SIMCARD

Apresentar os requisitos de Segurança da Informação e Privacidade obrigatórios que deverão ser observados pela CONTRATADA, (fabricantes) de SIMCard, considerando o processamento, transmissão e/ou armazenamento de informações de clientes e colaboradores da CLARO.

2. APLICAÇÃO

Aplica-se à Claro S.A. e suas Controladas/Coligadas, bem como para todos aqueles que, mesmo não sendo colaboradores próprios, trabalhem dentro ou fora das instalações das Empresas ou ainda que tenham acesso às informações dos processos da Organização.

3. REFERÊNCIAS

Os seguintes documentos referenciados, no todo ou em parte, são normativas e padrões de mercado:

Para o desenvolvimento deste documento, foram considerados:

• ABNT NBR ISO/IEC 27001:2013: Tecnologia da Informação — Técnicas de Segurança — Sistemas de Gestão da Segurança da Informação;

• ABNT NBR ISO/IEC 27002:2013: Tecnologia da Informação — Técnicas de Segurança — Código de Prática para Controles de Segurança da Informação;

• ABNT NBR ISO/IEC 27005:2011: Tecnologia da Informação — Técnicas de Segurança — Gestão de Riscos de Segurança da Informação;

• ABNT NBR ISO/IEC 27011:2008: Técnicas de Segurança - Diretrizes para Gestão da Segurança da Informação para Organizações de Telecomunicações.

• ABNT NBR ISO/IEC 27701:2019: Tecnologia da Informação — Técnicas de Segurança — Extensão à ABNT NBR ISO/IEC 27002 para Gestão da Privacidade da Informação – Requisitos e Diretrizes;

• CÓDIGO DE ÉTICA, do Grupo América Móvil;

• DECRETO Nº 8.771/2016 – Decreto que regulamenta o Marco Civil da Internet;

• LEI Nº 12.965/2014 – Marco Civil da Internet;

• LEI Nº 9.472/97: Lei Geral das Telecomunicações;

• LEI Nº 13.709/18 - Lei Geral de Proteção de Xxxxx Xxxxxxxx;

• LEI Nº 13.853/19 – Lei que altera a LGPD e cria a Autoridade Nacional de Proteção de Dados;

• Normas de Segurança da Claro.

4. REQUISITOS DE SEGURANÇA PARA CONTRATAÇÃO DE SERVIÇOS DE TERCEIROS 4.1.Organização de Segurança da Informação e Proteção de Dados Pessoais ‌

i. Para fins de organização da Segurança da Informação e da privacidade e proteção de dados pessoais, a CONTRATADA deve:

a) Possuir um modelo de gestão de Segurança da Informação e Privacidade, com o papel de elaborar, divulgar e atualizar as políticas e diretrizes de segurança e proteção de dados pessoais, que deverão ser apresentadas à Claro em caso de solicitação nesse sentido;

b) Designar um responsável pelo modelo de gestão de Segurança da Informação, que deverá atuar na gestão e no cumprimento das diretrizes e, se aplicável, um DPO, responsável pela estrutura e governança do programa de privacidade e proteção de dados pessoais;

c) Possuir uma política de Segurança da Informação (ou documento similar) revisada periodicamente e divulgada a todos os funcionários e terceiros, em que conste diretrizes de segurança e privacidade, contendo, no mínimo, os seguintes temas (não se limitando somente a estes):

• Classificação da Informação, inclusive de Dados Pessoais

• Mesa e tela limpa

• Segurança física

• Controle de acesso

• Senhas

• Manuseio da informação

• Licenciamento de software

• Backups

• Resposta a incidentes de segurança e de privacidade

• Acesso à internet

• Uso de correio eletrônico

• Procedimentos documentados

• Gestão de vulnerabilidades / patches

• Governança em privacidade

• Registro de tratamento de dados pessoais

d) Documentar e manter atualizados os processos e procedimentos internos relacionados à prestação do serviço e aos requisitos de Segurança da Informação e Privacidade (ISO 27701:2019);

e) Realizar durante a contratação e periodicamente treinamentos de conscientização para seus funcionários sobre os aspectos de Segurança da Informação e Privacidade exigidos neste documento;

f) Cumprir a legislação e regulamentações aplicáveis à prestação de serviço, particularmente a Lei Geral das Telecomunicações e a LGPD;

g) Designar responsáveis, custodiantes e usuários das informações de seus sistemas internos.

ii. Caso o serviço prestado envolva transações de cartões de pagamento, a CONTRATADA deverá estar em conformidade com o padrão PCI-DSS, evidenciando anualmente sua conformidade de acordo com as regras do PCI, bandeiras e adquirentes;

iii. Todas as informações de propriedade da Claro, bem como as de seus clientes devem ter sua utilização restrita à prestação do serviço contratado e devem ser tratadas como confidenciais, sendo assegurado o acesso dos profissionais às informações apenas na medida necessária à execução de suas tarefas.

