Contratação de Serviços de Terceiros - PCI

Apresentar os requisitos de Segurança da Informação e Privacidade obrigatórios que deverão ser observados pela CONTRATADA, baseados no Payment Card Industry – Data Security Standards (PCI - DSS), para todos os fornecedores cujos produtos e serviços demandam o meio de pagamento por cartões de crédito, considerando o processamento, transmissão e/ou armazenamento de informações de clientes e colaboradores da CLARO.

2. APLICAÇÃO

Aplica-se à Claro S.A. e suas Controladas/Coligadas, bem como para todos aqueles que, mesmo não sendo colaboradores próprios, trabalhem dentro ou fora das instalações das Empresas ou ainda que tenham acesso às informações dos processos da Organização.

3. REFERÊNCIAS

Os seguintes documentos referenciados, no todo ou em parte, são normativas e padrões de mercado:

Para o desenvolvimento deste documento, foram considerados:

• ABNT NBR ISO/IEC 27001:2013: Tecnologia da Informação — Técnicas de Segurança — Sistemas de Gestão da Segurança da Informação;

• ABNT NBR ISO/IEC 27002:2013: Tecnologia da Informação — Técnicas de Segurança — Código de Prática para Controles de Segurança da Informação;

• ABNT NBR ISO/IEC 27005:2011: Tecnologia da Informação — Técnicas de Segurança — Gestão de Riscos de Segurança da Informação;

• ABNT NBR ISO/IEC 27011:2008: Técnicas de Segurança - Diretrizes para Gestão da Segurança da Informação para Organizações de Telecomunicações.

• ABNT NBR ISO/IEC 27701:2019: Tecnologia da Informação — Técnicas de Segurança — Extensão à ABNT NBR ISO/IEC 27002 para Gestão da Privacidade da Informação – Requisitos e Diretrizes;

• CÓDIGO DE ÉTICA, do Grupo América Móvil;

• DECRETO Nº 8.771/2016 – Decreto que regulamenta o Marco Civil da Internet;

• LEI Nº 12.965/2014 – Marco Civil da Internet;

• LEI Nº 9.472/97: Lei Geral das Telecomunicações;

• LEI Nº 13.709/18 - Lei Geral de Proteção de Xxxxx Xxxxxxxx;

• LEI Nº 13.853/19 – Lei que altera a LGPD e cria a Autoridade Nacional de Proteção de Dados;

• Normas de Segurança da Claro.

• OWASP SECURE CODING PRACTICES 1.1 - Guia de Referência Rápida de Práticas de Codificação Segura;

• PCI-DSS 3.2.12.0 (PAYMENT CARD INDUSTRY – DATA SECURITY STANDARDS) - Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).

4. REQUISITOS DE SEGURANÇA PARA CONTRATAÇÃO DE SERVIÇOS DE TERCEIROS – PCI

A CONTRATADA, cuja prestação de serviço envolver transações de cartões de pagamento, deverá estar em conformidade com o padrão PCI-DSS (última versão disponível no Anexo I deste documento);

O PCI DSS deve ser aplicado a todas as entidades envolvidas nos processos de pagamento de cartão de crédito e débito, como comerciantes, processadores, adquirentes, emissores e prestadores de serviço, inclusive àquelas que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação confidenciais (SAD).

4.1.Organização de Segurança da Informação e Proteção de Dados Pessoais

i. Para fins de organização da Segurança da Informação e da privacidade e proteção de dados pessoais, a CONTRATADA deve:

a) Possuir um modelo de gestão de Segurança da Informação e Privacidade, com o papel de elaborar, divulgar e atualizar as políticas e diretrizes de segurança e proteção de dados pessoais, que deverão ser apresentadas à Claro em caso de solicitação nesse sentido;

b) Designar um responsável pelo modelo de gestão de Segurança da Informação, que deverá atuar na gestão e no cumprimento das diretrizes e, se aplicável, um DPO, responsável pela estrutura e governança do programa de privacidade e proteção de dados pessoais;

c) Possuir uma política de Segurança da Informação (ou documento similar) revisada periodicamente e divulgada a todos os funcionários e terceiros, em que conste diretrizes de segurança e privacidade, contendo, no mínimo, os seguintes temas (não se limitando somente a estes):

