REQUISITO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE
REQUISITO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE
Contratação de Serviços de Terceiros - Fornecedor
Controle de Versão
Data | Versão | Responsável |
14.09.2020 | 00 | Xxxxxx Xxxx Xxxxxxxx / Paulo Quito |
28/07/2021 | 01 | Xxxxxx Xxxx Xxxxxxxx / Paulo Quito |
10/05/2022 | 02 | Xxxxxx Xxxx Xxxxxxxx / Paulo Quito |
* Este documento está alinhado à NR-SEG-009
SUMÁRIO
4. REQUISITOS DE SEGURANÇA PARA CONTRATAÇÃO DE SERVIÇOS DE TERCEIROS 4
4.1. Organização de Segurança da Informação e Proteção de Dados Pessoais 4
4.2. Incidentes de Segurança e Privacidade 5
4.6. Registro de Auditoria e Arquivos de Log 7
4.9. Gestão de Vulnerabilidade 9
4.10. Gestão de Continuidade de Negócios 9
4.11. Segurança Lógica do Ambiente 10
4.14. Diligências de Conformidade 11
5. ENCERRAMENTO DO CONTRATO DE SERVIÇOS 12
1. OBJETIVO
Apresentar os requisitos de Segurança da Informação e Privacidade obrigatórios que deverão ser observados pela CONTRATADA, considerando o processamento, transmissão e/ou armazenamento de informações de clientes e colaboradores da CLARO.
.
2. APLICAÇÃO
Aplica-se à Claro S.A. e suas Controladas/Coligadas, bem como para todos aqueles que, mesmo não sendo colaboradores próprios, trabalhem dentro ou fora das instalações das Empresas ou ainda que tenham acesso às informações dos processos da Organização.
3. REFERÊNCIAS
Os seguintes documentos referenciados, no todo ou em parte, são normativas e padrões de mercado:
Para o desenvolvimento deste documento, foram considerados:
• ABNT NBR ISO/IEC 27001:2013: Tecnologia da Informação — Técnicas de Segurança — Sistemas de Gestão da Segurança da Informação;
• ABNT NBR ISO/IEC 27002:2013: Tecnologia da Informação — Técnicas de Segurança — Código de Prática para Controles de Segurança da Informação;
• ABNT NBR ISO/IEC 27005:2011: Tecnologia da Informação — Técnicas de Segurança — Gestão de Riscos de Segurança da Informação;
• ABNT NBR ISO/IEC 27011:2008: Técnicas de Segurança - Diretrizes para Gestão da Segurança da Informação para Organizações de Telecomunicações.
• ABNT NBR ISO/IEC 27017:2016 - Tecnologia da Informação - Técnicas de Segurança - Código de Prática para Controles de Segurança da Informação com Base ABNT NBR ISO/IEC 27002 para Serviços em Nuvem;
• ABNT NBR ISO/IEC 27701:2019: Tecnologia da Informação — Técnicas de Segurança — Extensão à ABNT NBR ISO/IEC 27002 para Gestão da Privacidade da Informação – Requisitos e Diretrizes;
• CÓDIGO DE ÉTICA, do Grupo América Móvil;
• DECRETO Nº 8.771/2016 – Decreto que regulamenta o Marco Civil da Internet;
• LEI Nº 12.965/2014 – Marco Civil da Internet;
• LEI Nº 9.472/97: Lei Geral das Telecomunicações;
• LEI Nº 13.709/18 - Lei Geral de Proteção de Xxxxx Xxxxxxxx;
• LEI Nº 13.853/19 – Lei que altera a LGPD e cria a Autoridade Nacional de Proteção de Dados;
• Normas de Segurança da Claro.
.