4.1.1. Proteção de Dados Pessoais e Dados Pessoais Sensíveis

i. Os controles de segurança de informações e TI devem ser aplicados para garantir que os dados sejam protegidos adequadamente nos termos da ABNT NBR ISO/IEC 27701:2019;

ii. A CONTRATADA, além de assumir a responsabilidade de garantir que a transferência eletrônica de dados pessoais entre ele e outros terceiros seja devidamente protegida, deve solicitar formalmente aprovação à Claro para efetuar o compartilhamento dos dados;

iii. Deve também impedir o acesso direto aos dados confidenciais do processo em que são armazenados e processados;

iv. O acesso do usuário a dados confidenciais só deverá ser possível quando for absolutamente necessário. Todo o acesso deve ser auditável para identificar a data, hora, atividade e pessoa responsável;

v. Administradores de sistema e banco de dados podem ter acesso privilegiado a dados confidenciais, porém este deve ser autorizado e monitorado;

vi. O acesso administrativo aos dados somente ocorrerá quando explicitamente autorizado e sempre será irreversivelmente registrado;

vii. Os dados devem ser armazenados e protegidos de acordo com sua classificação;

viii. Todas as informações, dados pessoais e dados pessoais sensíveis de clientes da Claro devem ser criptografadas;

ix. Conforme normas de Segurança da Informação da Claro, a transmissão deve:

a) Ser criptografada para manter a confidencialidade e a integridade das informações;

b) Ser controlada, em conformidade com a legislação pertinente;

c) Estar protegida contra interceptação, cópia, modificação, desvio e destruição;

d) Contemplar o uso de um protocolo seguro para comunicação entre as partes com garantia de comunicação fim-a-fim.

x. Os controles de dados confidenciais devem estar sujeitos a um rigoroso programa de monitoramento interno, auditoria e manutenção para garantir a continuidade de sua operação correta;

4.2.Segurança Pessoal

i. A CONTRATADA deve ter, uma política de triagem para candidatos e funcionários deve estar em vigor cujas leis pertinentes devem ser aplicadas;

ii. Todos os novos funcionários devem assinar um acordo de confidencialidade;

iii. Os funcionários devem ler a política de segurança e registrar sua compreensão do conteúdo e das condições que impõem;

iv. A formação adequada em aspectos relevantes do sistema de gestão de segurança deve ser fornecida em uma base contínua;

v. Os procedimentos de notificação devem estar em vigor quando uma violação da política de segurança tiver sido revelada, devendo ser aplicado um procedimento disciplinar e serem realizados os procedimentos cabíveis de mitigação.

4.3.Segurança Física, fabricante de SIMCard

i. A CONTRATADA, deve ter controles físicos de segurança em todos os locais onde os SimCard são fabricados, para confirmar a localização e a proteção dos ativos sensíveis (tanto físicos quanto lógicos) onde quer que estejam armazenados ou processados;

ii. Edifícios nos quais ativos sensíveis são processados ou armazenados devem ser de construção apropriada; robusto e resistente ao ataque externo;

iii. Controle nos ativos sensíveis em áreas restritas e de alta segurança usando dispositivos de controle de segurança reconhecidos, procedimentos de acesso da equipe e registros de controle de auditoria;

iv. Camadas de controle de segurança física devem ser usadas de acordo com uma estratégia claramente definida e compreendida. A estratégia deve aplicar controles relevantes para os ativos e riscos identificados por meio da avaliação de riscos;

v. Uma estratégia deve ser colocada em um plano de segurança que:

a) Defina um perímetro / limite de ambiente;

b) Defina um ou mais níveis de área segura dentro do limite do perímetro do ambiente;

c) Mapeie a criação, armazenamento e processamento de ativos sensíveis para as áreas seguras;

d) Defina padrões de proteção de segurança física para cada nível de área segura.

i. Padrões de proteção definidos no plano de segurança devem ser adequadamente implantados em todo o ambiente, para incluir:

a) Proteção física do edifício e áreas seguras capazes de resistir a ataques por um período apropriado;

b) Ataque eminente ou entrada não autorizada;

c) Mecanismos para detecção precoce de tentativa de ataque ou entrada não autorizada em áreas seguras com pontos vulneráveis;

d) Controle de acesso através de pontos de entrada / saída normais no prédio para impedir o acesso não autorizado;

e) Controles eficazes para gerenciar a segurança durante os períodos de saída de emergência da área segura e da construção;

f) Mecanismos para identificar o acesso não autorizado ou bem-sucedido ao ambiente e/ou dentro dele;

g) Mecanismos para monitorar e prover auditoria de atividades autorizadas e não autorizadas dentro do ambiente de fabricação do SIMCard.

ii. Todos os controles implantados devem estar claramente documentados e atualizados;

iii. Procedimentos e políticas claros de entrada que atendam aos direitos dos funcionários, visitantes e entregas para entrar no ambiente de Fabricação do SIMCard. Essas considerações devem incluir o uso de carteiras de identidade, procedimentos que regem o movimento de visitantes dentro do ambiente, procedimentos de verificação de entrega / envio e manutenção de registros;

iv. O acesso a cada área segura deve ser controlado de acordo com a necessidade de estar lá. Devem existir procedimentos apropriados para controlar, autorizar e monitorar o acesso a cada área segura e dentro de áreas seguras;

v. A equipe de segurança é comumente empregada pelos fornecedores. Quando este for o caso, as tarefas devem ser claramente documentadas e as ferramentas e treinamento necessários devem ser fornecidos;

vi. Os controles físicos de segurança devem estar sujeitos a um rigoroso programa de monitoramento interno, auditoria e manutenção, para assegurar sua operação correta continuada.