• Classificação da Informação, inclusive de Dados Pessoais

• Mesa e tela limpa

• Segurança física

• Controle de acesso

• Senhas

• Manuseio da informação

• Licenciamento de software

• Backups

• Resposta a incidentes de segurança e de privacidade

• Acesso à internet

• Uso de correio eletrônico

• Procedimentos documentados

• Gestão de vulnerabilidades / patches

• Governança em privacidade

• Registro de tratamento de dados pessoais

d) Documentar e manter atualizados os processos e procedimentos internos relacionados à prestação do serviço e aos requisitos de Segurança da Informação e Privacidade (ISO 27701:2019);

e) Realizar durante a contratação e periodicamente treinamentos de conscientização para seus funcionários sobre os aspectos de Segurança da Informação e Privacidade exigidos neste documento;

f) Cumprir a legislação e regulamentações aplicáveis à prestação de serviço, particularmente a Lei Geral das Telecomunicações e a LGPD;

g) Designar responsáveis, custodiantes e usuários das informações de seus sistemas internos.

ii. Caso o serviço prestado envolva transações de cartões de pagamento, a CONTRATADA deverá estar em conformidade com o padrão PCI-DSS, evidenciando anualmente sua conformidade de acordo com as regras do PCI, bandeiras e adquirentes;

iii. Todas as informações de propriedade da Claro, bem como as de seus clientes devem ter sua utilização restrita à prestação do serviço contratado e devem ser tratadas como confidenciais, sendo assegurado o acesso dos profissionais às informações apenas na medida necessária à execução de suas tarefas.

4.1.1. PROTEÇÃO DOS DADOS

I. Todas os dados de pessoais e dados pessoais sensíveis de clientes da CLARO devem ser criptografadas no processamento, armazenamento, transmissão.

II. O processo de criptografia deve atender:

o Deve haver o gerenciamento de chaves, incluindo métodos para lidar com a proteção das chaves criptográficas e a recuperação de informações cifradas, no caso de chaves perdidas, comprometidas ou danificadas.

o Deve-se preferir a utilização de módulos de criptografia compatíveis com a FIPS 140-2 ou padrão seguro equivalente para as operações de gerenciamento e utilização de chaves criptográficas

o Deve haver procedimentos que inclua requisitos para o gerenciamento de chaves criptográficas ao longo de todo o seu ciclo de vida incluindo, a geração, armazenagem, arquivo, recuperação, distribuição, retirada e destruição das chaves.

o Todas as chaves criptográficas devem ser protegidas contra modificação e perda. Adicionalmente, chaves secretas e privadas necessitam de proteção contra o uso ou a divulgação não autorizada.

o Uso de equipamentos para gerar, armazenar e guardar as chaves sejam fisicamente protegidos.

o No processo de autenticação utilizando-se certificados de chaves públicas devem ser emitidos por uma autoridade certificadora, a qual seja uma organização reconhecida, com controles adequados e procedimentos implantados com o objetivo de garantir o requerido nível de confiança.

III. Conforme normas e políticas de Segurança da Claro Brasil, para sua transmissão devem:

a) Ser criptografada para manter a confidencialidade, a integridade, rastreabilidade das informações;

b) Ser controladas, em conformidade com a legislação pertinente;

c) Estar protegidas contra interceptação, cópia, modificação, desvio e destruição.

d) Ser utilizado um protocolo seguro e soluções para comunicação entre as partes com garantia de comunicação fim-a-fim.

4.1.2. Proteção de Dados Pessoais e Dados Pessoais Sensíveis

i. Os controles de segurança de informações e TI devem ser aplicados para garantir que os dados sejam protegidos adequadamente nos termos da ABNT NBR ISO/IEC 27701:2019;

ii. A CONTRATADA, além de assumir a responsabilidade de garantir que a transferência eletrônica de dados pessoais entre ele e outros terceiros seja devidamente protegida, deve solicitar formalmente aprovação à Claro para efetuar o compartilhamento dos dados;

iii. Deve também impedir o acesso direto aos dados confidenciais do processo em que são armazenados e processados;

iv. O acesso do usuário a dados confidenciais só deverá ser possível quando for absolutamente necessário. Todo o acesso deve ser auditável para identificar a data, hora, atividade e pessoa responsável;

