Oficina SI e Privacidade
Boas Práticas na Especificação de Requisitos de SI e Privacidade em Contratações de TI
Oficina SI e Privacidade
em contratos
Oficina Especificação de Requisitos de Segurança da Informação e Privacidade em Contratações de Tecnologia da Informação
Secretaria de Governo Digital
Julho/2021
DEPARTAMENTO DE GOVERNANÇA DE DADOS E INFORMAÇÕES COORDENAÇÃO-GERAL DE SEGURANÇA DA INFORMAÇÃO
Boas Práticas na Especificação de Requisitos de SI e Privacidade em Contratações de TI
em contratos
Estratégia de Governo Digital 2020-2022 / Um Governo Confiável
Objetivo 10: Implementação da Lei Geral de Proteção de Dados - LGPD no Governo
Iniciativa 10.1: Estabelecer método de adequação e conformidade dos órgãos com os requisitos da Lei Geral de Proteção de Dados, até 2020
PROJETO ADEQUAÇÃO À LGPD
Objetivo: Definir e implementar estratégia para atuar preventivamente nas frentes de segurança da informação e privacidade de dados, com o intuito de fomentar a cultura de proteção de dados, implementando ações que visam avançar no processo de adequação à LGPD, minimizando os riscos.
Oficina SI e Privacidade
em contratos
Oficinas LGPD
INVENTÁRIO DE
TRATAMENTO DE
DADOS
PROGRAMA DE
PRIVACIDADE
2
TERMOS DE USO
E POLITICA
DE PRIVACIDADE
1
3
8
4
LGPD
PUBLICAÇÃO XXX.XX
RISCOS DE
SEGURANÇA E PRIVACIDADE
7
5
6
RESPOSTA À
INCIDENTES
RELATÓRIO DE IMPACTO À
PROTEÇÃO
DE DADOS
Requisitos e Obrigações
quanto a Segurança da Informação e Privacidade
Oficina SI e Privacidade
em contratos
Objetivo da Oficina
Apresentar requisitos mínimos de segurança da informação e privacidade que podem ser utilizados, no que couber, em contratações ou aditivos contratuais de Tecnologia da Informação com base nos normativos vigentes.
Oficina SI e Privacidade
em contratos
Agenda da Oficina
Estrutura de Planejamento de Contratação de Produtos de TI
1 ▪ Passos básicos para definição de produto
▪ Inclusão do passo de requisitos de SI e Privacidade (LGPD)
▪ Contratos de produtos que tratam dados pessoais - Privacidade
Estrutura de Requisitos de SI e Privacidade
2 ▪ Apresentação da estrutura de requisitos
▪ Indicação dos documentos aplicáveis
Oficina SI e Privacidade
em contratos
Agenda da Oficina
Detalhamento da Estrutura – Edital da PF
3 ▪ Descrição dos requisitos sugeridos
▪ Apresentação dos itens de SI no edital da PF
4
Considerações Finais
Boas Práticas na Especificação de Requisitos de SI e Privacidade em Contratações de TI
Oficina SI e Privacidade
em contratos
1
Estrutura de
Planejamento de
Contratação de
Produtos de TI
Oficina SI e Privacidade
em contratos
5 PASSOS BÁSICOS PARA DEFINIÇÃO DO PRODUTO OU SERVIÇO A SER CONTRATADO
1
lanejament
Cont
Equipe de
P o
ratação Elabo
ra
4
Termo de
Referência
Fim
5
Termos para Contrato
Requisitos Funcionais
3
Requisitos Técnicos
2
Início
Boas Práticas na Especificação de Requisitos de SI e Privacidade em Contratações de TI
Oficina SI e Privacidade
em contratos
6
Termos para
Contrato
1
Equipe de Planejamento
Contratação Elabora
Requisitos de
4 Segurança da
Informação e Privacidade
5
Termo de
Referência
Requisitos Funcionais
3
Requisitos Técnicos
2
Fim
Início
INCLUSÃO DE PASSO ESPECÍFICO PARA REQUISITOS DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE EM CONTRATAÇÃO DE TI - PRODUTO OU SERVIÇO
Oficina SI e Privacidade
em contratos
Adequação ou elaboração de cláusulas contratuais
1
A partir do resultado do inventário de dados, avaliação de riscos de segurança e privacidade, elaboração de relatório de impacto de dados pessoais, os contratos, convênios e outros instrumentos, novos ou existentes, que impliquem no tratamento de dados pessoais podem necessitar de ajustes.
