CONTRATO DE SERVIÇO DE VALOR ADICIONADO
CONTRATO DE SERVIÇO DE VALOR ADICIONADO
O presente Contrato de Serviço de Valor Adicionado (“Contrato”) é celebrado, de um lado, pela TIM S.A., nova denominação social da INTELIG TELECOMUNICAÇÕES LTDA e sucessora por incorporação da TIM CELULAR S.A., com sede Avenida Xxxx Xxxxxx xx Xxxxx Xxxx, n° 850, bloco 01, sala 1212, Barra da Tijuca, Rio de Janeiro
– RJ, XXX 00000-000, inscrita no CNPJ/MF sob o nº 02.421.421/0001-11, neste ato representada na forma do seu Estatuto Social, doravante denominada de (“TIM”) e, de outro lado, pelo Cliente, devidamente qualificado no Projeto Comercial, (“CLIENTE”), doravante denominados em conjunto de “Partes”.
Este Contrato será regido pelas cláusulas e condições a seguir acordadas e, no que couber, pela legislação e regulamentação aplicáveis.
CLÁUSULA PRIMEIRA DEFINIÇÕES
Conforme empregados no presente Contrato, os termos então utilizados terão o significado a seguir indicados. Os demais termos referidos em maiúsculas e aqui não definidos terão os significados que lhes forem atribuídos no corpo do Contrato:
“Aplicação Web” - Designa, de forma geral, sistemas de informática projetados para utilização através de um navegador, através da internet ou aplicativos desenvolvidos utilizando tecnologias como web HTML e Java Script, dentre outras, Exemplos comuns de aplicações WEB, são sites de comércio eletrônico, portais dinâmicos e sites de busca.
“Ataque à Aplicação Web”: Tentativa de invasão ao ambiente de aplicação web, em que agentes maliciosos tentam acessar a infraestrutura de rede do CLIENTE que suporta o ambiente das aplicações web, incluindo o acesso à rede, aos servidores, e ao banco de dados do CLIENTE.
“SOC” é a sigla de (Security Operation Center) ou Centro de Operações de Segurança - é um termo genérico que descreve parte ou a totalidade de uma plataforma cujo objetivo é prestar serviços de detecção e reação a incidentes de segurança. É operado por profissionais especializados e certificados em segurança da informação e garante a proteção de informações em tempo real e de forma ininterrupta (24x7x365).
“HTTP” é a sigla de Hypertext Transfer Protocol ou Protocolo de Transferência de Hipertexto – é o protocolo utilizado por usuários e servidores que permite a troca e/ou transferência de dados hipermídia (imagens, sons e textos) entre redes de computadores na internet, que estabelece a comunicação entre a URL e o servidor Web que armazena os dados, enviando então a página HTML solicitada pelo usuário.
“HTTPS” é sigla de HTTPS (Hyper Text Transfer Protocol Secure ou Protocolo de Transferência de Hipertexto Seguro) é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do usuário por meio de certificados digitais.
“Serviço de Valor Adicionado”: Atividade que acrescenta a um serviço de telecomunicações que lhe dá suporte, novas utilidades relacionadas ao acesso, armazenamento, apresentação, movimentação ou recuperação de informações na forma do artigo 61 da Lei nº 9.472/97 – Lei Geral de Telecomunicações, incluindo, mas não se limitando a instalação, gerenciamento, manutenção, entre outros.
“Serviço de Proteção WAF” - Web Application Firewall é o serviço de proteção adequada às aplicações online desde as mais simples até as mais complexas, de acordo com a natureza do negócio e necessidade do CLIENTE. A adoção do WAF permite ao CLIENTE ter visibilidade das principais ameaças que atacam ou tentam comprometer o seu negócio,
prevenindo-se de ataque em tempo hábil para conduzir as melhorias e correções que se façam necessárias, além de bloquear os ataques às aplicações web em tempo real, preservando as operações, minimizando o risco de vazamento de informações estratégicas.
‘Serviço WEB” – Serviço oferecido na internet que utiliza a infraestrutura de redes existente para disponibilizarão de informações e aplicações para o usuário,
“WEB” - Representa um sistema de informações, de alcance mundial, distribuído onde as informações são "ligadas" umas às outras por links de hipertexto, utilizando a hipermídia na sua formação básica.
CLÁUSULA SEGUNDA OBJETO
2.1 O objeto do presente Contrato é a prestação pela TIM ao CLIENTE de serviços de proteção à infraestrutura de rede do CLIENTE por intermédio da utilização de um software específico para esta finalidade (“Proteção WAF”). Os serviços, objeto deste Contrato compreenderão a supervisão, e proteção de um ou mais dispositivos (s) firewall de aplicação web (Web Application Firewall- “Proteção WAF”) contra ataques direcionados à aplicação web da infraestrutura de rede do CLIENTE (“WAF”).
2.1.1 Os Serviços de Proteção WAF pressupõem o supervisionamento de tráfego, detecção e mitigação de ataques direcionados ao ambiente de aplicação web do CLIENTE, evitando perdas de produtividade, negócios e reputação da marca.
2.1.2 Os Serviços de Proteção WAF são elegíveis aos CLIENTES que possuem os serviços de Comunicação Multimídia (SCM) contratados com qualquer Operadora de Telecom.
2.1.3 A adesão ao presente Contrato se dará por meio do aceite pelo CLIENTE, formalizado através da assinatura do Projeto Comercial.
2.2. Constitui parte integrante e complementar do Contrato o Projeto Comercial devidamente aceito pelo CLIENTE para a contratação do serviço de Proteção
WAF (“Projeto Comercial”) e o Anexo I que estabelece os
Alvos típicos de ataque à aplicação web;
2.3. O Web Application Firewall (Proteção WAF) trabalha na camada de aplicação da pilha TCP/IP onde inspeciona as solicitações ao servidor verificando através de assinaturas, anomalias invasões ou tentativas de derrubar o serviço. A Proteção WAF trabalha emitindo alertas e bloqueando os ataques antes de alcançar os servidores de origem do CLIENTE, filtrando todo o tráfego HTTP e HTTPS de entrada, por meio de controles configuráveis nas camadas de rede de aplicação. Apenas as solicitações que são consideradas como verdadeiras (sem strings ou códigos maliciosos) são repassadas para a aplicação
2.4. O serviço de Proteção WAF inclui o fornecimento de alertas e supervisão em vista de aumentar a segurança e reduzir os riscos associados à ameaças de ataques aos dispositivos (s) de aplicação web que possam impactar a continuidade do negócio do CLIENTE.
2.5. Por meio da prestação do serviço de Proteção WAF, a TIM atuará objetivando a limpeza de tráfego malicioso que poderia ocasionar a invasão ao ambiente de aplicação web da infraestrutura de rede do CLIENTE. Para tanto, a TIM criará um perfil de acesso à aplicação do CLIENTE, de modo que qualquer alteração substancial deste possa ser vista como tráfego malicioso. Este tráfego considerado como malicioso será analisado pela TIM e, caso venha a ser diagnosticado como um ataque à aplicação web do CLIENTE, a TIM tomará as providências junto ao CLIENTE para eliminar o referido tráfego diagnosticado como malicioso.