v. Administradores de sistema e banco de dados podem ter acesso privilegiado a dados confidenciais, porém este deve ser autorizado e monitorado;

vi. O acesso administrativo aos dados somente ocorrerá quando explicitamente autorizado e sempre será irreversivelmente registrado;

vii. Os dados devem ser armazenados e protegidos de acordo com sua classificação;

viii. Todas as informações, dados pessoais e dados pessoais sensíveis de clientes da Claro devem ser criptografadas;

ix. Conforme normas de Segurança da Informação da Claro, a transmissão deve:

e) Ser criptografada para manter a confidencialidade e a integridade das informações;

f) Ser controlada, em conformidade com a legislação pertinente;

g) Estar protegida contra interceptação, cópia, modificação, desvio e destruição;

h) Contemplar o uso de um protocolo seguro para comunicação entre as partes com garantia de comunicação fim-a-fim.

x. Os controles de dados confidenciais devem estar sujeitos a um rigoroso programa de monitoramento interno, auditoria e manutenção para garantir a continuidade de sua operação correta;

xi. Dados confidenciais de autenticação do cartão de pagamento não devem ser armazenados após a autorização (mesmo se estiverem criptografados). Estes incluem:

a) Conteúdo completo de qualquer trilha magnética do cartão de pagamento;

b) Código ou valor de verificação do cartão (o número de três ou quatro dígitos impresso na frente ou atrás do cartão de pagamento) usado para verificar as transações com cartão não presente, nominados CAV2/CVC2/CVV2/CID, dependendo da bandeira;

c) PIN (Personal Identification Number) ou o PIN block criptografado.

xii. O número do cartão (PAN) deve ser mascarado quando exibido (os primeiros seis e quatro últimos dígitos são o número máximo de dígitos a serem exibidos);

xiii. Nunca enviar PANs sem tecnologia de proteção de envio de mensagem ao usuário final, para evitar que essas sejam interceptadas e identificadas por fraudadores;

xiv. Realizar testes para verificação das tecnologias de proteção de envio de PANs por mensagens ao portador.

4.2.Criptografia

i. Caso seja necessário o armazenamento do número do cartão (PAN) conforme especificação do projeto, o armazenamento em texto claro é expressamente proibido, sendo permitido um dos métodos abaixo:

a) Criptografia forte, com algoritmos de criptografia simétrica com chave igual ou maior que 128 bits e com gerenciamento adequado de chaves;

b) Truncamento do número do cartão armazenando-se apenas os seis primeiros e quatro últimos dígitos do PAN;

c) Hashing seguro aplicado sobre o PAN completo. Entende-se por hashing seguro a concatenação de um valor aleatório (salt) ao PAN antes da aplicação de uma função de hash matematicamente segura, como o SHA-1, tendo por objetivo a proteção contra- ataques que utilizem tabelas com valores pré-calculados de hashes.

ii. Protocolos robustos de criptografia e de segurança (por exemplo, SSL/TLS, IPSEC, SSH, etc.) devem ser utilizados para proteger dados do portador de cartão de pagamento durante a transmissão por redes públicas, abertas (exemplos de redes abertas e públicas incluem, mas não se limitam, a: Internet, tecnologias sem fio, GSM, GPRS, 3G, etc.);

iii. A geração de chaves criptográficas deve se dar apenas em módulos criptográficos ou em sistemas comprovadamente seguros, utilizando-se geradores de números aleatórios compatíveis com a Norma ISO/IEC 18031, ou então, caso seja utilizado uma rotina geradora de números pseudoaleatórios, deve-se garantir suficiente entropia para a semente utilizada;

iv. Quando necessário, as chaves criptográficas deverão ser distribuídas para os sistemas que as utilizarão através de métodos seguros, aplicando-se os conceitos de duplo controle e conhecimento dividido;

v. As chaves simétricas utilizadas para criptografar os dados de portador de cartão de pagamento devem ser substituídas após 3 (três) anos de uso e os dados devem ser recriptografados com a nova chave. Chaves assimétricas devem ser substituídas após 5 (cinco) anos de uso;

vi. Qualquer chave de criptografia utilizada para criptografar os dados de portador de cartão de pagamento deve ser imediatamente substituída se houver qualquer suspeita de seu comprometimento. As chaves também devem ser substituídas quando do desligamento de qualquer funcionário com conhecimento da chave ou de parte da chave;

vii. Não deve ser utilizado algoritmo de criptografia própria;

viii. As políticas de segurança e criptografia para transmissão de dados de cartão devem estar documentadas e armazenadas, com ciência de todos que possuem algum tipo de contato com as informações do portador do cartão.

