SEGURANÇA DO SISTEMA Cláusulas Exemplificativas
SEGURANÇA DO SISTEMA. 8.2.1 Deverá possuir auditoria do sistema, onde se possa ser consultado as inclusões ou alterações que ocorram no banco de dados, com relatório informando o usuário, o número do IP do microcomputador a data e hora.
8.2.2 Disponibilizar relatório contendo informações de auditoria das operações realizadas, canceladas ou liquidadas no sistema em um determinado período e por um usuário específico.
8.2.3 Permitir diversos perfis e níveis de acesso para os usuários, como: consignante/gestor, consignatárias e consignados. Os usuários só visualizarão as funções as quais ele tem acesso.
8.2.4 Permitir o cadastramento de apenas um perfil por CPF, evitando que o mesmo tenha acesso ao usuário consignante/gestor concomitantemente com o de consignatária.
8.2.5 Não deve permitir a utilização de senhas fáceis (menos de 8 caracteres e exigir letras e números), bem como utilizar o Captcha (teste público automatizado para diferenciação entre humanos e computadores) na tela de login.
8.2.6 A senha deverá ser modificada periodicamente, com definição do período para atualização de senha parametrizável, a fim de resguardar a segurança do sistema.
8.2.7 Possibilitar a configuração do limite de senhas antigas que podem ser reutilizadas, solicitando ao usuário que cadastre uma senha nova.
8.2.8 O sistema não deverá permitir mais de um acesso simultâneo do mesmo usuário.
8.2.9 Realizar o bloqueio automático de usuários por tempo de inatividade ou por tentativas seguidas de login mal sucedido.
8.2.10 Possuir função de recuperação de senha pelo e-mail cadastrado para o usuário.
8.2.11 Possibilitar a exigência do cadastro de endereços IP para restringir o acesso de usuários dentro de uma localidade designada pela consignante. O sistema deve possibilitar que as faixas de IP cadastradas possam ser aplicadas: aos níveis de acesso, bloqueando no login usuários destes níveis que estejam acessando com endereços IP não permitidos; às funcionalidades do sistema, bloqueando acesso de uma funcionalidade pelos endereços IP.
8.2.12 Permitir a manutenção dos níveis de acesso dos usuários. O sistema deverá ter opção de liberar/restringir funcionalidades, bem como ações dentro de uma tela (por exemplo: restringir um botão dentro de uma funcionalidade).
8.2.13 O sistema deverá utilizar o recurso de autenticação de usuários centralizada, isto é, os usuários deverão possuir apenas uma senha de acesso que é utilizada para acessar o sistema, independentemente do local em que estejam e ou a qual consignatá...
SEGURANÇA DO SISTEMA. O Fornecedor deve possuir medidas adequadas para reduzir as vulnerabilidades dos ativos usados para processar os Dados Pessoais da Pirelli, aplicando configurações adequadas e evitando quaisquer alterações não autorizadas (por exemplo, controle de dispositivos removíveis).
SEGURANÇA DO SISTEMA. Deverá possuir auditoria do sistema, onde possa ser consultado as inclusões ou alterações que ocorram no banco de dados, com relatório informando o usuário, o número do IP do microcomputador a data e hora.
SEGURANÇA DO SISTEMA. O sistema WEB deverá permitir acesso somente a usuários previamente cadastrados e autenticados por meio de senha individual. Realizar Simulação 03 Segurança do - O sistema WEB deverá Realizar Simulação Sistema manter o registro dos acessos (data e hora) e as operações realizadas pelos usuários; - Demonstrar e comprovar a operação por meio de acesso ao histórico de alteração / inclusão / exclusão de registro no sistema. - Comprovar a utilização de HTTP sobre SSL - HTTPS - garantindo a segurança no tráfego de dados entre os navegadores e o servidor com criptografia de sessão através de certificado digital válido.
SEGURANÇA DO SISTEMA. 5.1. Deverá possuir auditoria do sistema, onde possa ser consultado as inclusões ou alterações que ocorram no banco de dados, com relatório informando o usuário, o numero do IP do microcomputador a data e hora.
5.2. Permitir a criação de vários perfis em vários níveis, isto é, por meio dos perfis de acesso os usuários só visualizarão as funções as quais ele tem acesso.
5.3. O sistema deverá utilizar o recurso de autenticação de usuários centralizada, isto é, os usuários deverão possuir apenas uma senha de acesso que é utilizada para acessar o sistema, independente do local em que esteja.
5.4. O sistema deverá ter prevenção contra a fraude, isto é, cada usuário é único no sistema a partir do momento em que ele o acessa. Não é possível o mesmo usuário acessar o sistema de dois ou mais lugares diferentes.
5.5. Criptografia de senhas, isto é, todas as senhas deverão ser gravadas de forma criptografada (de no mínimo 128 bits), e sempre que for necessário, o usuário poderá alterar sua senha de acesso ou solicitar uma nova senha.
5.6. É obrigatório o uso de Protocolo de Segurança SSL em todas as transações no sistema.
5.7. É obrigatório o uso de Captcha (teste público automatizado para diferenciação entre humanos e computadores) na tela de login.
5.8. É obrigatório a existência de um perfil de acesso exclusivo do Servidor, onde é possível a consulta pessoal de margem disponível, histórico de empréstimos realizados e de todas as informações pertinentes à sua margem e/ou contratos consignados.