2.6. O serviço de Proteção WAF será disponibilizado na nuvem e será supervisionado pelo Centro de Operações da TIM (“SOC”). Os recursos a serem adotados no serviço de Proteção WAF dependerão da disponibilidade e compatibilidade dos aplicativos que estiverem sendo utilizados pelo CLIENTE, bem como das suas características.
2.6.1 Os requisitos mínimos do sistema operacional necessário para a prestação do Serviço de Proteção WAF está descrito de forma detalhada no Projeto Comercial.
2.7. O serviço de Proteção WAF será suportada por uma infraestrutura de hardware, software e processos, devidamente agrupados, que constituem o Centro de Operações de Segurança da TIM (“SOC”).
2.8. O serviço de Proteção WAF consistirá no seguinte:
(i) fornecimento de assistência ao CLIENTE na instalação dos recursos relativos à proteção contra ataques aos dispositivos (s) de aplicação web da infraestrutura de rede do CLIENTEF;
(ii) prestação de serviço de mitigação de potenciais ataque aos dispositivos (s) de aplicação web da rede do CLIENTE, por meio de um sistema automático que possui assinaturas de ataques conhecidos e que cria e monitora perfis de acesso a aplicações web para identificar ataques não conhecidos.;
(iii) fornecimento de suporte do SOC, por meio da Central de Atendimento, ao sistema contra ataques aos dispositivos (s) de aplicação web da rede do CLIENTE em esquema 24/7, ou seja, 24 (vinte e quatro) horas por dia e 7 (sete) dias por semana;
(iv) fornecimento de informações por meio de página na Internet da TIM a respeito de potenciais ameaças aos dispositivos (s) de aplicação web da rede do CLIENTE que possam afetar a segurança. A referida página na Internet será mantida e gerenciada pela TIM e o CLIENTE receberá por e-mail cadastrado, login e senha para acessar o Portal de serviços para obter as informações;
(v) fornecimento dos relatórios de eventos ocorridos na rede do CLIENTE e as ações tomadas pela TIM com base nos termos deste Contrato;
2.9. Para fins deste Contrato, bem como para todos os demais fins de direito, o CLIENTE declara estar ciente e concordar que:
(i) O serviço de Proteção WAF não previne ou elimina todos os possíveis ataques aos dispositivos (s) de aplicação web da rede do CLIENTE;
(ii) A TIM não garante que o serviço de Proteção WAF irá detectar e/ou mitigar todos os possíveis ataques e/ou ameaças aos dispositivos (s) de aplicação web da rede do CLIENTE;
(iii) A TIM necessitará ter acesso a informações detalhadas e específicas acerca dos recursos do CLIENTE para fins da prestação do serviço de Proteção WAF;
(iv) A TIM não será responsável por qualquer ação ou inércia do CLIENTE que resulte na interrupção de acesso aos seus recursos, dificuldade de acesso ou diminuição da performance;
(v) A TIM poderá, a seu único e exclusivo critério, impor medidas técnicas relacionadas à prestação do serviço de Proteção WAF para mitigar ataques aos dispositivos (s) de aplicação web da rede do CLIENTE, sendo que tais medidas poderão resultar em impactos diretos em recursos do CLIENTE, ou ainda, na redução do seu desempenho, sendo que em tal hipótese a TIM estará livre e isenta da obrigação de indenizar o CLIENTE de quaisquer danos diretos e indiretos, perdas e danos e inclusive lucros cessantes.
(vi) A TIM não garante que as configurações dos recursos a serem adotados no serviço de Proteção WAF serão compatíveis com os aplicativos que estiverem sendo utilizados pelo CLIENTE, sendo certo que nessa hipótese o CLIENTE responsabiliza-se em providenciar os requisitos mínimos necessários para a compatibilidade sistêmica que viabilize a prestação do serviço de Proteção WAF, bem como as atualizações que se façam necessárias durante a vigência do Contrato, conforme previsto em Projeto Comercial.
CLÁUSULA TERCEIRA
DIREITOS E OBRIGAÇÕES DA TIM TELECOM
3.1. Além das demais obrigações constantes do presente Contrato, compromete-se a TIM a:
3.1.1. Informar ao CLIENTE, por escrito e com antecedência mínima de 3 (três)] dias, sobre quaisquer interrupções ou interferências programadas que possam causar alguma alteração no desempenho do serviço de Proteção WAF;
3.1.2. Comunicar ao CLIENTE, por escrito, sobre qualquer modificação, que venha a ser realizada a critério da TIM, acerca das especificações técnicas do
serviço de Proteção WAF, inclusive para fins de atualização de programas e equipamentos, sem que isto implique em alteração da remuneração correspondente, e desde que as referidas alterações não representem mudança da natureza do serviço de Proteção WAF. Tais modificações deverão ser comunicadas ao CLIENTE com, no mínimo, [30 (trinta)] dias de antecedência da data de sua implementação;
CLÁUSULA QUARTA DIREITOS E OBRIGAÇÕES DO CLIENTE
4.1. Além das demais obrigações contidas no presente Contrato, compromete-se o CLIENTE a:
4.1.1. Os serviços de Proteção WAF são elegíveis aos CLIENTES que possuem os serviços de Comunicação Multimídia contratados com qualquer Operadora de Telecom, a contratação);
4.1.2. Não usar o serviço de Proteção WAF de maneira indevida, ilegal ou fraudulenta, ou ainda, fora das configurações, ou ainda auxiliar ou permitir que terceiros ou os seus próprios clientes o façam, bem como seguir as eventuais orientações de uso e segurança divulgadas pelo SOC;
4.1.3. Não armazenar e/ou transmitir pela rede, interna e/ou externa, qualquer programa ou aplicação que viole o disposto na legislação aplicável e/ou o disposto no presente Contrato ou qualquer outro que a TIM, a seu exclusivo critério, identifique e julgue como estando em desacordo com sua política interna, bem como não interceptar ou monitorar qualquer material a partir de qualquer ponto da rede da TIM que não seja expressamente endereçado ao CLIENTE;
4.1.4. Instalar e manter, às suas expensas e sob sua responsabilidade, rede interna e demais condições técnicas, operacionais e de infraestrutura necessárias ao recebimento da Proteção WAF com a TIM, bem como permitir que a TIM, ou pessoa por ela indicada, a seu livre e exclusivo critério, realize vistorias nas dependências do CLIENTE onde estejam sendo prestados ou estejam instalados os recursos relacionados à prestação do serviço de Proteção WAF, desde que dentro do horário comercial,
4.1.5.Comunicar à TIM, através da Central de Atendimento, com a maior antecedência possível, qualquer campanha publicitária, promoção, ou fato que possa dar ensejo ao aumento extraordinário no acesso dos seus recursos web, bem como qualquer anormalidade observada que possa comprometer o desempenho do WAF.