2
Avaliação da necessidade de novas cláusulas (conforme os princípios da LGPD) :
▪ Responsabilidades do controlador e operador claras e objetivas;
▪ Forma da coleta e o tratamento de dados;
▪ Possibilidade de o titular acessar os seus dados coletados;
▪ Possibilidade de revogação do consentimento dado pelo titular;
▪ A forma que é realizada a correção, bloqueio ou eliminação de dados mediante solicitação do titular;
▪ O detalhamento de quem tem acesso aos dados, o responsável por seu uso e tratamento, a forma de armazenamento e as particularidades de possíveis auditorias;
▪ As medidas de segurança e privacidade dos dados coletados e armazenados pela
contratada.
Oficina SI e Privacidade
em contratos
2
Estrutura de
Requisitos de SI e Privacidade
Oficina SI e Privacidade
em contratos
ESTRUTURA DA ESPECIFICAÇÃO
Responsabilidades da Contratada
Requisitos de
Privacidade
Estrutura
Requisitos Mínimos
de SI
Requisitos Gerais de Seg e
Privacidade
DE REQUISITOS DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE EM CONTRATAÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Oficina SI e Privacidade
em contratos
03
07
08
Guia de Boas Práticas da LGPD - CCGD
ABNT NBR ISO/IEC 27701:2019.
Técnicas de segurança — Extensão
da ABNT NBR ISO/IEC 27001
ABNT NBR ISO/IEC 31000:2018. Gestão
de riscos – Diretrizes.
DOCUMENTOS APLICÁVEIS
01
05
ABNT
NBR
Information
ISO/IEC 29134:2017.
technology Security
techniques – Guidelines for privacy
impact assessment.
ABNT NBR ISO/IEC 27001:2013.
Tecnologia da Informação - Técnicas
de Segurança
02
06
ABNT NBR ISO/IEC 27005:2011.
Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação
ABNT NBR ISO/IEC 29151:2017. IT–
Security techniques – Code for
personally i.i p.
04
09
ABNT NBR ISO/IEC 27002:2013 para
gestão da privacidade da informação
— Requisitos e diretrizes
Legislação GSI Publicadas no site xxxxx://xxx.xxx.xx/xxx/xx- br/assuntos/dsi/legislacao
IN 4 , 26/03/2020
Dec 10222, 05/02/2020
Port 93, 26/09/2019
Oficina SI e Privacidade
em contratos
3
• Detalhamento da Estrutura
• Edital da PF
Oficina SI e Privacidade
em contratos
Boas Práticas na Especificação de Requisitos de SI e Privacidade em Contratações de TI
REQUISITOS GERAIS DE SEGURANÇA E PRIVACIDADE
Tratamento e Processamento de Dados Pessoais
Gestão de Mudanças
Gestão de Capacidade
Política de Segurança da Informação (POSIN)
Gestão de
Incidentes
Desenvolvimento
Seguro
Relatório de Impacto à Proteção de
Dados Pessoais - RIPD
Continuidade Operacional e Contingência
Segurança de Rede Corporativa
Análise e
Avaliação de Riscos
Arquitetura, Controles de SI e Matriz de Responsabilidades
Política de Backup
Oficina SI e Privacidade
em contratos
REQUISITOS MÍNIMOS DE SEGURANÇA DA SOLUÇÃO DE TIC
Controles
Criptográficos
Ambiente em
Nuvem
Análise de
Vulnerabilidades
Controle de
Acesso
Proteção da
Informação
Internet das
Coisas (IoT)
Registro de
Eventos,
Incidentes e Rastreabilidade
Registro de Atividades
Anonimização
Autorização do proprietário
Compartilhamento de dados
Exclusão segura de dados pessoais
Funcionalidade de anonimização
/pseudoanonimização
Política de Privacidade
Análise de Impacto
Política de proteção de dados
Processamento Contratado