4.3.Revisão de Código

i. Qualquer código (sistemas internos ou públicos) deve ser revisado antes da liberação para produção com o objetivo de identificar qualquer vulnerabilidade potencial de codificação;

ii. A revisão de código deve ser realizada por outras pessoas que não são o autor que originou o código. O(s) revisor(es) deve(m) ter conhecimento de técnicas de análise de código e das práticas de codificação seguras;

iii. As revisões devem garantir que o código foi desenvolvido de acordo com os requisitos descritos neste documento;

iv. As correções necessárias devem ser implementadas antes da liberação do sistema para a produção;

v. Toda revisão de código deve produzir relatórios que descrevam o código revisado, as vulnerabilidades encontradas e as correções realizadas;

vi. Os resultados das revisões de código devem ser revisados e aprovados pelo gerente do projeto antes da liberação.

4.4.PCI PTS

i. A CONTRATADA deve seguir os requisitos de segurança da transação do PIN do PCI (chamado PCI PTS) no projeto, fabricação e transporte de um dispositivo para a entidade que o implementa;

ii. Instituições financeiras, processadores, comerciantes e provedores de serviços devem usar somente dispositivos ou componentes testados e aprovados pelo PCI Council;

iii. Estas entidades devem entrar em contato diretamente com seu adquirente ou com as marcas de pagamento para obter informações sobre tais requisitos.

4.5. PCI PA-DSS

i. O padrão de segurança de dados do aplicativo de pagamento deve ser uma exigência para a CONTRATADA fornecedora do software e outros que desenvolvem aplicativos de pagamento que armazenam, processam ou transmitem dados de titulares de cartão e / ou dados de autenticação confidenciais, como parte da autorização ou liquidação quando esses aplicativos são vendidos, distribuídos ou licenciados para terceiros;

ii. Apenas os aplicativos de pagamento validados por Segurança da Informação de TI (SIT) em conjunto com a Gerência de Segurança da Informação (SIC), devem ser usados pela Claro para processar pagamentos eletrônicos. A validação ocorre após os aplicativos de pagamento terem sido avaliados quanto à conformidade pelos avaliadores de segurança qualificados do aplicativo de pagamento usando o padrão de segurança de dados do aplicativo de pagamento. Sua avaliação da aplicação e sua documentação dessa conformidade é fornecida em um relatório de validação correspondente;

iii. A CONTRATADA que desenvolve esses aplicativos deve ser homologada pelo PCI Council e realizar testes ou análises de aplicações, produtos ou sua funcionalidade, desempenho, adequação ou conformidade.

4.6. P2PE

i. A CONTRATADA deve estar em conformidade com os padrões estabelecidos para o P2PE (criptografia ponta-a-ponta).

4.7.Tratamento de Erros e Trilhas de Auditoria (Logs)

i. Todo o acesso deve ser auditável para identificar data, hora, atividade e pessoa responsável;

ii. Não expor informações sensíveis nas respostas de erros, inclusive detalhes de sistema, identificadores de sessão ou informação da conta do usuário;

iii. Usar mecanismos de tratamento de erros que não exibam informações de debug (depuração) ou informações da pilha de exceção;

iv. Retornar mensagens de erro genéricas ao cliente;

v. Tratar seus erros sem depender das configurações do servidor;

vi. Liberar a memória alocada de modo apropriado quando ocorrerem condições de erro;

vii. Tratar erros lógicos associados com controles de segurança por padrão “negar o acesso”;

viii. Implementar controles de log em um sistema confiável (neste caso o servidor);

ix. Incluir, adicionalmente, trilhas de auditoria em todos os sistemas para as funções de maior criticidade e relevância para o negócio. Estas funções deverão ser definidas pelas áreas responsáveis e o proprietário do sistema, quando necessário;

x. Não deverá existir nenhum processo ou função que altere ou apague qualquer registro da trilha de auditoria, salvo o script de retenção;

xi. O processo confidencial deve ser controlado por uma trilha de auditoria que forneça um registro

completo e a responsabilidade individual pelo ciclo de vida dos ativos de informação para garantir que todos os ativos criados, processados e excluídos sejam totalmente contabilizados;

xii. O acesso a dados sensíveis é auditável para identificar data, hora, atividade e pessoa responsável;

o Indivíduos responsáveis são rastreáveis e podem ser responsabilizados.

