de software fornecidos. 1) A ausência de vulnerabilidade no código, para todos os módulos de software que compõem o objeto de aplicativo de software do suprimento (mesmo aqueles que não foram desenvolvidos diretamente) e, em qualquer caso, das seguintes categorias que se referem aos padrões internacionais "OWASP" e "SANS Institute": • OWASP Top10 / OWASP MOBILE Top10: eles representam os 10 riscos mais críticos para a segurança de aplicativos da web: • SANS Top25: representam os erros mais comuns e críticos que podem levar a sérias vulnerabilidades no software, geralmente fáceis de encontrar e de explorar. Esses erros frequentemente permitem que os invasores assumam os dados ou impedem o funcionamento do software: 2) As atividades de análise do código fonte tenham sido realizadas e todas as vulnerabilidades detectadas tenham sido removidas. Isto deve ocorrer por meio de processos baseados nos padrões do setor, para todos os módulos de software do aplicativo que estão sendo fornecidos (mesmo aqueles que não foram desenvolvidos diretamente). Em particular, em cada versão do software, ele deve produzir documentação adequada indicando: • Lista de módulos / bibliotecas que compõem o software lançado; • As ferramentas utilizadas para a análise (código estático e dinâmico); • Número de linhas de código digitalizadas; • Número de vulnerabilidades identificadas divididas em classes de criticidade; • Evidência das ações de reembolso realizadas.