4. REQUISITOS DE SEGURANÇA PARA CONTRATAÇÃO DE SERVIÇOS DE TERCEIROS
4.1.Organização de Segurança da Informação e Proteção de Dados Pessoais
i. Para fins de organização da Segurança da Informação e da privacidade e proteção de dados pessoais, a CONTRATADA deve:
a) Possuir um modelo de gestão de Segurança da Informação e Privacidade, com o papel de elaborar, divulgar e atualizar as políticas e diretrizes de segurança e proteção de dados pessoais, que deverão ser apresentadas à Claro em caso de solicitação nesse sentido;
b) Designar um responsável pelo modelo de gestão de Segurança da Informação, que deverá atuar na gestão e no cumprimento das diretrizes e, se aplicável, um DPO, responsável pela estrutura e governança do programa de privacidade e proteção de dados pessoais;
c) Possuir uma política de Segurança da Informação (ou documento similar) revisada periodicamente e divulgada a todos os funcionários e terceiros, em que conste diretrizes de segurança e privacidade, contendo, no mínimo, os seguintes temas (não se limitando somente a estes):
• Classificação da Informação, inclusive de Dados Pessoais
• Mesa e tela limpa
• Segurança física
• Controle de acesso
• Senhas
• Manuseio da informação
• Licenciamento de software
• Backups
• Resposta a incidentes de segurança e de privacidade
• Acesso à internet
• Uso de correio eletrônico
• Procedimentos documentados
• Gestão de vulnerabilidades / patches
• Governança em privacidade
• Registro de tratamento de dados pessoais
d) Documentar e manter atualizados os processos e procedimentos internos relacionados à prestação do serviço e aos requisitos de Segurança da Informação e Privacidade (ISO 27701:2019);
e) Realizar durante a contratação e periodicamente treinamentos de conscientização para seus funcionários sobre os aspectos de Segurança da Informação e Privacidade exigidos neste documento;
f) Cumprir a legislação e regulamentações aplicáveis à prestação de serviço, particularmente a Lei Geral das Telecomunicações e a LGPD;
g) Designar responsáveis, custodiantes e usuários das informações de seus sistemas internos.
ii. Caso o serviço prestado envolva transações de cartões de pagamento, a CONTRATADA deverá estar em conformidade com o padrão PCI-DSS, evidenciando anualmente sua conformidade de acordo com as regras do PCI, bandeiras e adquirentes;
iii. Todas as informações de propriedade da Claro, bem como as de seus clientes devem ter sua utilização restrita à prestação do serviço contratado e devem ser tratadas como confidenciais, sendo assegurado o acesso dos profissionais às informações apenas na medida necessária à execução de suas tarefas.
4.1.1. PROTEÇÃO DOS DADOS
I. Todas os dados de pessoais e dados pessoais sensíveis de clientes da CLARO devem ser criptografadas no processamento, armazenamento, transmissão.
II. O processo de criptografia deve atender:
o Deve haver o gerenciamento de chaves, incluindo métodos para lidar com a proteção das chaves criptográficas e a recuperação de informações cifradas, no caso de chaves perdidas, comprometidas ou danificadas.
o Deve-se preferir a utilização de módulos de criptografia compatíveis com a FIPS 140-2 ou padrão seguro equivalente para as operações de gerenciamento e utilização de chaves criptográficas
o Deve haver procedimentos que inclua requisitos para o gerenciamento de chaves criptográficas ao longo de todo o seu ciclo de vida incluindo, a geração, armazenagem, arquivo, recuperação, distribuição, retirada e destruição das chaves.
o Todas as chaves criptográficas devem ser protegidas contra modificação e perda. Adicionalmente, chaves secretas e privadas necessitam de proteção contra o uso ou a divulgação não autorizada.
o Uso de equipamentos para gerar, armazenar e guardar as chaves sejam fisicamente protegidos.
o No processo de autenticação utilizando-se certificados de chaves públicas devem ser emitidos por uma autoridade certificadora, a qual seja uma organização reconhecida, com controles adequados e procedimentos implantados com o objetivo de garantir o requerido nível de confiança.