xiii. A trilha de auditoria deve ser protegida em termos de integridade e o período de retenção deve ser definido. Não deve conter dados sensíveis;

xiv. Restringir o acesso e a leitura dos arquivos de logs aos usuários autorizados;

xv. Não registrar nos arquivos de log dados confidenciais utilizados na autenticação das credenciais de acesso (senhas, chaves privadas etc.) ou na autorização dos acessos (identificações ou senhas de sessão etc.);

xvi. Permitir, com o mecanismo de geração de trilhas de auditoria, a configuração de mecanismo de coleta de logs externo ou centralizado;

xvii. Armazenar os arquivos de log de forma segura e possuir restrição de acesso, principalmente nos casos de permissão de alteração e exclusão;

xviii. Registrar, pelo menos, os seguintes eventos, quando aplicáveis:

− acesso a dados sensíveis, ações de usuários administrativos;

− acesso às trilhas de auditoria;

− tentativas de acesso inválidas;

− utilização dos mecanismos de autenticação e identificação;

− inicialização do registro de auditoria;

− falhas de validação de dados de entrada;

− tentativas de conexão com tokens de sessão inválidos ou expirados;

− falhas de conexão TLS com o backend;

− falhas que ocorreram de criptografia.

xix. Prover, pelo menos, os seguintes registros para cada entrada no log:

− identificação do usuário, tipo de evento; data e hora;

− indicação de sucesso ou falha;

− origem do evento e identificação do dado, componente, recurso ou objeto relacionado.

xx. Garantir que as entradas de log que incluem dados não confiáveis não sejam executadas como um código na interface de visualização de logs;

xxi. Utilizar uma função de hash criptográfica para validar a integridade dos registros de log.

4.8.Tempo de Armazenamento

i. Os arquivos de logs de sistemas, recursos e redes que tramitem informações objetos do contrato firmado com a Claro devem ser armazenados de forma on-line pelo período mínimo de 5 (cinco) anos;

i. A CONTRATADA deve realizar as gravações das ligações de todas as operações realizadas para a Claro. As gravações devem ser armazenadas em locais seguros de acesso restrito por um período de, no mínimo, 5 (cinco) anos;

ii. Durante o cumprimento do contrato, o prazo de armazenamento poderá ser revisto pela própria Claro. A CONTRATADA deve estar ciente e preparada para se adequar em caso de alteração legislativa ou regulamentação pelas autoridades competentes, independentemente de prévia notificação da Claro de tal responsabilidade;

iii. A CONTRATADA deve definir um processo e um responsável para a disponibilização das gravações telefônicas à Claro. A Claro poderá solicitar a qualquer momento acesso a uma gravação e a CONTRATADA deve viabilizar sua entrega.

4.9.Incidentes de Segurança e Privacidade

i. A estrutura de gerenciamento de Segurança da Informação da CONTRATADA deve manter e controlar a segurança por meio de uma equipe multifuncional que coordena a identificação, o agrupamento e a resolução de problemas de segurança, independentemente da estrutura do negócio;

ii. Deve ser mantido um mecanismo de resposta a incidentes, de segurança e privacidade, que inclua um processo para a investigação e mitigação de:

a) Violação acidental ou deliberada de regulamentos e procedimentos internos;

b) Suspeita ou detecção de comprometimento de sistemas ou recebimento de notificação de vulnerabilidades do sistema;

c) Invasão física ou lógica dos ativos ou informações;

d) Ataques de negação de serviço em componentes.

iii. No caso de incidente, a CONTRATADA deve:

a) Notificar imediatamente a Claro, através do e-mail xxxxx@xxxxx.xxx.xx, sobre a ocorrência de incidentes, irregularidades ou eventos suspeitos que afetem ou possam afetar a segurança das informações de propriedade da Claro;

b) Notificar imediatamente o responsável da Claro pela contratação;

c) Acionar o mecanismo de resposta a incidentes, a fim de mitigar os riscos

d) Garantir que os logs para análise ou perícia estejam disponíveis quando solicitados pela Claro.