4.1.6. Estabelecer, de comum acordo com a TIM, um cronograma para ativação do serviço de Proteção WAF, em até 10 (dez) dias úteis após o aceite do Projeto Comercial, ou em outro prazo a ser acordado entre as Partes, o qual deverá ser devidamente assinado pelas mesmas, declarando o CLIENTE, desde já e para todos os efeitos legais, que o signatário de tal cronograma possui todos os poderes necessários para a sua assinatura;
4.1.7. Cessar imediatamente o uso de eventuais informações de caráter confidencial ou sigiloso que lhe forem transmitidas pela TIM, bem como quaisquer códigos, acessos ou endereços fornecidos pela mesma, em virtude do serviço de Proteção WAF, em caso de término, rescisão ou denúncia do presente Contrato, sob pena de vir a responder pelas perdas e danos a que der causa;
4.1.8. Cadastrar e manter atualizada junto à TIM lista de funcionários que habilitados para acesso aos softwares, páginas na Internet e recursos relacionados ao serviço de Proteção WAF (“Pessoas Autorizadas”), bem como a fazer com que estas alterem quaisquer senhas que lhes tenham sido originalmente disponibilizadas pela TIM, sempre que esta assim determinar, estando a TIM isenta de qualquer responsabilidade por danos diretos e indiretos, perdas e danos e inclusive lucros cessantes que porventura venham a ser causados em razão do não cumprimento da obrigação ora estipulada;
4.1.9. Garantir que as Pessoas Autorizadas observem o disposto neste Contrato, bem como nos termos de uso dos respectivos softwares, páginas na Internet e recursos relacionados ao serviço de Proteção WAF;
4.1.10. Assegurar a proteção das credenciais de acesso das Pessoas Autorizadas (login e senha), inclusive, mas não se limitando, por meio da não revelação das credenciais de acesso a quaisquer outras pessoas que não as Pessoas Autorizadas;
4.1.11. Informar imediatamente à TIM sobre qualquer suspeita de comprometimento às credenciais acima mencionadas; e
4.1.12. Manter a TIM isenta e indene de quaisquer perdas e danos que esta venha a incorrer em razão de falhas na proteção das credenciais acima mencionadas.
4.2. O CLIENTE declara-se ciente de que as Pessoas Autorizadas terão plenos poderes para operar os sistemas e recursos relacionados aos serviços de Proteção WAF, inclusive para fornecer as informações mencionadas no item 1.7, alínea (v). Por esta razão, o CLIENTE deverá manter ao menos uma Pessoa Autorizada disponível para operar tais sistemas e recursos, bem como para ser contatada pela TIM durante 24 (vinte e quatro) horas por dia e 7 (sete) dias da semana.
4.3. Fica desde já acordado que fornecido qualquer dado direto e/ou indireto decorrente de ataque aos dispositivos (s) de aplicação web da rede do CLIENTE ocorrido quando da interrupção do serviço de Proteção WAF por motivos não imputáveis à TIM, inclusive, mas não se limitando, decorrentes de caso fortuito, força maior, atraso nos pagamentos devidos e inobservância das disposições deste Contrato e das orientações fornecidas pela TIM, serão de única e exclusiva responsabilidade do CLIENTE.
CLÁUSULA QUINTA ATIVAÇÃO DO WAF
5.1. O serviço de Proteção WAF será considerado ativado técnica (entrega dos serviços funcionando após os testes) e comercialmente (faturamento do(s) Serviço(s)) na data em que a TIM notificar o CLIENTE acerca de sua ativação técnica, através do Informe de Ativação, enviado por e-mail ao contato técnico indicado pelo CLIENTE
5.1.1. O CLIENTE poderá contestar a ativação do Serviço de Proteção WAF junto à equipe de ativação da TIM em um prazo máximo de até 72 (setenta e duas) horas após o envio do e-mail com o Informe de Ativação. A sua não manifestação no devido prazo importará na confirmação tácita da data da ativação do(s) Serviço(s).
para todos os fins de direito, inclusive para início do faturamento.
5.1.2 Caso o CLIENTE conteste a ativação do Serviço de Proteção WAF e, após o recebimento da contestação, novos testes deverão ser efetuados pela TIM, ficando desde já acertado que, neste caso, a data de ativação do Serviço será considerada aquela em que for sanada a falha ou irregularidade apontada pelo CLIENTE, hipótese em que deverá ser observado novamente o procedimento descrito acima
5.2 A TIM analisará as reclamações que digam respeito à ativação do Serviço de Proteção WAF levando em consideração as especificações mencionadas no Projeto Comercial e no Informe de Ativação.
5.3 Caso o CLIENTE não atenda aos requisitos técnicos, operacionais, de infraestrutura ou de rede interna sob sua responsabilidade ou, no caso do prazo de ativação ter vencido, ou o CLIENTE se recusar a ativar tecnicamente o Serviço de WAF, a TIM deverá fazer constar no Informe de Ativação Técnica tais ocorrências e concederá ao CLIENTE o prazo de 05 (cinco) dias úteis para a sua regularização
5.3.1 A TIM poderá realizar o serviço relativo à infraestrutura referido no item 4.3 desde que solicitado formalmente pelo CLIENTE e mediante a apresentação de orçamento específico e aprovação prévia do CLIENTE.
5.4. Após o término do prazo determinado no item 4.3. acima, ou em outro prazo a ser acordado pelas Partes, e não tendo o CLIENTE resolvido de forma definitiva as pendências existentes, estará a TIM automaticamente autorizada a:
(i) iniciar o faturamento do Serviço de Proteção WAF (ativação comercial), independentemente de sua utilização pelo CLIENTE; e/ou
(ii) proceder ao cancelamento da prestação do Serviço de Proteção WAF e à cobrança dos custos incorridos pela TIM com a ativação comercial e técnica.
5.5 No caso acima mencionado, a TIM enviará ao CLIENTE um e-mail e/ou notificação informando o ocorrido.
5.6 No caso mencionado no item 4..3 acima, a modificação do cronograma de ativação técnica poderá implicar em uma revisão dos valores acordados no Projeto Comercial.
5.7 Caso durante o processo de ativação técnica do(s) Serviço(s) haja a necessidade de execução de um Projeto Especial, as Partes deverão determinar um novo prazo para realizar a mencionada ativação, além de determinar o valor do Projeto Especial, cujo repasse de custos será informado na ocasião.
CLÁUSULA SEXTA
PREÇOS E CONDIÇÕES DE PAGAMENTO
6.1. Pela prestação do WAF, o CLIENTE pagará à TIM, mensalmente, os valores estabelecidos na Proposta Comercial correspondente ao WAF, que já englobam o valor dos tributos incidentes no momento da contratação, de acordo com o estabelecido nas legislações tributárias federal, estadual e municipal.
6.2. O valor a ser pago, pelo WAF prestado durante o mês de ativação ou desativação dos mesmos, será calculado pro rata ao número de dias referente ao mês em que o WAF estiver em operação, sendo certo que tal mês, para efeito de cálculo, terá sempre a duração de 30 (trinta) dias.
