CONTRATO DE COMPARTILHAMENTO DE INFRAESTRUTURA PARA FINS DE PRESTAÇÃO DE SERVIÇOS DE REDE MÓVEL VIRTUAL - MODELO AUTORIZADA
CONTRATO DE COMPARTILHAMENTO DE INFRAESTRUTURA PARA FINS DE PRESTAÇÃO DE SERVIÇOS DE REDE MÓVEL VIRTUAL - MODELO AUTORIZADA
Esta minuta de Contrato foi publicada junto com a Oferta Pública de Referência em 26 de setembro de 2022 e é válida a partir da data de sua publicação até que nova oferta seja publicada em substituição.
Pelo presente instrumento particular,
XXXX, com sede na Cidade de XXXX, Estado do XXXX, com sede na XXXXXX, inscrita no CNPJ sob o nº XXXXX, neste ato representada nos termos de seus atos constitutivos, doravante denominada simplesmente “PROPONENTE”, e
TIM S.A., com sede na Cidade do Rio de Janeiro, Estado do Rio de Janeiro, com sede na Avenida Xxxx Xxxxxx xx Xxxxx Xxxx, n° 850, bloco 01, Xxxxx 000 x 0000, Xxxxx xx Xxxxxx, inscrita no CNPJ/MF sob o nº 02.421.421/0001-11, neste ato representada nos termos do seu Estatuto Social, doravante denominada simplesmente “TIM”;
Sendo PROPONENTE e TIM em conjunto denominadas “Partes” e, individualmente, “Parte”,
DEFINIÇÕES:
a) MVNO: Mobile Virtual Network Operator;
b) MVNE: Mobile Virtual Network Enabler ou conjunto de equipamentos de core de rede e sistemas de suporte ao negócio, que viabilizam a integração técnica entre a PROPONENTE e a TIM;
c) MVNA: Mobile Virtual Network Aggregator;
d) SMP: Serviço Móvel Pessoal;
e) Autorizada de SMP de Rede Virtual (Autorizada de Rede Virtual): é a pessoa jurídica, autorizada junto à Xxxxxx para prestação do Serviço Móvel Pessoal por meio de compartilhamento de rede com a Prestadora Origem, conforme definido pela Resolução ANATEL nº 550, de 22 de novembro de 2010;
f) Exploração do SMP por meio de Rede Virtual (Exploração de Rede Virtual): é a prestação do SMP por Autorizada de Rede Virtual;
g) Prestadora Origem: é a Autorizada do Serviço Móvel Pessoal com a qual a Autorizada de Rede Virtual possui relação para a exploração de SMP por meio de Rede Virtual;
h) Rede Virtual no Serviço Móvel Pessoal (Rede Virtual): é o conjunto de processos, sistemas, equipamentos e demais atividades utilizadas pela Autorizada de Rede Virtual para a exploração de SMP por meio da rede da Prestadora Origem, conforme definido pela Resolução ANATEL nº 550, de 22 de novembro de 2010;
i) CDR (Call Detail Record): são arquivos de registro de chamadas telefônicas;
j) Clientes: são os usuários do SMP prestado pela Autorizada de Rede Virtual;
k) MPPO: manual de práticas e procedimentos operacionais;
l) BA: boletim de anormalidade.
CONSIDERAÇÕES
(i) CONSIDERANDO que, em 09/02/2022, o Conselho Administrativo de Defesa Econômica (CADE) aprovou o Ato de Concentração nº 08700.000726/2021-08 mediante condições estabelecidas em Acordo de Controle em Concentrações (“ACC)”, tendo a decisão transitado em julgado em 22/03/2022;
(ii) CONSIDERANDO as disposições constantes do Acórdão n.º 9, de 31 de janeiro de 2022, e do Ato n.º 4.951, de 05 de abril de 2022, expedidos pela ANATEL, bem como do Acordo em Controle de Concentrações, celebrado junto ao Conselho Administrativo de Defesa Econômica – CADE no âmbito da
1
operação que envolveu a alienação de todos os ativos, obrigações e direitos relacionados às atividades de telefonia móvel da Oi Móvel S.A. – Em Recuperação Judicial;
(iii) CONSIDERANDO que, dentre as condições estabelecidas nas decisões do CADE e da ANATEL, cabe à TIM disponibilizar nova Oferta de Referência destinada a Operadoras de Rede Móvel Virtual classificadas como Prestadoras de Pequeno Porte (“PPP”) e que não sejam titulares de autorização de uso de radiofrequência na área pretendida de serviços, e que possuam o interesse em se tornar uma Autorizada para explorar o SMP por meio de Rede Virtual, nas áreas de outorga da TIM no território nacional. Xxxx a PROPONENTE não se enquadre como PPP, as PARTES poderão negociar condições específicas para prestação por meio de Rede Móvel Virtual;
(iv) CONSIDERANDO que qualquer contrato celebrado anteriormente à data da publicação desta Oferta de Referência poderá ser adequado às novas condições, caso a contraparte assim tenha interesse, inclusive em relação ao prazo de vigência;
(v) CONSIDERANDO que a TIM possui outorga para a prestação do SMP em todo o território brasileiro;
(vi) CONSIDERANDO que a Agência Nacional de Telecomunicações – ANATEL aprovou em 22 de novembro de 2010 o Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (Resolução n.º 550/2010), o qual sofreu alterações mediante a edição das Resoluções n.º 632, de 07 de março de 2014 (Resolução n.º 632/2012), n.º 663, de 21 de março de 2016 e n.º 735, de 03 de novembro de 2020;
(vii) CONSIDERANDO que as Partes têm o interesse em estabelecer as condições técnicas e comerciais para a implementação da operação de Autorizada de Rede Virtual pela PROPONENTE, em regime de livre pactuação e nos termos das disposições mencionadas nos Itens ‘iv’ e ‘v’ acima; e
(viii) CONSIDERANDO que a PROPONENTE declara possuir infraestrutura própria (core de rede própria e elementos de suporte ao negócio), viabilidade técnica, capacidade econômico-financeira, de rede e tecnológica, em conformidade com a presente Oferta Pública de Compartilhamento de Infraestrutura para fins de Prestação de Serviços de Rede Móvel Virtual - Modelo Autorizada (“MVNO Autorizada”) para atuar na condição de Autorizada de SMP de Rede Virtual.
CONDIÇÕES GERAIS PARA NEGOCIAÇÃO:
A negociação e a celebração de Contratos de MVNO entre a TIM e PROPONENTES serão realizadas de acordo com o procedimento especificado abaixo, conforme previsões estabelecidas no ACC celebrado com o CADE.
a) A PROPONENTE, interessada em celebrar Contrato de Autorizada de Rede Virtual , deverá enviar uma solicitação diretamente à TIM, por e-mail para xxxx@xxxxxxxxx.xxx.xx, em que indicará o atendimento às condições técnicas, regulatórias, financeiras e operacionais para a celebração do contrato;
b) Após o recebimento do e-mail com a solicitação enviada pela PROPONENTE, nos termos do item ’a’, a TIM agendará reunião com a PROPONENTE, em até 10 (dez) dias úteis, na qual será apresentado o modelo disponibilizado pela TIM e o projeto de atuação pela PROPONENTE, dando início ao período de negociação;
c) A PROPONENTE deverá manifestar interesse em prosseguir com a negociação com a TIM em até 15 (quinze) dias corridos, contados a partir da data de realização da reunião
2
mencionada no item “b”. Não havendo manifestação de interesse dentro deste prazo, o pedido será arquivado pela TIM;
d) Iniciado o período de negociação, em até 20 (vinte) dias úteis contados a partir da manifestação de interesse por parte da PROPONENTE, a TIM e a PROPONENTE deverão firmar acordo de confidencialidade, e estabelecerão os procedimentos para a troca de informações necessárias para a execução do Contrato de Autorizada de Rede Virtual, em estrito cumprimento e aderência à legislação de defesa da concorrência, regulação e guias editados pelo CADE, e melhores práticas antitruste. Dentro deste período, a PROPONENTE deverá encaminhar a documentação necessária para a continuidade da negociação, conforme o estabelecido nos itens “e”, “f” e “g” abaixo,”, de modo a demonstrar sua capacidade técnica, financeira, operacional e regulatória para atuação no modelo de Autorizada de Rede Virtual;
e) A PROPONENTE deverá apresentar o Plano de Negócios o qual deverá conter no mínimo as seguintes informações, para permitir uma análise técnica para dimensionamento dos elementos de rede da TIM para atendimento da PROPONENTE, observando-se mecanismos de governança e protocolos de confidencialidade estabelecidos em acordos e manuais operacionais específicos:
i. Mercado alvo e abrangência geográfica de interesse;
ii. Expectativa de base de assinantes pré-pago e pós-pago por área de registro por um período de no mínimo de 24 (vinte e quatro) meses;
iii. Projeção de tráfego para serviços de voz, dados e sms segmentado por área de registro, por um período de no mínimo 24 (vinte e quatro) meses.
iv. Condições técnicas e operacionais (elementos de rede CORE);
v. Documento constitutivos:
• Atos Constitutivos da empresa solicitante, de acordo com o tipo de sociedade empresária (Ltda, ME, EIRELI ou S/A);
• CPF e carteira de identidade dos sócios e/ou representantes legais;
• Relação atualizada de Clientes, se houver;
• Business Presentation – somente se a empresa já se encontrar em funcionamento; e,
vi. Documento financeiros da empresa:
• ECF – Escrituração Contábil Fiscal e/ou ECD – Escrituração Contábil Digital completo;
• Extrato de movimentação bancária, dos 03 (três) últimos meses, de conta corrente e/ou de Investimentos, em nome da empresa;
• DEFIS - Declaração de Informações Socioeconômicas e Fiscais;
• Balanço Patrimonial e Demonstrativos de Resultado, do último exercício disponível; e,
3
• Imposto de Renda dos sócios dos últimos dois exercícios.
f) A PROPONENTE interessada deverá apresentar para a TIM, o Formulário de informações da PROPONENTE anexo, preenchido com todas as informações solicitadas.
formulario Autorizado
g) A PROPONENTE deverá apresentar Projeto que garanta as condições mínimas de conexão e compartilhamento com a TIM, de acordo com avaliação técnica e critérios da própria TIM.
h) O prazo mencionado no item “d” poderá ser prorrogado em caso de: alterações na minuta do acordo de confidencialidade padrão, atrasos na assinatura do acordo de confidencialidade padrão por parte da PROPONENTE e atrasos no envio da documentação necessária por parte da PROPONENTE.
i. Caso ultrapassados mais de 15 (quinze) dias corridos, contados do envio pela TIM da minuta do acordo de confidencialidade padrão e da solicitação para apresentação da documentação necessária, sem que haja resposta ou manifestação por parte da PROPONENTE, o pedido será arquivado
i) Uma vez firmado o acordo de confidencialidade padrão e recebida toda a documentação exigida, encaminhada pela PROPONENTE, a TIM deverá apresentar resposta formal acerca da suficiência dos documentos e quanto ao prosseguimento da negociação em até 30 (trinta) dias corridos de seu recebimento.
j) Se a documentação enviada pela PROPONENTE for insuficiente para permitir o prosseguimento da negociação, a TIM poderá solicitar sua complementação, caso em que os prazos subsequentes estabelecidos no processo de negociação serão suspensos até a entrega da documentação complementar.
• Não havendo resposta por parte da PROPONENTE acerca da complementação da documentação solicitada pela TIM dentro de 30 (trinta) dias corridos da solicitação, o pedido será arquivado.
k) Em até 60 (sessenta) dias corridos da data de recebimento da documentação necessária, a TIM enviará à PROPONENTE as propostas comercial e técnica para celebração do Contrato de Autorizada de Rede Virtual. O cumprimento deste prazo é condicionado à regularidade da documentação encaminhada pela PROPONENTE.
i. Ultrapassados 30 (trinta) dias corridos contados da data de recebimento das propostas comercial e técnica sem que haja manifestação de interesse ou apresentação de resposta por parte da PROPONENTE, ou caso esta manifeste não ter mais interesse em prosseguir com a negociação, o pedido será arquivado.
l) Xxxx a PROPONENTE esteja de acordo com as propostas comercial e técnica e manifeste seu interesse em prosseguir com a negociação, a TIM deverá enviar a minuta do Contrato de Autorizada de Rede Virtual em até 20 (vinte) dias corridos para a PROPONENTE, para discussão acerca das condições contratuais que regerão o relacionamento comercial entre as Partes.
4
i. O prazo mencionado no item “l” poderá ser prorrogado, caso a habilitação da PROPONENTE como Autorizada de Rede Virtual seja enquadrada na condição de “Projeto Especial”;
ii. Por “Projeto Especial” entende-se os casos em que haja a necessidade de a TIM ou a PROPONENTE realizarem investimentos para ampliação de sua capacidade de rede disponível, adequações tecnológicas para assegurar a integração dos sistemas das empresas, modernização da infraestrutura de rede disponível, bem como quaisquer adequações de caráter técnico ou operacional não previstas inicialmente, que sejam necessárias para assegurar a habilitação da PROPONENTE como Autorizada de Rede Virtual e a continuidade da prestação dos serviços de telecomunicações da PROPONENTE;
iii. Havendo concordância entre a TIM e PROPONENTE quanto aos termos e condições contratuais aplicáveis, será celebrado o Contrato de Autorizada de Rede Virtual entre as Partes;
iv. A PROPONENTE deverá providenciar o protocolo do pedido da respectiva outorga na Anatel, em até 90 (noventa) dias após a assinatura do Contrato de Autorizada de Rede Virtual, para poder atuar na condição de Autorizada de Rede Virtual da TIM;
v. A não solicitação da outorga dentro do prazo estabelecido no Item “iv” precedente, pela PROPONENTE, junto à Xxxxxx implicará na extinção do Contrato de Autorizada de Rede Virtual, sem quaisquer ônus às Partes, nos termos dos Art. 34 e 51 da Resolução n.º 550/2010.
vi. Assinado o Contrato e cumpridas todas as obrigações regulatórias por parte da Proponente, a TIM e a PROPONENTE agendarão reunião para discutir a implementação do projeto e adotarão todas as medidas necessárias para esta finalidade
m) As Partes envidarão seus melhores esforços para concluir toda integração técnica em até 180 (cento e oitenta) dias, sendo tal início condicionado:
i. à obtenção prévia de outorga junto à XXXXXX pela PROPONENTE;
ii. à disponibilização de core de rede da PROPONENTE para interligar com a rede da TIM.
n) O lançamento comercial da PROPONENTE estará condicionado a:
i. Apresentação da Garantia Financeira descritas nos termos do ANEXO 2;
ii. Conclusão da integração técnica com aceite da PROPONENTE formalizado por e- mail.
o) Para fins de esclarecimento, a PROPONENTE poderá acionar o Trustee de Monitoramento, nos termos do ACC celebrado com o CADE, para dar início a procedimento de mediação, conforme procedimento estabelecido no ACC. Ademais, a PROPONENTE poderá iniciar procedimento arbitral privado para buscar a solução de conflitos relacionados a questões comerciais, nos termos expressamente previstos no ACC.
p) Para fins de esclarecimento, os prazos aqui definidos poderão ser prorrogados: (i) diante da ocorrência de fato fortuito ou eventos de força maior, conforme definidos pelo art. 393 do Código Civil, que comprovadamente impossibilitem seu cumprimento; (ii) de comum acordo entre as Partes no âmbito das negociações para celebração do Contrato de MVNO; (iii) mediante solicitação fundamentada da TIM ou da PROPONENTE ao Trustee de Monitoramento; ou (iv)
5
por qualquer impossibilidade técnica, legal, regulatória ou financeira que impeça o seu cumprimento.
CLÁUSULA PRIMEIRA – DO OBJETO
1.1. O presente Contrato para MVNO Autorizada tem como objeto a disponibilização, pela TIM, em caráter isonômico e não discriminatório, da infraestrutura de Rede de Acesso necessária para permitir a habilitação de MVNOs em sua rede móvel, de modo que a PROPONENTE forneça aos seus Clientes os serviços de Voz, Dados e SMS em todas as tecnologias disponíveis e em uso pela TIM, nas localidades por ela atendidas, tais como:
a) 2G - utilização de Voz e Mensagem de Texto em CS (Circuit Swichting), Dados em GPRS e EDGE;
b) 3G - utilização de Voz e Mensagem de Texto em CS (Circuit Swichting), Dados em UMTS e WCDMA;
c) 4G - utilização de Voz em PS (Packet Swichting - VoLTE) e Dados em LTE, incluindo M2M e IoT; e
d) 5G - utilização de Voz em PS (Packet Swichting - VoLTE) e Dados em DSS, Non Standalone e Standalone, incluindo M2M e IoT.
1.2. A Oferta Pública de Referência e o presente Contrato destinam-se exclusivamente ao atendimento de Prestadoras de Pequeno Porte (PPP) que não sejam titulares de autorização de uso de radiofrequências na área pretendida de serviços, que têm como objetivo de estabelecer o início das atividades na condição de exploradora do Serviço Móvel Pessoal por meio de rede virtual em todo território nacional. As atuais MVNOs Autorizadas da TIM poderão aderir a nova Oferta Pública de Referência publicada pela TIM migrando o tráfego de dados acumulado do contrato vigente para a Oferta Pública de Referência.
1.2.1. Cada Parte responderá pelas contratações e despesas que assumir ou incorrer para custeio de estudos, assessoria ou consultoria decorrente da elaboração, negociação, análise e definição de seu Modelo de Negócios, não restando qualquer direito a reembolso, compensação ou abatimento decorrente de tais despesas.
1.3. Não integra ao presente Contrato para MVNO Autorizada a disponibilização pela TIM dos direitos decorrentes de acordos de roaming nacional e/ou internacional e de radiofrequência firmados com outras operadoras ou acordos de interconexão e transporte, quaisquer que sejam.
1.4. Integram este Contrato os seguintes Anexos, cujas disposições produzem efeito entre as Partes: Anexo 1 - Matriz e Detalhamento de Responsabilidades;
Anexo 2 - Garantia Financeira;
Anexo 3 - Acordo de Nível de Serviços – SLA; Anexo 4 - Condições Comerciais;
Anexo 5 - Práticas de Antifraude;
Anexo 6 - Manual de Práticas e Procedimentos Operacionais – MPPO; Anexo 7 - Relatório Técnico de Dimensionamento;
Anexo 8 - Encaminhamento de Chamadas de Emergência; Anexo 9 - Procedimento de Contestação e Shorfall;
Anexo 10 - Interceptação Legal; Anexo 11 - Técnico de Segurança;
6
1.5. O presente Contrato e seus respectivos Anexos constituem partes integrantes e únicas do documento que respaldará a relação entre as Partes e deverão ser interpretados de forma harmônica e complementar. Ocorrendo discrepância ou conflito entre o presente Contrato e qualquer um de seus Anexos, as Partes acordam que prevalecerá a redação estabelecida no Contrato.
CLÁUSULA SEGUNDA - DAS OBRIGAÇÕES DAS PARTES
2.1. DAS OBRIGAÇÕES DA PROPONENTE
2.1.1 Nos termos da Resolução n.º 550/2010, e suas alterações, a PROPONENTE será responsável pela comercialização dos serviços, faturamento, cobrança, arrecadação de valores, parcelamento, abatimento de créditos pré-pagos, prevenção de situações de fraude, gerenciamento e atendimento da base de Clientes consolidada dentre outras usualmente de responsabilidade de uma prestadora de SMP.
2.1.2 A PROPONENTE elaborará de forma independente as condições dos planos de serviços, ofertas e comunicações a serem oferecidos e comercializados aos seus Clientes, devendo comunicar por escrito e formalmente à TIM todas as informações sobre os planos de serviços e ofertas com antecedência mínima de 30 (trinta) dias antes do envio à ANATEL, respeitando-se as regras de governança e protocolos de confidencialidade previstos na Cláusula 7.5 abaixo. A TIM realizará a análise eminentemente técnica dos referidos planos de serviços, ofertas e comunicações no sentido de avaliar exclusivamente os impactos e requisitos técnicos, bem como o correspondente dimensionamento da rede necessário da TIM para operacionalização e implementação do contrato a ser celebrado entre TIM e PROPONENTE, conforme condições estabelecidas no item 2.1.10 abaixo. Nada na Oferta Pública de Referência ou neste Contrato implicará qualquer influência da TIM na definição de estratégias e políticas comerciais da PROPONENTE.
2.1.3 Nos termos do Regulamento aprovado pela Resolução ANATEL n.º 550/2010, e suas alterações, o cliente da PROPONENTE terá vínculo contratual exclusivamente com esta e, portanto, pagará diretamente à PROPONENTE pelos serviços de telecomunicação prestados. Neste sentido, inexiste qualquer responsabilidade da TIM sobre o faturamento e cobrança dos serviços prestados pela PROPONENTE.
2.1.4 A PROPONENTE será responsável pelo cumprimento de todas as suas obrigações regulamentares junto à ANATEL, incluindo, mas não se limitando, às dispostas na Resolução n.º 550/2010 e na Resolução n.º 632/2012, bem como em relação aos direitos de seus Clientes.
2.1.5 A PROPONENTE se declara responsável pelo recolhimento de todos os tributos vigentes (exemplificativamente, mas não se limitando a FISTEL, ICMS, PIS, COFINS, FUST e FUNTTEL), bem como quaisquer outros novos tributos que venham a ser instituídos para serviços de telecomunicações prestados aos seus Clientes na condição de Autorizada.
2.1.6 A responsabilidade de atendimento aos seus Clientes é única e exclusivamente da PROPONENTE, que deverá seguir todas as obrigações, prazos e regras estabelecidas pela ANATEL órgãos de defesa do consumidor e demais autoridades administrativas e judiciais, bem como a legislação à proteção de dados pessoais e demais pertinentes ao objeto deste Contrato.
2.1.7 A TIM não representará a PROPONENTE em qualquer instância, inclusive junto à Associação Brasileira de Recursos de Telecomunicações – ABR Telecom, sendo a referida responsabilidade atribuída à PROPONENTE nos termos da Resolução n.º 550/2010 e suas alterações.
2.1.8 O licenciamento das estações móveis vinculadas à PROPONENTE é de sua exclusiva responsabilidade, tal como disposto na Resolução n.º 550/2010.
7
2.1.9 Caso a TIM receba solicitações, demandas ou quaisquer ofícios de autoridades administrativas e notificações judiciais referentes a Clientes da PROPONENTE, a TIM deverá encaminhar a solicitação para que seja respondida pela própria PROPONENTE, bem como informar em juízo de que o respectivo Cliente não faz parte da base de usuários da TIM, indicando expressamente a PROPONENTE em sua resposta. Não sendo acatado pelo juiz e/ou autoridade administrativa o pedido de substituição do polo passivo, a PROPONENTE deverá encaminhar todos os elementos necessários à defesa da TIM, bem como a PROPONENTE deve se responsabilizar por todos os custos incorridos pela TIM na demanda, inclusive multas, indenizações, danos morais individuais e coletivos, honorários de sucumbência, honorários contratuais de escritórios, perícias, custas, dentre outras despesas, independentemente do limite previsto na Cláusula Décima desse instrumento.
