Common use of Requisitos de Segurança da Informação e Privacidade Clause in Contracts

Requisitos de Segurança da Informação e Privacidade. Os serviços contratados deverão ser prestados em conformidade com leis, normas e diretrizes vigentes no âmbito da Administração Pública Federal, relacionadas à Segurança da Informação e Comunicações (SIC); em especial atenção ao Guia de Requisitos e de Obrigações quanto a Segurança da Informação e Privacidade” Com a finalidade de garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações e a privacidade dos dados. Deverá ser observado (vide Seção 7 do Anexo da IN SGD/ME nº 1/2019. Guia disponível em: xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxx-x-xxxxxxxx-xx- dados/guias/guia_requisitos_obrigacoes.pdf. A CONTRATADA deverá credenciar junto ao CONTRATANTE seus profissionais que venham a ser designados para prestar serviços de forma presencial, bem como aqueles autorizados a retirar e/ou entregar documentos junto ao CONTRATANTE. Assim como deverá identificar qualquer equipamento de sua propriedade que venha a ser instalado nas dependências do CONTRATANTE, utilizando placas de controle patrimonial, selos de segurança, etc. A CONTRATADA deverá comprometer-se, por si e por seus funcionários, em documento formal, a aceitar e aplicar rigorosamente todas as normas e procedimentos de segurança implementados no ambiente de Tecnologia da Informação do CONTRATANTE – inclusive com a assinatura de TERMO de responsabilidade e manutenção de sigilo. A CONTRATADA deverá adotar critérios adequados para o processo seletivo de profissionais que irão atuar diretamente na execução do OBJETO, com o propósito de evitar a incorporação de perfis que possam comprometer a segurança ou credibilidade do CONTRATANTE. A CONTRATADA deverá comunicar ao CONTRATANTE, com a antecedência mínima necessária, qualquer ocorrência de transferência, remanejamento ou demissão de funcionários envolvidos diretamente na execução do CONTRATO, para que seja providenciada a revogação de todos os privilégios de acesso aos sistemas, informações e recursos do CONTRATANTE porventura colocados à disposição para realização dos serviços contratados.

Requisitos de Segurança da Informação e Privacidade. 4.15.1. A CONTRATADA não pode obter, capturar, copiar ou transferir qualquer tipo informação de propriedade dos Ministérios do Trabalho e Emprego. 4.15.2. Caso aplicável, a CONTRATADA deverá atender as Políticas de Segurança da Informação e demais normativos correlatos publicados pelo Ministério do Trabalho e Emprego. 4.15.3. A propriedade intelectual e os direitos autorais dos dados e informações e qualquer tipo de trabalho relacionado às demandas da CONTRATANTE, serão de sua titularidade. A CONTRATADA deve-se abster de divulgar ou repassar quaisquer dados ou informações, salvo se expressamente autorizado pela CONTRATANTE. 4.15.4. Os serviços contratados deverão ser prestados em conformidade com leis, normas e diretrizes vigentes no âmbito da Administração Pública Federal, Federal relacionadas à Segurança da Informação e Comunicações (SIC); em especial atenção ao Guia atenção: •€ Decreto nº 9.637, de Requisitos 26 de dezembro de 2018 - Institui a Política Nacional de Segurança da Informação; •€ Instrução Normativa (IN) GSI/PR Nº 1, de 27 de maio de 2020 e suas normas complementares - Dispõe sobre a Estrutura de Obrigações quanto Gestão da Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal; •€Norma Complementar (NC) nº 05/IN 01/DSIC/GSIPR - Disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal; •€ Norma Complementar (NC) nº 08/IN 01/DSIC/GSIPR - Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal; •€ Norma Complementar (NC) nº 09/IN01/DSIC/GSIPR - (Revisão 02) Estabelece orientações específicas para o uso de recursos criptográficos em Segurança da Informação e Privacidade” Com Comunicações, nos órgãos ou entidades da Administração Pública Federal (APF), direta e indireta; •€ Instrução Normativa (IN) GSI/PR Nº 3, de 28 de maio de 2021 e suas normas complementares - Dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e entidades da administração pública federal; •€ Norma Complementar (NC) nº 12/IN01/DSIC/GSIPR - Estabelece diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta; •€ Instrução Normativa (IN) PR/GSI nº 5, de 30 de agosto de 2021 - Dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal; •€ Instrução Normativa (IN) PR/GSI nº 6, de 23 de dezembro de 2021 – Estabelece diretrizes de segurança da informação para o uso seguro de mídias sociais nos órgãos e nas entidades da administração pública federal; •€ ABNT NBR ISO 22301:2013 e ABNT NBR ISO 22313:2015 - Sistemas de gestão de continuidade de negócios; •€ ABNT NBR ISO 27031:2015 - Diretrizes para a finalidade prontidão para a continuidade