6.3. O início do faturamento do WAF corresponderá à data de ativação comercial dos mesmos pela TIM.
6.4. A nota fiscal/fatura (“Fatura”), enviada pela TIM ao CLIENTE, no local previamente designado no Projeto Comercial, deverá ser quitada pelo CLIENTE até a sua respectiva data de vencimento, devendo a Fatura ser enviada pela TIM com, no mínimo, 5 (cinco) dias de antecedência da sua data de vencimento.
6.5. As reclamações do CLIENTE relativas à eventual entrega da Fatura em prazo diverso ao estabelecido acima, somente serão consideradas se efetuadas com, no mínimo, 72 (setenta e duas) horas de antecedência da data do seu vencimento, ficando desde já ajustado que tal reclamação deverá ser efetuada por meio da [Central de Atendimento].
CLÁUSULA SÉTIMA CONTESTAÇÃO DAS FATURAS
7.1. O CLIENTE tem o direito de questionar os débitos lançados pela TIM, não se obrigando ao pagamento dos valores que considere indevidos, obedecido o disposto abaixo.
7.2. O CLIENTE possui o prazo de até 90 (noventa) dias, a partir da data de recebimento da respectiva Fatura para contestação de débitos.
7.3. A contestação parcial de débitos suspende exclusivamente a cobrança da parcela contestada, sendo certo que a parcela não contestada permanece devida pelo CLIENTE, ficando o mesmo sujeito ao pagamento da parcela não contestada até a data de vencimento original.
7.4. A apresentação da contestação parcial de débitos não suspende a fluência dos prazos estabelecidos relativos à suspensão do WAF, caso existam débitos não contestados, e não pagos, na data de vencimento, na forma da Cláusula Oitava deste Contrato.
7.5. A contestação de débitos deverá ser formalizada, por escrito, através de comunicação à TIM, junto ao [Central de Atendimento], ou através de envio de e-mail [informado no projeto comercial].
7.6. Os valores referentes às contestações apresentadas pelo CLIENTE serão apurados pela TIM e os resultados, com as fundamentações cabíveis, comunicados ao CLIENTE em até 30 (trinta) dias contados do recebimento pela TIM da comunicação prevista no item 7.5., ou em outro prazo a ser acordado entre as Partes.
7.7. Se o valor contestado, e não pago pelo CLIENTE for considerado, pela TIM, como sendo devido, este valor será imediatamente exigível do CLIENTE, acrescido das penalidades previstas no item 8.1., incisos (i), (ii) e (iii) deste Contrato, a serem incluídas em Fatura subsequente.
7.8. A eventual devolução de valores cobrados indevidamente ocorrerá na forma de crédito na Fatura imediatamente subsequente, acrescidos dos encargos determinados no item 8.1., incisos (ii) e (iii) aos valores
pagos em atraso, na hipótese da quantia cobrada ter sido devidamente quitada.
CLÁUSULA OITAVA ATRASO NO PAGAMENTO
8.1. O não pagamento da Fatura até a data do seu vencimento sujeitará o CLIENTE, independentemente de qualquer aviso, sem prejuízo das exigibilidades pecuniárias cabíveis, à aplicação das seguintes penalidades:
(i) 2% (dois por cento) de multa sobre o débito original;
(ii) juros moratórios de 1% (um por cento) ao mês sobre o débito original, calculados pro rata die até a efetiva liquidação do débito total;
(iii) atualização dos valores em atraso pelo Índice de Geral de Preços – Disponibilidade Interna (“IGPD-I”), da Fundação Xxxxxxx Xxxxxx, ou por outro índice que venha a substituí-lo, até a data da efetiva liquidação do débito total;
(iv) suspensão do WAF em caso de inadimplência do CLIENTE e não contestação por parte do mesmo, após o 7° (sétimo) dia de atraso no pagamento da Fatura do respectivo período, contado da data do seu vencimento, a exclusivo critério da TIM. O restabelecimento do WAF, em até 24 (vinte e quatro) horas, ficará condicionado à confirmação do pagamento do valor integral da Fatura em atraso, com acréscimo dos encargos moratórios estabelecidos nesta Cláusula; e
(v) cancelamento do WAF e rescisão do presente Contrato, a critério da TIM, caso a inadimplência por parte do CLIENTE não seja sanada no prazo de [30 (trinta)] dias contado da data de vencimento da Fatura, e não tenha havido contestação na forma estabelecida neste Contrato, sem prejuízo da cobrança das sanções previstas neste instrumento e das eventuais perdas e danos cabíveis na forma da lei.
CLÁUSULA NONA REAJUSTE DE PREÇOS
9.1. As importâncias relativas ao WAF serão reajustadas após cada período de 12 (doze) meses, ou em periodicidade menor que vier a ser permitida por lei, ou em caso desta silenciar, em periodicidade mensal, contados a partir da data de ativação comercial do WAF, de acordo com a variação do Índice de Geral de Preços – Disponibilidade Interna (“IGPD-I”), da Fundação Xxxxxxx Xxxxxx, em conformidade com a fórmula abaixo. No caso de extinção dos índices mencionados, o reajuste será aplicado de acordo com os novos índices que vierem a substituí-los, à livre escolha da TIM.
onde:
PR = PA x IR
IA
PR = Preço após o reajuste PA = Preço a ser reajustado
IR = Número do IGPD-I correspondente ao mês anterior ao mês de reajuste
IA = Número do IGPD-I correspondente ao mês anterior ao mês de ativação do primeiro circuito integrante da rede contratada pelo CLIENTE, ou correspondente ao mês anterior ao mês do último reajuste.
CLÁUSULA DÉCIMA INTERRUPÇÃO DO WAF
10.1. A TIM não será responsável por quaisquer danos, diretos e/ou indiretos, inclusive lucros cessantes, relacionados à interrupção da prestação do WAF nas seguintes hipóteses:
(i) caso fortuito ou força maior;
(ii) operação inadequada, falha ou mau funcionamento de equipamentos, redes e/ou softwares que não sejam de responsabilidade ou de controle direto da TIM;
(iii) falha na infraestrutura, nos equipamentos, softwares
ou na rede interna do CLIENTE;
(iv)falha de equipamento, do sistema de proteção contra ataques aos dispositivos (s) firewall de aplicação web
da infraestrutura de rede do CLIENTE, bem como de
software da TIM ocasionada pelo CLIENTE;
(v) realização de testes, ajustes e manutenção necessários à prestação do WAF (manutenção preventiva), desde que notificados com antecedência mínima de 3 (três) dias e possuam duração máxima de 6 (seis) horas;
(vi)impedimento do acesso de pessoal técnico da TIM, e/ou de terceiros indicados por esta, às dependências do CLIENTE para fins de manutenção ou restabelecimento do WAF;
(vii) falha no meio de telecomunicação de acesso quando provido total ou parcialmente pelo CLIENTE e por outra Operadora de Telecom; e
(viii) falhas decorrentes de atos ou omissões sobre os quais a TIM não possua controle direto.