4.4.Certificados e Gerenciamento de chaves

i. Controles técnicos e de procedimentos devem ser aplicados pela CONTRATADA às chaves criptográficas e certificados relacionados ao processo de fabricação do SIMCard;

ii. Chaves e certificados devem ser classificados, pela CONTRATADA, como informações confidenciais. Controles lógicos, físicos, de pessoas e de procedimentos devem ser aplicados para assegurar que os níveis apropriados de finalidade, necessidade, confidencialidade, integridade, disponibilidade e autenticidade sejam aplicados;

iii. As responsabilidades e procedimentos para a gestão de certificados e chaves criptográficas devem ser claramente definidos pela CONTRATADA;

iv. Um controle de dupla custódia deve ser aplicado, pela CONTRATADA, às etapas confidenciais do gerenciamento de chaves;

v. A CONTRATADA deve selecionar as especificações técnicas para chaves criptográficas e certificados que sejam:

a) Compatíveis com padrões relevantes ou aplicáveis;

b) De um nível adequado ao(s) ativo(s) protegido(s), com base no risco e no tempo de vida.

vi. Chaves criptográficas, certificados e dados de ativação devem ser gerados, trocados, armazenados, salvos em backup e destruídos de forma segura, pela CONTRATADA, de tal forma que sejam irrecuperáveis;

vii. O processo de gerenciamento de chaves criptográficas deve ser documentado, pela CONTRATADA e cobrir todo o ciclo de vida das chaves e certificados;

viii. A computação criptográfica para geração de certificados (derivações, gerações aleatórias) e armazenamento de chaves envolvidas na proteção de dados confidenciais deve estar em módulos de segurança de hardware (HSM) que são certificados FIPS 140-2 nível 3;

ix. As principais atividades de gerenciamento devem ser controladas por uma trilha de auditoria que forneça um registro completo e responsabilidade individual de todas as ações;

x. Os certificados de fornecedores usados como parte de qualquer GSK PKI devem ser assinados por uma autoridade certificadora que esteja agindo em nome da GSMA.

4.5.Gerenciamento de Dados Confidenciais

i. Os controles de segurança de informações e TI devem ser aplicados, pela CONTRATDA, adequadamente a todos os aspectos do gerenciamento do ciclo de vida para garantir que os dados sejam protegidos adequadamente. O princípio geral deve ser o de que todos os dados são adequadamente protegidos do ponto de recepção, passando pelo armazenamento, transferência interna, processamento e até a eliminação segura dos dados;

ii. A CONTRATADA, fabricante de SimCard, além de assumir a responsabilidade de garantir que a transferência eletrônica de dados entre ele e outros terceiros seja devidamente protegida, deve solicitar formalmente aprovação à Empresa para efetuar o compartilhamento dos dados;

iii. Deve também impedir o acesso direto aos dados confidenciais do processo, em que são armazenados e processados;

v. Administradores de sistema e banco de dados podem ter acesso privilegiado a dados confidenciais, porém este deve ser autorizado e monitorado;

vi. O acesso administrativo aos dados somente ocorrerá quando explicitamente autorizado e sempre será irreversivelmente registrado;

vii. Os dados devem ser armazenados e protegidos de acordo com sua classificação;

viii. As políticas de retenção de dados devem ser definidas, monitoradas e aplicadas;

ix. Como parte do processo de personalização, os dados confidenciais podem ser gerados e personalizados no UICC ou armazenados no SMDP+ / SMSR para personalização over-the-air do eUICC. Nos casos em tal geração, ocorre:

a) A qualidade do gerador de números em uso que deve ser submetida a testes apropriados periodicamente, sendo que os testes e resultados bem-sucedidos devem estar disponíveis;

b) Devem existir controles claros e auditáveis em torno do uso do gerador de números para garantir que os dados sejam obtidos da fonte apropriada.

x. O processo confidencial deve ser controlado por uma trilha de auditoria que forneça um registro completo e a responsabilidade individual pelo ciclo de vida dos ativos de informação para garantir que:

o Todos os ativos criados, processados e excluídos são totalmente contabilizados;

o O acesso a dados sensíveis é auditável;

o Indivíduos responsáveis são rastreáveis e podem ser responsabilizados.

xi. A trilha de auditoria deve ser protegida em termos de integridade e o período de retenção deve ser definido. Não deve conter dados sensíveis;

xii. O controle através de dupla custódia deve ser aplicado às etapas confidenciais do processamento de dados;

xiii. Para produção de UICC ou Cartão SIMCard, a trilha de auditoria deve incluir:

o Geração e processamento de dados;

o Personalização;

o Reavaliação;

o Acesso a dados confidenciais;

o Produção de arquivos de saída do cliente.

xiv. Devem existir controles tecnológicos para impedir a duplicação e/ou erros da produção, cabendo aplicação de multas ao fabricante em caso de erros de valores nos arquivos de saída (output files);

xv. Devem existir controles para assegurar que os mesmos dados autorizados da fonte correta sejam usados para o processo sensível e fornecidos ao cliente;

xvi. Os controles de dados confidenciais devem estar sujeitos a um rigoroso programa de monitoramento interno, auditoria e manutenção para garantir a continuidade de sua operação correta;

xvii. A geração de chaves de autenticação individuais (Ki) deve ser realizada em ambiente seguro. A geração deve ocorrer através da utilização de um gerador de números pseudoaleatórios; pelo menos a semente utilizada pelo algoritmo deve ser gerada por um gerador de números

aleatórios (True Random Number Generator - TRNG). Uma semente diferente deve ser gerada para cada lote de SIM Cards;

xviii. A qualidade do processo de geração de chaves deve ser verificada anualmente ou a cada nova versão de sistema, o que ocorrer primeiro. O objetivo é que as chaves geradas possam satisfazer os testes descritos no PUB 800-22 do National Institute of Standards and Technology (NIST);

xix. O fornecedor deve implementar controles eletrônicos, físicos, sistêmicos e procedimentais para garantir que os dados são tomados da fonte geradora correta no processo de personalização.