III. Conforme normas e políticas de Segurança da Claro Brasil, para sua transmissão devem:
a) Ser criptografada para manter a confidencialidade, a integridade, rastreabilidade das informações;
b) Ser controladas, em conformidade com a legislação pertinente;
c) Estar protegidas contra interceptação, cópia, modificação, desvio e destruição.
d) Ser utilizado um protocolo seguro e soluções para comunicação entre as partes com garantia de comunicação fim-a-fim.
4.2.Incidentes de Segurança e Privacidade
i. A estrutura de gerenciamento de Segurança da Informação da CONTRATADA deve manter e controlar a segurança por meio de uma equipe multifuncional que coordena a identificação, o agrupamento e a resolução de problemas de segurança, independentemente da estrutura do negócio;
ii. Deve ser mantido um mecanismo de resposta a incidentes, de segurança e privacidade, que inclua um processo para a investigação e mitigação de:
a) Violação acidental ou deliberada de regulamentos e procedimentos internos;
b) Suspeita ou detecção de comprometimento de sistemas ou recebimento de notificação de vulnerabilidades do sistema;
c) Invasão física ou lógica dos ativos ou informações;
d) Ataques de negação de serviço em componentes.
iii. No caso de incidente, a CONTRATADA deve:
a) Notificar imediatamente a Claro, através do e-mail xxxxx@xxxxx.xxx.xx, sobre a ocorrência de incidentes, irregularidades ou eventos suspeitos que afetem ou possam afetar a segurança das informações de propriedade da Claro;
b) Notificar imediatamente o responsável da Claro pela contratação;
c) Acionar o mecanismo de resposta a incidentes, a fim de mitigar os riscos
d) Garantir que os logs para análise ou perícia estejam disponíveis quando solicitados pela Claro.
4.3.Desenvolvimento
i. A CONTRATADA deve garantir as premissas básicas de Segurança da Informação e de Privacidade (finalidade, necessidade, confidencialidade, integridade, disponibilidade e autenticidade), bem como implementar processo de Privacy by Design, ambos previstos na ABNT NBR ISO/IEC 27701:2019, para todos os sistemas e/ou aplicações próprias, cumprindo, desta forma, o contrato firmado com a Claro que envolva manipulação de dados ou informações da Claro, inclusive dados pessoais de seus clientes;
ii. Caso seja necessário o desenvolvimento ou adquirir novas soluções, a CONTRATADA deverá solicitar uma análise prévia à Claro. Caso seja aprovada pela Claro, serão disponibilizadas as orientações técnicas nos padrões e premissas arquitetônicas para o desenvolvimento seguro de sistemas que manipulem ou armazenem informações da Claro, por meio do processo de Privacy by Design a ser conduzido nos parâmetros definidos pela Claro.
4.4.Utilização de E-mail
i. Toda comunicação com o cliente da Claro utilizando correio eletrônico deve ser feita utilizando os domínios corporativos definidos pela Claro e criptografia. A Claro não autoriza comunicação através de domínios públicos (ex: Gmail etc.);
ii. Todo e-mail com endereço corporativo da Claro disponibilizado a CONTRATADA deve ser configurado de acordo com os padrões de identificação e segurança vigentes e homologados pela Claro.