dos negócios da tecnologia da informação e comunicação; •€ABNT NBR ISO 23081-1:2019 - Metadados para documentos de garantir arquivo; •€ ABNT NBR 11515:2007 - Guia de práticas para segurança física relativas ao armazenamento de dados; •€ ABNT NBR ISO/IEC 27037:2012 - Diretrizes para identificação, coleta, aquisição e preservação de evidência digital; •€ ABNT NBR ISO/IEC 27002:2013 - Código de prática para controles de segurança da informação; •€ABNT NBR ISO/IEC 27014:2013 - Governança de segurança da informação; •€ ABNT NBR 16167:2013 - Diretrizes para classificação, rotulação e tratamento da informação; •€ ABNT NBR ISO/IEC 27017:2016 - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 - para serviços em nuvem; •€ ABNT NBR ISO/IEC 27002:2022 - Diretrizes para prática de gestão de segurança da informação para as organizações, incluindo a disponibilidadeseleção, integridadeimplementação e o gerenciamento dos controles levando em consideração os ambientes de risco da segurança da informação da organização; 4.15.5. A codificação dos sistemas com recursos deve incorporar, confidencialidade sempre que aplicável, web os padrões de segurança de aplicações definidos pela CONTRATANTE, tais como: •€ A implementação de criptografia não reversível para senhas gravadas em bancos de dados; •€ A proteção de credenciais de acesso pelo uso de conexões SSL (Secure Sockets Layer), com criptografia forte nos processos de login; •€ Se a aplicação trafegar dados sensíveis pela Internet, utilização de conexões SSL com criptografia forte; •€A proteção contra Cross-Site Scripting (XSS); •€A proteção contra SQL Injection; •€ O gerenciamento de cookies e autenticidade tokens de sessão com o intuito de proteger os identificadores de sessão dos usuários; •€A remoção das informações sensíveis de parâmetros GET passados via URL (Uniform Resource Locator); •€A validação de parâmetros e dados informados pelo usuário; e •€Outras medidas indicadas durante a privacidade dos dadosvigência do contrato pela CONTRATANTE. 4.15.6. Deverá ser observado Seguir as diretrizes do Open Web Application Security Project ou Projeto Aberto de Segurança em Aplicações Web (vide Seção 7 do Anexo da IN SGD/ME nº 1/2019. Guia disponível em: xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxx-x-xxxxxxxx-xx- dados/guias/guia_requisitos_obrigacoes.pdf. A CONTRATADA deverá credenciar junto ao CONTRATANTE seus profissionais OWASP), que venham a ser designados para prestar serviços de forma presencial, bem como aqueles autorizados a retirar e/ou entregar documentos junto ao CONTRATANTE. Assim como deverá identificar qualquer equipamento de sua propriedade que venha a ser instalado nas dependências do CONTRATANTE, utilizando placas de controle patrimonial, selos de segurança, etc. A CONTRATADA deverá comprometer-se, tem por si e por seus funcionários, em documento formal, a aceitar e aplicar rigorosamente todas as normas e procedimentos objetivo mitigar vulnerabilidades de segurança implementados no ambiente na web; 4.15.6.1. Obedecer à Lei nº 13.709, de Tecnologia da Informação do CONTRATANTE – inclusive com a assinatura 14 de TERMO agosto de responsabilidade e manutenção 2018 - Lei Geral de sigilo. A CONTRATADA deverá adotar critérios adequados para o processo seletivo Proteção de profissionais que irão atuar diretamente na execução do OBJETOXxxxx Xxxxxxxx, com o propósito de evitar a incorporação de perfis que possam comprometer a segurança ou credibilidade do CONTRATANTE. A CONTRATADA deverá comunicar ao CONTRATANTEconsiderando, com a antecedência mínima necessária, qualquer ocorrência de transferência, remanejamento ou demissão de funcionários envolvidos diretamente na execução do CONTRATO, para que seja providenciada a revogação de todos os privilégios de acesso aos sistemas, informações e recursos do CONTRATANTE porventura colocados à disposição para realização dos serviços contratados.principalmente:

Requisitos de Segurança da Informação e Privacidade. Os serviços contratados deverão ser prestados em conformidade com leis, normas e diretrizes vigentes no âmbito da Administração Pública Federal, relacionadas à Segurança da Informação e Comunicações (SIC); em especial atenção ao Guia de Requisitos e de Obrigações quanto a Segurança da Informação e Privacidade” Com a finalidade de garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações e a privacidade dos dados. Deverá ser observado (vide Seção 7 do Anexo da IN SGD/ME nº 1/2019. Guia disponível em: xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxx-x-xxxxxxxx-xx- dados/guias/guia_requisitos_obrigacoes.pdf. 4.6.1 A CONTRATADA deverá credenciar junto ao CONTRATANTE e seus profissionais que venham a ser designados envolvidos no projeto deverão seguir os seguintes procedimentos e premissas de