2.1.10 Para que haja uso apropriado e seguro dos recursos compartilhados, sem comprometer a eficiência e segurança das redes das Partes e nem prejudicar o sistema como um todo, garantindo a continuidade dos serviços aos clientes, trimestralmente a PROPONENTE deverá informar, mediante envio de relatório técnico de dimensionamento, as seguintes informações, respeitando-se as regras de governança e protocolos de confidencialidade previstos na Cláusula 7.5 abaixo:
• A previsão anual de Clientes, com detalhamento da quantidade de novos Clientes, quantidade de cancelamentos e a base total;
• Volume de tráfego de dados e voz, segmentados por área de registros e municípios; e
• Outras informações técnicas razoavelmente solicitadas pela TIM.
2.1.11 Os relatórios terão a finalidade de permitir à TIM a análise eminentemente técnica das informações acima indicada, respeitando-se as regras de governança e protocolos de confidencialidade previstas na Cláusula 7.5 abaixo, no sentido de avaliar e garantir o preparo e dimensionamento técnicos e adequados de sua rede e infraestrutura de telecomunicações. Os relatórios indicados na Cláusula 2.1.10 e terão seu formato definido no MPPO, bem como servirão para informar à PROPONENTE eventuais restrições, se a análise de dimensionamento resultar neste sentido.
2.1.12 Nos 18 (dezoito) primeiros meses do início da operação comercial, a TIM poderá relevar eventuais dimensionamentos equivocados informados nos relatórios da PROPONENTE.
2.1.13 Após o 18º (décimo oitavo) mês de operação comercial, os dimensionamentos deverão ser efetuados pela PROPONENTE de forma trimestral e com a assertividade parametrizada a partir das premissas estabelecidas a seguir:
2.1.13.1 A partir do 18º (décimo oitavo) mês do início da operação comercial, caso a PROPONENTE envie Relatório Técnico de Dimensionamento com uma previsão 20% (vinte por cento) a maior do que o número realizado e, em razão deste relatório, a TIM tenha feito investimentos para ampliação de sua capacidade de rede disponível, adequações tecnológicas para assegurar a integração dos sistemas das empresas, modernização da infraestrutura de rede disponível, bem como quaisquer adequações de caráter técnico ou operacional, a PROPONENTE deverá ressarcir à TIM pelos investimentos realizados de forma proporcional (diferença entre a demanda solicitada e a demanda realizada).
2.1.13.2 Caso seja necessária a realização de investimento específico pela TIM para que seja atendida a demanda da PROPONENTE, especificamente para ampliação ou redimensionamento de capacidade de rede móvel, assim como demais adaptações tecnológicas que sejam necessárias para permitir o funcionamento da PROPONENTE, a TIM deverá encaminhar orçamento para aprovação prévia da PROPONENTE, comprovando a necessidade de referido investimento, e apresentando justificativa técnica devidamente fundamentada que comprove a necessidade de realização dos investimentos adicionais.
8
2.1.13.2.1 Caso a PROPONENTE não aprove o orçamento apresentado pela TIM, a PROPONENTE deverá compatibilizar as suas demandas comerciais com a infraestrutura existente compartilhada com a TIM no prazo de até 30 (trinta) dias contados da não aprovação orçamentária, sob pena de aplicação da cláusula 4.3 item “a”.
2.1.13.3 A partir do 18º (décimo oitavo) mês do início da operação comercial, caso a PROPONENTE comprove a necessidade de referido investimento e apresente justificativa técnica devidamente fundamentada que comprove a necessidade de realização dos investimentos adicionais, mediante o envio de Relatório Técnico de Dimensionamento,, a TIM não poderá ser responsabilizada pela PROPONENTE em caso de descumprimento dos SLA’s descritos no Anexo 3.
2.1.14 Caso durante os primeiros 18 (dezoito) meses do início da operação comercial, a PROPONENTE solicite um aumento no dimensionamento informado à TIM, para este período, tal aumento será avaliado pela TIM, que informará um prazo de atendimento. Esse prazo para atendimento não poderá ser superior a 12 (doze) meses, contados da data de apresentação do respectivo plano de negócio pela PROPONENTE à TIM. Caso haja necessidade de investimentos por parte da TIM, as Partes irão aplicar as regras descritas nas Cláusulas 2.1.13.2 e 2.1.13.2.1, bem como as regras específicas de análise de crédito para cada modalidade de contrato que a PROPONENTE necessite contratar da TIM para suportar o referido aumento de dimensionamento.
2.1.15 A PROPONENTE se compromete a criar e atualizar constantemente mecanismos de prevenção e combate à utilização fraudulenta, indevida e irregular da rede de telecomunicações da TIM, responsabilizando-se por prejuízos causados à TIM e/ou terceiros.
2.1.16 Toda e qualquer comunicação que mencionar direta ou indiretamente qualquer marca, logotipo ou slogan da TIM deverá ser aprovada previamente e por escrito pela TIM, não havendo qualquer autorização decorrente deste Contrato para menção ou divulgação da marca TIM.
2.1.17 A PROPONENTE se obriga a utilizar em sua faixa de IMSI exclusivamente o plano de numeração SMP designado pela ANATEL para prestação de serviço MVNO, caso seja identificado uso de outro plano de numeração em sua faixa de IMSI a PROPONENTE estará inadimplindo o contrato e terá 24 (vinte quatro horas) após formalização por e-mail para desligar todos os acessos que estiverem nesta situação. Em caso de não desligamento dos acessos a TIM aplicará multa diária no valor de R$ 1.000,00 (mil reais) por acesso que permanecer nesta situação, podendo, ainda, interromper o serviço.
2.1.18 A PROPONENTE tem ciência que a Área de Cobertura da TIM atende as localidades onde terá atuação. Nos casos de necessidade de implementação de cobertura outdoor e indoor, para atender suas necessidades de negócio, não previstas na proposta e durante o processo de negociação, caberá a PROPONENTE arcar com os custos de equipamentos, sempre respeitando as premissas de fornecedores homologados/certificados pela TIM.
2.1.19 Além de todas as demais obrigações referentes ao SMP, a PROPONENTE se obriga a cumprir as metas de qualidade fixadas que lhe couberem nos termos da regulamentação, bem como os demais dispositivos relativos a definições, métodos e frequência de coleta, consolidação e envio à Anatel de dados;
2.1.20 A PROPONENTE se compromete a restabelecer a prestação do serviço, caso seus Clientes inadimplentes efetuem o pagamento do débito antes da rescisão do Contrato de Prestação do SMP. No que diz respeito ao fluxo de cobrança junto aos seus usuários deverá a PROPONENTE observar todas as regras federais, estaduais e municipais que envolvem a recuperação do crédito
9
2.1.21 A PROPONENTE se compromete a elaborar, independentemente do regime jurídico a que esteja sujeita, balanço e demonstrações financeiras levantadas ao final de cada exercício social, observadas as disposições da legislação vigente e regulamentação da Anatel.
2.1.22 A PROPONENTE se compromete a utilizar apenas equipamentos com certificação emitida ou reconhecida pela Anatel, conforme regulamentação aplicável, inclusive observando suas condições de funcionamento.
2.1.23 A PROPONENTE se compromete a permitir interceptação legal, nos termos da lei, conforme descrito no Anexo 10 deste Contrato de MVNO Autorizada.
2.1.24 A PROPONENTE se compromete a arcar com os custos derivados da hipótese de descontinuidade de tecnologias empregadas pela TIM ou do surgimento de novas tecnologias atreladas ao SMP a serem adotadas pela TIM, inclusive, mas não se limitando, aos custos vinculados à substituição de Estações Móveis de seus Clientes, a comunicação e cessação de serviços.
2.1.24.1nãoNão haverá cobrança associada ao projeto técnico necessário para implementação de novas tecnologias, nos termos da descritos na cláusula 2.1.24, sendo os custos provenientes dos elementos de rede exclusivamente de responsabilidade da PROPONENTE.
2.1.25 A PROPONENTE compromete-se a providenciar o Cadastro Nacional de Pessoa Jurídica - CNPJ e respectivas Inscrições Estaduais, além de mantê-las habilitadas, de acordo com suas respectivas licenças (EOTs).
2.1.26 A PROPONENTE se compromete a apresentar, renovar ou recompor, as garantias financeiras nos prazos e condições estipulados pela TIM, conforme descrito no ANEXO 2.
2.1.27 O não cumprimento das obrigações previstas nesta cláusula, sem prejuízo de outras obrigações eventualmente impostas por lei ou norma reguladora, importará nas penalidades previstas na cláusula 4.5 deste Contrato.
2.2. DAS OBRIGAÇÕES DA TIM
2.2.1. A TIM deverá disponibilizar à PROPONENTE, mediante o atendimento da PROPONENTE às condições estabelecidas nas CONDIÇÕES GERAIS PARA ESTABELECIMENTO DE PROPOSTA acima e o adimplemento total do pagamento definido no Anexo 4, a infraestrutura definida no Anexo 1, necessária à prestação do SMP por meio de Rede Virtual.
2.2.2. É dever da TIM o licenciamento das estações base e repetidoras, que não sejam vinculadas à PROPONENTE, bem como eventuais radioenlaces e estações satelitais utilizados na transmissão das primeiras estações.
2.2.3. A TIM será responsável pelo cumprimento de suas obrigações regulamentares junto à XXXXXX, enquanto Prestadora de Origem.
2.2.4. A TIM proporcionará à PROPONENTE as mesmas condições empregadas na prestação de serviços a seus próprios usuários.
2.3. DAS OBRIGAÇÕES COMUNS ÀS PARTES
1
2.3.1. Para a implementação do objeto previsto neste Contrato, as Partes se comprometem a trabalhar em conjunto e fornecer todas as informações necessárias, sejam elas de cunho financeiro, técnico, jurídico ou de qualquer outra natureza, respeitando-se as regras de governança e protocolos de confidencialidade previstos na Cláusula 7.5 abaixo.
2.3.2. Cada uma das Partes deve designar, no xxxxx xxxxxx xx 00 (xxxxxx) dias da obtenção da outorga pela PROPONENTE, uma equipe formada por pessoas com conhecimento necessário para a adequada implementação deste Contrato.
2.3.3. As Partes se comprometem a atuar com estrita observância dos ditames insertos na Resolução n.º 550/2010, e suas alterações, especialmente sobre as disposições do Capítulo II que trata dos Direitos e Deveres da Prestadora Origem – TIM - e da Autorizada de Rede Virtual - MVNO.
2.3.4. A TIM deverá indenizar a PROPONENTE de forma proporcional à sua responsabilidade por multas, sanções ou condenações individuais ou coletivas, que a PROPONENTE venha a sofrer, desde que tais fatos sejam comprovados e oriundos de falhas nas obrigações da TIM. Da mesma forma, a PROPONENTE deverá indenizar a TIM de forma proporcional por quaisquer multas, sanções ou condenações, individuais ou coletivas, que a TIM venha a sofrer, desde que tais fatos sejam oriundos de falhas comprovadas nos serviços e/ou obrigações da PROPONENTE.
CLÁUSULA TERCEIRA - DOS VALORES E FORMA DE PAGAMENTO
3.1. Conforme definido no item 2.1.3, a PROPONENTE será responsável pela cobrança dos Clientes.
3.2. A PROPONENTE deverá efetuar mensalmente o pagamento dos valores devidos à TIM no dia 25 (vinte e cinco) do mês subsequente ao da prestação dos serviços, em conformidade com o disposto no Anexo 4.
3.3. A TIM deverá encaminhar até o dia 10 (dez) do mês posterior ao da prestação dos serviços um relatório referente aos serviços prestados para a PROPONENTE.
3.4. Para fins de recebimento de tais valores, a TIM deverá encaminhar à PROPONENTE a Nota Fiscal de Serviços de Telecom (NFST), com a antecedência mínima de 05 (cinco) dias úteis da data do respectivo vencimento.
3.5. Em caso de contestação, se esta for interposta até a data de vencimento do DETRAM (DEMONSTRATIVO DE TRÁFEGO DE PROPONENTE), a PROPONENTE deverá efetuar, no mínimo, o pagamento da parte incontroversa. Caso contrário, o pagamento deverá ser feito de forma integral
3.6. A interposição de contestação deverá seguir as regras constantes do Anexo 9 deste Contrato.
3.7 Deverá a PROPONENTE efetuar o pagamento tempestiva e pontualmente do valor correspondente à parte incontroversa.
3.7.1 O não pagamento do valor correspondente ao montante incontroverso sujeitará a PROPONENTE, independentemente de qualquer aviso, sem prejuízo das exigibilidades pecuniárias cabíveis, na aplicação das seguintes penalidades:
a) multa moratória de 2% (dois por cento) sobre o valor total do débito original, aplicável a partir do dia seguinte ao do vencimento;
1
b) juros de mora de 1% (um por cento) ao mês sobre o débito, calculados pro rata temporis, contados a partir da data de vencimento do Documento de Cobrança até a efetiva liquidação do débito;
c) atualização dos valores em atraso pelo IPCA, ou por outro índice que venha a substituí- lo, até a data da efetiva liquidação do débito total.
3.8. Como garantia ao adimplemento de quaisquer valores devidos pela PROPONENTE à TIM, a PROPONENTE deverá fornecer garantia financeira em favor da TIM desde o início da operação comercial, conforme premissas e regras definidas no Anexo 2 deste Contrato.
3.8.1 Em Caso de inadimplência da PROPONENTE, a TIM poderá, a qualquer momento, executar a Garantia Financeira supramencionada, sem prejuízo da rescisão contratual e penalidades previstas na cláusula 4.5 deste Contrato.
CLÁUSULA QUARTA – DA VIGÊNCIA E RESCISÃO
4.1 O presente Contrato é firmado em caráter irretratável e irrevogável pelo período inicial de XXXXX anos (“Prazo Inicial”), contados a partir da data de assinatura do Contrato, podendo ser encerrado antecipadamente caso: i) a PROPONENTE não obtenha a autorização perante a Anatel, ii) a autorização da Prestadora Origem para a prestação do SMP (serviço móvel pessoal) seja extinta pelo Poder Concedente ou sofra restrição regulatória que inviabilize a manutenção do presente Contrato, iii) o Contrato seja denunciado (independentemente de qualquer motivo), por qualquer das Partes, mediante notificação prévia, com antecedência mínima de 180 (cento e oitenta) dias.
4.2 Após o decurso do Prazo Inicial, o Contrato será renovado automaticamente por períodos sucessivos de 02 (dois) anos (“Prazo de Renovação”).
4.3 O Contrato também poderá ser rescindido nos casos abaixo definidos:
a) Por qualquer das Partes, quando observado o inadimplemento das obrigações estabelecidas no presente Contrato, após o não atendimento de notificação concedendo o prazo de 30 (trinta) dias para que a obrigação inadimplida seja sanada pela Parte Infratora;
b) Requerimento de recuperação judicial ou extrajudicial ou decretação de falência de qualquer uma das Partes;
c) Por acordo mútuo entre as Partes;
d) Por não apresentação, recomposição ou renovação das garantias solicitadas, conforme regras definidas no Anexo 2;
e) Ocorrência de fato que, por sua natureza e gravidade, incidam sobre a confiabilidade e moralidade de qualquer das Partes ou que seja suscetível de causar danos ou comprometer, mesmo que indiretamente, a imagem da outra Parte;
f) Alteração societária da PROPONENTE ou cessão de parte de seus ativos;
4.3.1 A PROPONENTE deverá remunerar a TIM até a efetiva descontinuidade do compartilhamento de infraestrutura objeto deste Contrato.
1
4.4 Em caso de rescisão contratual por culpa da TIM nos termos do item 4.3, “a”, a TIM deverá arcar com os reais custos da migração, devidamente comprovados, da PROPONENTE para outra operadora de SMP, limitados ao valor máximo de R$ 2.000.000,00 (dois milhões de reais).
4.5 Sem prejuízo da rescisão contratual prevista na cláusula 4.3 “a”, em caso de saída imotivada ou rescisão do Contrato por culpa da PROPONENTE, toda base de assinantes da PROPONENTE, assim como a base de assinantes das eventuais Credenciadas que estejam sob sua estrutura, será notificada pela TIM do desligamento do serviço com antecedência mínima de 45 (quarenta e cinco) dias. Diante disso, a TIM está desde já autorizada a notificar os Clientes da PROPONENTE por meio de SMS e/ou outros meios de comunicação quanto ao desligamento do Serviço da PROPONENTE e as alternativas de adesão a um dos Planos de Serviço da TIM ou outra operadora, resguardada a possibilidade de solicitação de portabilidade. A notificação poderá ser diária até a data de desligamento do serviço, respeitada a regulamentação vigente, de modo a minimizar os impactos ao usuário final e garantir a continuidade e fruição dos serviços contratados.
4.5.1 Ocorrendo o encerramento do Contrato nos termos previstos no item 4.5. acima, a PROPONENTE deverá pagar multa equivalente ao somatório de:
4.5.1.1 Valor fixo de R$ 2.000.000,00 (dois milhões) de reais, corrigidos pelo índice aplicável ao presente Contrato;
4.5.1.2 Caso a PROPONENTE não possua compromisso de receita assumido será aplicada a multa de 30% (trinta por cento) sobre a média dos últimos 03 (três) meses anteriores à rescisão (receita líquida dos serviços de voz, dados, SMS e M2M faturados pela TIM à PROPONENTE), multiplicado pelo número de meses faltante para o término do Contrato;
4.5.1.3 Caso possua compromisso de receita assumido será aplicada a multa de 30% (trinta por cento) sobre saldo do compromisso remanescente.
4.5.2 Durante o período de migração mencionado na cláusula 4.5, a TIM deve ser remunerada pela infraestrutura fornecida nos termos deste Contrato, não sendo possível, porém, a solicitação de novas ativações pela PROPONENTE.
4.6 Em qualquer hipótese de rescisão ou término da vigência deste Contrato, as Partes deverão garantir a continuidade dos serviços durante o prazo de aviso prévio, para a base de Clientes existentes à época do término, bem como para novos Clientes que venham a contratar os serviços até que se obtenha uma solução para a migração de tais Clientes.
4.7 Os valores previstos nos itens 4.4 e 4.5.1 acima serão reajustados anualmente com base na variação do IPCA, ou por outro índice que eventualmente venha a substituí-lo.
4.8 Os valores descritos no item 4.4 deverão ser pagos pela TIM no prazo máximo de 60 (sessenta) dias contados da comprovação da migração total prevista, bem como os valores descritos nos itens 4.5.1 e deverão ser pagos pela PROPONENTE no prazo máximo de 60 (sessenta) dias contados da data do recebimento da notificação de rescisão. Após os prazos descritos acima, a Parte que deverá receber o valor da rescisão poderá tomar as medidas administrativas e judiciais cabíveis para cobrança, caso necessário.
1
CLÁUSULA QUINTA – DA EXCLUSIVIDADE
5.1 As Partes também concordam que a PROPONENTE deverá conceder à TIM exclusividade durante toda a vigência do Contrato de Compartilhamento de Infraestrutura para fins de Prestação de Serviços de Rede Móvel Virtual. Portanto, a PROPONENTE ou qualquer outra empresa do mesmo Grupo Econômico da qual a PROPONENTE faça parte, não poderá firmar qualquer contrato igual ou semelhante ao presente Contrato com outra Prestadora de Origem, salvo nos casos em que a TIM descumpra de forma injustificada, comprovada e reiteradamente as obrigações concernentes ao SLA acordado entre as Partes e desde que rescindido o presente Contrato.
5.2 O não cumprimento pela PROPONENTE da obrigação de exclusividade implicará na aplicação da penalidade prevista na cláusula 4.5.1 do Contrato, sem prejuízo do direito da TIM em rescindir o presente Contrato.
CLÁUSULA SEXTA – DA PUBLICIDADE
6.1 As Partes não poderão produzir, publicar ou distribuir folheto de divulgação ou qualquer outra publicação relativa à outra Parte, às suas coligadas ou a este Contrato, sem autorização prévia, por escrito, da outra Parte.
CLÁUSULA SÉTIMA – DA CONFIDENCIALIDADE
7.1 As Partes, seus funcionários e seus subcontratados não deverão divulgar qualquer documento ou Informação à qual tenham acesso, em relação ao objeto do presente Contrato. A divulgação e/ou reprodução, seja total ou parcial, de qualquer Informação, relativa a este Contrato ou de qualquer detalhe sobre sua evolução, deverá ser feita apenas mediante consentimento prévio, por escrito, da outra Parte, respeitando-se sempre os limites legais, as melhores práticas e documentos normativos da PARTE FORNECEDORA relativos à segurança e privacidade.
7.2 Cada Parte (doravante “Parte Receptora”) deverá manter todas as informações fornecidas pela outra Parte (doravante “Parte Fornecedora”) no mais estrito sigilo e não poderá divulgá-las a terceiros sem o consentimento prévio, por escrito, da Parte Fornecedora. As Informações não poderão ser utilizadas pela Parte Receptora para outra finalidade além da execução deste Contrato. As obrigações acima descritas não se aplicarão a qualquer Informação que:
(i) já forem de domínio público à época em que tiverem sido reveladas;
(ii) passarem a ser de domínio público após sua revelação, sem que a divulgação seja efetuada em violação ao disposto neste Acordo;
(iii) forem legalmente reveladas a qualquer das Partes, às suas Afiliadas ou aos seus Representantes por terceiros que, até onde a Parte receptora, suas Afiliadas ou Representantes tenham conhecimento, não estejam violando, em relação às informações fornecidas, qualquer obrigação de confidencialidade;
(iv) devam ser reveladas pela Parte Receptora, em razão de uma ordem emitida por órgão administrativo ou judiciário com jurisdição sobre referida Parte, somente até a extensão de tal ordem; ou
(v) forem independentemente obtidas ou desenvolvidas por qualquer das Partes sem qualquer violação das obrigações previstas neste Acordo, exceto quando tais informações forem desenvolvidas tendo como base as Informações Confidenciais.
7.3 A Parte receptora das Informações Confidenciais deverá comunicar à Parte FORNECEDORA tão logo o saiba, qualquer solicitação daquelas informações por quaisquer autoridades públicas competentes ou por meio de qualquer processo judicial, de forma que a Parte FORNECEDORA seja capaz de tomar as medidas legais que julgar cabíveis.
1
7.4 As Partes estão cientes de que cada uma delas faz parte de uma organização de várias entidades legais em diversas jurisdições (empresas “Associadas”), e que poderá ser necessário ou adequado fornecer Informações a empresas Associadas. Por esta razão, cada Parte (ambas em condição de Parte Fornecedora e Parte Receptora conforme este Contrato) está de acordo com o fato de que:
(i) A Parte Receptora poderá fornecer Informações a uma empresa Associada, mas apenas pela necessidade de a última tomar conhecimento dessas informações a fim de realizar as finalidades prevista neste Contrato, respeitando-se as diretrizes legais vigentes e nos limites do consentimento fornecido pelo titular dos dados; e
(ii) Cada Parte garante o cumprimento e a confidencialidade adequada, por parte de suas empresas Associadas, dos termos e condições desta Cláusula.