Tratamento de dados
Estratégia de Capacitação
Monitoramento de
Notificação do
ações de privacidade de dados
Con trolador
Atendimento de Finalidade Pública
Atendimento de Finalidade de Tratamento
Precisão dos dados
Canal de comunicação com titulares de dados pessoais
Controles de integridade
Registro de operações
Oficina SI e Privacidade
em contratos
RESPONSABILIDADE DA CONTRATADA
Recursos em Versões Comprovadamente Seguras e Atualizadas
Utilização de Serviços de Terceiros
Segurança Física e do Ambiente
Reportar Incidentes
evogação de
Privilégios
Segregação de
Ambientes
Termo de Compromisso e Ciência
Descarte
Auditabilidade Contínua
R
Oficina SI e Privacidade
em contratos
Atenção!
REQUISITOS
Os requisitos são sugestões e não são exaustivos.
Adaptável
Pode ser adaptado, no que couber, para se adequar a cada contexto particular.
Responsabilidades
Cabe ressaltar que, fica a cargo da equipe de contratação identificar os requisitos relacionados às especificidades do objeto a ser contratado.
ENDEREÇO DO EDITAL NO QR CODE :
1 – A solução deverá atender aos princípios e procedimentos elencados na Política de Segurança institucional da Informação da PF e aos padrões estabelecidos pela ISO 17799:
1.1 – A solução deve ser mantida atualizada para assegurar sua disponibilidade e integridade continuadas;
1.2 – O serviço deve passar por manutenção de acordo com os intervalos e especificações de serviço recomendados pelo fornecedor e acordados com a Contratada;
1.3 – Devem ser mantidos registros sobre todas as falhas ocorridas ou suspeitadas e sobre todas as
manutenções preventivas e corretivas;
1.4 – Controles apropriados devem ser realizados quando se enviar informações (logs/mensagens), isto é, devem ser verificadas as identidades de emissor e destinatário (sejam eles pessoas ou máquinas), assim como deve ser certificado se o conteúdo destas informações deve realmente ser compartilhado entre tais entes.
2 – Os produtos deverão apresentar política de privacidade oferecida pelo fabricante a fim de garantir o sigilo dos dados consultados através dos software licenciados:
3 – A Contratada se compromete a manter sigilo absoluto em relação a todos os dados gerados no processo
de prestação dos serviços.
4 – O Sistema deverá prever a geração de trilhas de auditoria para todas as operações de inclusão, exclusão, alteração de dados; desligamento do ambiente e alteração de configuração do sistema.
5 – A Solução deverá conter funcionalidade de login por confirmação biométrica facial. Após transcurso de dado lapso temporal de total inatividade, a aplicação deverá encerrar a sessão inerte, retornando à condição de login necessário e confirmado por biometria facial
6 – A Contratada deve possuir Política de Segurança Cibernética (PSC) ou equivalente, incluindo políticas ou normas para privacidade de dados pessoais vigentes e atualizadas, com processo de revisão periódica formalizado e institucionalizado, de forma a garantir, dentre outros requisitos, o uso de sistemática e procedimentos de segurança cibernética para assegurar a consistência, a privacidade e a confiabilidade dos dados e informações que trafegam no objeto contratado.