SEGURANÇA DO SISTEMA. 10.1. O equipamento / sistema fixo deverá ser provido de sistema alternativo de fornecimento de energia (por exemplo, um no-break) com a função de manter o relógio e permitir que o sistema de comunicação possa enviar um sinal para o Centro de Processamento de Imagem quando da falta de energia comercial;
10.2. O equipamento / sistema fixo deverá retornar a operação normal , automaticamente, enviando um sinal ao Centro de Processamento de Imagem quando do retorno do fornecimento de energia elétrica comercial;
10.3. Os equipamentos / sistema fixos deverão ter capacidade de reconexão automática, em caso de perda de conexão entre os equipamentos de campo e o Centro de Processamento de Imagem;
10.3.1. Durante o período sem conexão, o equipamento / sistema fixo deverá armazenar as imagens dos infratores e dados de tráfego, transmitindo-os para o CPI quando do retorno à normalidade;
10.4. Como medida de segurança em caso de falha na transmissão de dados e imagens de forma on line,o equipamento deverá gravar todos os dados relativos ao registro da infração em meio que permita transferir estes dados para outro sistema, sem necessidade de remoção do equipamento. As imagens e dados captados deverão ser armazenados de forma a não serem afetados por eventuais falhas, mesmo que essas falhas perdurem por qualquer período;
10.5. Os dados relativos ao registro de infração mesmo depois de transferidos devem permanecer gravados no equipamento para efeito de backup, devendo ser removidos quando esgotada a capacidade do elemento de gravação ou quando solicitados pela SETTRA;
10.5.1. Os equipamentos deverão ter capacidade mínima de armazenamento de registros, sem a necessidade de troca do elemento de gravação, superior a 50.000 (cinquenta mil) registros;
10.5.2. O equipamento deverá verificar a quantidade de registros que faltam para o esgotamento de sua capacidade de armazenamento;
10.6. Toda comunicação entre os equipamentos / sistema fixos e o CPI deverá atender a requisitos de controle de acesso, assinatura digital e criptografia;
10.6.1. Entendem-se como requisitos de controle de acesso os seguintes itens
a) Os equipamentos / sistema fixos só poderão ser acessados remotamente a partir de equipamentos localizados no Centro de Processamento de Imagem;
SEGURANÇA DO SISTEMA. 1.3.1. POSSUIR PROTEÇÃO CONTRA ATAQUE DE CÓDIGO SQL 2 1 0 06
1.3.2. PROTEÇÃO CONTRA ATAQUE XSS 2 1 0
1.3.3. SISTEMA DE BACKUP (EXPORTAÇÃO) DA BASE DE DADOS 2 1 0
SEGURANÇA DO SISTEMA. Funções que deverão ser disponibilizadas pelo sistema para garantir a segurança na sua utilização: • Prover funcionalidade para criação de perfis ou grupos de usuários, com níveis de acesso definidos; • Prover funcionalidade para criação de usuários Master para cada Consignatária sendo que os demais usuários destas consignatárias poderão ser cadastrados por elas mesmas; • Prover funcionalidade para registro das transações efetuadas (trilha para auditoria). As informações a serem gravadas são: data e hora do evento auditado, usuário e IP da máquina ou rede de onde o evento foi comandado. Para eventos que alteram a situação de uma consignação, deverá ser gravada a situação anterior e a nova; • O login no sistema deverá possibilitar o acesso a todas as transações permitidas ao usuário; • As rotinas de segurança deverão permitir o controle do acesso de usuários a funcionalidades, transações, campos e telas. Deverão garantir o acesso seletivo às informações, restringindo os usuários ao conjunto de informações passíveis de autorização, tais como, a de uma determinada consignatária, órgão, funcionário, etc. As rotinas de segurança deverão garantir ainda que cada consignatária tenha acesso apenas às informações sobre seus contratos cadastrados no sistema, ou seja, um usuário de uma consignatária não pode ter acesso a informações de outra consignatária. As rotinas de segurança também deverão garantir que cada funcionário tenha acesso apenas às informações sobre seus contratos cadastrados no sistema; • Possuir mecanismos de segurança, que permitam garantir a autenticidade, inviolabilidade, integridade e segurança das informações nos processos da consignação. Possibilidade de operação com Certificado Digital A3 (e-CPF). • Possibilidade de restrição de acesso ao sistema por uma faixa de endereços, fixos (IP) ou dinâmicos (DNS); • Oferecer a possibilidade de bloqueio da utilização de senhas repetidas; • Oferecer a possibilidade do bloqueio automático do usuário após um número de tentativas malsucedidas de login; após um número de dias de inatividade; após o fim de sua vigência; ou após um número de erros de segurança; • Oferecer a possibilidade do bloqueio de acesso simultâneo do mesmo usuário ao sistema; • Oferecer a possibilidade de autorização de operações sensíveis, através da senha do próprio usuário ou senha de um segundo usuário.
SEGURANÇA DO SISTEMA. O sistema deve fazer salvar informações/dados escolhidas pelo usuário a qualquer momento;
SEGURANÇA DO SISTEMA. 14.1. O sistema deve fazer salvar informações/dados escolhidas pelo usuário a qualquer momento;
14.2. O sistema deve ser operado integralmente pelos funcionários da CONTRATANTE, de forma on-line;
14.3. O sistema deve permitir a definição de usuários e grupos de usuários e seus respectivos níveis de acesso;
14.4. O sistema deve permitir a inclusão, alteração, exclusão e consulta dos usuários e grupos de usuários e também possibilidade de redefinir seus níveis de acesso;
14.5. O sistema deve permitir que cada usuário tenha uma senha criada por ele mesmo. A senha deverá ter data de expiração;
14.6. O sistema deve controlar o acesso a suas transações on-line por usuários cadastrados registrando as alterações realizadas na base de dados;
14.7. Em todas as telas protegidas por senha, o sistema deve apresentar proteção contra script automatizado (robôs) por meio da técnica captcha ou similar;
14.8. Uso obrigatório da criptografia sempre que houver tráfego em rede pública (ex.: internet), e opcional para os demais casos;