4.5.1. Proteção de Dados

i. A conexão para troca de informações, incluindo o recebimento de informações confidenciais, deve ser por meio de forma criptografada e segura (chave PGP com padrão determinado pela Empresa);

ii. Todos os dados de autenticação (IMSI e Ki) relacionados com a Empresa deverão ser armazenados utilizando-se criptografia. Não é permitida a gravação mesmo que temporária de dados de autenticação em texto claro;

iii. As operações de criptografia e decriptografia dos dados devem ser realizadas apenas em servidores seguros em ambiente seguro;

iv. As chaves de criptografia devem ser individuais e somente o dono da chave deve ter acesso a ela. O fabricante deve possuir uma chave de criptografia exclusiva para troca de arquivos de produção e, caso o fornecedor possua mais de uma fábrica, as chaves de criptografia devem ser diferentes;

v. Todos os acessos aos dados de autenticação deverão ser autenticados;

vi. Os acessos deverão ser concedidos por processo formal e aplicando-se o princípio do menor privilégio;

vii. Todos os acessos individuais aos dados de autenticação deverão ser registrados em logs por, no mínimo, 5 (cinco) anos;

viii. Os dados de autenticação não deverão ser exibidos em texto claro em nenhuma tela de sistema e não devem ser deixados em servidores acessíveis a partir da Internet, mesmo criptografados;

ix. Os dados de autenticação (IMSI e Ki) que não estejam no output file deverão ser apagados dos sistemas internos imediatamente após a expedição do lote de SIMCards relacionado;

x. O output file (inclusive do tipo .CPS) deverá ser apagado após 2 (dois) anos, contados a partir do envido o arquivo;

xi. Qualquer comprometimento ou suspeita de comprometimento de dados deve ser imediatamente comunicado à Empresa, de acordo com procedimentos formais;

xii. Deverão existir procedimentos formais de manuseio de mídias que incluam a devida autorização de remoção do ambiente seguro. Dados de autenticação da Empresa (IMSI e Ki) não deverão ser mantidos ou transportados em mídias fora do ambiente seguro, mesmo criptografados;

xiii. Os procedimentos de manuseio de mídias deverão incluir métodos seguros de deleção e destruição de dados e mídias.

4.6.Gerenciamento de Serviços (SM-DP, SM-SR, SM-DP + e SM-DS)

i. Os sistemas utilizados para o aprovisionamento remoto, a gestão de eUICC e a gestão de perfis devem apoiar as interfaces seguras definidas em SGP.01 [6], SGP.02 [7], SGP.21 [8] e / ou SGP.22 [9]. ], conforme aplicável;

ii. A troca de dados no SM-DP, SM-SR, SM-DP + ou no sistema de TI da SM-DS deve ser assegurada ao nível exigido pela sua classificação de ativos;

iii. O SM-DP, o SM-SR, o SM-DP + e o SM-DS devem evitar a contaminação cruzada de ativos entre diferentes clientes;

iv. As soluções de multialocação SM-DP, SM-SR, SM-DP + e SM-DS no mesmo hardware físico devem garantir que os dados do cliente sejam logicamente separados entre diferentes clientes;

v. Todas as entidades autorizadas nos processos SM-DP, SM-SR, SM-DP + e SM-DS devem ser autenticadas por protocolos de autenticação apropriados, por exemplo, SM-SR, SM-DP, SM-DP +, SM-DS, MNO;

vi. Todo o processo deve ser registrado em uma trilha de auditoria que forneça um registro completo e responsabilidade individual para:

a) Gerenciamento de perfis, gerenciamento de plataformas, sistemas de TI e procedimentos de gerenciamento eUICC, gerenciamento de eventos e comunicação com outras entidades por meio de interfaces seguras;

b) Acesso a dados confidenciais.

4.7. Homologação

i. Para participar da RFP de Compras, a fim de fornecer SIM Cards à Empresa o SIM Vendor (fabricante) deverá:

a) Passar pelo processo de vistoria descrito nesse documento e ser aprovado;

b) Possuir laudo técnico do Corpo de Bombeiros, específico para esta finalidade, válido;

c) Submeter o módulo que será gravado o perfil elétrico da Empresa pelo processo de homologações de SIM Cards em TI e engenharia, comandado pela área de Gestão de SIM Cards e ser aprovado;

d) Para cada tipo de perfil elétrico deverá haver uma homologação exclusiva;

e) Sempre que pretender trocar o fornecedor do módulo onde é gravado o perfil elétrico da Empresa, o SIM Vendor deverá passar pelo processo de homologação novamente (homologação de second source).