10.2. O valor de eventuais descontos realizados em virtude da interrupção do WAF por culpa da TIM será creditado ao CLIENTE na Fatura até o segundo mês subsequente ao mês em que foi verificado o fato que deu origem a esses descontos, sendo que tal crédito será efetuado com base no preço vigente no mês do crédito.
CLÁUSULA DÉCIMA PRIMEIRA RESPONSABILIDADES
11.1. A responsabilidade relativa a este Contrato limitar- se-á aos danos diretos, devidamente comprovados, excluindo-se danos indiretos ou incidentais e/ou insucessos comerciais, bem como lucros cessantes, causados por uma Parte à outra, desde que devidamente comprovados pela Parte prejudicada e limitados ao valor total do presente Contrato.
11.2. A TIM não será responsabilizada por atos de terceiros, ou de órgãos governamentais ou regulatórios que impeçam o cumprimento das obrigações deste Contrato, ou ainda por qualquer dos eventos listados no item 10.1. deste instrumento.
11.3. A TIM não será responsabilizada por quaisquer perdas e danos resultantes de acessos não autorizados a facilidades, instalações ou equipamentos do CLIENTE ou por alteração, perda ou destruição dos arquivos de
dados, programas, procedimentos, ou informações do CLIENTE causados por acidente, meios ou equipamentos fraudulentos ou qualquer outro método impropriamente empregado pelo CLIENTE.
11.4. A TIM não possui a obrigação de fiscalizar ou, de qualquer forma, acompanhar ou controlar o conteúdo veiculado pelo CLIENTE, isentando-se a TIM, nesse caso, de qualquer responsabilidade pela veiculação de conteúdo ilegal, imoral ou antiético por parte do CLIENTE.
11.5. O CLIENTE assume toda e qualquer responsabilidade pelas eventuais operações de compra e venda por meio virtual que impliquem em transferência de informações sigilosas do CLIENTE e/ou de terceiros.
11.6. A TIM não será responsabilizada por quaisquer perdas e danos resultantes do bloqueio de acesso aos recursos do CLIENTE caso, a único e exclusivo critério da TIM, tal medida possa ser necessária em razão de indício de ataques aos dispositivos (s) firewall de aplicação web da infraestrutura de rede do CLIENTE.
11.7. As Partes reconhecem e aceitam que a extinção ou a limitação de responsabilidade previstas nesta cláusula constituem fator determinante para a contratação do WAF, e foram devidamente consideradas na fixação da remuneração cobrada.
CLÁUSULA DÉCIMA SEGUNDA PRAZO E VIGÊNCIA
12.1. O presente Contrato entrará em vigor na data de sua assinatura e permanecerá em vigor até que sejam cumpridas, por ambas as Partes, todas as obrigações dele resultantes. O Projeto Comercial, parte integrante ao presente Contrato, designará o prazo aplicável para o WAF, sendo certo que o início do prazo referido deverá sempre corresponder à data de ativação comercial do WAF pelo CLIENTE.
12.2. Caso o WAF seja contratado por prazo determinado, seu prazo será automaticamente renovado por períodos iguais e sucessivos, a menos que o CLIENTE notifique à TIM, por escrito, de sua intenção de cancelar o WAF, com antecedência mínima de 30 (trinta)
dias da data prevista para o término de sua vigência. 11.2.2.
CLÁUSULA DÉCIMA TERCEIRA DENÚNCIA E RESCISÃO
13.1. O presente Contrato poderá ser denunciado unilateralmente, na forma abaixo determinada:
(i) pelo CLIENTE antes da ativação do WAF, mediante o pagamento à TIM dos valores referentes a todas as despesas incorridas por esta, desde que devidamente comprovadas, para a prestação do WAF, tais como taxas de instalação, desinstalação e custos de remuneração às empresas de telecomunicações;
(ii) por qualquer das Partes, após a ativação do WAF, mediante notificação, por escrito, à outra Parte com, pelo menos, 30 (trinta) dias de antecedência da data prevista para o seu encerramento.
13.2. O presente Contrato poderá ser rescindido, sem prejuízo do cumprimento das obrigações e responsabilidades constantes do presente instrumento e, em especial, dos pagamentos e penalidades aqui previstos, mediante a ocorrência de um ou mais dos seguintes acontecimentos:
(i) declaração judicial de insolvência, falência, recuperação judicial deferida ou liquidação judicial de qualquer das Partes;
(ii) atraso do CLIENTE nos pagamentos devidos em virtude deste Contrato por prazo superior a 30 (trinta) dias, caso não tenha havido contestação por parte do mesmo, na forma prevista neste Contrato;
(iii) rescisão promovida pela TIM, independentemente de notificação judicial ou extrajudicial, quando caracterizado o uso indevido, ilegal ou fraudulento do WAF ou havendo indícios da prática de atos ilícitos contra a TIM inclusive contra seus empregados, seus representantes legais, contratuais ou comerciais pelo CLIENTE, estando a TIM isenta de qualquer responsabilidade neste caso; e
(iv) rescisão promovida por qualquer das Partes no caso de descumprimento contratual, desde que a Parte adimplente notifique a outra Parte, por escrito, da
ocorrência de tal descumprimento, e este não seja sanado dentro do prazo de 30 (trinta) dias ou em outro prazo a ser acordado pelas Partes, contados da data do recebimento da
notificação correlata.
13.3. No caso de denúncia do Contrato ou rescisão do Contrato motivada pelo CLIENTE na forma prevista, respectivamente, no item 12.1 (ii) acima, ficará o CLIENTE obrigado a pagar à TIM, de uma só vez, imediatamente após a denúncia e/ou à rescisão, e independentemente de notificação judicial ou extrajudicial, multa não compensatória no valor equivalente a 30% (trinta por cento) do valor total de todas as parcelas vincendas relativas ao serviço objeto deste Contrato, sem prejuízo das perdas e danos cabíveis.
CLÁUSULA DÉCIMA QUARTA PROPRIEDADE INTELECTUAL
14.1. As Partes obrigam-se a não empreender nenhuma atividade, tampouco realizar quaisquer atos, quer seja direta ou indiretamente, que venham a afetar ou a prejudicar, de algum modo, o direito, a titularidade e o uso pela outra Parte de suas marcas registradas, nomes comerciais ou qualquer propriedade intelectual.
14.2. Os programas, recursos e manuais técnicos eventualmente fornecidos pela TIM ao CLIENTE, em virtude da prestação do WAF são e permanecerão sendo de propriedade intelectual de seus respectivos fabricantes. O CLIENTE não poderá exercer, ou requerer o exercício, de qualquer titularidade sobre tais manuais, a qualquer título, causa ou pretexto, tendo única e exclusivamente o direito de uso dos programas e manuais, nos termos da licença que receberá juntamente com os respectivos programas e manuais, quando for o caso, durante a vigência do presente Contrato.