segurança envolvidos na execução do objeto: 4.6.2 A CONTRATADA não poderá se utilizar da presente aquisição para prestar serviços obter qualquer acesso não autorizado as informações de forma presencialpropriedade do CONTRATANTE; 4.6.3 A CONTRATADA não pode obter, bem como aqueles autorizados a retirar e/capturar, copiar ou entregar documentos junto ao CONTRATANTE. Assim como deverá identificar transferir qualquer equipamento tipo de sua informação de propriedade que venha a ser instalado nas dependências do CONTRATANTE, utilizando placas de controle patrimonialsem autorização; 4.6.4 A Contratada deverá observar, selos de segurançarigorosamente, etc. A CONTRATADA deverá comprometer-se, por si e por seus funcionários, em documento formal, a aceitar e aplicar rigorosamente todas as normas e procedimentos de segurança implementados no ambiente de Tecnologia do Contratante, inclusive sua Política de Segurança da Informação e Comunicações, quando aplicado ao objeto; 4.6.5 A Contratada não poderá divulgar quaisquer informações a que tenha acesso em virtude dos trabalhos a serem executados ou de que tenha tomado conhecimento em decorrência da execução do CONTRATANTE objeto, sem autorização, por escrito, do Contratante; 4.6.6 A CONTRATADA deverá exigir dos seus empregados, quando em serviço nas dependências da CONTRATANTE, o uso obrigatório de uniformes e crachás de identificação; 4.6.7 Manter sigilo sobre todo e qualquer assunto de interesse do CRM-DF ou de terceiros de que tomar conhecimento em razão da execução do objeto contratado, respeitando todos os critérios estabelecidos, aplicáveis aos dados, informações, regras de negócios, documentos, entre outros pertinentes, sob pena de responsabilidade civil, penal e administrativa; 4.6.8 A CONTRATADA deverá manter sigilo – sob pena de responsabilização civil, penal e/ou administrativa 4.6.9 Garantir sigilo e inviolabilidade das conversações realizadas por meio do objeto desta contratação, respeitando as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações. 4.6.10 A quebra da confidencialidade ou sigilo de informações obtidas na execução do objeto ensejará a responsabilidade criminal, na forma da lei, sem prejuízo de outras providências nas demais esferas. 4.6.11 Manter sigilo de todas as informações a que tiveram acesso inclusive com após o término da vigência contratual ou eventual rescisão; 4.6.12 Considerando as características das soluções a serem contratadas existem requisitos de segurança aplicáveis de forma ampla, como normas, guia de boas práticas e políticas que devem ser observadas na contratação e implementação da Solução de TIC, tais como possam ter conformidade à Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); 4.6.13 Em caso de necessidade de troca da unidade de armazenamento (como unidades de disco rígido e unidades de estado sólido), a Contratada não poderá recolher este componente, ou deverá prover a sanitização do mesmo, ou seja, eliminação em definitivo dos dados contidos na unidade, utilizando- se de software, de sua propriedade, especializado em algoritmos de sanitização, seguindo as boas práticas da segurança da informação. 4.6.14 Será exigido da CONTRATADA a assinatura de TERMO DE COMPROMISSO, pelo qual se compromete a manter o sigilo e a confidencialidade de responsabilidade todas as informações de que venha a ter conhecimento no exercício de suas atribuições, e manutenção de sigilo. A CONTRATADA deverá adotar critérios adequados para que a mesma o processo seletivo de profissionais exija dos seus empregados que irão atuar diretamente na execução do OBJETO, com o propósito de evitar a incorporação de perfis que possam comprometer a segurança ou credibilidade prestarem serviços no ambiente do CONTRATANTE. A Por questões de segurança, fica a CONTRATADA deverá comunicar ao CONTRATANTE, com obrigada a antecedência mínima necessária, qualquer ocorrência estender o COMPROMISSO de transferência, remanejamento ou demissão de funcionários manutenção do sigilo e segurança das informações a todos os seus colaboradores diretamente envolvidos diretamente na execução do CONTRATO. Sendo que o CONTRATANTE reserva o direito de proceder levantamento e/ou confirmação de informações pertinentes à idoneidade de qualquer profissional que venha a ser indicado para a prestação dos serviços. 4.6.15 A CONTRATADA também estará sujeita ao cumprimento das diretrizes aplicáveis estabelecidas na POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES do CONTRATANTE, para que seja providenciada a revogação de todos os privilégios de acesso aos sistemas, informações e recursos do bem como suas respectivas NORMAS COMPLEMENTARES – às quais ao CONTRATANTE porventura colocados à disposição para realização dos serviços contratadosincumbe dar o devido conhecimento.