7 – A Contratada deverá realizar, em conjunto com a Contratante, análise de impacto na privacidade dos dados pessoais relacionada ao objeto da contratação, considerando o descrito pelo relatório de impacto à proteção de dados pessoais, conforme previsto na Lei 13.709/2018, quando da concepção de qualquer novo projeto, produto ou serviço.
8 – A Contratada deverá realizar e apresentar à Contratante periodicamente uma análise/avaliação de riscos dos recursos de processamento da informação, sistemas de segurança da informação e quaisquer outros ativos relacionados ao objeto do contrato, indicando o nível de risco ao qual o objeto do contrato e a Contratante está exposta, baseada em análise de vulnerabilidades, resguardando os segredos de negócio, direitos autorais e direitos de propriedade intelectual aplicáveis, conforme metodologia indicada pela Contratante..
9 – A Contratada deverá apresentar, em tempo determinado pela Contratante :
9.1 – Documentação que descreve a arquitetura física e lógica do objeto;
9.2 – Uma descrição dos controles de segurança cibernética implementados em cada componente descrito
na arquitetura física e lógica;
9.3 – Matriz de responsabilidades descrevendo os papéis e suas respectivas responsabilidades pela segurança cibernética relacionada ao objeto da contratação e com relação aos itens aqui descritos.
10 – A Contratada deverá utilizar recursos de segurança cibernética e de tecnologia da informação de qualidade, eficiência e eficácia reconhecidas e, sempre que possível, em versões comprovadamente seguras e atualizadas, de forma reduzir o nível de risco ao qual o objeto do contrato e/ou a Contratante está exposta, considerando os critérios de aceitabilidade de riscos definidos pela Contratante.
11 – A Contratada deverá assegurar que os ambientes tecnológicos de desenvolvimento, teste, homologação e produção estejam segregados e possuam controles de segurança cibernética adequados a cada ambiente, de forma a para reduzir o nível de riscos de acessos ou modificações não autorizadas.
12 – A Contratada deverá possuir e implementar processo de gestão de mudanças adequado para que mudanças na organização, nos processos de negócio e nos recursos de processamento da informação sejam controlados e não afetem a segurança cibernética, reduzindo o nível de risco ao qual o objeto do contrato e/ou a Contratante está exposta, considerando os critérios de aceitabilidade de riscos definidos pela Contratante:
12.1 – Considerar ainda na gestão de mudanças o processo referente a Migração dos dados do Sistema AFIS legado para o novo Sistema ABIS.
13 – A Contratada deve possuir um processo de Gestão de Incidentes que registre os incidentes de segurança cibernética ocorridos e que guarde informações como: a descrição dos incidentes ou eventos, as informações e sistemas envolvidos, as medidas técnicas e de segurança utilizadas para a proteção das informações, os riscos relacionados ao incidente e as medidas tomadas para mitigá-los e evitar reincidências; além de implementar e manter controles e procedimentos específicos para detecção, tratamento e resposta a incidentes de segurança cibernética, de forma a reduzir o nível de risco ao qual o objeto do contrato e/ou a Contratante está exposto, considerando os critérios de aceitabilidade de riscos definidos pela Contratante.
14 – A Contratada deve implementar os controles necessários para o registro de eventos e incidentes de segurança cibernética;
15 – A Contratada deve reportar de imediato à Contratante incidentes que envolvam vazamento de
dados, fraude ou comprometimento da informação relacionados ao objeto do contrato.
16 – A Contratada deve implementar os controles necessários para coleta e preservação de evidências de
incidentes de segurança.