CLÁUSULA DÉCIMA QUINTA CONFIDENCIALIDADE
15.1. O CLIENTE obriga-se, por si e seus funcionários e eventuais terceiros que estejam sob a sua responsabilidade, a não fazer qualquer cópia dos programas, recursos e dos manuais técnicos, seja a que título for, à exceção de uma cópia dos manuais para fins
de salvaguarda, sem prévia anuência por escrito da TIM. O CLIENTE não poderá desmontar, descompilar ou reverter a engenharia dos programas. Os programas poderão ser utilizados somente pelo CLIENTE e em conexão com o equipamento que compõe a solução do CLIENTE.
15.2. O CLIENTE deverá destruir eventual cópia existente dos programas, recursos e dos manuais técnicos, efetuada para fins de salvaguarda, e eventuais cópias outras que existam em razão de autorização prévia da TIM, ou devolvê-las à TIM, imediatamente, quando do encerramento do prazo de vigência deste Contrato.
15.3. Todas as alterações ou modificações dos programas e dos manuais técnicos, eventualmente autorizadas pela TIM deverão ser documentadas e a ela fornecidas cópias antes mesmo de sua implementação.
15.4. Nenhuma das Partes poderá realizar, sem o consentimento prévio e por escrito da outra Parte, os seguintes atos:
(i) divulgar quaisquer aspectos, cláusulas ou condições do presente Contrato, inclusive quanto ao objeto pretendido pelas Partes; ou
(ii) utilizar o nome, marca ou logotipo da outra Parte, ou qualquer de suas abreviaturas ou adaptações, para efeitos de publicidade, comércio ou outro propósito, seja ele qual for.
15.5. A obrigação de sigilo acima não se aplica na hipótese em que tal divulgação:
(i) seja necessária para implementar e fazer cumprir os termos e condições deste Contrato;
(ii) seja solicitada por autoridade investida de poderes para tal finalidade; ou
(iii) se tal divulgação for exigida em virtude de lei ou de decisão judicial.
15.6. As Partes declaram ter conhecimento de que a documentação que lhes foi entregue uma pela outra, em virtude deste Contrato, contém informações confidenciais e constitui um direito de propriedade intelectual de
significativo valor econômico. Por conseguinte, obrigam- se as Partes a proteger e manter o caráter confidencial e sigiloso de toda essa informação e/ou documentação fornecida por uma Parte à outra, salvo nas exceções estabelecida no item 145. acima, sendo-lhe vedado divulgar seu conteúdo, total ou parcialmente, a terceiros, sob pena de a Parte infratora vir a responder pelas perdas e danos causados à Parte prejudicada.
15.7. A Parte receptora das Informações Confidenciais deverá comunicar à Parte transmissora, tão logo o saiba, qualquer solicitação daquelas informações por quaisquer autoridades públicas competentes ou por meio de qualquer processo judicial, de forma que a Parte transmissora seja capaz de tomar as medidas legais que julgar cabíveis. Cada Parte manterá e garantirá que ela, suas subcontratadas, consultores, agentes e cada um de seus sucessores e cessionários mantenham sob sigilo todos os documentos, material, especificações, dados cadastrais, dados e outras informações, sejam técnicos ou comerciais, a ela fornecidos pela outra Parte ou em seu nome, relacionados ou não ao Serviço de VAS, ou obtida por ela durante a vigência deste Contrato (“Informações Confidenciais”), e não publicará ou de outra forma divulgará ou os usará para outros propósitos que não os de cumprir suas obrigações segundo este Contrato.
15.8. Esta cláusula e todos os seus itens continuarão em vigor durante 5 (cinco) anos após o término, denúncia ou rescisão deste Contrato, a qualquer título.
CLÁUSULA DÉCIMA SEXTA DISPOSIÇÕES GERAIS
16.1. O presente Contrato e todos os direitos e obrigações decorrentes do mesmo não poderão ser cedidos pelo CLIENTE, no todo ou em parte, sem o consentimento prévio e por escrito da TIM.
16.2. A declaração de invalidade, ilegalidade ou inexequibilidade de qualquer cláusula, termo ou disposição deste Contrato não afetará a validade, legalidade ou exequibilidade das demais cláusulas, termos ou disposições do Contrato, ou ainda do Contrato como um todo.
16.3. Este Contrato não cria entre as Partes qualquer relação de sociedade, "joint-venture", associação, parceria, representação, agenciamento, franquia ou vínculo empregatício.
16.4. O recebimento de quantias fora dos vencimentos estipulados, bem como o não exercício pelas Partes de qualquer dos direitos que lhe assegurem este Contrato e a lei serão havidos como mera liberalidade de tal Parte e não implicarão em renúncia de direito ou novação ou alteração das cláusulas do presente Contrato, salvo documento por escrito que assim o manifeste.
16.5. O presente Contrato e todo e qualquer instrumento anexo a ele, identificado e rubricado pelas Partes como tal, constituem o Contrato total e completo celebrado entre as Partes, substituindo todos os acordos prévios que tenham sido celebrados entre as Partes, ficando ajustado, ainda, que em caso de dúvida ou contradição entre o presente Contrato e os anexos que o integram, inclusive no que se refere à Proposta Comercial, deverá prevalecer o disposto no Contrato.
16.6. As Partes deverão indicar, para fins de notificação, os nomes dos respectivos responsáveis pela administração do presente Contrato e seus endereços em até 5 (cinco) dias após a assinatura do mesmo. Fica ajustado, ainda, que qualquer notificação acerca deste Contrato deverá ser enviada por correio com aviso de recebimento.
16.7. Na hipótese de divergência entre as disposições contidas no presente Contrato e as disposições de quaisquer de seus anexos, sempre prevalecerão as disposições do corpo deste Contrato sobre as de quaisquer de seus anexos.
16.8. A TIM manterá Central de Atendimento gratuito ao CLIENTE, com funcionamento ininterrupto, 24 (vinte e quatro) horas por dia, todos os dias do ano, inclusive sábados, domingos e feriados.
16.9. A TIM e o CLIENTE declaram, pautar seus negócios e sua atuação na observância da ética e no desenvolvimento e crescimento sustentável, razão pela qual se comprometem a respeitar e a proteger os direitos humanos, o direito do trabalho, os princípios da proteção ambiental e da luta contra todas as formas de corrução, à luz dos princípios do Pacto Global das Organizações das
Nações Unidas. Assim ambas declaram cumprir e que cumprirão e farão com que todos os seus empregados, subcontratados, consultores, agentes e/ou representantes façam os melhores esforços para cumprir as disposições legais relacionadas à anticorrupção, em especial, ao disposto na Lei nº 12.846/2013, Decreto nº 8.420/2015 e, na medida de sua aplicabilidade, a FCPA (Lei dos Estados Unidos sobre Práticas de Corrupção no Exterior).
16.10. O CLIENTE declara tomar, neste ato, conhecimento do Canal de Denúncias da TIM, disponível em xxxx://xxx.xxx.xxx.xx/xxxxx-xxxxxxxx/?xxxxxxxXX, e se compromete a submeter ali todo e qualquer tentativa e/ou prática a que for submetido, tomar conhecimento, ou contra qual for investido que se enquadre nas condutas descritas na Lei nº 12.846/2013 e/ou violem as normativas internas da TIM, em especial, mas não se limitando ao Código de Ética e Conduta, Política Anticorrupção e de Conflito de Interesses e/ou legislações vigentes.