7.5 Cada Parte deverá limitar o acesso às Informações a seus funcionários, representantes, contratados ou consultores a quem este acesso seja razoavelmente necessário ou apropriado para o exclusivo propósito de garantir a adequada execução do presente Contrato.
7.5.1. A TIM se obriga a instituir mecanismos de governança e protocolos de confidencialidade estabelecidos em acordos e manuais operacionais específicos para analisar as informações da PROPONENTE que sejam imprescindíveis para avaliações técnicas, de impacto e de dimensionamento de rede exclusivamente relacionadas à apropriada execução e implementação deste Contrato.
7.6 O dever de Confidencialidade abrange as Informações recebidas pelas Partes, de forma oral ou escrita, através de diversos procedimentos de comunicação, tais como telefone, fac-símile e mídias digitais, de cujo sigilo uma Parte tenha sido alertada pela outra, por qualquer meio.
7.7 A não observância de qualquer das disposições estabelecidas nesta Cláusula sujeitará a Parte infratora aos procedimentos judiciais e administrativos competentes, de ordem civil e criminal, inclusive tutela antecipada, medidas liminares e indenização por perdas e danos que possam advir à outra Parte.
7.8 A obrigação de confidencialidade é em caráter irrevogável e irretratável, devendo ser observada mesmo após o encerramento do presente Contrato.
7.9 Todas as Informações Confidenciais transmitidas ou divulgadas à Parte Receptora devem ser devolvidas à Parte Fornecedora ou destruídas pela Parte Receptora de forma irrecuperável, tão logo tenha terminado a necessidade de seu uso pela Parte Receptora ou tão logo solicitado pela Parte Fornecedora e, em qualquer caso, na hipótese de término deste Contrato. A pedido da Parte Xxxxxxxxxxx, a Parte Receptora deverá se responsabilizar pelo transporte das informações solicitadas e prontamente emitir uma declaração a ser assinada por seu representante legal, confirmando que toda a Informação não retornada para a Parte Fornecedora foi inteiramente destruída.
7.10 O descumprimento da presente cláusula acarreta a imediata rescisão do presente Contrato, independentemente de prévia notificação.
XXXXXXXX XXXXXX – DA PROPRIEDADE INTELECTUAL
8.1 Os direitos de propriedade intelectual e industrial das obras criadas, desenvolvidas ou modificadas durante a vigência deste Contrato permanecerão como propriedade individual de cada uma das Partes, responsável pela criação, desenvolvimento ou modificação.
8.2 Nenhum direito de propriedade intelectual e industrial atualmente existente, ou que venha a ser adquirido ou licenciado por uma Parte, será outorgado à outra Parte.
1
8.3 Salvo autorização expressa em contrário, nenhuma Parte poderá publicar ou usar logotipo, marcas e patentes registradas pela outra Parte.
8.4 As marcas registradas por qualquer das Partes para identificar seus produtos e serviços, bem como o(s) logotipo(s) registrado(s) pelas Partes são de propriedade de cada uma delas.
8.5 A outra Parte, seus empregados ou entidades terceirizadas não terão quaisquer direitos, relativamente a essas marcas ou logotipos, exceto na medida expressamente estabelecida no presente Contrato e conforme especificado por escrito.
CLÁUSULA NONA – DA INEXISTÊNCIA DE VÍNCULO
9.1 Este Contrato não cria qualquer responsabilidade trabalhista e/ou previdenciária entre as Partes, os administradores, empregados, funcionários e consultores de cada uma e/ou terceiros por elas contratados que executarem o Objeto deste instrumento, sendo de exclusiva responsabilidade de cada uma das Partes o pagamento de todos os encargos aplicáveis, incluindo, sem limitação, os de natureza trabalhista, previdenciária e referentes a acidentes de trabalho.
9.2 Qualquer reclamação trabalhista ou outro tipo de ação que venha a ser apresentada por funcionários, prepostos ou agentes de uma das Partes, será de responsabilidade única e exclusiva da mesma, a qualquer tempo, ainda que após o término do presente Contrato, as quais assumirão integralmente a questão, respondendo pelo pagamento de indenizações, multas, honorários advocatícios, custas processuais e todos e quaisquer outros encargos que houver, independentemente de qualquer notificação, intimação, comunicação ou aviso. Se por qualquer motivo a parte inocente arcar com condenações, custas judiciais, despesas processuais, multas ou honorários advocatícios em processos trabalhistas judiciais ou administrativos de responsabilidade da outra parte, esta última deverá indenizar a primeira pelo valor despendido no prazo de 60 (sessenta) dias, contados da notificação
9.3 Cada Parte é exclusivamente responsável por seus funcionários e prepostos designados para as atividades objeto deste Contrato.
CLÁUSULA DÉCIMA – DA ISENÇÃO DE RESPONSABILIDADE
10.1 Cada Parte será a única e exclusiva responsável por seus negócios, tais como:
(i) atividade desempenhada por suas controladoras, controladas, coligadas, empregados, funcionários e/ou prestadores de serviços em função deste Contrato; (ii) violação ou inadimplemento de qualquer disposição deste Contrato, salvo se a violação ou inadimplemento ocorreu por ato ou fato de responsabilidade exclusiva da Parte contrária e que venha impactar diretamente a operação da outra Parte; e/ou (iii) ação, procedimento ou demanda promovida por terceiros relacionada a qualquer dos eventos previstos nos itens (i) e (ii), acima, isentando a Parte prejudicada, suas controladoras, controladas, coligadas e/ou fornecedores de quaisquer danos diretos comprovadamente resultantes dos eventos descritos acima.
10.2 Nenhuma das Partes responderá por insucessos comerciais, danos emergentes,lucros cessantes ou danos indiretos da outra Parte em decorrência de imperfeita execução do presente Contrato, ressalvadas as hipóteses de multa contratual e/ou responsabilidade expressamente previstas neste Contrato.
1
10.3 O presente Contrato não confere a qualquer das Partes poderes para assumir ou criar qualquer obrigação, expressa ou implícita, em nome de outra Parte, nem representar essa outra como agente, funcionário, representante ou qualquer outra função, permanecendo cada qual como inteiramente independente da outra.
10.4 As Partes declaram e garantem que (i) os seus representantes que firmam o presente Contrato, possuem plena capacidade para celebrá-lo e realizar todas as operações aqui previstas, independentemente de qualquer outra autorização, tendo tomado todas as medidas de natureza societária e outras eventualmente necessárias para autorizar a sua celebração, e que (ii) a celebração deste Contrato e o cumprimento das obrigações aqui previstas, não violam ou violarão qualquer disposição dos seus documentos societários ou das disposições de qualquer Contrato ou instrumento que tenham celebrado, não infringem ou infringirão qualquer disposição de lei, decreto, norma, ordem administrativa ou judicial ou regulamento ao quais o presente Contrato esteja sujeito, e não exigem ou exigirão qualquer consentimento, aprovação ou autorização de, aviso a, ou arquivamento ou registro junto a qualquer pessoa física ou jurídica, tribunal ou autoridade governamental.
CLÁUSULA DÉCIMA PRIMEIRA – DO CASO FORTUITO OU FORÇA MAIOR
11.1 As Partes não terão qualquer responsabilidade caso não cumpram quaisquer das disposições do presente Contrato em virtude da ocorrência de casos fortuitos ou de força maior, nos termos do Artigo 393 do Código Civil, desde que a(s) Parte(s) que se veja(m) impossibilitada(s) de cumprir com suas obrigações notifique à(s) outra(s) Parte(s), imediatamente, a respeito de tal circunstância.
11.2 A Parte que for afetada por caso fortuito ou motivo de força maior envidará seus melhores esforços para que cessem seus efeitos com a maior brevidade possível, não sendo isto possível, as Partes poderão rescindir o presente Contrato sem quaisquer ônus.
11.3 Cessados os efeitos de caso fortuito ou motivo de força maior, a situação original e regular de cumprimento das obrigações contratuais deverá ser imediatamente restabelecida.
11.4 Se a ocorrência de caso fortuito ou motivo de força maior prejudicar apenas parcialmente a execução das obrigações oriundas deste Contrato, por uma das Partes, a Parte afetada deverá cumprir as obrigações que não tiverem sido afetadas pela ocorrência do caso fortuito ou motivo de força maior, em sua maior extensão possível.
11.5 Quaisquer das PARTES poderá extinguir o Contrato na ocorrência de caso fortuito e/ou força maior que afete a sua execução, e o mantenha suspenso por mais de 90 (noventa) dias corridos, bem como se for comprovada a impossibilidade de cumprir o seu objeto.
CLÁUSULA DÉCIMA SEGUNDA – ANTICORRUPÇÃO E ÉTICA NOS NEGÓCIOS
12.1 Neste ato, as PARTES declaram possuir (i) códigos próprios de conduta que contemplam as diretrizes e os princípios de comportamento ético, íntegro e transparente a que se subordinam os seus administradores, empregados e colaboradores, e (ii) programas de compliance que visam garantir (a) o cumprimento da legislação, códigos, regulamentos, regras, políticas e procedimentos de anticorrupção de qualquer governo ou autoridade competente, considerando a jurisdição onde os negócios e serviços serão conduzidos ou realizados nos termos deste Contrato – em especial, a Lei nº 12.846/2013, o Decreto nº 8.420/2015 e a Lei dos Estados Unidos da América contra práticas de corrupção no exterior (“FCPA”) –, e (b) a identificação de desvios de conduta de seus administradores, empregados e demais colaboradores, direta ou indiretamente vinculados.
1
12.2 Nesse sentido, a PROPONENTE declara e garante que:
12.2.1 Visando garantir a efetividade do seu Programa de Compliance, dissemina e treina seus empregados, subcontratados, consultores, agentes e/ou representantes acerca do tema anticorrupção;
12.2.2 Tem conhecimento que a XXX xxxxx seus negócios e sua atuação na observância da ética e pelo desenvolvimento e crescimento sustentável, razão pela qual se compromete a respeitar e a proteger os direitos humanos, o direito do trabalho, os princípios da proteção ambiental e da luta contra todas as formas de corrupção, à luz dos princípios do Pacto Global das Organizações das Nações Unidas;
12.2.3 Reconhece que estão publicados no site da TIM os termos do seu Código de Ética e Conduta, da Política Anticorrupção e da Política de Conflito de Interesses disponíveis em xxxx://xxx.xxx.xxx.xx/xx > ESG > Regulamentos e Políticas, cujas diretrizes são amplamente divulgadas e disseminadas no âmbito da companhia, ao mercado e à sociedade;
12.2.4 Cumprirá e fará com que todos os seus empregados, subcontratados, consultores, agentes e/ou representantes que estejam relacionados ao escopo do presente Contrato, ainda que de forma indireta, cumpram o Código de Ética e de Conduta, a Política Anticorrupção e de Conflito de Interesses da TIM, mencionado no item 12.2.3;
12.2.5 Tem conhecimento que a TIM repudia e condena atos de corrupção em todas as suas formas, inclusive suborno, extorsão e propina, em especial, os previstos na Lei nº 12.846/2013 e no “FCPA”, o financiamento ao terrorismo, o trabalho infantil, ilegal, forçado e/ou análogo ao escravo, bem como todas as formas de exploração de crianças e adolescentes e todo e qualquer ato de assédio ou discriminatório em suas relações de trabalho, inclusive na definição de remuneração, acesso a treinamento, promoções, demissões ou aposentadorias, seja em função de raça, origem étnica, nacionalidade, religião, sexo, identidade de gênero, orientação sexual, idade, deficiência física ou mental, filiação sindical ou que atente contra (i) os direitos humanos e/ou impliquem ou resultem em torturas, físicas ou mentais; (ii) a saúde e a segurança pessoal e/ou do ambiente de trabalho; (iii) o direito de livre associação dos colaboradores, (iv) os direitos ambientais e de sustentabilidade, e (v) a valorização da diversidade; e
12.2.6 Não foi condenada por qualquer ato lesivo à administração pública, nem foi ou está listada por qualquer governo ou agência pública (tal como Nações Unidas ou Banco Mundial) como excluída, suspensa ou está indicada para exclusão e/ou suspensão ou inelegível para programas de licitação do governo
12.3 Considerando a responsabilidade estabelecida pelo artigo 2º da Lei nº 12.846/2013, a PROPONENTE não praticará qualquer ato lesivo previsto na referida lei - em especial, não ofereceu pagar, nem pagou, não pagará, oferecerá, prometerá ou dará, direta ou indiretamente, qualquer valor ou coisa de valor, incluindo quaisquer eventuais valores a ela pagos pela TIM, a qualquer funcionário ou oficial de um governo, empresa ou sociedade controlada pelo governo ou de propriedade do mesmo, partido político, candidato para cargo político, ou a qualquer outra pessoa estando ciente de ou acreditando que tal valor ou item de valor será transmitido a alguém para influenciar qualquer ação, omissão ou decisão por tal pessoa ou por qualquer órgão governamental com a finalidade de obter, reter ou conduzir negócios para si e/ou para a TIM - bem como em violação aos preceitos contidos no “FCPA”, em interesse e/ou em benefício, exclusivo ou não, da TIM.
12.3.1 Além disso, a PROPONENTE declara tomar, neste ato, conhecimento do Canal de Denúncias da TIM, disponível em xxxx://xxx.xxx.xxx.xx/xxxxx-xxxxxxxx/?xxxxxxxXX, e se compromete a, sempre que possível, submeter ali toda e qualquer tentativa e/ou prática a que for submetida, tomar conhecimento, ou contra qual for investida que enquadre-se nas condutas descritas na Lei nº 12.846/2013 e/ou violem as normativas
1
internas da TIM, em especial, mas não se limitando, ao Código de Ética e Conduta, a Política Anticorrupção, a Política de Conflito de Interesses e/ou legislações vigentes.
12.4 A TIM poderá, independentemente de qualquer disposição contrária contida neste Contrato e mediante notificação prévia, suspender e/ou rescindir este Contrato em caso de comprovada violação de qualquer declaração e/ou garantia estabelecida na presente Cláusula.
11.4.1 A PROPONENTE indenizará e isentará a TIM de e contra qualquer perda, reivindicação, custa ou despesa incorrida pela TIM, baseadas em ou decorrentes de qualquer violação das declarações e garantias estabelecidas na presente Cláusula ou em razão de qualquer violação ao disposto na legislação supracitada decorrente de qualquer ato, ativo ou omissivo, da PROPONENTE e/ou de seus Conselheiros, diretores, funcionários e/ou representantes.
12.4.2 A PROPONENTE se compromete a, sempre que solicitada, prestar (i) declaração de conformidade com as obrigações assumidas na presente cláusula e/ou (ii) esclarecimento acerca de eventual questionamento referente à fato ou evento relacionado às obrigações contidas na presente cláusula, compartilhando eventuais documentos solicitados.
12.5 Por fim, a TIM declara que as disposições deste Contrato foram negociadas à luz e em estrita observância ao seu Código de Ética e de Conduta e à legislação de proteção ao meio ambiente, demonstrando seu compromisso com o desenvolvimento sustentável e na manutenção do equilíbrio dos ecossistemas, conforme Política Ambiental disponível em xxxx://xx.xxx.xxx.xx/> ESG > Regulamentos e Políticas. Além disso, no que se refere às disposições contidas na presente Xxxxxxxx, a PROPONENTE, na qualidade de fornecedora e/ou parceira comercial, se compromete a observar e difundir em sua cadeia de negócios os princípios e valores éticos e sociais supramencionados, bem como o de concorrência.
CLÁUSULA DÉCIMA TERCEIRA – DA PROTEÇÃO DE DADOS
13.1. Para os fins deste Contrato, são considerados:
(a) “DADOS PESSOAIS”: qualquer informação obtida em meio online ou offline e capaz de identificar ou tornar identificável uma pessoa natural singular (“TITULAR ou TITULAR DOS DADOS”), incluindo informações que possam ser combinadas com outras para identificar um indivíduo, e/ou que se relacionem com a identidade, características ou comportamentos de um indivíduo ou influenciem na maneira como tal indivíduo é tratado ou avaliado; por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica (tais como cookies, beacons e tecnologias correlatas) ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular. A definição de Dados Pessoais também inclui o conceito de DADOS PESSOAIS SENSÍVEIS;
(b) “TRATAMENTO” (e os termos relacionados “TRATAR” e “TRATADOS”): qualquer operação ou conjunto de operações efetuadas com Dados Pessoais ou com conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. A PROPONENTE declara que o tratamento aqui definido será realizado no Brasil;
(c) “BASE LEGAL”: requisitos para o tratamento de Dados Pessoais definidos nos artigos 7º e 11 da Lei nº 13.709/2018. A identificação da base legal para cada dado pessoal a ser coletado pela PROPONENTE será realizada pela PROPONENTE, cabendo a esta a obrigação de apontar qual a base legal que deseja utilizar para legitimar cada operação de tratamento de cada dado pessoal a ser tratado pela TIM;
1
(d) “CONTROLADOR”: parte a quem competem as decisões referentes ao tratamento de Xxxxx Xxxxxxxx,
inclusive quanto à determinação das finalidades e dos meios de tratamento;
(e) “OPERADOR”: parte que trata Dados Pessoais de acordo com as instruções do CONTROLADOR e em
seu nome;
(f) “INCIDENTE”: incidente de segurança ocorrido no contexto do tratamento de Dados Pessoais e que possa acarretar risco ou dano relevante aos seus titulares, inclusive hipóteses de tratamento indevido de Xxxxx Xxxxxxxx.
13.2 As Partes declaram, por este Instrumento, que cumprem toda a legislação aplicável sobre privacidade e proteção de dados, inclusive (sempre e quando aplicáveis) a Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet (Lei Federal n. 12.965/2014), seu decreto regulamentador (Decreto 8.771/2016), a Lei Geral de Proteção de Dados (Lei Federal n.13.709/2018), e demais normas setoriais ou gerais sobre o tema, inclusive as estrangeiras.
12.3 As Partes reconhecem que, em virtude da celebração desse Contrato, podem ser realizadas operações de tratamento de Dados Pessoais. Em especial, concordam as Partes que, para os fins da legislação relacionada à proteção de Dados Pessoais aplicável, no âmbito do Contrato, a PROPONENTE deve ser considerada uma Controladora de Dados Pessoais, enquanto a TIM deve ser considerada uma Operadora.
13.3.1 As Partes declaram e garantem que cumprem e que continuarão cumprindo toda e qualquer obrigação legal aplicável relacionada à privacidade e à proteção de Dados Pessoais em decorrência do exercício de suas atividades no contexto do Contrato, sendo certo que manterão em segurança todos e quaisquer Dados Pessoais a que tiverem acesso em virtude da relação estabelecida em decorrência do Contrato.
13.3.2 Concordam as Partes que todos os Dados Pessoais tratados no contexto deste Contrato, inclusive todos os Dados Pessoais disponibilizados para tratamento em conexão com a prestação dos serviços objeto deste Contrato pela TIM, serão fornecidos, compartilhados e/ou disponibilizados pela própria PROPONENTE e/ou pelos terceiros por ela designados para tal finalidade, sem qualquer ingerência da TIM nesse sentido.
13.3.3 Para fins de esclarecimento, concordam as Partes que não constitui uma obrigação da TIM sob o Contrato o fornecimento, o compartilhamento e/ou de qualquer forma a disponibilização de acesso a quaisquer Dados Pessoais à PROPONENTE ou a terceiros, exceto aqueles necessários para garantir o cumprimento das obrigações da TIM expressamente previstas no Anexo 1 deste Contrato.
13.4 A PROPONENTE declara e garante que toda e qualquer operação de coleta, uso, tratamento e armazenamento de Dados Pessoais no âmbito do Contrato será realizada única e exclusivamente de forma a cumprir as finalidades relacionadas à execução do objeto deste Contrato e nos estritos limites nele previstos, observados os princípios de proteção de dados e sempre utilizando uma Base Legal válida para tal Tratamento, podendo ser, por exemplo, por meio do consentimento livre, informado e inequívoco do titular dos Dados Pessoais, exclusivamente para a realização de finalidades determinadas, ou mesmo por meio da necessidade do atendimento de interesse legítimo da PROPONENTE e/ou de terceiros com quem PROPONENTE mantenha relação jurídica, desde que dentro das legítimas expectativas dos respectivos titulares dos Dados Pessoais objeto do tratamento.
13.4.1 Sem prejuízo das demais disposições do Contrato, ficam vedadas quaisquer operações de tratamento de Dados Pessoais que sejam discriminatórios e proibidas pela legislação de privacidade e proteção de dados aplicável, ou incompatíveis com a natureza do dado pessoal tratado.
13.5 No contexto do tratamento de Xxxxx Xxxxxxxx pela PROPONENTE em conjunto a terceiros, incluindo, mas não se limitando aos seus fornecedores, fica estabelecido que todas as disposições estabelecidas nesta cláusula serão aplicáveis a tais terceiros, sendo a PROPONENTE a única e exclusiva responsável perante a
2
TIM por quaisquer perdas e danos causados à TIM e/ou a terceiros por tais terceiros em razão de eventual violação desta cláusula ou da legislação aplicável por tais terceiros e/ou pela PROPONENTE no contexto do tratamento de Dados Pessoais.
13.6 As Partes garantem que as informações tratadas no âmbito do Contrato estarão armazenadas em ambiente seguro, em servidores localizados no Brasil ou no exterior, observado o estado da técnica disponível, valendo-se de políticas e tecnologias de segurança como criptografia, controles de acesso e certificações de segurança específicos, e somente poderão ser acessadas por pessoas qualificadas e autorizadas pelas Partes, responsabilizando-se cada Parte por todo e qualquer acesso indevido a que tenha dado causa. Cada Parte se compromete a imediatamente informar a outra Parte em caso de suspeita ou de efetiva perda, destruição, alteração, divulgação e acesso e/ou tratamento ilegal ou não autorizado dos Dados Xxxxxxxx, a fim de protegê-los contra violações, em desrespeito aos termos deste Contrato, da legislação aplicável, para evitar eventuais danos e prejuízos às Partes e a terceiros.
13.7 A TIM não será responsabilizada, em nenhuma hipótese, por eventuais ações, omissões, falhas ou erros da PROPONENTE e/ou de quaisquer funcionários, prepostos, representantes ou terceiros por ela contratados, incluindo, mas não se limitando aos seus fornecedores, no contexto do tratamento de quaisquer Dados Pessoais sob este Contrato, bem como por quaisquer perdas consequenciais ou decorrentes do tratamento direto ou indireto dos Dados Pessoais, devendo a PROPONENTE indenizar e manter a TIM isenta de qualquer responsabilidade nesse sentido, independentemente de existência ou ausência de comprovação de dolo ou culpa por parte da TIM.
CLÁUSULA DÉCIMA QUARTA – DAS DISPOSIÇÕES GERAIS
14.1 Alteração. Qualquer alteração dos termos e condições deste Contrato somente será considerada válida se formalizada por escrito, em instrumento próprio, assinado por todas as Partes.