Requisitos de Segurança da Informação e Privacidade. Os serviços contratados deverão devem ser prestados em conformidade com leis, normas e diretrizes vigentes no âmbito da Administração Pública Federal, Federal relacionadas à Segurança da Informação e Comunicações (SIC); em Comunicações, com especial atenção à Lei Federal n° 13.709/2018 (LGPD), ao Guia Decreto Federal n° 3.505, de Requisitos 13 de junho de 2000, e à Instrução Normativa GSI/PR n° 01, de Obrigações quanto a Segurança da Informação 13 de junho de 2008, e Privacidade” Com a finalidade de garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações e a privacidade dos dados. Deverá ser observado (vide Seção 7 do Anexo da IN SGD/ME nº 1/2019. Guia disponível em: xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxx-x-xxxxxxxx-xx- dados/guias/guia_requisitos_obrigacoes.pdfsuas normas complementares. A CONTRATADA deverá credenciar junto ao CONTRATANTE seus profissionais que venham a ser designados para prestar serviços de forma presencialdeve observar boas práticas relativas à segurança da informação, bem como aqueles autorizados a retirar e/ou entregar documentos junto ao CONTRATANTE. Assim como deverá identificar qualquer equipamento de sua propriedade que venha a ser instalado nas dependências do especialmente as indicadas nos normativos internos da CONTRATANTE, utilizando placas em todas as atividades executadas durante o ciclo de controle patrimonial, selos de segurança, etcvida das aplicações. A CONTRATADA deverá comprometer-sedeve manter xxxxxx, por si sob pena de responsabilidade civil, penal e por seus funcionáriosadministrativa, sobre todos os assuntos de interesse da CONTRATANTE ou de terceiros que tomar conhecimento em razão da execução do objeto do contrato, em documento formalparticular quanto à salvaguarda de informações xxxxxxxxx, respondendo igualmente pelos atos e omissões de seus prepostos e funcionários. A CONTRATADA não pode divulgar a terceiros nenhum tipo de apresentação, documentação, código- fonte ou quaisquer artefatos resultantes da execução do contrato, sem prévia autorização da CONTRATANTE. A CONTRATANTE pode realizar diligências a quaisquer instalações da CONTRATADA para auditar aspectos de interesse da prestação de serviços, a qualquer momento dentro da vigência contratual. Em razão da natureza sensível das atividades-fim da PF, todos os profissionais da CONTRATADA envolvidos na execução dos serviços devem ser submetidos a processo de análise de inteligência policial para liberação de suas credenciais de acesso, conforme critérios estabelecidos em normativos internos da CONTRATANTE. Por meio da assinatura dos Termos de Compromisso e Sigilo (Encarte II) e de Ciência (Encarte III), a CONTRATADA e cada um dos profissionais envolvidos na execução dos serviços devem se comprometer a aceitar e aplicar rigorosamente todas as normas e procedimentos de segurança e privacidade implementados no ambiente de Tecnologia da Informação do CONTRATANTE – inclusive com a assinatura de TERMO de responsabilidade CONTRATANTE, declarando-se, sob as penas da lei, ciente das obrigações assumidas pela CONTRATADA e manutenção de sigilosolidário no fiel cumprimento destas. A CONTRATADA deverá adotar critérios adequados para o processo seletivo de profissionais que irão atuar diretamente na execução do OBJETO, com o propósito de evitar a incorporação de perfis que possam comprometer a segurança ou credibilidade do CONTRATANTE. A CONTRATADA deverá deve comunicar ao à CONTRATANTE, com a antecedência mínima necessária, qualquer ocorrência de transferência, remanejamento ou demissão de funcionários profissionais envolvidos diretamente na execução do CONTRATOcontrato, para que seja providenciada a imediata revogação de todos os privilégios de acesso aos a sistemas, informações e recursos do da CONTRATANTE porventura colocados à disposição para realização execução dos serviços contratadosserviços. Na validação dos artefatos entregues pela CONTRATADA, a CONTRATANTE fará verificação quanto aos requisitos de qualidade e segurança da informação previstos em seus normativos internos e nos processos estabelecidos no Anexo I - Metodologia de Desenvolvimento de Software.