4.8.Logística e Gerenciamento de Produção

i. Os processos de produção da UICC ou cartão SIMCard devem estar sujeitos a controles apropriados que garantam a integridade e responsabilidade de todos os ativos sensíveis e impeçam a produção duplicada;

ii. O formato de encomenda deve ser acordado entre o operador e o fornecedor e devem existir regras para preservar a integridade do processo de encomenda;

iii. Segundo recomendações do GSMA (Global System for Mobile Association), as matérias-primas classificadas como inferiores à classe 2 (chapas plásticas [cartão SIM], etc.) não são consideradas sensíveis à segurança. Entretanto, controles apropriados devem ser estabelecidos para os movimentos de estoque. A disponibilidade desses ativos deve ser garantida;

iv. Matérias-primas classificadas como classe 2 (por exemplo, dispositivos não personalizados) são consideradas sensíveis à segurança. Devem ser estabelecidos controles que:

a) Contem para o movimento de estoque;

b) Impeçam o acesso não autorizado;

c) Preservem a integridade dos lotes;

d) Impeçam a disponibilidade de ativos de classe 2 no ambiente de produção, prejudicando o mecanismo de controle de quantidade e reconciliação dos ativos de classe 1.

v. O processo de produção deve ser controlado por uma trilha de auditoria que:

a) Garanta que as quantidades de ativos de classe 1 criadas, processadas, rejeitadas e destruídas sejam totalmente contabilizadas;

b) Garanta que os indivíduos responsáveis sejam rastreáveis e possam ser responsabilizados;

c) Exija escalação onde são identificadas discrepâncias ou outros incidentes de segurança.

vi. O estoque de todos os ativos da classe 1 deve estar sujeito à reconciliação de ponta a ponta para que todos os elementos possam ser contabilizados;

vii. O princípio do controle de dupla custódia, que consiste em mais de uma área participando do processo, deve ser aplicado às etapas sensíveis do processo de produção, incluindo:

a) Controle da quantidade de ativos que entram no processo de personalização;

b) Autorização de revalorização para UICCs rejeitadas;

c) Controle da quantidade de ativos empacotados para despacho para clientes;

d) Destruição de ativos rejeitados.

viii. A aplicação do princípio de dupla custódia deve ser auditável através de registros de produção e CCTV;

ix. Devem ser realizadas auditorias regulares para garantir a integridade dos controles de produção e a trilha de auditoria;

x. Os fornecedores devem demonstrar capacidade de impedir a duplicação não autorizada no processo de produção durante a personalização e nova personalização;

xi. Os fornecedores devem demonstrar capacidade de preservar a integridade dos lotes no ambiente de produção para evitar:

a) Contaminação cruzada de ativos entre lotes;

b) Ativos não controlados no ambiente de produção, comprometendo a integridade do mecanismo de controle de ativos.

xii. Os ativos sensíveis rejeitados devem sempre ser destruídos de acordo com um procedimento seguro e os registros retidos.

xiii. O produto personalizado deve ser armazenado de forma segura antes da expedição para preservar a integridade dos lotes. Quando um produto personalizado for armazenado por longos períodos, controles adicionais deverão ser implementados;

xiv. A embalagem de mercadorias deve ser apta para o fim a que se destina e forte o suficiente para protegê-las durante o transporte. Devem ser tomadas medidas apropriadas para verificar se as mercadorias foram ou não adulteradas;

xv. Procedimentos seguros de entrega devem ser acordados entre o cliente e o fornecedor, os quais devem incluir endereços de entrega acordados e o método de entrega;

xvi. Notas de cobrança e entrega devem ser identificadas de forma positiva. As mercadorias só serão entregues após a produção dos documentos apropriados da autoridade. Um recibo deve ser obtido;

xvii. Os controles de segurança de produção devem estar sujeitos a um rigoroso programa de monitoramento interno, auditoria e manutenção, para assegurar sua operação correta continuada.

4.9.Gerenciamento de Computadores e Redes

i. A operação de sistemas e redes de computadores da CONTRATADA deve garantir a existência de mecanismos abrangentes para preservar a finalidade, necessidade, confidencialidade, integridade, disponibilidade e autenticidade de dados;

ii. Papéis e responsabilidades pela administração de sistemas de computadores devem ser claramente definidos pela CONTRATADA;

iii. A administração de sistemas de armazenamento, processamento ou descarte de dados confidenciais não deve normalmente ser realizada por usuários da CONTRATADA com responsabilidades operacionais regulares nessas áreas;

iv. As funções para revisão dos registros de auditoria de sistemas confidenciais devem ser separadas, pela CONTRATADA, dos usuários com privilégios (por exemplo, administradores);

v. Uma política de controle de acesso da CONTRATADA, deve estar em vigor e os procedimentos devem reger a concessão de direitos de acesso com um limite imposto ao uso de usuários privilegiados especiais;

vi. O acesso lógico aos serviços de TI deve ser feito por meio de um procedimento da CONTRATADA, de login seguro usando autenticação em 2 (dois) fatores;

vii. Autenticação forte deve ser implantada, pela CONTRATADA, onde o acesso remoto é concedido;

viii. Os sistemas e redes de dados, da CONTRATADA, utilizados para o processamento e armazenamento de dados sensíveis devem ser alojados em um ambiente apropriado e lógica ou fisicamente separados de redes inseguras;

ix. A transferência de dados entre redes seguras e inseguras deve ser rigorosamente controlada, pela CONTRATADA, de acordo com uma política documentada definida em um princípio de acesso mínimo;