14.2 Natureza Vinculante. As Partes estabelecem, de forma irrevogável e irretratável, que se comprometem, desde já, a cumprir integralmente, o presente Contrato o qual é acordado de forma vinculante.
14.3 Renúncia. A tolerância de qualquer das Partes a um determinado inadimplemento de outra Parte não afetará ou prejudicará os direitos da Parte tolerante com relação a qualquer inadimplemento subsequente desta ou de outra natureza; nem o atraso ou omissão de qualquer das Partes no exercício de qualquer direito afetará ou prejudicará quaisquer direitos que a Parte inadimplente possa ter com relação a este ou qualquer futuro inadimplemento.
14.4 Nulidade Parcial. Se qualquer disposição deste Contrato for considerada inválida ou inexequível por qualquer motivo, tal invalidade não afetará a validade das demais disposições deste instrumento, e as Partes substituirão mediante acordo a disposição inválida por outra válida que mais se aproximar da intenção e do efeito econômico da disposição inválida.
14.5 Avisos. Todos os avisos que qualquer uma das Partes deva ou pretenda enviar à(s) outra(s) serão enviados por escrito e entregues pessoalmente para seus representantes legais. Qualquer aviso entregue será considerado dado somente após o comprovante de recebimento de fato das Partes a serem notificadas.
14.6 Cessão ou Transferência. O presente Contrato obriga as Partes, seus sucessores a qualquer título, tendo automaticamente sua titularidade transferida à entidade superveniente, e eventuais cessionários autorizados, sendo que qualquer outra alteração ou modificação contratual só terá validade mediante a celebração de termo aditivo, o qual deverá ser devidamente assinado pelos representantes legais das Partes.
14.7 Solução de conflitos. As Partes se comprometem em boa-fé empreender os melhores esforços para
2
dirimir eventuais conflitos oriundos do presente Instrumento.
14.7.1. Caso haja conflito de interesses entre as Partes, o mesmo poderá ser submetido a Processo de Resolução de Conflitos por meio de requerimento dirigido à ANATEL.
14.8 Este Contrato contém o compromisso integral entre as Partes com relação ao seu objeto e substitui todo e qualquer instrumento contratual ou acordo anterior, escrito ou oral, com relação a todas as questões cobertas por este Contrato ou nele mencionadas.
14.9 Este Contrato não cria qualquer tipo de sociedade, associação, joint venture ou qualquer outra relação de natureza semelhante entre as Partes, não sendo permitido qualquer das Partes agir em nome da outra.
14.10 As Partes reconhecem expressamente que todas as disposições deste Contrato foram integralmente negociadas e aceitas com o respaldo de seus consultores jurídicos, refletindo, portanto, a boa-fé subjetiva das Partes nesta contratação.
14.11 Quaisquer valores e penalidades previstos e oriundos do presente Contrato serão considerados dívidas líquidas e certas, servindo, para tanto, o presente instrumento, como título executivo extrajudicial, nos termos do art. 784, III do Código de Processo Civil.
14.12 As Partes reconhecem e xxxxx expressamente a veracidade, autenticidade, integridade, validade e eficácia deste Contrato nos termos dos artigos 104 e 107 do Código Civil, assinado pelas Partes em formato eletrônico e/ou por meio de certificados eletrônicos, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, nos termos do art. 10, § 2º, da Medida Provisória nº 2.200-2, de 24 de agosto de 2001.
CLÁUSULA DÉCIMA QUINTA: DO FORO E LEIS APLICÁVEIS
15.1 O presente Contrato será regido pela lei brasileira. Fica eleito o foro da Comarca da Capital do Estado de São Paulo para solucionar qualquer controvérsia oriunda deste Contrato, com expressa renúncia a qualquer outro, por mais privilegiado que seja.
E, por estarem assim justos e acordados, as Partes firmam o presente Contrato em 2 (duas) vias de igual forma e teor, na presença das testemunhas abaixo identificadas.
Rio de Janeiro, xx de xxx de 20xx.
TIM S.A.
PROPONENTE
Testemunhas:
Nome: Nome:
CPF: CPF:
2
ANEXO 1 – MATRIZ E DETALHAMENTO DE RESPONSABILIDADES
LEGENDA
X - Responsabilidade Principal
(X) - Co-responsável – a parte Co-responsável não responde diretamente pela responsabilidade, mas deve desenvolver alguma atividade para que a parte responsável possa garantir que o item seja cumprido.
TIM | PROPONENTE | ||
Técnicas | Prover documentação de integração para a MVNE | X | |
Integrar a plataforma MVNE da PROPONENTE com os elementos de rede da TIM | (X) | X | |
Garantir a estabilidade de integração entre os elementos de rede TIM e plataforma MVNE da PROPONENTE | (X) | (X) | |
Operar a plataforma MVNE | X | ||
Hospedar a plataforma MVNE | A discutir | A discutir | |
Prover previsão de demanda por CN e crescimento da base de assinantes da PROPONENTE, para dimensionamento técnico da rede e dos sistemas da TIM, respeitadas as regras de governança e protocolos de confidencialidade previstas na Cláusula 7.5 da Oferta Pública | X | ||
Prover e gerir soluções de antifraude | X | ||
Prover toda a infraestrutura de MVNE, com todas as plataformas necessárias, | X | ||
Prover plataforma de HLR | X | ||
Prover Rede de Acesso | X | ||
Garantir qualidade e cobertura das ligações e tráfego de dados | X | (X) | |
Definição do Perfil Elétrico de SIM Cards | X | ||
Customização de SIM Cards em ambos o menu e a aparência externa | X | ||
Habilitar o Plano de Numeração da PROPONENTE na rede | X | ||
Prover serviços de Valor Agregado | X | ||
Prover o SMSC para assinantes da PROPONENTE | X | ||
Prover capacidade de habilitar serviços de Números Curtos (short-codes) customizados para a PROPONENTE, mediante condições comerciais especificas. | X | ||
Cadastro | Armazenar informações cadastrais e de uso dos usuários da PROPONENTE para serem disponibilizadas em casos de requisições judiciais | X | |
GRAOP | Efetuar interceptações de chamadas em casos de requisições judiciais | (X) | X |
Legal | Representação frente a demandas em órgão oficiais da Justiça (estadual, federal, inclusive a trabalhista), Ministério Público e organismos de proteção ao consumidor (SENACON, PROCON, IDEC, etc.) | X |
2
Definição de patrono, xxxxxxx e acompanhamento de ação judicial em caso de inadimplência | X | ||
Acionamento judicial de clientes, em caso de inadimplência não solucionada através de cobrança extrajudicial | X | ||
Cobrança | Efetuar cobrança extrajudicial de clientes inadimplentes conforme norma vigente | X | |
Regulatórias | Requisitar Recurso de Numeração junto à Anatel | X | |
Consolidar os relatórios de acordo com as exigências regulatórias e disponibilizá-los à Anatel | X | ||
Prestação do SMP aos Usuários da PROPONENTE | X | ||
Autorização junto à Xxxxxx, nos termos do Regulamento de Operadoras Móveis Virtuais, na categoria Autorizada | X | ||
Homologação de planos de serviço, ofertas e promoções junto à Xxxxxx, de acordo com as exigências regulatórias | X | ||
Divulgação de Comunicado de novos Planos e Serviços, bem como alterações, seguindo os prazos e exigências regulatórias | X | ||
Armazenar informações cadastrais e de uso dos assinantes para serem disponibilizadas em casos de requisições judiciais e de cumprimento da regulamentação vigente | X | ||
Fiscais, Contábeis e Faturamento | Realizar encontro de contas, sendo responsável por todas as informações necessárias para garantir o acerto financeiro | X | X |
Faturar os usuários da PROPONENTE (no aspecto contábil) | X | ||
Efetuar o recolhimento de todos os tributos referentes ao faturamento dos usuários da PROPONENTE | X | ||
Custear FISTEL | X | ||
Adequar o billing com todas as regras fiscais | X | ||
Custear ICMS, PIS, COFINS, FUST, FUNTTEL em relação à fatura do cliente | X | ||
Validação das contas (amostragem) e liberação dos ciclos de faturamento | X | ||
Prover de CDRs brutos | X | ||
Gerir falhas de faturamento | X | ||
Impressão e emissão da conta telefônica | X | ||
Monitorar / ações para atraso em contas | X | ||
Gerir batimento entre HLR e Billing | X | ||
Implementação de novos Planos no sistema de Billing | X | ||
Implementação de novos serviços | X | ||
Análise de Reclamação e crédito aos clientes PROPONENTE | X | ||
Negociação de parcelamento de faturas dos clientes inadimplentes | X | ||
Gerir / Monitorar o crédito negativo Pré-Pago | X | ||
Comerciais | Definir e gerir todas as ações e canais de Vendas, Marketing, Comunicação,e Mídia | X | |
Definir e gerir todas as ações e canais de atendimento | X |
2
Custear todo o SAC (aquisição de clientes, comunicação, atendimento, subsídio de aparelhos, produção de SIM Cards, inadimplência, entre outros) | X | ||
Logísticas | Prover previsão de demanda para recursos de SIM Card | X | |
Gerir pedidos de produção de SIM Cards | X | ||
Gerir a distribuição de SIM Cards | X | ||
Custear a produção do SIM cards físico | X | ||
Efetuar o gerenciamento de recursos sobre o estoque de SIM Cards | X | ||
Prover previsão de demanda para recursos de Plano de Numeração | X | ||
Efetuar o gerenciamento de recursos sobre o estoque de Plano de Numeração | X | ||
Atendimento ao Consumidor | Prover à PROPONENTE um fluxo de informação que suportem o atendimento ao usuário (Gerenciamento de Mudanças, Gerenciamento de Falhas/Incidentes, Informações sobre status da rede, etc.) | X | (X) |
Efetuar o atendimento ao cliente (vendas e SAC) | X | ||
Oferecer suporte de segundo nível ao atendimento a PROPONENTE, através de sistemas de "trouble-ticketing" e/ou call-center especializado | X | (X) | |
Encaminhar à outra parte qualquer requerimento/reclamação de seus consumidores, entidades ou empresas que sejam recebidos através de qualquer canal (atendimento, lojas, PROCON, J Anatel, etc.). | X | X | |
Relacionamento entre Operadoras | Efetuar processo de encontro de contas com as demais operadoras para serviços faturados através de cofaturamento | X | |
Estabelecer acordos de Roaming junto às operadoras e estendê- los aos usuários da PROPONENTE | X | ||
Estabelecer acordos de Interconexão junto às operadoras e estendê-los aos usuários da PROPONENTE, de acordo com os termos do acordo comercial entre TIM e PROPONENTE | X | ||
Interfacear com a ABR Telecom para os trâmites de portabilidade | X | ||
Manter e disponibilizar uma base de dados com a lista de IMEIs proibidos e com a lista de IMEIs efetivamente utilizados pelos usuários da PROPONENTE | X | ||
Efetuar a Notificação de IMEIs e atualizações junto à ABR Telecom | X |
2
ANEXO 2 GARANTIA FINANCEIRA
1. Para amparar financeiramente a operação descrita no presente Contrato, a PROPONENTE deverá disponibilizar, a favor da TIM, uma garantia financeira, a ser definida entre Fiança Bancária, CDB Caucionado ou Depósito Bancário (por meio de adiantamento), respeitando as seguintes premissas:
1.1. A garantia financeira será calculada conforme o volume financeiro (faturamento mensal a ser devido pela PROPONENTE), previsto no plano de negócio da PROPONENTE, a ser preparado pela PROPONENTE e apresentado à TIM, respeitando-se as regras de governança e protocolos de confidencialidade estabelecidos em acordos e manuais operacionais específicos, para o período de 12 (doze) meses futuros, ou conforme o compromisso financeiro assumido pela PROPONENTE para os 12 (doze) meses futuros, o que for maior;
1.2. Somente serão aceitas garantias financeiras de bancos de primeira linha, conforme definição da TIM;
1.3. O prazo para disponibilização da garantia e os dados do banco emissor deverão ser apresentados à TIM para sua aprovação, no prazo de 60 (sessenta) dias antes do lançamento comercial. Após aprovação, a PROPONENTE terá o prazo de 15 (quinze) dias para entregar à TIM a referida garantia emitida. O lançamento Comercial estará condicionado a disponibilização da referida garantia.
1.4. A garantia deverá possuir prazo mínimo de vigência de 12 (dose) meses, devendo a PROPONENTE apresentá-la à TIM, ou providenciar sua renovação, se for o caso, em até 30 (trinta) dias antes do respectivo vencimento, mantendo-a válida durante toda vigência do Contrato, sob pena de rescisão do Contrato por inadimplemento e cobrança de penalidades nos termos da cláusula 4.5 deste Contrato;
1.5. A garantia oferecida (tipo, valor, etc), poderá ser reavaliada pela TIM, a qualquer momento, havendo a possibilidade de manutenção da garantia atual, troca do tipo de garantia, dispensa de apresentação de garantias, ou ainda, solicitação de novas garantias;
2
2. Em caso de inadimplemento contratual ou não pagamento pontual dos valores devidos pela PROPONENTE à TIM nos termos do presente Contrato, a TIM estará autorizada a executar a Garantia, independente de notificação prévia à MVNO, nos valores devidos, acrescidos dos encargos financeiros, conforme métrica abaixo:
a) multa moratória de 2% (dois por cento) sobre o valor total do débito original, aplicável a partir do dia seguinte ao do vencimento;
b) juros de mora de 1% (um por cento) ao mês sobre o débito, calculados pro rata temporis, contados a partir da data de vencimento do Documento de Cobrança até a efetiva liquidação do débito;
c) atualização dos valores em atraso pelo IPCA, ou por outro índice que venha a substituí-lo, até a data da efetiva liquidação do débito total.
3. Na hipótese de inadimplência da PROPONENTE com relação à apresentação, renovação ou recomposição da garantia financeira, ou ao pagamento de quaisquer valores devidos pela MVNO à TIM, relacionados ao Contrato, ambos por até 30 (trinta) dias consecutivos e considerando as obrigações de continuidade na prestação do serviço aos clientes, o Contrato poderá ser rescindido a critério da TIM nos termos da cláusula 4.5 deste Contrato.
2
ANEXO 3 - ACORDO DE NÍVEL DE SERVIÇO (SLA)
As Partes concordaram que o nível de serviço a ser prestado pela TIM à PROPONENTE será no mínimo o previsto no Regulamento de Gestão de Qualidade dos Serviços de Telecomunicações (RQUAL), aprovado pela Anatel, propiciando, em todo caso, as mesmas condições empregadas pela TIM na prestação de serviços a seus usuários.
A TIM deverá enviar até 30 (trinta) dias antes do lançamento comercial a grade de escalonamento e o procedimento de abertura de Boletins de Anormalidade.
2
ANEXO 4 - CONDIÇÕES COMERCIAIS
1.1. As tabelas de preços abaixo trazem as condições comerciais do presente Contrato, sendo integralmente condicionadas ao modelo estratégico, comercial, técnico-operacional e de custos estabelecidos entre as Partes. Assim, as condições apresentadas a seguir são válidas exclusivamente para o momento de implementação da PROPONENTE.
1.1.1. Para PROPONENTES que tenham celebrado contratos com a TIM anteriormente à data da publicação deste Contrato, cujo objeto seja o mesmo, a PROPONENTE, poderá, a seu exclusivo critério, ter seus contratos adequados às novas condições, inclusive quanto ao prazo de vigência.
1.2. Consideram-se preços para PROPONENTE os valores-padrão cobrados, assim como eventuais descontos progressivos concedidos com base em critérios objetivos, isonômicos e não discriminatórios, inclusive relacionados a compromissos de receita dentro de determinados períodos de tempo a serem acordados entre as Partes.
1.3. Tabela de Preços:
Serviço | Sem compromisso de Receita | Com compromisso de Receita | Unidade | Descrição |
Chamada de Voz originada | R$ 0,02960 | R$ 0,02000 | minuto | Valor tarifado por quaisquer chamadas originadas pela PROPONENTE na rede da XXX |
Xxxxxxx de Voz entrante | R$ 0,02072 | R$ 0,01400 | minuto | Valor tarifado pelas chamadas entrantes na rede TIM para a PROPONENTE. |
SMS | R$ 0,01560 | R$ 0,01560 | evento | Valor tarifado por envio de SMS (on/off net) |
Dados (2G/3G/4G/5G/) | Tabelas Dados 1 | Tabelas Dados 2 | MB | Valor tarifado por MB trafegado da rede TIM |
Assinatura M2M/IoT | Tabela 3 | Tabela 3 | usuário/mês EoP | Valor aplicado por acesso M2M e NB-IoT registrado na rede TIM |
Projeto Técnico | R$ 2.000.000,00 | R$ 2.000.000,00 | Valor aplicado o projeto técnico/integração. |
Todos os valores acima são líquidos
Tabela Dados 1 : Sem compromisso de Receita | Tabela Dados 2 : Com compromisso de Receita | |||
Faixa de Consumo de Dados (tráfego acumulado em PB desde o início da operação) | R$ P/MB | Compromisso de Receita Líquida dos serviços MVNO (Voz, SMS, Dados - Human e M2M/IoT) Período de 24 Meses | R$ P/MB | |
Até 1PB | R$ 0,00440 | R$ 4.509.715,66 | R$ 0,00327 | |
1PB a 2PB | R$ 0,00420 | R$ 6.451.200,00 | R$ 0,00300 | |
2PB a 3PB | R$ 0,00399 | R$ 12.852.689,63 | R$ 0,00294 | |
3PB a 4PB | R$ 0,00379 | R$ 16.277.926,05 | R$ 0,00288 | |
4PB a 5PB | R$ 0,00362 | R$ 19.434.727,01 | R$ 0,00282 | |
5PB a 6PB | R$ 0,00344 | R$ 22.162.031,25 | R$ 0,00276 | |
6PB a 7PB | R$ 0,00327 | R$ 24.577.950,35 | R$ 0,00271 | |
7PB a 10PB | R$ 0,00300 | R$ 32.212.254,72 | R$ 0,00265 | |
10PB a 18PB | R$ 0,00275 | R$ 53.150.220,29 | R$ 0,00253 | |
Acima de 18PB | R$ 0,00253 | Todos os valores acima são líquidos |
Todos os valores acima são líquidos
2
Tabela 3: Assinatura M2M/IOT | |
Nº de acessos Base (EoP) mês | Assinatura Mensal R$ p/acesso |
Até 50.000 | R$ 0,75 |
De 50.001 a 100.000 | R$ 0,74 |
De 100.001 a 150.000 | R$ 0,73 |
De 150.001 a 300.000 | R$ 0,72 |
De 300.001 a 500.000 | R$ 0,70 |
De 500.001 a 800.000 | R$ 0,68 |
De 800.001 a 1.100.000 | R$ 0,66 |
De 1.100.001 a 1.500.000 | R$ 0,64 |
De 1.500.001 a 1.900.000 | R$ 0,62 |
De 1.900.001 a 2.400.000 | R$ 0,60 |
De 2.400.001 a 2.900.000 | R$ 0,58 |
De 2.900.001 a 3.500.000 | R$ 0,56 |
De 3.500.001 a 4.200.000 | R$ 0,54 |
De 4.200.001 a 5.000.000 | R$ 0,52 |
Acima de 5.000.001 | R$ 0,50 |
Todos os valores acima são líquidos
1.4. Considerações da tabela de preços:
1.4.1. A PROPONENTE deverá escolher dentre as tabelas 1 e 2 de Dados qual a sua preferência. Sendo certo que caso opte pela tabela 2 deverá indicar qual o compromisso de receita assumido. Esta escolha estará ratificada através da assinatura de um termo aditivo à este Contrato.
1.4.2. As atuais MVNOs Autorizadas da TIM que optarem pela adesão ao presente Contrato terão o histórico do tráfego de dados até então acumulado migrado para este Contrato. Neste sentido, por exemplo, caso a MVNO opte pela tabela 1, será aplicada a tarifa de dados correspondente ao volume da faixa do histórico do tráfego de dados acumulado advindo do Contrato migrado.
1.4.3. A contabilização do histórico do tráfego de dados acumulado advindo do Contrato migrado se dará desde o início da operação, mesmo que ocorra alternância entre as tabelas 1 e 2, durante a vigência do Contrato.
1.4.4. A PROPONENTE mesmo após a Contratação da Oferta poderá migrar da tabela 1 para a tabela 2, por meio da assinatura prévia de um termo aditivo, a qualquer momento, desde que esteja adimplente e apresente as garantias financeiras estabelecidas pela TIM. O retorno da tabela 2 para a tabela 1 só poderá ocorrer após o término da vigência e quitação do compromisso de receita assumido.
1.4.5. A PROPONENTE que aderir a tabela 2 deverá:
a) Estar adimplente durante toda a vigência do contrato;
i. Na hipótese de qualquer evento de inadimplência, a TIM poderá imediatamente retroagir a tarifa de dados - relativo ao tráfego inadimplido - para R$ 0,0044 sendo a mesma aplicada até o adimplemento da(s) obrigação(ões).
3
b) Se manifestar com 90 (noventa) dias de antecedência ao término da vigência do compromisso de receita, informando se deseja migrar para a tabela 1 ou aderir a um novo compromisso da tabela 2, sendo que tal opção deverá ser formalizada previamente por meio da assinatura de um novo termo aditivo.
i. Caso não haja manifestação da PROPONENTE, haverá migração automática para as condições da tabela 1, em que será aplicada a tarifa de dados correspondente à faixa de dados do tráfego acumulado.
1.4.6. Ao final da vigência do compromisso, caso o valor total faturado (líquido de impostos) seja inferior ao valor compromissado, a TIM emitirá uma fatura com o valor da diferença em até 30 dias do término da vigência do compromisso.
1.4.7. A PROPONENTE deverá efetuar mensalmente o pagamento dos valores devidos à TIM. Os valores são líquidos de Impostos e Contribuições Sociais.
1.4.8. As Partes concordam em negociar, a qualquer momento durante a vigência do Contrato, preços promocionais por tipo de serviço prestado, de acordo com a disponibilidade e/ou viabilidade.
1.4.9. Os valores comerciais serão revistos a cada 12 (doze) meses, com a finalidade de adequação aos custos de tecnologia envolvidos.
1.5. Definições:
1.5.1. Regras Serviço de Voz incluído VoLTE:
1.5.1.1. Chamadas de voz originada: Preço de qualquer chamada originada (normal/cobrar, local/longa distância), realizadas na rede TIM, é o valor pago por minuto de ligação, a título de remuneração parcial pela utilização da rede TIM. Neste preço não estão inclusos os valores de transporte nacional para a terminação dessas chamadas com destinos a números fixos e móveis, seja utilizando o serviço de transporte da própria TIM ou por meio da rede de terceiros, a fim de garantir a complementariedade de rede;
1.5.1.2. Chamadas de voz entrante: Preço da chamada recebida na rede TIM apenas na diretriz off-net, é o valor pago por minuto de ligação, a título de remuneração parcial pela utilização da rede TIM. Não há cobrança para as chamadas recebidas on-net na rede da TIM;
1.5.1.3. Para o serviço de VoLTE (voz sobre 4G) a TIM poderá adequar a forma de cobrança de minutos para Dados VoLTE, alterando a oferta e informando antecipadamente à PROPONENTE.