16.11. O Código de Ética e Conduta da XXX xxxxx a necessidade de respeito: (i) a honestidade, a lealdade e a transparência para com os seus acionistas, clientes, parceiros, fornecedores, contratados, mercado, órgãos governamentais, comunidade e demais stakeholders / partes interessadas; (ii) os interesses da sociedade e das partes contratantes, acima dos interesses individuais de seus funcionários, representantes e prestadores de serviços; (iii) as normas de segurança e saúde nos locais de trabalho; (iv) o meio ambiente e a saúde pública, adotando-se, inclusive, uma abordagem preventiva aos problemas correlacionados. A TIM também repudia e condena atos de corrupção em todas as suas formas, inclusive extorsão e propina, em especial, os previstos na Lei nº 12.846/2013 e no “FCPA”, o financiamento ao terrorismo o trabalho infantil, ilegal, forçado e/ou análogo ao escravo, bem como todas as formas de exploração de crianças e adolescentes e todo e qualquer ato de assédio ou discriminatório em suas relações de trabalho, inclusive na definição de remuneração, acesso a treinamento, promoções, demissões ou aposentadorias, seja em função de raça, origem étnica, nacionalidade, religião, sexo, identidade de gênero, orientação sexual, idade, deficiência física ou mental, filiação sindical ou que atente contra (i) os direitos humanos e/ou impliquem ou resultem em torturas, físicas ou mentais; (ii) a saúde e a segurança pessoal e/ou do ambiente de trabalho; (iii)
o direito de livre associação dos colaboradores, (iv) os direitos ambientais e de sustentabilidade e (v) a valorização da diversidade. O Código de Ética e Conduta da TIM se encontra disponível no sítio de internet da TIM (xxxx://xxx.xxx.xxx.xx/xx – Governança, Código de Ética) e arquivado na sua sede e em todos os seus estabelecimentos, à disposição para consulta pública.
CLÁUSULA DÉCIMA SÉTIMA PROTEÇÃO DOS DADOS
17.1 Para os fins deste Contrato, aplicam-se as seguintes definições:
a) “Dados Pessoais”: todos e quaisquer dados e informações obtidas através de meio online ou offline, capazes de identificar ou tornar identificáveis pessoas físicas, incluindo dados que possam ser combinados com outras informações para identificar um indivíduo, e/ou que se relacionem com a identidade, características ou comportamento de um indivíduo ou influenciem na maneira como esse indivíduo é tratado ou avaliado, incluindo números identificativos, dados locacionais ou identificadores eletrônicos, tais como cookies, beacons e tecnologias correlatas.
b) “Tratamento” (bem como os termos relacionados “Tratar”, “Tratados”): toda e qualquer operação realizada com Dados Pessoais, incluindo a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, conforme dispõe a Lei n.º 13.709/2018 e o Decreto n.º 8.771/2016.
c) “Base Legal”: requisitos para o Tratamento de Dados Pessoais definidos no art. 7º da Lei nº 13.709/2018. A identificação da Base Legal para cada Dado Pessoal a ser coletado pelo CLIENTE será realizada pelo CLIENTE, cabendo a este a obrigação de apontar qual a Base legal que deseja utilizar para cada operação de Tratamento de cada Dado Pessoal.
d) “Controlador(a)”: pessoa a quem competem as
decisões referentes ao Tratamento de Dados Pessoais;
e) “Operador(a)”: pessoa que o realiza o Tratamento de
Dados Pessoais em nome do Controlador.
17.2 As Partes reconhecem que, em virtude da celebração do Contrato, realizarão diversas operações de Tratamento de Dados Pessoais. Em especial, concordam as Partes que, para os fins da legislação relacionada à proteção de Dados Pessoais aplicável, no âmbito do Contrato.
17.2.1 As Partes declaram e garantem que cumprem e que continuarão cumprindo toda e qualquer obrigação legal aplicável relacionada à privacidade e à proteção de Dados Pessoais em decorrência do exercício de suas atividades no contexto do Contrato, sendo certo que manterão em segurança todos e quaisquer Dados Pessoais a que tiverem acesso em virtude da relação estabelecida em decorrência do Contrato.
17.3 O CLIENTE declara e garante que toda e qualquer operação de coleta, uso, Tratamento e armazenamento de Dados Pessoais no âmbito do Contrato será realizada sempre utilizando uma Base Legal válida para tal Tratamento, podendo ser, por exemplo, por meio do consentimento livre, informado e inequívoco do titular dos Dados Pessoais, exclusivamente para a realização de finalidades determinadas, ou mesmo por meio da necessidade do atendimento de interesse legítimo do CLIENTE e/ou de terceiros com quem o CLIENTE mantenha relação jurídica, desde que dentro das legítimas expectativas dos respectivos titulares dos Dados Pessoais objeto do Tratamento.
17.3.1 Sem prejuízo das demais disposições do Contrato, ficam vedadas quaisquer operações de Tratamento de Dados Pessoais que sejam discriminatórias e proibidas pela legislação de privacidade e proteção de dados aplicável, ou incompatíveis com a natureza do Dado Pessoal Tratado.
17.4 No contexto do Tratamento de Dados Pessoais pelo CLIENTE em conjunto a terceiros, incluindo, mas não se limitando aos seus fornecedores, fica estabelecido que todas as disposições estabelecidas nesta Cláusula Décima Quinta serão aplicáveis a tais terceiros, sendo o CLIENTE o único e exclusivo responsável perante a TIM por quaisquer perdas e danos causados à TIM e/ou a terceiros em razão de eventual
violação desta Cláusula ou da legislação aplicável por tais terceiros e/ou pelo CLIENTE no contexto do Tratamento de Dados Pessoais.
17.5 O CLIENTE compromete-se a incluir, em suas políticas de privacidade ou documentos similares, referências claras e adequadas no que se refere a coleta, uso e Tratamento de Dados Pessoais, bem como às condições do seu Tratamento, armazenamento, práticas de segurança da informação e compartilhamento com terceiros, em estrita conformidade com a legislação aplicável, comprometendo-se ainda a incluir referência ao compartilhamento de Dados Pessoais com a TIM, para os fins do disposto neste Contrato, bem como à política de privacidade da TIM, caso aplicável.
17.6 As Partes garantem que as informações Tratadas no âmbito do Contrato, especialmente os Dados Pessoais, estarão armazenadas em ambiente seguro, em servidores localizados no Brasil ou no exterior, observado o estado da técnica disponível, valendo-se de políticas e tecnologias de segurança como criptografia, controles de acesso e certificações de segurança específicos, e somente poderão ser acessadas por pessoas qualificadas e autorizadas pelas Partes, responsabilizando-se cada Parte por todo e qualquer acesso indevido a que tenha dado causa. Cada Parte se compromete a imediatamente informar a outra Parte em caso de suspeita ou de efetiva perda, destruição, alteração, divulgação e acesso e/ou Tratamento ilegal ou não autorizado dos Dados Pessoais, a fim de protegê-los contra violações, em desrespeito aos termos deste Contrato, da legislação aplicável, para evitar eventuais danos e prejuízos às Partes e a terceiros.