x. O sistema da CONTRATADA deve ser implementado usando firewalls configurados e gerenciados apropriadamente, incorporando sistemas de detecção de intrusão apropriados;

xi. Devem existir controles pela CONTRATADA para identificar proativamente as fragilidades e vulnerabilidades de segurança e garantir que estas sejam remediadas em prazos apropriados;

xii. Os sistemas que fornecem serviços on-line e em tempo real devem ser protegidos, pela CONTRATADA, por mecanismos que assegurem níveis adequados de disponibilidade (por exemplo, proteção a ataques de negação de serviço);

xiii. Os requisitos de segurança dos sistemas devem ser identificados no início de sua aquisição e esses fatores devem ser levados em conta ao serem adquiridos;

xiv. Os componentes e o software do sistema devem estar protegidos contra vulnerabilidades conhecidas, tendo os patches de segurança mais recentes fornecidos pelo fornecedor instalados pela CONTRATADA;

xv. A configuração dos componentes do sistema deve ser endurecida pela CONTRATADA de acordo com as melhores práticas do setor;

xvi. Os processos e procedimentos de controle de mudança para todas as alterações nos componentes do sistema devem estar em vigor na CONTRATADA;

xvii. Os processos devem estar implementados pela CONTRATADA para identificar vulnerabilidades de segurança e garantir que os riscos associados sejam mitigados;

xviii. Medidas abrangentes para prevenção e detecção de malware e vírus devem ser implantadas, pela CONTRATADA em todos os sistemas vulneráveis;

xix. Cópias de backup de dados críticos de negócios devem ser feitas regularmente pela CONTRATADA. Os backups devem ser armazenados adequadamente para garantir a confidencialidade, integridade e a disponibilidade dos dados e descartados periodicamente;

xx. Se quaisquer instalações externas terceirizadas ou serviços de gerenciamento forem usados pela CONTRATADA, controles apropriados de segurança deverão estar em vigor. Tais instalações e serviços estarão sujeitos aos requisitos estabelecidos neste documento;

xxi. Os controles de segurança de TI devem estar sujeitos a um programa rigoroso de monitoramento interno pela CONTRATADA, auditoria e manutenção para garantir a continuidade de sua operação correta, bem como seguir um plano de contingência caso os controles, sistemas e informações sejam utilizados indevidamente;

xxii. Os processos de desenvolvimento de software para o SM-DP, SM-SR ou SM-DP + ou SM-DS devem seguir as melhores práticas do setor para o desenvolvimento de sistemas seguros pela CONTRATADA.

4.10. Tratamento de Erros e Trilhas de Auditoria (Logs)

i. Todo acesso deve ser auditável para identificar data, hora, atividade e pessoa responsável;

ii. Não expor informações sensíveis nas respostas de erros, inclusive detalhes de sistema, identificadores de sessão ou informação da conta do usuário;

iii. Usar mecanismos de tratamento de erros que não exibam informações de debug (depuração) ou informações da pilha de exceção;

iv. Retornar mensagens de erro genéricas ao cliente;

v. Tratar seus erros sem depender das configurações do servidor;

vi. Liberar a memória alocada de modo apropriado quando ocorrerem condições de erro;

vii. Tratar erros lógicos associados com controles de segurança por padrão “negar o acesso”;

viii. Implementar controles de log em um sistema confiável (neste caso o servidor);

ix. Incluir, adicionalmente, trilhas de auditoria em todos os sistemas para as funções de maior criticidade e relevância para o negócio. Estas funções deverão ser definidas pelas áreas responsáveis e o proprietário do sistema, quando necessário;

x. Não deverá existir nenhum processo ou função que altere ou apague qualquer registro da trilha de auditoria, salvo o script de retenção;

xi. O processo confidencial deve ser controlado por uma trilha de auditoria que forneça um registro completo e a responsabilidade individual pelo ciclo de vida dos ativos de informação para garantir que todos os ativos criados, processados e excluídos sejam totalmente contabilizados;

xii. O acesso a dados sensíveis é auditável para identificar data, hora, atividade e pessoa responsável;

o Indivíduos responsáveis são rastreáveis e podem ser responsabilizados.

xiii. A trilha de auditoria deve ser protegida em termos de integridade e o período de retenção deve ser definido. Não deve conter dados sensíveis;

xiv. Restringir o acesso e a leitura dos arquivos de logs aos usuários autorizados;

xv. Não registrar nos arquivos de log dados confidenciais utilizados na autenticação das credenciais de acesso (senhas, chaves privadas etc.) ou na autorização dos acessos (identificações ou senhas de sessão etc.);

xvi. Permitir, com o mecanismo de geração de trilhas de auditoria, a configuração de mecanismo de coleta de logs externo ou centralizado;

xvii. Armazenar os arquivos de log de forma segura e possuir restrição de acesso, principalmente nos casos de permissão de alteração e exclusão;

xviii. Registrar, pelo menos, os seguintes eventos, quando aplicáveis:

− acesso a dados sensíveis, ações de usuários administrativos;

− acesso às trilhas de auditoria;

− tentativas de acesso inválidas;

− utilização dos mecanismos de autenticação e identificação;

− inicialização do registro de auditoria;

− falhas de validação de dados de entrada;

− tentativas de conexão com tokens de sessão inválidos ou expirados;

− falhas de conexão TLS com o backend;

− falhas que ocorreram de criptografia.

xix. Prover, pelo menos, os seguintes registros para cada entrada no log:

− identificação do usuário, tipo de evento; data e hora;

− indicação de sucesso ou falha;

− origem do evento e identificação do dado, componente, recurso ou objeto relacionado.

xx. Garantir que as entradas de log que incluem dados não confiáveis não sejam executadas como um código na interface de visualização de logs;

xxi. Utilizar uma função de hash criptográfica para validar a integridade dos registros de log.