1.5.1.4. Interconexão e transporte fazem parte de contratos apartados com respectivos valores.
1.5.2. Regras Serviço de SMS:
1.5.2.1. SMS Originado: o valor pago por SMS enviado pelos usuários da PROPONENTE para qualquer outro terminal do SMP ou SME do Brasil ou Aplicações;
1.5.2.2. SMS Recebido: Não existe cobrança para SMS recebido.
3
1.5.3. Regras Serviço de Dados:
1.5.3.1. Valor pago pela utilização do tráfego de dados na rede 2G, 3G, 4G e 5G. O valor será cobrado por megabyte trafegado na rede TIM, a título de remuneração parcial pela utilização da rede TIM;
1.5.3.2. Conforme clausula 1.4.1 deste ANEXO 4, a PROPONENTE deverá optar por uma das modalidades de contratação que deverá ser formalizada através da assinatura de um termo aditivo à este contrato. Caso opte pelo modelo 2, deverá indicar o valor compromissado referente a uma das faixas da tabela Dados 2:
1.5.3.2.1. Modelo 1 : “Tabela Dados 1: Dados”,onde o valor aplicado por MB seguirá aos valores de acordo com o tráfego de dados acumulado (Human e M2M/Nb-IoT) desde o lançamento comercial:
1.5.3.2.1.1. As PARTES negociarão novas faixas de consumo e condição comercial após a PROPONENTE atingir o volume acumulado de 30PB.
1.5.3.2.2. Modelo 2 : “Tabela Dados 2: Dados”, onde a PROPONENTE se compromete com valor de receita liquida equivalente a uma das faixas da Tabela para usufruir da tarifa de dados da respectiva faixa pelo período de 24 meses a partir do lançamento comercial;
1.5.3.2.2.1. Ao final do período do item 1.5.3.2.2 caso o valor faturado (líquido de impostos) no período for inferior ao valor compromissado, a TIM emitirá uma fatura com o valor da diferença em até 30 dias do término do período;
1.5.3.2.3. A TIM solicitará a qualquer momento uma Garantia Financeira, que deverá ser apresentada no prazo, modalidade e valor estipulados pela TIM nos termos estabelecidos no Anexo 2 deste Contrato.
1.5.3.2.3.1. A apresentação da Garantia Financeira na modalidade, valor e prazo estipulados pela TIM é uma obrigação da PROPONENTE e sua não apresentação implica em inadimplemento contratual.
1.5.4. Regras Serviço de M2M/IoT:
1.5.4.1. Haverá cobrança de assinatura por acesso registrado na rede TIM no mês do Ciclo de Apuração, de acordo com a Tabela 3;
1.5.4.2. A Cobrança do MB de M2M/IoT nas redes 2G, 3G, 4G, 5G e NB-IoT seguirá o valor definido no item 1.5.3.2.;
1.5.4.3. A PROPONENTE deverá indicar a faixa de IMSI dedicada a M2M/ IoT previamente. Com a base na faixa de IMSI serão aplicadas as regras de negócio de M2M/IoT (incluindo NB-IoT);
1.5.4.4. Caso seja identificado tráfego M2M/IoT fora da faixa de IMSI destinada a M2M/IoT a TIM poderá aplicação a seguinte penalidade:
1.5.4.4.1. Cobrança R$ 3,00 por acesso multiplicado pelos meses de uso. Identificação pela TIM por histórico de perfil de tráfego e APN.
3
1.5.5. Projeto Técnico:
1.5.5.1. PROJETO TÉCNICO: Valor a ser pago à TIM pelos custos incorridos para implementação do projeto técnico de compartilhamento de infraestrutura de Rede e Sistemas (topologia, requisitos funcionais e técnicos, e efetiva integração dos sistemas e redes), incluindo investimentos, adaptações tecnológicas e integrações técnicas necessárias para permitir o funcionamento da PROPONENTE.
1.5.5.2. Para fins de recebimento de valores referentes a projeto técnico, a XXX xxxxxx encaminhar a PROPONENTE a Nota Fiscal, com a antecedência mínima de 05 (cinco) dias úteis da data do respectivo vencimento. O faturamento deverá ser processado pela filial da TIM situada à Av. Xxxxxxxxx xx Xxxxxx, xx 00, Xxxxx X, Xxxx Xxxxxx Xxxx, Xxxxx Xxxxx/XX, inscrita no CNPJ/MF sob o nº 02.421.421/0231-62 e com Inscrição Municipal sob o nº 249349
1.5.5.2.1. Cobrança relacionada ao projeto/integração de PROPONENTE será aplicada da seguinte forma:
1.5.5.2.1.1. 30% em até 30 dias após o início da integração técnica; 1.5.5.2.1.2. 30% em até 30 dias após a conclusão da integração técnica; 1.5.5.2.1.3. 40% em até 60 dias após o lançamento comercial do serviço
pela PROPONENTE nos termos do item “n” do “Considerando” deste contrato;
ANEXO 5 – PRÁTICAS DE ANTIFRAUDE
1. OBJETIVO
1.1 Desenvolvimento de ações coordenadas de prevenção e controle da fraude nas chamadas cursadas nas redes da PST e da OPERADORA A.
2. DEFINIÇÕES
Fraude – obtenção ou uso de um produto/serviço de Telecomunicações com a pré-disposição de não realizar o pagamento integral do produto/serviço utilizado ou ainda gerar cobrança indevida a terceiros em violação à legislação e/ou regulamentação aplicáveis. A fraude pode objetivar o benefício do anonimato, ganho financeiro ou apenas economia para o usuário.
Ataque – consiste na origem indiscriminada de ações de acesso a endereços IP de qualquer ponto da rede Internet, com a finalidade de congestionar redes de clientes, provedores ou usuários da Internet, através de sobrecarga aplicada à Infraestrutura ou elemento de rede.
Invasão – Consiste no acesso indevido a Redes IP, de forma não autorizada e indesejada, a fim de coletar ou modificar informações, uso de sistemas ou softwares, implantação de softwares ou informações indesejadas, ações que causem redução de desempenho, restrição de acesso, enfim, qualquer ato ou ação indesejada.
3
Subscrição – aquisição fraudulenta de serviços através do uso indevido de informação cadastral inexistente, ilegal ou autêntica pertencente a terceiros (seja pessoa física ou jurídica).
Interna – Qualquer tipo de utilização, por parte de um colaborador ou terceiro, através das deficiências técnicas da operadora para realizar a utilização abusiva ou indevida dos serviços e produtos.
Outras – todos os outros tipos de fraudes não definidas neste item.
3. DAS OBRIGAÇÕES DAS PARTES
3.1 As PARTES se comprometem a adotar procedimentos e parâmetros operacionais de prevenção e detecção de Fraudes em suas respectivas redes, objetivando inibir as práticas já conhecidas e as advindas de novos avanços tecnológicos que surgem a cada dia no Setor de Telecomunicações. Dentre alguns tipos de Fraude, pode-se destacar:
3.1.1. Fraude de Subscrição: Aquisição fraudulenta de serviços através do uso indevido de informação cadastral inexistente, ilegal ou autêntica pertencente a terceiros (seja pessoa física ou jurídica).
a. Roubo de Identidade: Falsidade ideológica - Suposto cliente (fraudador) utiliza os dados pessoais de terceiros, cuja origem é roubo ou falsificação, para adquirir produtos ou serviços;
b. Aquisição de Terceiros: O titular provém ou vende seus dados pessoais de identificação para o fraudador, para adquirir produtos ou serviços da companhia;
c. Aquisição Própria ou "Auto Fraude": O próprio titular adquire produtos ou serviços da companhia, mas com clara e evidente intenção de não pagar;
d. Aquisição de Longa Distância: Falsidade ideológica de Longa Distância - O mesmo "modus operandi" do "Roubo de Identidade", mas em outras operadoras, utilizando os serviços de longa distância;
e. Aquisição de Serviço de Roaming: Fraudador utiliza os serviços de "roaming out" em outras operadoras que têm acordo com a operadora dona do terminal, mas com clara intenção de não pagar.
3.1.2. Fraude Técnica: Utilização indevida de serviços telefônicos, pertencente a terceiros (usuário ou operadora de telecom).
Invasão de PABX: Acesso não autorizado a PABX com o propósito de gerar tráfego artificial para destinos desconhecidos ou suspeitos, afetando o Cliente proprietário do PABX.
a. Invasão - Gestão Cliente: Por definição contratual, neste caso, a gestão do PABX pertence ao Cliente. Com isto, a responsabilidade por eventuais invasões também é do Cliente;
b. Invasão - Gestão Operadora: Por definição contratual, neste caso, a gestão do PABX pertence a Operadora, que tem responsabilidade efetiva por esta fraude.
Clone: Uso indevido do serviço mediante o registro e ativação de um terminal na rede com os mesmos dados de um terminal legítimo já existente na mesma rede.
a. Equipamento: Ocorre quando a clonagem é realizada em um celular ou seus componentes devido a vulnerabilidade de tecnologia;
b. Smart Card: Ocorre quando a clonagem é realizada em um "smart card" de plataformas de terminais pré-pagos;
c. Calling Card: Ocorre quando a clonagem é realizada em um cartão que não admite recarga, mas tem seu número de PIN, ou mesmo em cartões utilizados em telefones públicos.
Extensão Clandestina: Uso indevido de um serviço ou produto ativo na operadora, objeto de furto através de uma extensão clandestina, feita de maneira física ou lógica. Caracteriza-se por um roubo de serviço.
3
a. Física - Clip-on: Uso não autorizado da linha fixa, mediante uma derivação irregular, não conhecida pelo cliente;
b. Banda Larga: A extensão clandestina é realizada por meio lógico ou meio físico, por exemplo: através do rastreamento do sinal "wireless" do "Router" do Cliente.
3.1.3. Operadoras: Operadoras que, através de métodos não ortodoxos e contrários à legislação e regulamentação aplicáveis no Brasil, geralmente não regulamentados em seu País, ou inclusão de uma fraude, geram tráfego para obtenção de tarifas de interconexão.
a. "PRS (premium rate service)": Os provedores de serviços "PRS" oferecem vantagens ou ganhos para os Clientes que ligam para seus números. Geralmente estes provedores têm acordos com outras operadoras;
b. Refiling: Operadoras de longa distância manipulam o tráfego de interconexão e seus CDR's, mudando este tráfego para uma classe tarifária mais barata, com clara intenção de pagar menos interconexão;
c. Cobilling: Operadoras locais, no momento em que tem que validar os CDR's de Tráfego de longa distância de outras operadoras, procede com impugnações indevidas;
d.Manipulação SS7: Operadoras, no momento em que ocorrem as chamadas, fazem a programação incorreta de suas centrais, informando SS7 incorretamente.
3.1.4. Revenda de Serviços: Caracteriza-se pela prestação de serviços de telecomunicações por pessoas físicas ou jurídicas que não tem autorização para prestar estes tipos de serviços. Geralmente os fraudadores contratam os serviços básicos da empresa e fazem a revenda dos mesmos, de forma compartilhada.
x.Xx Pass : Sainte ou entrante. O fraudador adquire serviços telefônicos, e/ou infraestrutura de links, transforma a voz em dados e envia o tráfego para outros destinos, geralmente internacionais;
b. Banda Larga: O fraudador adquire um serviço de banda larga de alta velocidade e compartilha o serviço através da rede física, wireless, ou rádio freqüências;
c.Arbitragem: "Tipos de Arbitragem nas telecomunicações:
1. Callback (Landing ilegal): O originador de uma chamada, faz um serviço em resposta, imediatamente é desconectado e chamado de volta: A empresa que faz a chamada geralmente utiliza telefonia IP no trecho internacional com terminação na telefonia regular do país correspondente a preço de chamada local (ou também está localizada no país de alguma operadora, possivelmente atacadista, que oferecem chamadas internacionais baratas).
2. Refilling: Técnica para a substituição da CLI (Call Line Identify), em um ponto da rota de uma chamada, para tirar proveito de melhores taxas de acordos tarifários entre os Países.
3.1.5. Dealer: Trata-se das fraudes cometidas pelos "Dealers", empresas ou empregados de terceiros que trabalham direta ou indiretamente para a Operadora.
a.Venda Indevida: Xxxxxx não solicitadas pelos clientes ou aquisição de equipamento em nome do cliente são realizadas pelos dealers, geralmente com a intenção de ganhos de comissões ou também motivado por estelionato;
b.Comissões Indevidas: Acesso indevido e manipulação dos sistemas de gestão de comissões, atribuindo comissões indevidas, sem correlação com as vendas;
c.Reciclagem: Sem nenhuma solicitação ou autorização do cliente, o dealer da baixa e alta em um terminal, obtendo ganho de comissão, de forma indevida.
3.1.6. Fraude Interna: Delitos praticados por empregados ou terceiros que trabalham para a companhia, que se aproveitam das vulnerabilidades dos sistemas de gestão de clientes, sistemas de faturamento, de rede, e outros.
a.Descontos Indevidos: Descontos em produtos ou serviços que são atribuídos a clientes de maneira irregular . Acesso indevido à plataforma de gestão de pré-pagos, fazendo recargas indevidas nos terminais;
3
b.Vagos: Terminais vagos (sem clientes) são ativados, programados e liberados para utilização fraudulenta;
c. Isenção de Tarifas: Isenção de tarifas dos clientes que são praticadas de maneira indevida; d.Habilitação Indevida: Habilitação no sistema de provisionamento (HLR), sem a inserção correspondente nos sistemas de faturamento;
e.Recargas Indevidas: A alocação de saldos indevidos através do sistema comercial para os produtos pré-pago e controle;
f.Alteração de Dados do Cliente: A fraude por transações indevidas realizadas por usuários com acesso ao sistema, tanto interno como externo, alteração de equipamento, aumento de limite de consumo. Alteração de nome, alteração de assinatura, alterações no cadastro do cliente, ajustes indevidos e acessos a serviços de valor agregado;
g.Sincronismo de Sistema: Fraudes identificadas através do monitoramento de recargas virtuais, como por exemplo: estornos indevidos que se realizam para fazer compras durante o tempo que demora a execução do estorno. Fraude gerada por produto que compartilha seu saldo, onde o cliente compra, estorna e logo compartilha o saldo no tempo que dura o estorno;
h.Rede: Exclusão de informação da plataforma de voz e dados. Ativação de redes/ serviços, dados de baixa;
i.Fuga de Terminais: Fraudador adquire o aparelho móvel com desconto da operadora e ativa e utiliza os serviços em outra operadora. O aparelho móvel é roubado e tem a ativação indevida do IMEI em outras operadoras ou em outros países.
3.1.7. Engenharia Social: Obtenção de informações sensíveis através da utilização de subterfúgios através do engano provocado em legítimo cliente e posterior uso do serviço.
a.Programação de Serviços: induzir o cliente de boa-fé a disponibilizar“facilidades”para fins
fraudulentos (siga-me, conferência e chamadas à cobrar);
b. Smishing: Refere-se a "pesca" de informação de clientes através de SMS para cometer fraude, apresenta-se também solicitando a vítima que faça recargas para um número celular em particular; c. Degradação de Imagem – Extorsão: Fraudes que são cometidas usando a rede da operadora para fraudar os usuários finais da empresa, muitas vezes o fraudador se passa por funcionário da operadora. - Fraude cometida por grupos criminosos através de extorsão aos usuários finais da rede da operadora, seja por SMS ou Voz;
d. Alteração Cadastral: Prática realizada pelo fraudador que de posse dos dados do cliente legítimo, através dos canais de atendimento das prestadoras passa a ter a posse do serviço. Podem ser:
1. Mudança de Endereço: Fraudador, entra em contato com o atendimento e solicita a mudança de endereço da prestação do serviço e a linha é instalada na casa do fraudador. O cliente legítimo tem sua linha cortada.
2. Mudança da Data de Vencimento: Prática realizada para que o cliente legítimo não perceba cobrança que ele não reconheça a origem. Esta prática esconde uma fraude de gato por exemplo.
✓ e. Golpe do WhatsApp: Criminosos se passam por funcionário de prestadoras ou de entidades financeiras, bancos, INSS, etc... informando sobre atualização cadastral e enviam um código para o cliente, e ao digitar esse código a conta de WhatsApp do cliente é clonada.
✓ f. Call Back: Fraudador liga para várias pessoas deixando tocar por alguns segundos e desliga a chamada fazendo com que as mesmas retornem a ligação pra ele, para receber remuneração de rede.
✓ g. Spoofing: Spoofing, no vocabulário de segurança e redes, o termo descreve uma falsificação de origem. Essa ação é uma falsificação tecnológica, onde no caso de Telecom, o número de telefone de origem é modificado para burlar a identificação no destino, em chamadas de voz, SMS, etc, facilitando a aplicação de golpes simulando atendimento de entidades financeiras, bancos, etc.
3
✓ h. SIM swap (Troca de Chip): De posse de um chip em branco e dados do usuário, o fraudador liga para a operadora ou procura uma loja se passando pelo cliente(vítima), fornece os dados necessários e solicita a ativação do número no novo chip. A partir daí, o fraudador tem acesso a ligações, mensagens SMS e senhas, podendo ativar apps como o WhatsApp em seu aparelho.
✓ i. Conta Whatsapp Falsa: Criminosos ativam chip pre pago em qualquer operadora e criam uma conta no Whatsapp com a foto de outra pessoa(Vitima), em posse dos contatos principais da vítima, manda mensagens pelo aplicativo pedindo dinheiro, mesmo sem créditos e o acesso já bloqueado por falta de créditos, ele continua utilizando a conta do Whatsapp pelo Wifi;
3.1.8. Tráfego Artificial: Geração de tráfego, sem que haja a real utilização dos serviços pelo usuário ou que mantém a chamada ativa com objetivo de entretenimento, ou simplesmente utilização do canal (voz, dados e sms), visando desbalanceamento entre a receita de público e os valores de remuneração, com a finalidade contrária à transmissão de voz e de outros sinais destinadas a comunicação entre pontos fixos e móveis determinados, utilizando processos de telefonia, caracterizando assim, o uso inadequado do STFC, SMP e SME.
3.2 Manter pessoal técnico capacitado para interagir na detecção, localização e isolamento de Fraudes, Ataques e ações prejudiciais à segurança das redes.
3.3 Atuar, quando requisitada pela outra PARTE, nos procedimentos de controle e no desenvolvimento de ações, tão logo venha ocorrer e sejam identificadas situações de fraude relacionadas ao tráfego entre as redes das PARTES.
4. PROCEDIMENTOS A SEREM ADOTADOS
4.1 Manter Sistema de Controle de Ataques e Fraudes na sua rede, investigando e/ou tratando os incidentes de forma pragmática;
4.2 A comunicação entre as PARTES deverá ser efetuada por telefone, no horário das 9:00h às 17:00h, de 2 a feira a 6a feira, exceto em feriados (municipais, estaduais e federais) e eventuais dias prensados;
4.3 Os procedimentos adotados podem ser revistos a qualquer momento pelas Partes, desde que acordados mutuamente;
4.4 Quaisquer alterações dos procedimentos adotados, definidos neste acordo operacional entre a PST e a OPERADORA A, antes de serem aplicados, devem ser aprovados pelas Partes, pelos seguintes representantes:
PST:
Nome: |
E-mail: |
Telefone: |
Contato: |
OPERADORA A:
Nome: |
E-mail: |
Telefone: |
3
Contato:
4.5 As alterações indicadas neste item devem ser formalizadas por meio de aditivo a este Contrato.
4.6 Manter Sistema de Controle de Ataques e Fraudes na sua rede, investigando ou tratando os incidentes de forma pragmática, comunicando às respectivas PARTES cujas redes estão envolvidas
3
ANEXO 6 – MANUAL DE PRÁTICAS E PROCEDIMENTOS OPERACIONAIS - MPPO
Este anexo será elaborado pelas Partes em até 90 (noventa) dias contados a partir da Autorização da ANATEL para Exploração de Serviço Móvel Pessoal - SMP por meio de Rede Virtual.
3
ANEXO 7 - RELATÓRIO TÉCNICO DE DIMENSIONAMENTO.
Este anexo será elaborado antes da assinatura do Contrato de comum acordo pelas Partes, sempre respeitando as regras de governança e protocolos confidencialidade definidos na Cláusula 7.5.
4
ANEXO 8 – ENCAMINHAMENTO DE CHAMADAS DE EMERGÊNCIA
1. OBJETIVO.
1.1 Estabelecer termos e condições que devem disciplinar o encaminhamento das chamadas de emergência realizadas pelos assinantes da PROPONENTE.
2. DEFINIÇÕES.
2.1 A TIM realizará o encaminhamento das chamadas de emergência para a PROPONENTE, porém não será responsável em receber e responder possíveis demandas jurídicas, inclusive Ministérios Público, Procons, ANATEL entre outros, e regulamentares referentes a problemas de encaminhamento das chamadas de emergência dos assinantes PROPONENTE. Desta forma, qualquer demanda desta natureza, deverá ser respondido pela PROPONENTE.
3. RESPONSABILIDADES.
3.1 É da responsabilidade da PROPONENTE toda e qualquer interação com as operadoras no que se refere à prestação de serviços de emergência. Entende-se por interação, entre outros, o recebimento das solicitações de abertura do serviço, encaminhadas por outras operadoras, solicitação de esclarecimentos técnicos para operadora, recebimento ou envio de reclamações para operadoras relativas à prestação destes serviços.
3.2 É da responsabilidade da PROPONENTE comunicar a relação de todos os serviços de emergência, com respectivos requisitos técnicos, que deverão ser prestadas pela TIM. Entende-se por requisitos técnicos, entre outros, o código, o formato de envio ou tradução, a abrangência geográfica, data de programação.
3.3 É da responsabilidade da PROPONENTE solicitar para TIM a abertura de serviços de emergência, com antecedência mínima de 60 (sessenta) dias em relação à data solicitada pela operadora prestadora do respectivo serviço.
3.4 Entende-se por serviços de emergência os itens da tabela abaixo. A TIM não realizará o encaminhamento dos demais serviços de utilidade pública, cabendo a PROPONENTE realizar tais encaminhamentos.