17.7 A TIM não será responsabilizada, em nenhuma hipótese, por eventuais ações, omissões, instruções, falhas ou erros do CLIENTE e/ou de quaisquer terceiros por ela contratados, incluindo, mas não se limitando aos seus fornecedores, no contexto do Tratamento, acesso, compartilhamento e/ou da disponibilização de quaisquer Dados Pessoais à TIM, inclusive para Tratamento no contexto da prestação dos serviços objeto deste Contrato, bem como por quaisquer perdas consequenciais ou decorrentes do uso, direto ou indireto, pelas Partes, dos Dados Pessoais Tratados pela TIM no âmbito do Contrato, devendo o CLIENTE indenizar e manter a TIM isenta de qualquer responsabilidade nesse
sentido, exceto nas hipóteses em que houver comprovação de xxxx ou culpa grave por parte da TIM.
CLÁUSULA DÉCIMA OITAVA FORO
18.1. O presente Contrato obriga, desde logo, as Partes contratantes e suas sucessoras, a qualquer título, ficando eleito o foro do domicílio do CLIENTE para dirimir quaisquer controvérsias oriundas deste Contrato, com exclusão de qualquer outro, por mais privilegiado que seja.
ANEXO I – ALVOS TÍPICOS DE ATAQUE A APLICAÇÃO WEB
• Bad Bots – Programas que realizam ações repetitivas em um site ex: Pesquisas de preços, compra de tickets.
• OWASP Top 10 – (Open Web Application Security Project) Fundação internacional sem fins lucrativos, voltada para segurança de software que elenca as 10 maiores ameaças (tipo de ataque) a sites. Esta funcionalidade garante que todo o OWASP Top 10 seja protegido pela plataforma.
• SQL Injection – Ocorre quando dados não confiável são enviados para um intérprete (ex. Java ou .NET) como parte de um comando ou consulta. Dados hostis do atacante podem enganar o interpretador (ex.Java ou .NET) para executar comandos não intencionais ou acessar dados sem a devida autorização.
• URL Rewriting Obsfucation – URL Rewritng é uma técnica de programação para que os sites sejam melhor visualizados nos buscadores da internet (ex. Google). Este ataque ofusca esta técnica, fazendo com que o site praticamente desapareça dos sites de busca.
• Cross Site Scripting (XSS) - Ocorre sempre que uma aplicação leva dados não confiáveis e os envia para um navegador web, sem a validação adequada. Permite que atacantes executem scripts no navegador da vítima, podendo sequestrar sessões de usuários, desfigurar sites, ou redirecionar o usuário para sites maliciosos.
• Cross Site Request Forgery (CSRF) - Um ataque CSRF força o navegador da vítima a enviar um pedido HTTP forjado, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação. Isso permite o invasor, forçar o navegador da vítima, a gerar solicitações para uma aplicação, que acredita serem pedidos legítimos da vítima. Ex.: Um atacante invasor sequestra os cookies de um banco em seu computador pessoal, autorizando o invasor a executar uma ação neste banco em particular.
• Cookie Poisoning – Este tipo de ataque envolve a modificação do conteúdo de um cookie (informações pessoais armazenadas no computador de um usuário da
Web), a fim de contornar mecanismos de segurança. Usando ataques de Cookie Poisoning, os atacantes podem obter informações não autorizadas sobre usuários e roubar a sua identidade
• Custom error messages – Servidores Web podem utilizar mensagens de erro customizadas, isto é, algumas mensagens de erro possuem códigos (programas) para uma melhor informação ou orientação dos usuários. Esta mensagem de erro customizada pode possuir brechas no código que possibilitam um invasor parar o servidor web.
• Clickjacking - É um ataque que se aproveita de uma vulnerabilidade encontrada em vários navegadores Web, permitindo que atacantes alterem a exibição visual de um site a partir do navegador, preservando sua funcionalidade. Especificamente, Clickjacking envolve gerar uma sobreposição gráfica falsa em uma página Web existente, a fim de alterar visualmente a página, preservando sua funcionalidade (botões, formulários, etc.). Isto é feito com a intenção de enganar usuários para interagir com a página Web escondida enquanto eles acreditam que estão interagindo com um site completamente diferente.
• Data Leak Prevention (Cartão de Crédito, PII- Informações Pessoamente Identificáveis- e Pattern Matching-Tokens-) – Proteção contra roubo de número de cartão de crédito, seguro social ou qualquer outra informação sensível.
• Business Logic Attack (BLA) - É um ataque que tem como alvo a lógica de uma aplicação de negócio. O aplicativo de negócios pode ser uma loja online de roupas, um serviço de venda de bilhetes on-line para teatro ou cinema. Ao contrário da "tradicional", técnica de ataques a aplicações, por exemplo, XSS ou SQL Injection, ataques de lógica de negócios não contêm pedidos mal formados e incluem valores de entrada legítimos que fazem este tipo de ataque difícil de detectar. Além disso, BLA’s podem abusar da funcionalidade do aplicativo, atacando o negócio diretamente.
•
Directory Traversal - É um Exploit que permite um atacante acessar diretórios restritos, executar comandos e visualizar dados do servidor Web, onde o conteúdo do site é armazenado
•
• Forceful Browsing - Usando Forceful Browsing, o atacante pode ter acesso a áreas restritas no diretório do servidor Web. Este tipo de ataque ocorre quando o atacante "força" uma URL acessando-a diretamente em vez de seguir os links
•
• Pharming - é um tipo de ataques variados em que o atacante seqüestra o endereço de rede (endereço IP ou nome de domínio) de um aplicativo de destino com o propósito de interceptar toda a interação do usuário final com o aplicativo de destino. O atacante pode então fazer uso desta interceptação de comprometer informações confidenciais ou distribuir malware, incluindo backdoors e trojans.
•
• Remote File Inclusion (RFI) - É um ataque que tem como alvo os servidores onde funcionam sites e suas aplicações. Exploits RFI são mais frequentemente atribuídos a linguagem de programação PHP, uma das mais utilizadas pelas grandes empresas para construção de sites. No entanto, RFI pode manifestar-se em outros ambientes. RFI trabalha explorando aplicativos que fazem referência dinamicamente a scripts externos. Como conseqüência, a aplicação pode ser instruída para incluir um script hospedado em um servidor remoto e, portanto, executar um código controlado por um invasor. Os scripts executados podem ser usados para roubo/manipulação de dados, ou para sequestrar um servidor web.
• Source Code Disclosure – Este tipo de ataque permite que um usuário malicioso obtenha o código fonte de uma aplicação hospedada em um servidor web. Esta vulnerabilidade concede um profundo conhecimento ao atacante da lógica da aplicação Web.