4.11. Tempo de Armazenamento

i. Os arquivos de logs de sistemas, recursos e redes que tramitem informações objetos do contrato firmado com a Claro devem ser armazenados on-line pelo período mínimo de 6 (seis) meses;

i. A CONTRATADA deve realizar as gravações das ligações de todas as operações realizadas para a Claro. As gravações devem ser armazenadas em locais seguros de acesso restrito por um período de, no mínimo, 5 (cinco) anos;

ii. Durante o cumprimento do contrato, o prazo de armazenamento poderá ser revisto pela própria Claro. A CONTRATADA deve estar ciente e preparada para se adequar em caso de alteração legislativa ou regulamentação pelas autoridades competentes, independentemente de prévia notificação da Claro de tal responsabilidade;

iii. A CONTRATADA deve definir um processo e um responsável para a disponibilização das gravações telefônicas à Claro. A Claro poderá solicitar a qualquer momento acesso a uma gravação e a CONTRATADA deve viabilizar sua entrega.

4.12. Incidentes de Segurança e Privacidade

i. A estrutura de gerenciamento de Segurança da Informação da CONTRATADA deve manter e controlar a segurança por meio de uma equipe multifuncional que coordena a identificação, o

agrupamento e a resolução de problemas de segurança, independentemente da estrutura do negócio;

ii. Deve ser mantido um mecanismo de resposta a incidentes, de segurança e privacidade, que inclua um processo para a investigação e mitigação de:

a) Violação acidental ou deliberada de regulamentos e procedimentos internos;

b) Suspeita ou detecção de comprometimento de sistemas ou recebimento de notificação de vulnerabilidades do sistema;

c) Invasão física ou lógica dos ativos ou informações;

d) Ataques de negação de serviço em componentes.

iii. No caso de incidente, a CONTRATADA deve:

a) Notificar imediatamente a Claro, através do e-mail xxxxx@xxxxx.xxx.xx, sobre a ocorrência de incidentes, irregularidades ou eventos suspeitos que afetem ou possam afetar a segurança das informações de propriedade da Claro;

b) Notificar imediatamente o responsável da Claro pela contratação;

c) Acionar o mecanismo de resposta a incidentes, a fim de mitigar os riscos

d) Garantir que os logs para análise ou perícia estejam disponíveis quando solicitados pela Claro.

4.13. Descarte

i. As informações obtidas nos termos do contrato firmado com a Claro que forem armazenadas, processadas, transmitidas e tratadas devem ser destruídas ou devolvidas após término de contrato com a CONTRATADA ou quando solicitado por parte da Claro;

ii. As mídias digitais, tanto as fixas como as removíveis, que contenham dados e informações da Claro, quando não forem mais utilizadas, requerem os seguintes cuidados no descarte:

a) Identificar e registrar as mídias que requerem descarte seguro, tais como fitas de backup, discos rígidos, DVDs, impressos e outros;

b) Triturar, incinerar ou inutilizar as mídias para que os dados não possam ser recuperados;

c) Os serviços terceirizados de coleta e descarte de papel, de equipamentos e de mídias magnéticas, deve ser efetuado por fornecedor com experiência e controles de segurança adequados.

4.14. Gestão de Continuidade de Negócios

i. A CONTRATADA deve assegurar a disponibilidade de seus ambientes, conforme contratado, considerando o tipo de atividade a ser exercida, sendo:

a) Caberá a CONTRATADA fornecer, quando solicitado pela Claro (a qualquer momento), as informações referentes à infraestrutura que suporta as atividades, bem como o mapeamento das localidades e o número de estações de atendimento e/ou operação disponíveis em cada uma das localidades onde estas são prestadas;

b) Caberá a Claro fornecer uma avaliação quanto aos negócios elegíveis e prioridade de recuperação das atividades.

ii. A CONTRATADA deve informar à Xxxxx xxxx e qualquer alteração de infraestrutura e/ou recursos em seu ambiente de trabalho e nos ambientes de contingência que atuarem ou fizerem qualquer referência ao objeto ora contratado para o perfeito cumprimento desta cláusula;

iii. A CONTRATADA deverá implementar o Sistema de Gestão de Continuidade Negócio:

• Plano de Gestão de Crise (exemplo: crise hídrica e elétrica);

• Plano de Gestão de Incidente;

• Plano de Recuperação de Desastre;

• Plano de Contingência Operacional;

• Plano de Teste e Validação; e

• Plano de Comunicação.