SPE | Serviço | Descrição em Conta |
100 | Secretaria dos Direitos Humanos | DIREITOSHUMANOS |
128 | Serviços de Emergência no âmbito do MERCOSUL | MERCOSUL |
180 | Delegacias Especializadas de Atendimento à Mulher | DELEG. MULHER |
181 | Disque Denuncia | DISQUE DENÚNCIA |
185 | Salvamar | SALVAMAR |
190 | Polícia Militar | POLÍCIA MILITAR |
191 | Polícia Rodoviária Federal | POLÍCIAROD.FED. |
192 | Remoção de Doentes (Ambulância) | AMBULÂNCIA |
193 | Corpo de Bombeiros da Polícia Militar | POLÍCIA MILITAR |
194 | Polícia Federal | POLÍCIA FEDERAL |
197 | Polícia Civil | POLÍCIA CIVIL |
198 | Polícia Rodoviária Estadual | POL. ROD. EST. |
199 | Defesa Civil | DEFESA CIVIL |
4
ANEXO 9 PROCEDIMENTOS DE CONTESTAÇÃO E SHORTFALL
1. PROCEDIMENTOS PARA INSTAURAÇÃO DE PROCESSO DE CONTESTAÇÃO DO DETRAM:
1.1. Introdução:
1.1.1. Este procedimento tem como objetivo apresentar o procedimento de instauração de processo de Contestação do Demonstrativo de Tráfego MVNO - DETRAM.
1.1.2. Este procedimento considera o comparativo entre os dados de tráfego apresentados entre as Partes no Demonstrativo de Trafego de MVNO – DETRAM e a Expectativa de Tráfego apurado pela Parte Devedora.
1.2. Critérios de Apuração de Divergências de tráfego de MVNO:
1.2.1. As Partes podem instaurar processo de abertura de Contestação para tráfego de MVNO decorridos o prazo de até 90 (noventa) dias, contados da data de formalização da contestação do DETRAM em que ocorrer a apresentação do último período de tráfego recuperado, objeto da contestação original.
1.2.2. No caso de ocorrerem divergências de tráfego de MVNO que levem à instauração de processo de contestação do DETRAM, as Partes deverão identificar o objeto da contestação, situar o(s) período(s) de tráfego ao qual a sua contestação se refere, e encaminhar o formulário de contestação, conforme layout constante no Apêndice I deste Anexo, acompanhado do arquivo de DETRAM Expectativa à outra Parte, conforme layout de DETRAM a ser definido em até 90 dias das assinatura deste Contrato.
1.2.3. O formulário de contestação e o(s) DETRAM(s) Expectativa(s) citado(s) no item 1.2.2. acima, deverão ser apresentados via correio eletrônico e formalizados por escrito em até 5 (cinco) dias úteis depois desta apresentação.
1.2.4. Observado os itens 1.2.1. deste Anexo, as Partes poderão proceder o processo de Instauração de Disputa de um ou mais períodos de tráfego incluídos no DETRAM apresentado pelas Partes, desde que:
1.2.4.1. (A - B) / A > 1% (um por cento), respeitado o disposto no item 1.2.1. deste Anexo;
onde:
A = somatória dos valores apresentados nos DETRAM Oficiais, para um mesmo período de tráfego. B = somatória dos valores apurados nos DETRAM Expectativas, para um mesmo período de tráfego.
2. PROCEDIMENTO PARA ENCERRAMENTO DE DISPUTAS DE BATIMENTO DE FATURAMENTO, DE TRÁFEGO E TARIFA DE MVNO:
2.1. Os processos de encerramento de disputas interpostas entre as Partes devem envolver:
2.1.1. Instauração de Contestação relativo à divergência de tarifas ou erro de cálculo independentemente do
% de divergência em relação ao valor total do DETRAM.
2.1.2. Instauração de Contestação relativo a divergências de tráfego de MVNO, conforme previsto no item
1.2. deste Anexo.
2.2. Para encerramento dos processos de Contestação de tráfego de MVNO, as Partes deverão definir o(s) mês(s) que serão objeto de batimento denominado como “Avançado” e que considera as regras a serem definidas em até 90 dias da assinatura deste Contrato.
4
2.2.1. O layout dos CDRs a serem enviados para a realização do batimento denominado como “Avançado”
deverá ser definido entre as Partes em até 90 (noventa) dias da assinatura deste Contrato.
2.3. As Partes farão a análise final das interposições de contestações constantes do item 2.1.2. deste Anexo e apresentarão resultados das análises em até 120 (cento e vinte) dias da data de vigência do contrato e/ou dos últimos 12 meses de tráfego, fato este a ser acordado entre as Partes em até 90 dias da assinatura deste Contrato.
2.3.1. Dirimida a controvérsia objeto da contestação e verificado que o valor pago pela PARTE DEVEDORA é:
2.3.1.1. maior que o valor apurado na contestação, a diferença entre esses valores deverá ser devolvida pela CONTRATADA à outra Parte, acrescido de juros e atualização monetária conforme previsto na Cláusula Terceira do Contrato; e
2.3.1.2. Menor que o valor apurado na contestação, a diferença entre esses valores deverá ser paga pela CONTRATANTE à outra Parte, acrescido de multa, juros e atualização monetária conforme previsto na Cláusula Terceira do Contrato.
2.3.2. O valor apurado no item 2.3.1. deste Anexo deverá ser lançado, pela PARTE CREDORA, em documento de finalização de contestação, conforme descrito no item 4. deste Anexo.
2.3.3. Caso a controvérsia não seja resolvida a contento no prazo indicado no item 2.3. deste Anexo, as Partes poderão adotar as medidas administrativas ou judiciais cabíveis.
3. PROCEDIMENTOS PARA CÁLCULO DE COMPROMETIMENTO FINANCEIRO DO CONTRATO (SHORTFALL):
3.1. O cálculo do valor SF deverá considerar as condições contratuais que definam o comprometimento das Partes para compromisso de tráfego e/ou compromisso financeiro.
3.2. Xxxx a PROPONENTE não atinja o compromisso definido no Contrato, estará sujeita ao pagamento do seguinte valor:
3.2.1. Compromisso de tráfego:
Valor correspondente à quantidade de tráfego restante para o compromisso definido no Contrato, valorado de acordo com o preço médio realizado no período compromissado, considerando todo o tráfego entregue à rede da CONTRADA desde o início de vigência do Contrato e calculados conforme definido a seguir:
3.2.1.1. Forma de Cálculo do preço médio deverá ser a divisão entre o valor total “trafegado” constantes nos DETRAMs, já deduzidos dos valores de disputas encerradas, conforme itens 1.2. deste Anexo, dividido pelo tráfego total correspondente, já deduzidos do tráfego das disputas encerradas, conforme item 1.2. deste Anexo.
3.2.2. Compromisso de financeiro:
Valor correspondente ao valor restante para o compromisso definido no Contrato, considerando todo o valor pago desde o início de vigência do Contrato e calculados conforme definido a seguir:
3.2.2.1. Forma de Cálculo deverá ser a subtração do valor compromissado pelo valor total pago.
4
3.3. O valor apurado no item 3.2. acima deverá ser incluído em documento de encerramento financeiro do Contrato de MVNO conforme item 4. abaixo.
CRONOGRAMA DE CONTESTAÇÃO
Item | Processo | Responsável | Data |
01 | Disponibilização do POI/Dia e CDR (arquivos enviados por e-mail) | XXX | X |
02 | Laudo de Batimento Básico | PROPONENTE | D + 10 |
03 | Laudo de Batimento Avançado | PROPONENTE | D + 30 |
04 | Replica para Batimento Avançado | TIM | D + 50 |
05 | Finalização do Processo de Batimento | TIM/ PROPONENTE | D + 70 |
06 | Liquidação Financeira | TIM/ PROPONENTE | D + 80 |
4. PROCEDIMENTOS PARA ENCERRAMENTO FINANCEIRO DO CONTRATO:
4.1. Deverão ser apuradas todas as pendências financeiras existentes referente ao Contrato de MVNO que sejam provenientes de contestações/disputas e pelo não cumprimento do compromisso de tráfego e /ou financeiro.
4.2. As pendências financeiras deverão ser apuradas e validadas pelas Partes em documento constando a descrição do tipo de pendência, o período e os valores.
5. O valor apurado no item 3. após a validação pelas Partes deverá ser pago pela PARTE DEVEDORA em até 05 (cinco) dias úteis após a assinatura pelas Partes da “Ata de Reunião” definida no item 5.1.1. e
5.2.1. deste Anexo.
5.1. Para formalização do Encerramento Financeiro do Contrato as Partes emitirão:
5.1.1. Ata de Reunião formalizando a inicialização do processo de encerramento financeiro.
5.1.2. Termo de Quitação formalizado o encerramento final do processo financeiro.
5.2. Condições para emissão de formalização de encerramento financeiro:
5.2.1. Após a validação dos valores constantes do encerramento financeiro de Contrato constante no item 4. do presente Anexo, as PARTES procederão e emissão de “Ata de Reunião” em que constarão todos os itens negociados e constantes do encerramento financeiro.
5.3. Em até 60 (sessenta) dias após a data da “Ata de Reunião” as PARTES elaborarão “Termo de Quitação” que reproduzirá as informações constantes na “Ata de Reunião” e providenciarão as devidas assinaturas, por representantes legalmente estabelecidos, para o Encerramento financeiro do Contrato de MVNO referente a este Anexo.
4
Formulário de Contestação de DETRAM
45
ANEXO 10 INTERCEPTAÇÃO LEGAL
1.1 Responsabilidades da PROPONENTE
1.1.1 Atender as solicitações de autoridades competentes relativas aos Dados Cadastrais, incluindo quaisquer informações inerentes ao gerenciamento dos clientes de responsabilidade da PROPONENTE;
1.1.2 Atender de forma integral e imediata toda e qualquer requisição, de Quebra de Sigilo Telemático (Interceptação de Dados, Identificação de IPs e Registro históricos de Conexão) emitido por Autoridade competente, quando o acesso objeto da requisição estiver em sua rede, para cumprimento dos dispositivos requeridos;
1.1.3 Atender de forma tempestiva as ordens judiciais relativas a Interceptação Telefônica, a serem implementadas na rede da TIM e as requisições de extrato telefônico e de mensagens de texto dos CDRs processados e armazenados pela TIM, através de plataforma sistêmica a ser disponibilizada pela TIM a PROPONENTE.
1.1.4 Atender, tempestivamente, em regime 24x7, todas as intimações dos Órgãos públicos que tenham relação com o objeto do presente instrumento.
1.1.6 Nos termos da cláusula 2.1.8 do contrato principal, a TIM não representará a PROPONENTE nos grupos constituídos pelas Autorizadas do SMP, relativos à quebra de sigilo e/ou segurança pública, tal como o SITTEL dentre outros, sendo esta uma responsabilidade da PROPONENTE nos termos da Resolução nº 550, de 22 de Novembro de 2010, e suas alterações.
1.1.5 Compartilhar acordos (legais, regulamentares ou convencionados privadamente sob a forma de reuniões ou demais meios válidos) que envolvem Quebra de Sigilo;
1.1.6 Isentar a TIM de qualquer medida judicial ou extrajudicial que seja tomada pelas Autoridades competentes, assim como de quaisquer ônus, em função do não atendimento/cumprimento adequado das obrigações legais e daquelas previstas nas cláusulas 1.1.2 e 1.1.3 deste Anexo.
1.2 Responsabilidades da TIM
1.2.1 A TIM poderá a qualquer momento por sua mera liberalidade vir a disponibilizar a PROPONENTE, plataforma WEB que, nos termos da Resolução 550/2010, permita a interceptação legal e o acesso aos CDR, exclusivamente dos clientes da PROPONENTE.
1.2.2 Entre o início da operação da PROPONENTE e a eventual e efetiva disponibilização da plataforma pela TIM, cabe a PROPONENTE, ao receber uma medida de interceptação telefônica ou de fornecimento de CDR de seus clientes, responder formal e tempestivamente, à autoridade requisitante, que a ordem judicial deverá ser direcionadas a TIM, para o devido cumprimento.
.
1.2.3 Até a efetiva e eventual disponibilização do sistema WEB, a TIM, excepcionalmente dará cumprimento as medidas de interceptação telefônica e fornecimento de informações de CDR, diretamente às autoridades.
1.2.4 Após a disponibilização efetiva do sistema, o atendimento da ordem judicial, assim como das autoridades competentes, em regime 24x7, será de total e exclusiva responsabilidade da PROPONENTE.
46
1.3 Obrigações comuns a ambas as Partes
1.3.1. As Partes se comprometem que ao receberem requisições que sejam de responsabilidade da outra Parte deverão informar a Autoridade requisitante que esta deverá redirecionar sua requisição aos seguintes endereços:
a) XXX - Xxx cuidados da (informado no momento da assinatura do contrato)
b) PROPONENTE- Aos cuidados de (informado no momento da assinatura do contrato)
1.3.2 Em nenhuma hipótese as Partes poderão encaminhar de uma para a outra, as requisições que vierem a receber das Autoridades requisitantes, a fim de preservarem eventual sigilo sobre o procedimento.
1.3.3. Para a implementação do objeto previsto neste instrumento, as Partes se comprometem a trabalhar em conjunto e fornecer todas as informações necessárias, sejam elas de cunho financeiro, técnico, jurídico ou de qualquer outra natureza, observado o dever de confidencialidade previsto neste Aditivo.
1.3.4 As Partes se comprometem a cumprir integralmente os termos do presente Contrato, excetuadas as ocorrências de casos fortuitos ou de força maior, consoante artigo 393, do Código Civil Brasileiro, hipóteses nas quais quando a Parte estiver impedida de cumprir suas obrigações deverá, assim que possível, respeitado, quando houver, o prazo de resposta, informar à outra Parte, por escrito, da ocorrência do referido evento.
47
ANEXO 11 – TÉCNICO DE SEGURANÇA
Índice
OBJETIVO E CAMPO DE APLICAÇÃO 48
B. Requisitos de Eventos e Incidentes de Segurança 50
C. Segurança Física para os Escritórios de Terceiro 50
D. Estações de Trabalho, Servidores e demais dispositivos de terceiros 51
E. Sistemas de Informação de Terceiros 52
F. Infraestrutura de Rede de Terceiros 54
G. Segurança Física para os Escritórios da TIM 54
H. Estações de Trabalho da TIM 54
I. Sistemas de informação da TIM – Acesso e Uso 55
J. Acesso Local à Infraestrutura de Rede da TIM 56
K. Acesso Remoto à Infraestrutura de Rede da TIM 56
L. Serviço de e-mail da TIM 57
M. Serviço de Conexão à Internet da TIM 58
N. Continuidade de Negócios 58
O. Desenvolvimento Seguro de Aplicativos de Software 59
P. Avaliação de Vulnerabilidade 60
Q. Serviços em Cloud (Cloud Service Provider) 62
Este documento tem o objetivo de formalizar os requisitos de segurança lógica e física (doravante, Requisitos) para a proteção das informações e Ativos TIC/infraestrutura da TIM (doravante, TIM),
48
determinando as regras a serem incluídas no anexo técnico do contrato/contrato de serviços com os fornecedores (doravante, Terceiro).
Os requisitos estão agrupados de acordo com os seguintes temas:
A | Proteção de informação |
B | Requisitos de Eventos e Incidentes de Segurança |
C | Segurança Física para os Escritórios de Terceiro |
D | Estações de Trabalho, Servidores e demais dispositivos de terceiros |
E | Sistemas de Informação de Terceiros |
F | Infraestrutura de Rede de Terceiros |
G | Segurança Física para os Escritórios da TIM |
H | Estações de Trabalho da TIM |
I | Sistemas de informação da TIM – Acesso e Uso |
J | Acesso Local à Infraestrutura de Rede da TIM |
K | Acesso Remoto à Infraestrutura de Rede da TIM |
L | Serviço de e-mail da TIM |
M | Serviço de Conexão à Internet da TIM |
N | Continuidade de Negócios |
O | Desenvolvimento Seguro de Aplicativos de Software |
P | Avaliação de Vulnerabilidade |
Q | Serviços em Cloud (Cloud Service Provider) |
A política de segurança e outros documentos normativos da TIM devem ser seguidas por terceiro que estejam dentro das dependências da TIM. Os itens relacionados aos capítulos G, H, I, J, K, L e M representam uma parte das orientações.
A.Proteção da informação
No que diz respeito à TIM, informação significa qualquer agregação de dados que tenha um valor e um significado para a TIM, qualquer que seja a forma e as tecnologias usadas para seu processamento e armazenamento. A definição de informação inclui qualquer notícia ou comunicação em forma escrita ou verbal, ou qualquer conjunto de "dados estruturados" processados, comunicados, armazenados (manualmente ou por meios automáticos) e utilizados na execução do trabalho, bem como dados em um arquivo ou código de programa.
1) O terceiro deve garantir que as informações proprietárias da TIM sejam processadas, de acordo com os princípios de “Need to know” e “Segregation of Duties”, exclusivamente dentro do serviço contratual, evitando a divulgação para/ou na presença de pessoas não autorizadas.
2) O terceiro é obrigado a processar as informações da TIM, seja em TI e/ou em forma de papel, salvaguardando a sua Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade, bem como em conformidade com as leis atuais.
49
3) O terceiro deve ter completa rastreabilidade dos acessos realizados nas informações da TIM, com o objetivo de identificar origem, autor, data/hora e informação acessada, com tempo mínimo de retenção de 02 (dois) anos.
4) O terceiro que presta serviços, produtos ou equipamentos para à TIM deve obrigatoriamente possuir Política de Segurança Cibernética, preferencialmente, tendo seu resumo publicado em seu Web Site.
5) O terceiro que presta serviços, produtos ou equipamentos para as infraestruturas críticas da TIM deve realizar periodicamente, auditorias independentes e comprová-las de acordo com a solicitação da TIM.
6) O terceiro que manipula, xxxxxxxx ou fornece informações de dados pessoais da TIM, deve obrigatoriamente, criptografar os dados em repouso e em trânsito.
B. Requisitos de Eventos e Incidentes de Segurança
1) O terceiro deve identificar, internamente, uma estrutura/figura de referência para garantir a segurança do serviço prestado, que tem a tarefa de assegurar as relações entre o terceiro e a TIM para realizar a gestão transversal de todos os aspectos de segurança, comunicando previamente a TIM.
2) O contato com a área de segurança da TIM, para todos itens abaixo, deve ser realizado através do e-mail xxxx@xxxxxxxxx.xxx.xx.
3) O terceiro, através do seu Representante de Segurança deve informar imediatamente a TIM em caso de danos, roubo ou perda de ativos de TI contendo informações proprietárias e credenciais de acesso a TIM. Em relação aos casos que envolvem dispositivos de autenticação fortes, o terceiro deve também prever a revogação do certificado contido no dispositivo.
4) O terceiro é obrigado a notificar a TIM sobre todos os eventos, sem discriminação, inclusive os acidentais, e sobre as informações detalhadas relativas, que podem ser consideradas como violações de dados pessoais. Esta comunicação deve ser feita estritamente dentro de até 24 horas a partir do conhecimento dos eventos acima mencionados e enviada por e-mail para a pessoa de contato da TIM a quem o terceiro geralmente se refere na prestação de serviços e ao e-mail da área de Cyber Security citado no item 2. Neste sentido, o terceiro deve preparar ações internas adequadas para garantir essas obrigações (por exemplo, definindo procedimentos apropriados / instruções de operação) e deve garantir assistência a TIM fornecendo prontamente todas as informações adicionais que possam ser solicitadas pela própria, para avaliação e gestão corretas dos casos de potencial violação de dados pessoais.
5) As atividades de gerenciamento e resolução de incidentes devem ser devidamente documentadas e arquivadas, provendo toda linha do tempo do processo de tratamento.
6) Caso seja previsto em cláusulas contratuais, a possibilidade de utilização de outras empresas para execução do contrato, o terceiro deve garantir que esta empresa siga os requisitos expressos neste anexo técnico.
C. Segurança Física para os Escritórios de Terceiro
1) O terceiro, em suas instalações utilizadas para os serviços prestados a TIM, deve adotar proteções preventivas de segurança física e, quando possível, separar fisicamente as instalações utilizadas exclusivamente para prestação do serviço contratado e sendo obrigatório quando for um serviço de atendimento que utilizam dados pessoais, cliente e colaboradores da TIM.
50
2) O terceiro deve manter um controle de acesso físico às instalações da empresa para colaboradores e visitantes.
3) O terceiro deve possuir um sistema de CFTV com gravação e armazenamento das imagens por pelo menos 30 dias on-line.
D.Estações de Trabalho, Servidores e demais dispositivos de terceiros
Para as estações de trabalho, servidores e demais dispositivos utilizados pelo terceiro, incluindo qualquer mídia de armazenamento removível (como pen drives USB, discos rígidos externos etc.), usada para o desempenho das atividades de trabalho previstas no contrato/acordo firmado com a TIM, o terceiro deve assegurar que:
1) Não devem ser usadas de maneira que possam causar danos às informações da TIM;
2) O acesso deve ser realizado por meio de credenciais de acesso individual, composto por combinação de uma credencial de identificação (UserID) e uma credencial de autenticação (senha forte, sempre que viável, com a utilização de duplo fator de autenticação, como: PIN);
3) As atualizações de software do sistema e de aplicativos necessárias para corrigir defeitos e evitar vulnerabilidades devem ser instaladas, mensalmente, com o objetivo de manter esses equipamentos sempre atualizados e protegidos. Para os casos de atualização de software de alta criticidade, a mesma deve ser realizada imediatamente;
4) Devem estar equipados com software antivírus, atualizados constantemente e com a função "monitor" sempre ativo, inclusive com Light Scan diário e Full Scan semanal. Além disso, a menos que tenham alguma restrição técnica, a possibilidade de desativar o antivírus pelo usuário deve ser inibida. Caso ocorra algum incidente com vírus, o usuário do fornecedor ou parceiro comercial deve comunicar o incidente ao contato desegurança;
5) Os dados de propriedade da TIM não devem ser salvos, exceto nos casos em que isso é previsto por contrato para atender às finalidades do serviço/atividade. Caso haja necessidade, prevista em contrato, de armazenamento das informações em mídias removíveis, as mesmas deverão ser criptografadas e devem ser removidas de todos os equipamentos no final da atividade;
6) A função de proteção de tela protegida por senha deve ser sempre ativada nas estações de trabalho de terceiros;
7) As estações de trabalho de terceiro quando conectadas às redes que lidam com os recursos da TIM:
• Devem estar equipadas com Firewalls Pessoais ativos, sendo desejável também Host IPS ou EDR/XDR;
• Devem estar livres de software contendo ferramentas capazes de permitir que sistemas certificados na Internet interajam, acessem ou gerenciem sistemas corporativos, por meio de fluxos de comunicação encapsulados no tráfego transmitido por proxies corporativos (por exemplo, Log Me In, Go to my PC);
• Elas não devem ser usadas como dispositivos de ponte (chamadas pontes) para a interconexão de redes logicamente ou fisicamente segregadas, em particular em estações de trabalho de terceiros equipadas com mais de uma interface de conexão (por exemplo, placa de rede e modem presente em uma estação de trabalho de terceiro móvel). Elas nunca devem ser usadas simultaneamente;
• Devem ter acesso a internet restrito e controlado por proxy com políticas de
51
proteções a sites maliciosos, a fim de proteger qualquer tipo de acesso indevido que exponha a estação de trabalho ou ambiente em risco;
• Devem estar com patches atualizados semanalmente.