Requisitos de Segurança da Informação e Privacidade. Os serviços contratados deverão ser prestados em conformidade com leis, normas e diretrizes vigentes no âmbito da Administração Pública Federal, relacionadas à 4.15.1 A CONTRATADA deverá observar integralmente os requisitos de Segurança da Informação e Comunicações Privacidade descritos a seguir: 4.15.1.1 Uma vez que todos os serviços serão realizados dentro do ambiente computacional do BCB, seja na modalidade presencial ou remota, a CONTRATADA deverá seguir todas as diretrizes de segurança de informação definidas na Política de Segurança de Informação do BCB, bem como demais normativos, padrões e processos internos do órgão relativos ao tema, que por sua vez seguem e implementam os normativos da Administração Pública Federal aplicáveis, inclusive os relativos à Lei Geral de Proteção de Dados Pessoais (SICLGPD); em especial atenção ao , Lei 13.709 de 14 de agosto de 2018. 4.15.1.2 Neste sentido, os requisitos gerais de segurança e privacidade elencados no “Guia de Requisitos e de Obrigações quanto a Segurança da Informação e Privacidade” Com a finalidade de garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações e a privacidade dos dados. Deverá ser observado (vide Seção 7 do Anexo da IN SGD/ME nº 1/2019. Guia disponível em: xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxx-x-xxxxxxxx-xx- dados/guias/guia_requisitos_obrigacoes.pdf. A CONTRATADA deverá credenciar junto ao CONTRATANTE seus profissionais que venham a ser designados para prestar serviços de forma presencial, bem como aqueles autorizados a retirar e/ou entregar documentos junto ao CONTRATANTE. Assim como deverá identificar qualquer equipamento de sua propriedade que venha a ser instalado nas dependências do CONTRATANTE, utilizando placas de controle patrimonial, selos de segurança, etc. A CONTRATADA deverá comprometer-se, por si e por seus funcionários, Privacidade em documento formal, a aceitar e aplicar rigorosamente todas as normas e procedimentos de segurança implementados no ambiente Contratações de Tecnologia da Informação Informação” no que tange a LGPD, relativos à Política de Segurança da Informação, Análise de Impacto na Privacidade de Dados Pessoais, Análise e Avaliação de Riscos de vulnerabilidades, Arquitetura, Controles de Segurança e Matriz de Responsabilidades, Plano de Continuidade Operacional e Plano de Contingência, Gestão de Incidentes, Coleta e preservação de evidências, Gestão de Mudanças, Gestão de Capacidade, Desenvolvimento Seguro, Segurança das Redes Corporativas, Política de Backup, são implementados pelo BCB dentro de seu ambiente computacional e deverão ser observados e atendidos pelos profissionais da CONTRATADA durante a execução dos serviços, não sendo necessário que a CONTRATADA tenha em suas instalações a implementação de políticas, processos e ambientes similares. 4.15.1.3 Ainda, os requisitos de segurança da informação e privacidade específicos de cada solução de TIC a ser implementada ou mantida através da contratação serão estabelecidos no planejamento da ordem de serviço específica e definidos como critérios de aceitação do CONTRATANTE – inclusive com a assinatura de TERMO de responsabilidade e manutenção de sigilo. A CONTRATADA deverá adotar critérios adequados serviço, quando aplicáveis, devendo ser seguidos para o processo seletivo atendimento a tais requisitos as políticas, processos e padrões do BCB. 4.15.1.4 Complementarmente, aponta-se que: a) Todas as informações acessadas pela CONTRATADA, quando da execução dos serviços, deverão ser tratadas como confidenciais, sendo vedada qualquer reprodução, utilização ou divulgação a terceiros, seguindo as regras de profissionais que irão atuar diretamente na execução do OBJETO, com o propósito de evitar a incorporação de perfis que possam comprometer a segurança ou credibilidade do CONTRATANTE. A CONTRATADA deverá comunicar ao CONTRATANTE, com a antecedência mínima necessária, qualquer ocorrência de transferência, remanejamento ou demissão de funcionários envolvidos diretamente na execução do CONTRATO, para que seja providenciada a revogação de todos os privilégios de acesso aos sistemas, informações e recursos do CONTRATANTE porventura colocados à disposição para realização dos serviços contratadossigilo definidas no item 6.9.