4.10. Descarte

i. As informações obtidas nos termos do contrato firmado com a Claro que forem armazenadas, processadas, transmitidas e tratadas devem ser destruídas ou devolvidas após término de contrato com a CONTRATADA ou quando solicitado por parte da Claro;

ii. As mídias digitais, tanto as fixas como as removíveis, que contenham dados e informações da Claro, quando não forem mais utilizadas, requerem os seguintes cuidados no descarte:

a) Identificar e registrar as mídias que requerem descarte seguro, tais como fitas de backup, discos rígidos, DVDs, impressos e outros;

b) Triturar, incinerar ou inutilizar as mídias para que os dados não possam ser recuperados;

c) Os serviços terceirizados de coleta e descarte de papel, de equipamentos e de mídias magnéticas, deve ser efetuado por fornecedor com experiência e controles de segurança adequados.

4.11. Gestão de Continuidade de Negócios

i. A CONTRATADA deve assegurar a disponibilidade de seus ambientes, conforme contratado, considerando o tipo de atividade a ser exercida, sendo:

a) Caberá a CONTRATADA fornecer, quando solicitado pela Claro (a qualquer momento), as informações referentes à infraestrutura que suporta as atividades, bem como o mapeamento das localidades e o número de estações de atendimento e/ou operação disponíveis em cada uma das localidades onde estas são prestadas;

b) Caberá a Claro fornecer uma avaliação quanto aos negócios elegíveis e prioridade de recuperação das atividades.

ii. A CONTRATADA deve informar à Xxxxx xxxx e qualquer alteração de infraestrutura e/ou recursos em seu ambiente de trabalho e nos ambientes de contingência que atuarem ou fizerem qualquer referência ao objeto ora contratado para o perfeito cumprimento desta cláusula;

iii. A CONTRATADA deverá implementar o Sistema de Gestão de Continuidade Negócio:

• Plano de Gestão de Crise (exemplo: crise hídrica e elétrica);

• Plano de Gestão de Incidente;

• Plano de Recuperação de Desastre;

• Plano de Contingência Operacional;

• Plano de Teste e Validação; e

• Plano de Comunicação.

iv. Deverá ser definido e documentado entre o gestor do contrato da Claro e a CONTRATADA o prazo e/ou tempo máximo e mínimo para recuperação dos dados e/ou serviços em caso de desastres;

v. Será necessário definir procedimentos e ações para a transferência das atividades essenciais do negócio para localidades alternativas até a resolução e avaliação do incidente;

vi. Os ativos críticos para a continuidade dos processos de negócios essenciais devem ser objeto de proteção redobrada e hospedados em local que permita o seu uso nos procedimentos de emergência mesmo em casos de desastres;

vii. Deve ser incluída capacitação e orientação de todos os envolvidos nos planos de continuidade de processos, estando aptos a desenvolver suas atribuições;

viii. Deverão ser realizados testes periodicamente dos planos e elementos de contingência, com coletas de evidências;

ix. A CONTRATADA deve garantir os backups das informações em consonância com as disposições legais, realizar periodicamente testes de restauração, bem como possuir infraestrutura de contingência: geradores, nobreak, redundância de servidores de hospedagem da página web, redundância de links, redundância de equipamentos críticos para operação, refrigeração, reservatórios de água, site alternativo, etc.;

x. Os recursos humanos da CONTRATADA, envolvidos nos Planos de Continuidade de Xxxxxxx (PCN), deverão ser treinados no tema, conforme as suas atribuições e responsabilidades nos planos;

xi. Devem ser identificadas as soluções táticas para suportar a restauração das atividades exigidas dentro de um tempo de recuperação desejado. Em cada caso, devem ser avaliadas as alternativas a fim de minimizar a probabilidade de um mesmo incidente afetar a solução de continuidade do negócio;

xii. Todo e qualquer incidente que comprometa a continuidade dos serviços deve ser comunicado de imediato ao gestor do contrato responsável, para as providências necessárias e, se necessário, acionar os respectivos planos de continuidade;

xiii. Devem ser desenvolvidos e implantados procedimentos para resposta e estabilização da situação após um incidente, utilizando-se dos planos de respostas específicos para cada tipo de cenário avaliado após a realização da análise de risco.