E. Sistemas de Informação de Terceiros
Sistemas de informação de terceiros são os sistemas, plataformas ou, mais geralmente, as ferramentas tecnológicas físicas e lógicas dos terceiros através das quais a informação/dados da TIM são processados. Para estes sistemas de informação, o terceiro deve assegurar que:
1) Eles sejam mantidos em instalações protegidas e com acesso controlado;
2) Qualquer software instalado em sistemas de informação deve ser legalmente licenciado;
3) Exista um software antivírus atualizado sempre que houver versões disponíveis;
4) Os sistemas operacionais e aplicações, devem estar sempre atualizados, seguindo no mínimo as recomendações de Segurança do Padrão OWASP TOP10, sempre que aplicável. Sejam efetuadas reconfigurações apropriadas para a modificação/eliminação das configurações da aplicação e padrões do sistema, como senhas, comunidade SNMP, contas e serviços desnecessários;
5) Deve ocorrer a resolução de vulnerabilidades de segurança conhecidas de acordo com os padrões de proteção;
6) Todo ambiente deve ser protegido por Firewalls e IDS, assim como ter as devidas segregações de redes, a fim de proteger a infraestrutura, deixando exposto apenas o front-end e a camada de exposição. Além disso, para sistemas expostos na internet deve ter WAF (Web Application Firewall);
7) Sejam adotados procedimentos de backup adequados que contemplem dados da TIM, em concordância com o gestor do contrato. Estes procedimentos devem ser documentados e conter pelo menos a indicação da frequência, dos métodos de execução, do arquivamento e da retenção dos backups. Os dados devem ser mantidos apenas pela duração do período contratual, após isso, os mesmos devem ser entregues a TIM e eliminados;
8) No caso de danos ou incidentes nos seus sistemas de informação, devem ser adotados procedimentos operacionais específicos para a execução das atividades de restauração, que devem incluir tempos de implementação acordados com o gestor do contrato e que garanta a continuidade do serviço contratado pela TIM;
9) Para sistemas de informação que processam dados pessoais de propriedade da TIM, o armazenamento, e transmissão de dados devem ser realizados de forma criptografada, garantindo que não haja vazamento de informações;
10) Todos os usuários de acesso (incluindo os sistemas técnicos e M2M) devem ser identificados e gerenciados de acordo com procedimentos definidos e documentáveis seguindo melhores práticas de segurança de mercado, que permitam fornecer evidências das autorizações emitidas para usuários individuais;
11) Todos os usuários devem receber credenciais de acesso individuais, contendo um UserID e uma senha. Os UserIDs de um usuário não devem ser atribuídos novamente a outros usuários, mesmo em momentos diferentes, devem ser desativados para manter todo o histórico dos usuários. Para usuários técnicos, o histórico documentado de liberação/uso deve ser fornecido;
12) A utilização de credenciais de acesso para usuários sistêmicos M2M deve ser utilizada
52
apenas em caráter de Troubleshooting, de forma monitorada e após o uso, a senha deve ser alterada;
13) Caso o terceiro possua servidores em sua infraestrutura que vão se comunicar com os servidores da Tim, o mesmo deverá ter um cofre de senhas;
14) Os perfis de autorização definidos, para acesso aos dados do Ativo TIC, devem ser atribuídos com os privilégios proporcionais às necessidades mínimas para o desempenho das atividades/serviços contratados pela TIM (Need to Know e Segregation of Duties) esses perfis devem ser identificados e configurados antes do início do processamento para documentar os perfis que podem ser associados para cada usuário ou para um conjunto de usuários que executam a mesma função;
15) Uma verificação periódica de credenciais e perfis de acessos à sistemas devem ser realizada, pelo menos a cada três meses, e documentada em relação à necessidade de manter válidos os perfis definidos e às autorizações concedidas aos usuários;
16) Os acessos dos usuários que não estiverem mais atribuídos ao serviço da TIM ou que não precisem mais acessar os dados da TIM devem ser imediatamente removidos, a fim de impedir acessos indevidos as informações. Além disso, os acessos devem ser:
• Removidos, devido à inatividade, após 3 meses do último acesso realizado;
• Suspenso, após várias tentativas de logon incorretos;
• Suspenso como resultado de uso ilegal ou daqueles que colocam em risco a segurança. podendo ser solicitado também pelas empresas da TIM;
• Removido na data de expiração especificada na solicitação de autorização (a menos que seja estendida).
17) Em casos de sistemas, a senha de acesso aos seus sistemas de informação deve atender, no mínimo, às seguintes características:
• Composta por pelo menos 8 caracteres (pelo menos 1 caractere numérico, pelo menos 1 caractere alfabético, pelo menos 1 caractere especial, e não pode conter 3 ou mais caracteres idênticos consecutivos);
• Deve ser alterada no primeiro acesso;
• Deve ser substituída pelo menos a cada três meses (somente logins nominais atribuídos a um indivíduo) e a nova senha deve diferir das dez anteriores;
• Deve possuir um segundo fator de autenticação.
18) Medidas adequadas sejam implementadas para o rastreamento dos usuários e administradores do sistema de terceiros. Essas medidas devem incluir a geração, coleta e armazenamento de registros de acesso (login e logout) e todas as demais ações realizadas por esses acessos para os quais a integridade, a não repetibilidade e o não- repúdio devem ser garantidos. Além disso, estas informações devem ser armazenadas por um período mínimo de 2 anos;
19) Todo sistema e infraestrutura de atendimento para a TIM sejam avaliados semestralmente por meio de testes de Invasão e análise de vulnerabilidades, assim como todos os controles e ferramentas de proteção devem ser medidos e reportados para a TIM;
53
F. Infraestrutura de Rede de Terceiros
A infraestrutura de rede de terceiros refere-se ao conjunto de equipamentos/plataformas de Ativos TIC localizados nos escritórios do terceiro, dentro dos quais os Ativos TIC/estações de trabalho de terceiros que lidam com informações/dados de propriedade da TIM são atestados.
O terceiro, que realiza atividades em nome da TIM exclusivamente dentro de sua própria infraestrutura de rede, deve garantir que:
1) A parte da rede na qual os sistemas de informação e as estações de trabalho de terceiros são identificados e autorizados a acessar/processar os recursos da TIM, deve ser mantida isolada de outras redes, pelo menos em um nível lógico;
1) Os sistemas de informação e dados relacionados residam em redes (ou partes da rede) protegidas por um ou mais firewalls e IDS, nos quais a implementação de regras destinadas a combater tentativas de acesso não autorizado é garantida;
2) Exista um sistema para monitorar o acesso à sua parte da LAN na qual as estações de trabalho de terceiros de seus usuários que trabalham para a TIM são atestadas, a fim de detectar quaisquer anomalias ou ameaças que possam comprometer a segurança dos Recursos da TIM;
3) Caso seja necessário, apenas para fins do serviço/atividade contratada, interconectar a rede de acesso aos recursos da TIM com a rede pública (Internet), essa interconexão não pode ocorrer diretamente. Ela deve incluir mecanismos de proteção, como por exemplo, proxy ou gateway de acesso. Sob nenhuma circunstância, os recursos de rede de terceiros, responsáveis pelo acesso / processamento dos Recursos da TIM, podem ser exibidos diretamente na Internet.
G. Segurança Física para os Escritórios da TIM
1) O terceiro deve seguir os processos de segurança física da TIM.
H. Estações de Trabalho da TIM
As Estações de Xxxxxxxx fornecidas pela TIM para executar as atividades de trabalho exigidas pelo contrato/acordo. As estações de trabalho de terceiros são tipicamente equipadas com uma configuração básica padrão que pode variar dependendo da tarefa específica coberta pelo terceiro. A responsabilidade pelo uso e custódia corretos das estações de trabalho de terceiros é do terceiro, que:
1) Não deve modificar de forma independente a configuração padrão de hardware/software presente na estação de trabalho da TIM. Além disso, não deve instalar outro software além daqueles fornecidos e/ou autorizados pela TIM para a realização de tarefas de trabalho;
2) Não deve usar a estação de trabalho de maneira diferente do estabelecido no contrato firmado entre as partes;
3) Não deve impedir ou atrasar a atualização centralizada do software. Se não houver atualizações automáticas para um software específico, ele deve ser atualizado manualmente, de acordo com as instruções fornecidas pela TIM;
4) Não deve instalar software/ferramentas além daquelas fornecidas e/ou autorizadas pela TIM, incluindo:
• Software de comunicação VoIP (Voice over IP);
• Ferramentas de controle remoto (por exemplo, Log Me In etc.);
54
• Software destinado a criar uma rede compartilhada (como as redes virtuais peer-to- peer).
5) Deve garantir que o protetor de tela seja protegido por senha e o Personal Firewall esteja sempre ativado nas estações de trabalho da TIM usadas por seus usuários.
I. Sistemas de informação da TIM – Acesso e Uso
Os sistemas de informações da TIM são sistemas gerenciados/próprios da TIM nos quais as informações são acessadas pelo terceiro.
1) A TIM comunica as credenciais para acessar os seus sistemas de informações, consistindo em um UserID e uma Senha (autenticação padrão) ou um código de autenticação de dois fatores (autenticação forte), quando necessário, para a pessoa de contato terceirizada que deve garantir a confidencialidade. Essas credenciais podem ser suspensas pela TIM e, posteriormente, encerradas:
• Devido à inatividade;
• Após várias tentativas de acesso incorretas;
• Como resultado de uso ilegal ou daqueles que colocam em risco a segurança dos Recursos da TIM, a critério exclusivo da TIM;
• Na data de expiração especificada na solicitação de autorização (a menos que seja estendida);
• Caso o usuário tenha saído do terceiro ou foi avisado pela TIM para remover.
2) Todo os envolvidos no processo de gerenciamento de acessos deve garantir que a entrega de cada credencial de acesso aos respectivos usuários, seja realizado através de um procedimento adequado que associe cada usuário a uma credencial, garantindo que não seja atribuído a outros usuários mesmo em momentos diferentes. O terceiro deve garantir a confidencialidade da entrega (exemplo: uso de envelope fechado ou e-mail interno do fornecedor).
Além disso, o terceiro, sem prejuízo da presença de controles automáticos nos sistemas da TIM, deve dar instruções apropriadas aos seus usuários sobre como compor senhas fortes e de difícil adivinhação para acessar os sistemas da TIM.
O terceiro é obrigado a fazer com que seus usuários mantenham as credenciais de acesso atribuídas a eles, para tratar/acessar os Ativos TIC da TIM, a fim de garantir a absoluta confidencialidade e impedir seu compartilhamento.
3) O terceiro deve solicitar ao gestor do contrato a remoção imediata dos acessos em caso de desligamento ou transferência de função do usuário.
4) O terceiro deve realizar uma auditoria periódica e documentada, pelo menos trimestral, sobre a necessidade de manter as credenciais válidas para os usuários conectados a ele, informando imediatamente a TIM sobre a necessidade de suspender/encerrar os usuários dispositivos correspondentes a pessoal não designado ao serviço da TI, ou que, em qualquer caso não precisa mais acessar os dados da TIM. Além disso, os dispositivos de autenticação devem ser devolvidos à TIM quando não forem mais necessários para executar a atividade de trabalho (por exemplo, para uma mudança de funções) ou no final do contrato de serviço.
5) Toda automação RPA (Robotic Process Automation) desenvolvida interna ou externamente deverá seguir o processo oficial da TIM, garantindo dentre outras coisas, a gestão de acesso e perfil, o inventário e avaliação de impacto da TI da aplicação.
55
J. Acesso Local à Infraestrutura de Rede da TIM
O acesso direto à infraestrutura de rede da TIM, a partir de um escritório da TIM, pode ser feito conectando o dispositivo à rede Wi-Fi dedicada ao pessoal externo ou conectando o dispositivo à infraestrutura de rede TIM através de um cabo de rede e seguindo os processos de validação da TIM. No acesso local, o terceiro:
1) Não deve instalar seus próprios pontos de acesso, criar redes paralelas e configurar sua própria rede Wi-Fi para estabelecer uma conexão com a rede TIM. A conexão a serviços Wi-Fi só é permitida por meio de sua placa wireless, usando a infraestrutura Wi-Fi fornecida pela TIM;
2) Não deve usar simultaneamente múltiplos pontos LAN fornecidos pela TIM através do uso de dispositivos de rede (por exemplo: HUB, switch, roteador). O possível uso desses dispositivos pode ser permitido somente em casos limitados de emergência real e com autorização formal prévia e documentada da pessoa de contato de segurança da TIM;
3) Não deve realizar qualquer tipo de atividade que possa danificar o serviço ou a infraestrutura da rede TIM. Abaixo estão listadas, a título de exemplo, algumas atividades consideradas ilegais:
• Varredura de portas: identificação dos sistemas conectados à rede TIM;
• Varredura de vulnerabilidades: identificação de vulnerabilidades presentes nos sistemas de informação;
• Identificação de senhas: atividades destinadas a violar as credenciais definidas no sistema de informações de destino (ataque de força bruta, adivinhação de senha, captura de senha hash);
• Sniffing: atividade que consiste em interceptar, através de ferramentas apropriadas, o tráfego de rede nos segmentos da rede interna, definindo no modo promíscuo a placa de rede;
• Spoofing: uma atividade que consiste em forjar a identidade de um sistema de informações na rede, adquirindo o endereço IP associado ou seu endereço MAC;
• Descoberta de rede: atividade que permite derivar, com ferramentas específicas, a topologia de uma rede e a presença nela dos diferentes sistemas (roteador, switch, firewall, host);
• Fingerprinting do sistema operacional: atividade que permite estabelecer o tipo de sistema operacional de um sistema de informação;
• Footprinting: visa descobrir nos ativos da rede, qualquer informação que possa ser válida para posteriormente realizar um teste de invasão;
• Testes de penetração: uma atividade que consiste em avaliar a robustez dos ataques de um sistema de informação;
• Redirecionamento e modificação de tráfego: redirecionamento ou modificação de fluxos de tráfego de rede para sistemas de informação ou sistemas que não sejam os definidos pelas funções competentes.
K.Acesso Remoto à Infraestrutura de Rede da TIM
A infraestrutura de rede da TIM refere-se ao conjunto de equipamentos/plataformas de Ativos TIC que permitem conexões à parte da rede de terceiros, que devem acessar os sistemas da TIM.
56
1) A interconexão remota de um escritório de terceiros para a infraestrutura de rede TIM é permitida através dos seguintes tipos de conexões: Rede Privada Virtual cliente – para - Rede (VPN C2L) ou Rede Privada Virtual – para – Rede (VPN L2L).
2) O terceiro deve garantir que o canal de comunicação das conexões VPN (C2L e L2L) está equipado com proteção criptográfica dos dados em trânsito.
3) Nas conexões VPN C2L, o cliente de terceiros deve ser configurado de tal forma que:
• Encapsulamento dividido seja proibido, ou seja, não é permitida a capacidade de enviar tráfego para fora do gateway IPsec;
• Somente a interface de rede usada para a conexão VPN esteja habilitada. Se isso não for viável, um firewall pessoal deve ser configurado no cliente para bloquear tráfego de rede desnecessário e não autorizado em todas as interfaces.
4) Em conexões VPN L2L, é necessário que:
• O terceiro deve fornecer ao representante de segurança da TIM a documentação técnica específica relacionada à sua infraestrutura de rede, a fim de permitir a preparação, pelos departamentos de engenharia relevantes da TIM, de um documento técnico que especifique, em detalhes, as condições/modo da conexão (por exemplo, IP público do gateway de terminador de VPN, plano de IP/endereçamento de origem, número das estações de trabalho do terceiro conectadas em VPN, criptografia). Este documento deve ser aprovado e assinado pelo terceiro, como parte integrante e substancial do relacionamento (contrato de fornecimento, licitação, NDA, etc.) que foi assinado entre o terceiro e a TIM;
• O terceiro deve garantir que a parte da rede, na qual as estações de trabalho identificadas estão autorizadas a acessar a infraestrutura de rede da TIM, esteja isolada das outras redes, pelo menos em um nível lógico. Esta LAN também deve ser protegida por um Firewall de terceiros, o que garante a implementação das regras necessárias apenas para o fornecimento do objeto do serviço.
5) O terceiro deve formular (através de sua pessoa de contato da TI) uma solicitação para habilitar o acesso remoto à infraestrutura da Rede da TIM, de acordo com as instruções da TIM.
6) O terceiro não deve executar qualquer tipo de atividade que possa causar danos ao serviço ou infraestrutura de rede da TIM (por exemplo, varredura de portas, varredura de vulnerabilidades, identificação de senhas, sniffing, spoofing, descoberta de rede, impressão digital do sistema operacional, testes de penetração, redirecionamento e modificação de tráfego).
7) O terceiro deve realizar, internamente, atividades de verificação periódica, com o objetivo de averiguar a implementação de medidas de segurança para conexões entre sua própria rede e a rede da TIM.
L. Serviço de e-mail da TIM
Caso o terceiro receba conta(s) de acesso ao domínio de e-mail da TIM, o mesmo deve utilizá- las exclusivamente para o desempenho da atividade de trabalho decorrente das obrigações contratuais, observadas as obrigações legais vigentes e de acordo com as seguintes regras comportamentais:
1) Não deve compartilhar sua caixa de correio com outros usuários;
2) Não deve executar programas recebidos como anexos de mensagens de e-mail,
57
baixando-os de sites ou usando mídia removível;
3) Não deve clicar em links de origens desconhecidas;
4) Não deve inserir seus dados de login clicando diretamente nos links oferecidos em um e-mail;
5) Enviar como anexo para DL_phishing e excluir imediatamente, sem abri-los, e-mails de origem desconhecida e/ou com conteúdo suspeito.
M. Serviço de Conexão à Internet da TIM
Caso o terceiro acesse a Internet por meio de conexões da TIM, ele deve utilizá-la exclusivamente para o cumprimento da atividade de trabalho decorrente das obrigações contratuais, excluindo-se a navegação de sites não relacionados a essas atividades, no cumprimento das obrigações da lei em vigor e de acordo com as seguintes regras comportamentais:
1) Usar software ou outras ferramentas para compartilhar arquivos apenas para os propósitos contratuais;
2) Não deve modificar/mascarar as configurações de rede (por exemplo: endereço IP ou endereço MAC) ou ignorar/desabilitar os dispositivos responsáveis pelo gerenciamento de segurança e comunicações de rede (por exemplo: Firewall, Proxy, Roteador);
3) Não é permitido baixar arquivos executáveis se a fonte for desconhecida;
4) Não deve usar a conexão para executar qualquer atividade que possa, mesmo que potencialmente, causar mau funcionamento, reduzir a eficiência do serviço ou causar danos de qualquer tipo (por exemplo: uso de software ponto-a-ponto);
5) A utilização da Internet é permitida apenas para fins lícitos, de acordo com as disposições legais vigentes e aplicáveis ao Código de Ética e Conduta do Grupo TIM no Brasil;
6) O acesso à Internet disponibilizado pela TIM para desenvolver sua atividade profissional, é de propriedade da Empresa e tem natureza exclusiva de ferramenta de trabalho. Assim, a utilização da Internet deve ser feita de forma correta, exclusivamente para fins profissionais, voltada somente para o acesso às informações relacionadas com as atividades de interesse da TIM;
7) Não é permitido utilizar a conexão à internet para:
• Trocar e/ou divulgar dados, áudio, vídeo, foto ou arquivos executáveis desnecessários ou incompatíveis com a atividade de trabalho;
• Contornar ou tentar desabilitar os sistemas automáticos implantados pela empresa para garantir a segurança da navegação e controle de conteúdo;
• Manifestar-se em nome e por conta da TIM, salvo autorização prévia.
8) Transferir através da Internet informações corporativas sem a prévia autorização da empresa, exceto as informações classificadas como públicas, já divulgadas na imprensa.
N. Continuidade de Negócios
Em relação à Continuidade de Xxxxxxxx, o terceiro deve apresentar:
1) Planos de recuperação para a continuidade dos serviços prestados à TIM, para casos de ocorrência de interrupção/incidente, devendo prever, no mínimo, os casos de indisponibilidade de Ativos TIC, indisponibilidade de escritórios e indisponibilidade de pessoal;
58
2) Evidências de que os respectivos planos foram testados ao menos semestralmente;
3) Identificação de canais e formas de comunicação imediata de incidentes que geram interrupção dos serviços, podendo ser de acordo com o item B - 1.
O. Desenvolvimento Seguro de Aplicativos de Software
A TIM considera que a mitigação de vulnerabilidades de segurança é fundamental para todos os tipos de aplicativos adquiridos por terceiros, tanto do tipo "Buy" - software para o qual a TIM não tem acesso direto ao código - quanto do tipo "Make" - software dos quais a TIM possui a propriedade intelectual do código- fonte.
Esse conjunto de requisitos deve ser considerado aplicável a todos os tipos de software, incluindo aplicativos móveis desenvolvidos para diferentes plataformas (por exemplo: Android, iOS e Windows Phone).
Os requisitos, listados abaixo, também são divididos de acordo com o diferente nível de exposição dos sistemas de TI ou dos aplicativos de software fornecidos.
Para todos os tipos de aplicativos de software fornecidos, o terceiro deve garantir:
1) A ausência de vulnerabilidade no código, para todos os módulos de software que compõem o objeto de aplicativo de software do suprimento (mesmo aqueles que não foram desenvolvidos diretamente) e, em qualquer caso, das seguintes categorias que se referem aos padrões internacionais "OWASP" e "SANS Institute":
• OWASP Top10 / OWASP MOBILE Top10: eles representam os 10 riscos mais críticos para a segurança de aplicativos da web:
xxxxx://xxx.xxxxx.xxx/xxxxx.xxx/Xxxxxxxx:XXXXX_Xxx_Xxx_Xxxxxxx
• SANS Top25: representam os erros mais comuns e críticos que podem levar a sérias vulnerabilidades no software, geralmente fáceis de encontrar e de explorar. Esses erros frequentemente permitem que os invasores assumam os dados ou impedem o funcionamento do software:
xxxxx://xxx.xxxx.xxx/xxx00-xxxxxxxx-xxxxxx/
2) As atividades de análise do código fonte tenham sido realizadas e todas as vulnerabilidades detectadas tenham sido removidas. Isto deve ocorrer por meio de processos baseados nos padrões do setor, para todos os módulos de software do aplicativo que estão sendo fornecidos (mesmo aqueles que não foram desenvolvidos diretamente). Em particular, em cada versão do software, ele deve produzir documentação adequada indicando:
• Lista de módulos / bibliotecas que compõem o software lançado;
• As ferramentas utilizadas para a análise (código estático e dinâmico);
• Número de linhas de código digitalizadas;
• Número de vulnerabilidades identificadas divididas em classes de criticidade;
• Evidência das ações de reembolso realizadas.
4) O Fornecimento à TIM das licenças para uso de todos os módulos de software que compõem o objeto aplicativo do fornecimento;
5) Caso tenham dados de cartão de créditos, os aplicativos de software devem ser desenvolvidos de acordo com o padrão PCI-DSS.