iv. Deverá ser definido e documentado entre o gestor do contrato da Claro e a CONTRATADA o prazo e/ou tempo máximo e mínimo para recuperação dos dados e/ou serviços em caso de desastres;

v. Será necessário definir procedimentos e ações para a transferência das atividades essenciais do negócio para localidades alternativas até a resolução e avaliação do incidente;

vi. Os ativos críticos para a continuidade dos processos de negócios essenciais devem ser objeto de proteção redobrada e hospedados em local que permita o seu uso nos procedimentos de emergência mesmo em casos de desastres;

vii. Deve ser incluída capacitação e orientação de todos os envolvidos nos planos de continuidade de processos, estando aptos a desenvolver suas atribuições;

viii. Deverão ser realizados testes periodicamente dos planos e elementos de contingência, com coletas de evidências;

ix. A CONTRATADA deve garantir os backups das informações em consonância com as disposições legais, realizar periodicamente testes de restauração, bem como possuir infraestrutura de contingência: geradores, nobreak, redundância de servidores de hospedagem da página web, redundância de links, redundância de equipamentos críticos para operação, refrigeração, reservatórios de água, site alternativo, etc.;

x. Os recursos humanos da CONTRATADA, envolvidos nos Planos de Continuidade de Xxxxxxx (PCN), deverão ser treinados no tema, conforme as suas atribuições e responsabilidades nos planos;

xi. Devem ser identificadas as soluções táticas para suportar a restauração das atividades exigidas dentro de um tempo de recuperação desejado. Em cada caso, devem ser avaliadas as alternativas a fim de minimizar a probabilidade de um mesmo incidente afetar a solução de continuidade do negócio;

xii. Todo e qualquer incidente que comprometa a continuidade dos serviços deve ser comunicado de imediato ao gestor do contrato responsável, para as providências necessárias e, se necessário, acionar os respectivos planos de continuidade;

xiii. Devem ser desenvolvidos e implantados procedimentos para resposta e estabilização da situação após um incidente, utilizando-se dos planos de respostas específicos para cada tipo de cenário avaliado após a realização da análise de risco.

4.15. Diligências de Conformidade

i. A CONTRATADA obriga-se a manter, durante toda a execução do contrato, em compatibilidade com as obrigações por ela assumidas, todas as condições abaixo exigidas:

a) A CONTRATADA deverá responder aos reportes e envio de evidências solicitadas pela Gerência de Segurança da Informação Corporativa da Claro, contendo autoavaliação (self- assessment) dos requisitos de segurança determinados em contrato;

b) Ambientes físicos e lógicos de recebimento, tratamento e manipulação de dados/informações objetos do contrato poderão passar por vistorias de segurança periódicas designadas pela Gerência de Segurança da Informação Corporativa da Claro;

c) Permitir que colaboradores da Claro, a qualquer tempo, possam proceder à verificação na CONTRATADA de conformidade dos controles incluídos no contrato, bem como permitir a análise e verificação de seus procedimentos de atendimento e habilitação dos serviços;

d) As não conformidades identificadas devem ser corrigidas e um Plano de Ação deverá ser enviado à Claro com prazo para regularização. Vulnerabilidades classificadas como ALTA, conforme metodologia própria de análise de riscos da Claro não poderão ser corrigidas num prazo superior a 30 (trinta) dias.

5. ENCERRAMENTO DO CONTRATO DE SERVIÇOS

i. A substituição ou mesmo o encerramento dos serviços contratados pode ocorrer a qualquer momento. Para isto, alguns itens de segurança devem ser atendidos:

a) Notificação de rescisão e/ou elaboração de termo de distrato e quitação, caso encerramento amigável;

b) Garantia da revogação dos acessos;

c) Destruição dos dados armazenados, demonstrados pela CONTRATADA, quando solicitado;

d) Entrega de todas as gravações telefônicas e logs armazenados pela CONTRATADA;

e) Revisão dos planos de continuidades de negócio que envolvam a CONTRATADA;

f) Prazo para que sejam feitas as devidas regularizações, devendo estar previsto em contrato;

g) Atualização de normas e processos que envolvam a CONTRATADA.

ii. A área da Segurança da Informação Corporativa ou, na impossibilidade desta, um terceiro contratado, poderá realizar diligência para verificar se as cláusulas do contrato estão sendo atendidas, principalmente aqueles referentes à destruição das informações e revogação dos acessos.

6. DISPOSIÇÕES FINAIS

a) A CONTRATADA deve preservar a informação e os ativos da CLARO, utilizando-os estritamente para o cumprimento de suas funções e cumprindo com as políticas, normas de segurança e procedimentos definidos para a operação do objeto contratado.

b) A CONTRATADA é responsável por qualquer fraude originada pelo não cumprimento dos procedimentos definidos, independentemente da existência de travas sistêmicas.

c) Os recursos colocados à disposição pela CLARO, incluindo sistemas, aplicações e aplicativos, deverão ser utilizados para propósitos relacionados com o objeto contratado, sendo proibida qualquer utilização dos recursos para fins ilegais e/ou lucrativos bem como comerciais ou profissionais diferentes aos permitidos pela empresa.

d) A CONTRATADA deve notificar o antes possível, sobre a ocorrência de incidentes ou eventos suspeitos que afetem ou possam afetar a segurança da informação e do negócio, mediante os procedimentos e canais definidos pela CLARO.

e) Está proibido tirar proveito das vulnerabilidades ou debilidades que porventura existem nos sistemas.

f) A CONTRATADA deve possuir solução tecnológica que integre/autentique o atendente em nossos sistemas/aplicações.

g) A CONTRATADA não deve utilizar qualquer tipo de solução de robotização ou mesmo Front-End únicos para acessar nossos sistemas/aplicações.

Document Metadata

Table of Contents

SIMCARD

Document Metadata