4.12. Diligências de Conformidade

i. A CONTRATADA obriga-se a manter, durante toda a execução do contrato, em compatibilidade com as obrigações por ela assumidas, todas as condições abaixo exigidas:

a) A CONTRATADA deverá responder aos reportes e envio de evidências solicitadas pela Gerência de Segurança da Informação Corporativa da Claro, contendo autoavaliação (self- assessment) dos requisitos de segurança determinados em contrato;

b) Ambientes físicos e lógicos de recebimento, tratamento e manipulação de dados/informações objetos do contrato poderão passar por vistorias de segurança periódicas designadas pela Gerência de Segurança da Informação Corporativa da Claro;

c) Permitir que colaboradores da Claro, a qualquer tempo, possam proceder à verificação na CONTRATADA de conformidade dos controles incluídos no contrato, bem como permitir a análise e verificação de seus procedimentos de atendimento e habilitação dos serviços;

d) As não conformidades identificadas devem ser corrigidas e um Plano de Ação deverá ser enviado à Claro com prazo para regularização. Vulnerabilidades classificadas como ALTA, conforme metodologia própria de análise de riscos da Claro não poderão ser corrigidas num prazo superior a 30 (trinta) dias.

5. ENCERRAMENTO DO CONTRATO DE SERVIÇOS PCI

i. A substituição ou mesmo o encerramento dos serviços contratados pode ocorrer a qualquer momento. Para isto, alguns itens de segurança devem ser atendidos:

a) Notificação de rescisão e/ou elaboração de termo de distrato e quitação, caso encerramento amigável;

b) Garantia da revogação dos acessos;

c) Destruição dos dados armazenados, demonstrados pela CONTRATADA, quando solicitado;

d) Entrega de todas as gravações telefônicas e logs armazenados pela CONTRATADA;

e) Revisão dos planos de continuidades de negócio que envolvam a CONTRATADA;

f) Prazo para que sejam feitas as devidas regularizações, devendo estar previsto em contrato;

g) Atualização de normas e processos que envolvam a CONTRATADA.

ii. A área da Segurança da Informação Corporativa ou, na impossibilidade desta, um terceiro contratado, poderá realizar diligência para verificar se as cláusulas do contrato estão sendo atendidas, principalmente aqueles referentes à destruição das informações e revogação dos acessos.

6. DISPOSIÇÕES FINAIS

a) A CONTRATADA deve preservar a informação e os ativos da CLARO, utilizando-os estritamente para o cumprimento de suas funções e cumprindo com as políticas, normas de segurança e procedimentos definidos para a operação do objeto contratado.

b) A CONTRATADA é responsável por qualquer fraude originada pelo não cumprimento dos procedimentos definidos, independentemente da existência de travas sistêmicas.

c) Os recursos colocados à disposição pela CLARO, incluindo sistemas, aplicações e aplicativos, deverão ser utilizados para propósitos relacionados com o objeto contratado, sendo proibida qualquer utilização dos recursos para fins ilegais e/ou lucrativos bem como comerciais ou profissionais diferentes aos permitidos pela empresa.

d) A CONTRATADA deve notificar o antes possível, sobre a ocorrência de incidentes ou eventos suspeitos que afetem ou possam afetar a segurança da informação e do negócio, mediante os procedimentos e canais definidos pela CLARO.

e) Está proibido tirar proveito das vulnerabilidades ou debilidades que porventura existem nos sistemas.

f) A CONTRATADA deve possuir solução tecnológica que integre/autentique o atendente em nossos sistemas/aplicações.

g) A CONTRATADA não deve utilizar qualquer tipo de solução de robotização ou mesmo Front-End únicos para acessar nossos sistemas/aplicações.

ANEXO

I. Padrão PCI-DSS

PCI_DSS_V3.2.1

Document Metadata

Table of Contents

Contratação de Serviços de Terceiros - PCI

Document Metadata