17 – A Contratada deverá implementar controles de acesso baseado em uma política de controle de acesso para o objeto contratado, elaborada pela Contratante em conjunto com a Contratada, tendo em vista o princípio do menor privilégio e a proteção adequada aos dados pessoais, de forma a reduzir o nível de risco ao qual o objeto e a Contratante estão expostos, considerando os critérios de aceitabilidade de riscos definidos pela Contratante. A política deve estabelecer, dentre outros critérios, que se deve conceder autorizações de acesso apenas quando realmente sejam necessárias para o desempenho de uma atividade específica, definindo também protocolos para cadastramento, mecanismo de controle de acesso (como, por exemplo, validação de formulário), habilitação, inabilitação, atualização de direitos de acesso e exclusão de usuário, além de revisões periódicas da política. A política também deve definir situações e protocolos para acesso a informações sensíveis, necessidades de não repúdio, situações que requerem autenticação via duplo fator e acesso via certificado digital, nos casos e que a Contratante julgar necessário.
18 – A Contratada deverá apresentar à Contratante, sempre que solicitado, toda e qualquer informação e documentação que comprovem a implementação dos requisitos de segurança especificados, de forma a assegurar a auditabilidade do objeto contratado, bem como demais dispositivos legais aplicáveis.
19 – A Contratada deverá disponibilizar todos os recursos necessários para que a Contratante, ou outra entidade por ela indicada, realize atividade continuada de auditoria de segurança cibernética relacionadas ao objeto do contrato.
20 – A Contratada deve implementar e manter controles específicos para registro de eventos e rastreabilidade de forma a manter trilha de auditoria de segurança cibernética, aderente a disposto em dispositivo legal correlato publicado pelo GSI/PR, de forma a assegurar a rastreabilidade da2ações de usuário por meio de logs de transações e de acesso aos sistemas, conforme especificação de requisitos, e gerá-los e disponibilizá-los à Contratante para fins de auditorias e inspeções.
21 – A Contratada deve implementar medidas de salvaguarda para os logs descritos no item anterior, bem como controles específicos para registro das atividades dos administradores e operadores dos sistemas relacionados ao objeto do contrato, de forma que esses não tenham permissão de exclusão ou desativação dos registros (logs) de suas próprias atividades.
22 – A Contratada deve implementar e manter controles e procedimentos específicos para assegurar o completo e absoluto sigilo quanto a todos os dados e informações de que o preposto ou os demais empregados da Contratada venham tomar conhecimento em razão da execução do contrato, de forma a assegurar que seus empregados e outros profissionais sob sua direção e/ou controle respeitem as restrições de uso dos ativos utilizado para desenvolvimento e/ou operação da solução objeto do contrato, cumprindo e fazendo cumprir o disposto nos acordos de confidencialidade firmados, partes integrantes deste anexo.
23 – A Contratante deverá comunicar à Contratada, de imediato, a ocorrência de transferência, remanejamento ou demissão de funcionário, para que seja providenciada a revogação de todos os privilégios de acesso aos sistemas, informações e recursos da Contratante, porventura colocados à disposição para realização dos serviços contratados.
Oficina SI e Privacidade
em contratos
4
Considerações Finais
Oficina SI e Privacidade
em contratos
Guia para Especificação de Requisitos de SI e Privacidade em Contratações de TI
OBJETIVO
1
Apresentar orientações com o intuito de auxiliar os órgãos e entidades da Administração Pública Federal, direta, autárquica e fundacional na elaboração de especificações de requisitos de Segurança da Informação e Privacidade nas contratações de TI
2
ELABORAÇÃO
Coordenação-Geral de Segurança da
Informação da Secretaria de Governo Digital
– CGSIN/SGD.
3
PUBLICAÇÃO
Março de 2021 Revisões periódicas
DISPONÍVEL EM:
4
Oficina SI e Privacidade
em contratos
Guias de Adequação à LGPD
<.. image(Interface gráfica do usuário, Texto, Aplicativo, Email Descrição gerada automaticamente) removed ..>
DISPONÍVEL EM:
xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/x t-br/governanca-de-dados/guias- operacionais-para-adequacao-a- lgpd
Boas Práticas na Especificação de Requisitos de SI e Privacidade em Contratações de TI
Oficina SI e Privacidade
em contratos
Contato
MINISTÉRIO DA
ECONOMIA
Secretaria de Governo Digital