59
Para sistemas internos de TI e sistemas expostos na Internet, o terceiro deve garantir:
1) Quando exigido, que:
• Sejam fornecidas à TIM todas as versões e pacotes dos principais lançamentos de software;
Adicionalmente, o terceiro deve garantir que estejam disponíveis as evidências que atestam:
• A ausência de vulnerabilidade após verificações de todos os componentes de software do tipo "Make" ou "Buy" que estão sendo fornecidos (por exemplo: componentes Web Application, APP Móvel, API gateway, interfaces de IoT, componentes de back-end), incluindo estruturas de código aberto;
• A realização das análises de vulnerabilidades e testes de invasão antes da entrada em produção e, periodicamente, realizar a apresentação do report. dos resultados para a TIM e as eventuais correções aplicáveis.
2) Que sejam realizadas atividades de análise de risco, por meio de processos baseados em padrões de mercado, incluindo sistemas expostos na internet e aplicativos móveis. Estes sistemas devem atender aos seguintes requisitos, em particular:
• O licenciamento de componentes de código aberto não deve ser do tipo "Strong Copyleft";
• Os componentes não devem ser usados sem o licenciamento declarado;
• As "obrigações" subjacentes a cada licença sempre devem ser cumpridas.
P.Avaliação de Vulnerabilidade
Caso sejam identificadas vulnerabilidades técnicas durante os testes de segurança realizados pela TIM ou mesmo incidentes tecnológicos de segurança e privacidade, identificados por qualquer outro meio (imprensa, fóruns de segurança, programas de Bug Bounty, etc) na plataforma de sistemas desenvolvida pelo terceiro, esta, após informada oficialmente (por e- mail) pela TIM, deve saná-las no período sinalizado, de acordo com o previsto nas Tabelas 1 e 2- Tempo previsto de correção, onde a classificação de criticidade é indicada através do modelo CVSS (Common Vulnerability Scoring System) ou comprovar tecnicamente a não aplicabilidade para a correção. O Terceiro será responsável pelos custos da implementação das vulnerabilidades identificadas.
A TIM se reserva no direito de realizar testes de vulnerabilidade e invasão a qualquer tempo, sem necessidade de aviso prévio ao terceiro.
Para fins de validação por parte da TIM, um novo teste é realizado para comprovação das correções. Os testes são repetidos até que todas as vulnerabilidades sejam totalmente sanadas pelo terceiro.
O terceiro também deve realizar testes independentes e sanar, preventivamente, vulnerabilidades identificadas ou informadas por fabricantes, com o objetivo de manter sua infraestrutura atualizada e segura, seguindo as melhores práticas de cibersegurança mundiais e em linha com o item P. Desenvolvimento Seguro de Aplicativos de Software, constante neste documento.
O não cumprimento destes itens podem ser considerados como um descumprimento contratual ou omissão na prestação de serviços.
60
Sendo a tabela abaixo, aplicada exclusivamente para vulnerabilidades encontradas através de testes de invasão em aplicações expostas na Internet:
Nível | Tempo de correção/mitigação | Exceção |
Crítica | Responder ao e-mail imediatamente, assim que informada. Sendo que a mitigação não pode ultrapassar o período de 4 horas. | Em casos de comprovação de impossibilidade técnica e aprovada pela TIM. Neste caso, há avaliação por parte da TIM sobre a possibilidade de desativação temporária do Ativo TIC, até que a correção seja realizada (ficando sob responsabilidade do terceiro as penalidades previstas em contrato pela quebra do SLA de disponibilidade). |
Alta | Responder ao e-mail imediatamente, assim que informada. Sendo que a mitigação não pode ultrapassar o período de 48 horas. | Em casos de comprovação de impossibilidade técnica e aprovada pela TIM. Neste caso, há avaliação por parte da TIM sobre a possibilidade de desativação temporária do Ativo TIC, até que a correção seja realizada (ficando sob responsabilidade do terceiro as penalidades previstas em contrato pela quebra do SLA de disponibilidade). |
Média | Responder ao e-mail imediatamente, assim que informada. Sendo que a correção não poderá ultrapassar 15 dias corridos. | Em casos de comprovação de impossibilidade técnica e aprovada pela TIM. |
Baixa | Responder ao e-mail imediatamente, assim que informada. Não podendo ultrapassar os 30 dias corridos. | Em casos de comprovação de impossibilidade técnica e aprovada pela TIM. |
Tabela 1 - Tempo previsto de correção (aplicações expostas) Sendo a tabela abaixo aplicada para as demais aplicações:
Nível | Tempo de correção/mitigação | Exceção |
Crítica | Responder ao e-mail imediatamente, assim que informada. Sendo que a correção não poderá ultrapassar o período de 15 dias. | Em casos de comprovação de impossibilidade técnica e aprovada pela TIM. Neste caso, há avaliação por parte da TIM sobre a possibilidade de desativação temporária do Ativo TIC, até que a correção seja realizada (ficando sob responsabilidade do terceiro as penalidades previstas em contrato pela quebra do SLA de disponibilidade). |
61
Alta | Responder ao e-mail imediatamente, assim que informada. Sendo que a correção não poderá ultrapassar o período de 30 dias. | Em casos de comprovação de impossibilidade técnica e aprovada pela TIM. Neste caso, há avaliação por parte da TIM sobre a possibilidade de desativação temporária do Ativo TIC, até que a correção seja realizada (ficando sob responsabilidade do terceiro as penalidades previstas em contrato pela quebra do SLA de disponibilidade). |
Média | Responder ao e-mail imediatamente, assim que informada. Sendo que a correção não poderá ultrapassar 45 dias corridos. | Em casos de comprovação de impossibilidade técnica e aprovada pela TIM. |
Baixa | Responder ao e-mail imediatamente, assim que informada. Sendo que a correção não poderá ultrapassar os 60 dias corridos. | Em casos de comprovação de impossibilidade técnica e aprovada pela TIM. |
Tabela 2 - Tempo previsto de correção demais aplicações
Q. Serviços em Cloud (Cloud Service Provider)
Caso o terceiro seja um CSP (Cloud Service Provider) ou o serviço prestado utilize um CSP para o armazenamento das informações, a TIM solicita que:
1) O CSP (Cloud Service Provider) forneça todas as respostas ao CCM do CSA.
O Cloud Security Alliance (CSA) mantém o Registro de Segurança, Confiança e Garantia (STAR). Trata-se de um registro gratuito e acessível ao público, no qual os provedores de serviços de nuvem podem publicar suas avaliações relacionadas ao CSA. A Certificação STAR consiste em três níveis de garantia alinhados aos objetivos de controle no Cloud Controls Matrix (CCM) do CSA. O CCM abrange princípios fundamentais de segurança em 16 domínios para auxiliar os clientes na nuvem a avaliarem o risco geral de segurança de um serviço em nuvem.
2) Além do item acima, o CSP deve atender aos requisitos abaixo, de acordo com o tipo de infraestrutura utilizada IaaS, PaaS ou SaaS:
• Toda plataforma contratada deve possuir serviços de proteção anti-DDoS;
• Um termo de Non Disclosure Agreement deve ser assinado entre a TIM e o CSP sempre que houver processamento de dados confidenciais;
• O CSP deve possuir ferramenta de Cloud Security Posture Management. (CSPM). Para monitoramento da postura de Cyber Security e compliance com regulamentações. Caso o CSP não possua solução nativa o mesmo deve prover a TIM uma lista de parceiros que tenham soluções integradas nativamente e homologada para monitorar a sua Cloud;
• Deve haver segregação de funções nas atividades administrativas das consoles e ferramentas providas pelo CSP, por exemplo: Administração de coleta de log, de IPS, de FW etc;
62
• Os processos de hardening e patching; (*) Exceto para SaaS.
• Toda atividade de autenticação de usuários de toda plataforma provida pelo CSP deve ser registrada em arquivos de log. Esses logs devem ser disponibilizados em tempo real para monitoramento da TIM através da ferramenta SIEM;
• Todos os acessos na console de gerenciamento providas pelo CSP devem ser realizados através de métodos de autenticação forte, envolvendo pelo menos dois fatores de autenticação;
• A máquina virtual/Storage dos ambientes com dados classificados como confidencialidade alta devem ser criptografados;
• Todas as máquinas virtuais devem ser catalogadas (rotulagem/marcação), usando ferramentas automatizadas, indicando função, funcionalidade e criticidade;
• Toda comunicação entre o CSP e a TIM deve ocorrer através de um canal encriptado ou exclusivo. Canais homologados pela TIM: VPN ou conexão privada;
• Todos os dados em repouso classificados como confidenciais devem ser criptografados. (máquina virtual/ armazenamento);
• Todos os backups (máquina virtual/armazenamento) devem ser criptografados no conteúdo e no canal de comunicação entre o cliente e o servidor de mídia;
• Nos processos de migração de dados de sistemas On-Premises para Cloud os dados classificados como confidenciais devem ser criptografados para transferência / cópia para o CSP. O CSP deve prover mecanismos tecnológicos para atendimento deste requisito;
• As chaves criptográficas de backup devem estar em posse e gerenciadas pela TIM;
• Contas privilegiadas de servidores Windows e Linux devem ser gerenciadas por cofre de senhas para garantir a rastreabilidade das ações;
(*) Exceto para PaaS e SaaS.
• O CSP deve possuir ferramentas de gerenciamento de logs (*) capazes de centralizar os logs dos colaboradores, terceiros, a fim de garantir sua integridade e não repúdio e facilitar qualquer possível análise posterior. Esses logs devem ser disponibilizados para a TIM processá-los em suas ferramentas de gerenciamento de eventos de segurança para serem monitorados pela TIM em tempo real;
Todos os logs de administração da Cloud devem ser disponibilizados tais como:
o Identity and Access Management;
o Compute;
o Storage;
o Networking;
o Business Applications;
o Security Functions (FW, IPS, WAF etc.).
(*) A administração deve ser de responsabilidade da função de segurança da TIM.
• Cada Ativo TIC, dispositivo ou componente de software deve sincronizar o relógio com o Network Time Protocol Server seguro;
63
• Toda plataforma provida pelo CSP deve ser desenvolvida seguindo as recomendações de desenvolvimento recomendada pelo OWASP. O processo de validação de código seguro deve ser garantido;
• Procedimentos de controle e rastreabilidade dos dados críticos devem ser implementados, esses logs devem, se solicitado pela TIM, ser disponibilizados em tempo real para a TIM e preservados por um período mínimo a ser definido pela TIM;
• O CSP deve garantir o envio por e-mail de notificações/alertas na presença de acesso anômalo ou suspeito feito por colaborador, fornecedor ou parceiro comercial TIM (por exemplo, acesso ao Ativo TIC e/ou console de gerenciamento feito de dispositivos ou locais não usados anteriormente). Além disso, o sistema deve permitir a configuração de alertas na presença de uso anormal de funções particularmente críticas para os negócios. Esses alarmes devem ser preferencialmente integrados e correlacionados no SIEM da TIM;
• Deve ser garantido o gerenciamento comum dos aspectos de segurança, bem como o gerenciamento de eventos de segurança decorrentes de emergências e/ou incidentes de segurança e privacidade. O CSP deve nomear um responsável pela segurança do serviço prestado e notificar a TIM;
• O CSP deve garantir que a senha para acessar seus Ativos TIC, Consoles de gerenciamento e Interface de aplicativo atenda pelo menos às seguintes características (ou critérios de robustez equivalentes):
o Parametrização de senha: Comprimento mínimo: 8 caracteres;
o A senha deve conter pelo menos um caractere alfabético maiúsculo;
o A senha deve conter pelo menos um caractere alfabético minúsculo;
o A senha deve conter pelo menos um caractere numérico;
o A senha deve conter pelo menos um caractere especial.
Expiração periódica: 90 (noventa) dias.
Troca inicial obrigatória: Ao primeiro acesso a senha temporária é desabilitada e deve ser substituída.
Controle de Sessão: A sessão do usuário deve encerrar (Logoff), após um período de 10 (dez) minutos de inatividade.
Histórico da senha: A nova senha não pode ser igual às 10 senhas anteriores.
• O CSP deve fornecer mecanismos de autenticação forte para o acesso de colaborador, fornecedor ou parceiro comercial que processam dados classificados como críticos (confidencial e/ou exclusiva), para os negócios com um alto grau de Confidencialidade e/ou Integridade;
• O CSP deve fornecer acesso utilizando autenticação mútua, com credenciais baseadas em criptografia assimétrica para todos os acessos M2M (Machine to Machine) que processam dados classificados como críticos (confidencial e/ou exclusiva), para os negócios com um alto grau de Confidencialidade e/ou Integridade;
• Serviços em nuvem diretamente acessíveis pela internet devem possuir um método de autenticação que impeça ações maliciosas de "quebra" de senha (por exemplo: implementar tempo de suspensão do acesso ao portal após um número limitado de tentativas de autenticação com falha ou a solicitação para verificar um código Captcha);
• Qualquer usuário, seja colaborador, fornecedor ou parceiro comercial quando gerenciado pelo CSP deve:
64
o Verificar constantemente os usuários inativos para suspensão imediata (exceto usuários previamente autorizados para fins de gerenciamento técnico para os quais uma autorização foi concedida);
o Conservar as requisições de cancelamento até o final do contrato com a TIM.
• O CSP deve garantir a adoção de procedimentos adequados (por exemplo, backup, replicação etc.) que garantam um ponto de recuperação (RPO) de até 01 (um) dia de informações/dados da TIM, em caso de perda de dados em Ativos TIC. As informações/dados devem ser mantidas apenas durante o período contratual, quando não, devem ser excluídos;
Obs.: O RPO é definido de acordo com a solução.
• O CSP deve garantir que, em caso de mau funcionamento ou incidente em seus sistemas de TI, sejam adotados procedimentos operacionais específicos para a execução das atividades de restauração, que devem fornecer tempos de implementação alinhados com os SLAs contratados;
• As chaves criptográficas nunca devem ser armazenadas/transmitidas de forma clara. A propriedade e a gerência das chaves criptográficas são de responsabilidade da TIM;
• O CSP deve garantir que as atualizações do sistema operacional, middleware e software de aplicativo necessárias para corrigir defeitos e prevenir vulnerabilidades sejam instaladas em tempo hábil, de acordo com os padrões internacionais (por exemplo, OWASP, CERT). O CSP deve garantir testes adequados a fim de que a atualização não cause impacto na solução;
(*) Exceto para IaaS.
• Os logs gerados e coletados pela TIM devem possuir mecanismos que garantam autenticidade, imutabilidade e a correta configuração de data e hora (sincronizado com uma fonte de tempo oficial do Brasil);
• O CSP deve garantir que qualquer software instalado seja licenciado legalmente;
• O acesso aos registros de atividades de colaborador, terceiro, inclusive usuário M2M que trocam dados da TIM deve ser garantido, com a possibilidade de serem enviados às infraestruturas da TIM. Acesso aos registros dos usuários do CSP também deve ser garantido, nos casos em que são realizadas atividades de gerenciamento dos Ativos TIC da TIM;
• Todos os acessos e operações de leitura, gravação, modificação e exclusão de dados críticos devem ser rastreados nos sistemas de informações do CSP (por exemplo, dados classificados como críticos para os negócios com um alto grau de Confidencialidade e/ou Integridade, configurações de administração, informações privilegiadas) realizado colaborador, fornecedor ou parceiro comercial da TIM, inclusive usuários M2M e funcionários do CSP, nos casos em que são realizadas atividades de gerenciamento Ativo TIM. Os logs devem permitir identificar:
o O sistema de destino e qualquer aplicativo acessado;
o A referência do usuário que executou as atividades;
o Qualquer detalhe dos recursos ou parâmetros de acesso (por exemplo, endereço IP do cliente);
o As referências de tempo para a execução das atividades individuais;
o Uma indicação dos tipos e características das atividades realizadas.
• Além do requisito CSA IAM-08, o CSP deve adotar uma solução técnica ou processual
65
que permita o rastreamento inequívoca do colaborador, fornecedor ou parceiro comercial que utiliza logins sistêmicos/usuários técnicos (por exemplo, usuários root).
O uso desses utilitários deve ser limitado em casos de necessidade operacional real e somente pelo tempo estritamente necessário, sempre com autorização da TIM;
• O CSP deve cumprir a cláusula contratual do Direito de Auditoria que permite à TIM realizar atividades de controle processual e técnico (por exemplo, Avaliação de Segurança), para verificar a presença e a eficácia das contramedidas de segurança que foram declaradas;
• Em caso de incidentes de segurança e privacidade ou potencial tentativa de ataque cibernético, o CSP deve realizar análise forense e reportar a TIM em um tempo máximo de até 01 (uma) semana sobre as vulnerabilidades exploradas e os dados comprometidos;
• A política, o controle da infraestrutura para os componentes de infraestrutura e os pré- requisitos de arquitetura adotados no datacenter on-premises devem ser garantidos como valores mínimos na nuvem;
• Todo ambiente exposto na Internet deve ser protegido por ferramentas de NGX Firewall, IPS e para aplicações Web deve ser protegido por WAF;
• As plataformas de segurança de NGX Firewall, microssegmentação, IPS e WAF deve ser administrado pela TIM.
Quando aplicável tecnicamente a TIM se reserva o direito de utilizar a sua ferramenta de microssegmentação para garantir o controle de tráfego dos seus ativos e a proteção de ataques.
A TIM se reserva o direito de utilizar os appliances de segurança de sua escolha caso o CSP não possua as soluções ou as soluções providas pelo CSP não atendam aos requisitos mínimos de segurança e governança requeridos;
(*) Exceto para as aplicações em SaaS.
• Todos os pontos de Interconexão de tráfego mesmo que interno devem ser protegidos por Firewall e IPS para filtragem de pacotes e tráfegos anômalos entre essas redes;
• Deve-se monitorar em tempo real os eventos e a correlação de informações por meio do SIEM (*), eventos relacionados a:
o Anomalias de tráfego;
o Eventos de segurança gerados por elementos de proteção (FW, IPS, Antivírus, autenticações etc.);
o Eventos de acesso de usuários e clientes;
o Eventos e atividades administrativas nas consoles.
(*) A administração deve ser de responsabilidade da função de segurança da TIM.
• As políticas de configuração de equipamentos de segurança devem ser implementadas e documentadas seguindo os devidos fluxos de aprovações e logs de alterações de configurações;
(*) A administração deve ser responsável pela função de segurança da TIM.
• As políticas e controles de segurança para os componentes de sistema/Ativos TIC adotados no datacenter local devem ser garantidos como medida mínima também na nuvem;
66
• Os sistemas devem estar segregados dos ambientes de produção, FQA e Desenvolvimento;
• Os acessos ao sistema operacional são realizados através de Gateway de sessão. As comunicações entre os componentes de sistema devem ser criptografadas;
(*) Quando aplicável, a TIM se reserva o direito de utilizar o seu próprio Gateway de sessão.
• É necessário realizar o monitoramento em tempo real dos eventos para detectar ataques cibernéticos e um processo de resposta a incidentes, no caso de um incidente de segurança e privacidade;
• Em ambientes em nuvem, os ambientes devem obedecer às regras de segregação de ambiente definidas para o datacenter (micro segmentação), usando os recursos fornecidos pelo Cloud Service Provider (CSP). Adicionalmente a TIM se reserva o direito de utilizar a sua ferramenta de microssegmentação para garantir o controle de tráfego dos seus ativos e a visibilidade de ataques.
A segregação dos aplicativos deve ser garantida usando o pool de recursos (VM, armazenamento de dados etc.) separados uns dos outros, respeitando o conceito de segregação horizontal e vertical de aplicativos;
• O movimento de dados horizontal (Leste-Oeste) deve ser regulado através do uso de infraestruturas que garantam a microssegmentação.
Quando aplicável tecnicamente a TIM se reserva o direito de utilizar a sua ferramenta de microssegmentação para garantir o controle de tráfego dos seus ativos e a visibilidade de ataques;
• Todos os acessos na console de gerenciamento providas pelo CSP devem ser realizados através de métodos de autenticação forte, envolvendo pelo menos dois fatores de autenticação;
• O armazenamento/bancos de dados de ambientes com dados classificados com confidencialidade alta devem ser criptografados;
• As verificações de vulnerabilidade de Ativos TIC devem ser realizadas regularmente através de análise e/ou exploração de vulnerabilidade;
• Toda aplicação WEB e APIs devem ser disponibilizadas através de canais de comunicação criptografados através do uso de protocolos seguros e protegidas por solução de Web Application Firewall (WAF), por exemplo: SSL/TLS;
• Os servidores web que hospedam aplicações com acesso direto da Internet deve ser segregada dos servidores web que disponibilizam somente serviços as redes privadas da TIM.
Os serviços web acessados via internet não devem ser acessados de forma direta, mas através de solução de Web Application Firewall e balanceadores de carga;
• Todo processo de autenticação deve ser criptografado;
• No caso de serviços em nuvem diretamente acessíveis na Internet (por exemplo, com navegador da Web sem VPN), o rastreamento de acesso e atividade deve incluir:
o IP público do navegador e porta de origem;
o indicações de tempo para o início e o fim da sessão de acesso;
o Identificação da conta que efetuou login;
o Identificação das atividades realizadas, em termos de URL das páginas
67
navegadas, dos atributos sendo carregados, das funções relativas ativadas, das indicações de tempo correspondentes.
Esses rastreamentos devem ser mantidos pelo CSP por um período mínimo de 6 meses com o objetivo de detectar incidentes ou comportamento anômalo, fraude ou abuso do serviço;
• Todas as consoles de administração ou gerencia do CSP devem ser criptografados;
• Deve ser prevista alta disponibilidade do ambiente, de forma a garantir menor impacto aos serviços/Ativos TIC TIM;
• Deve ser prevista a definição do DRP (Disater Recovery Plan), em caso de ocorrer um incidente nível desastre que impacte o ambiente da nuvem previsto na contratação. Os Ativos TIC previstos para DRP devem ser definidos pela TIM;
• A comunicação entre redes virtuais de diferentes ambientes/contextos deve ser autorizada, segundo o processo vigente na TIM. Exemplo: VPN;
• Todos os acessos realizados nas consoles providas pelo CSP devem ter sua rastreabilidade garantida por meio de logs, obedecendo os requisitos mínimos de rastreabilidade. Tais logs devem ser disponibilizados a TIM para a TIM processá-los em suas ferramentas de gerenciamento de eventos de segurança para serem monitorados pela TIM em tempo real;
• É desejável que o CSP possua certificações de mercado, como por exemplo: Atestado CSA-STAR, Certificação CSA-STAR, Autoavaliação da CSA-STAR, ISO 20000- 1:2011, ISO 22301, XXX 00000, XXX 27017, ISO 27018, ISO 27701, ISO 9001, SOC, WCAG, PCI DSS, SOX (ISAE 3402 - Tipo 01 e 02), NIST 800-171, NIST CSF, União Europeia-US Privacy Shield, Regulamentação da SEC SCI, GDPR, LGPD, HIPAA/ALTA TECNOLOGIA). Essas certificações devem ser apresentadas à TIM;
68