4.5.Gestão de Acessos
4.5.1. Autenticação
i. Os colaboradores da CONTRATADA devem utilizar uma credencial de acesso que será disponibilizada pela Claro, de modo a poder reconhecer (identificação) e comprovar (autenticação) a identidade do usuário no acesso aos sistemas de informação, recursos, áreas de processamento de dados e redes de comunicações que suportam a operação da CONTRATADA;
ii. Cada colaborador que necessitar de acesso para cumprimento do objeto do contrato com a Claro terá sua própria credencial de acesso, não sendo permitido seu compartilhamento ou utilização de usuários genéricos. Do mesmo modo, toda credencial de acesso terá um proprietário que será responsável pelas ações que sejam feitas;
iii. As senhas dos colaboradores devem ser de uso pessoal e intransferível; sendo:
a) Desabilitada a funcionalidade de lembrar a senha (auto complete) nos campos de senha do navegador;
b) Adicionado controle de Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) em páginas onde houver entradas de usuário/senhas para evitar possíveis ataques de força bruta com dicionários à autenticação;
iv. Todas as credenciais dos usuários que tenham sido demitidos ou que tenham os serviços descontinuados devem ser desabilitadas e mantidas por um período (parametrizável), em atenção à base legal do tratamento dos dados pessoais relativos às credenciais de acesso, para que não seja perdido o histórico ou logs da mesma, em atenção à finalidade deste tratamento de dados pessoais e cumprimento às obrigações legais aplicáveis. As credenciais não poderão ser reutilizadas posteriormente;
v. No momento do desligamento de um colaborador da CONTRATADA envolvido na operação do serviço prestado para a Claro, a CONTRATADA deve imediatamente providenciar o cancelamento de todos os acessos. No caso de sistemas gerenciados pela CONTRATADA, os acessos devem ser removidos imediatamente por esta.
4.5.2. Autorização
i. Todo usuário que necessitar obter uma credencial de acesso em qualquer sistema deve passar por um processo de autorização. O processo deve contemplar e formalizar todas as etapas de solicitação, aprovação, execução, entrega e troca de senha;
ii. Todas as solicitações de liberação de acesso a informações, sistemas e/ou recursos devem ser obedecer aos critérios da Claro;
iii. Os perfis dos usuários devem ser definidos de acordo com a necessidade de uso e alinhados aos requisitos de negócios, considerando a imprescindibilidade ou não do acesso a dados pessoais;
iv. A CONTRATADA deve estabelecer um processo seguro para a entrega de senha;
v. Os sistemas e/ou aplicações utilizados na prestação de serviço contratado devem prever sua utilização por usuários com credenciais de acesso que possuam o mínimo privilégio necessário para exercer sua função, não devendo haver a necessidade de aumento dos privilégios destes usuários para a execução delas.
4.6.Registro de Auditoria e Arquivos de Log
i. A CONTRATADA deve:
a) Gerar e fornecer para a Claro registros que identifiquem todas as ações realizadas pelos colaboradores da CONTRATADA de forma que seja possível identificar qual foi o operador que executou cada ação executada, o momento de execução (data/hora), a duração, a partir de qual equipamento foi executado e quais dados pessoais foram objeto de tratamento (i.e., acessados, visualizados, compartilhados, etc.);
b) O processo de tratamento de dados pessoais e/ou o acesso a outras informações confidenciais pela CONTRATADA deve ser controlado a partir dos arquivos de log descritos nas alíneas “i” e “ii”, sendo possível obter um registro completo e a responsabilidade individual pelo ciclo de vida dos ativos de informação, de modo a garantir que todos os ativos criados, processados e excluídos são totalmente contabilizados.
ii. Os arquivos de log descritos no item acima devem ser armazenados de forma segura, possuindo restrição de acesso, principalmente nos casos de permissão de alteração e exclusão, e inviolável, mediante encriptação ou medidas de proteção equivalentes. O acesso e a leitura dos arquivos de logs devem ser restritos aos usuários autorizados;
iii. Não deve existir nenhum processo ou função que altere ou apague qualquer registro dos arquivos de log e, portanto, da trilha de auditoria, salvo o script de retenção;
iv. Os administradores de sistemas não devem ter permissão de exclusão ou desativação dos arquivos de log;
v. Deve ser realizado o sincronismo de relógio do ambiente a fim de assegurar a exatidão dos horários de ocorrência e credibilidade dos eventos registrados nos arquivos de log;
vi. Dados confidenciais utilizados na autenticação das credenciais de acesso (senhas, chaves privadas etc.) ou na autorização dos acessos (identificações ou senhas de sessão etc.) não devem ser registrados nos arquivos de log;
vii. Os ativos da CONTRATADA suportam o objeto do contrato devem prover no mínimo, mas não se limitando a:
a) Login do usuário;
b) Data;
c) Hora;
d) Tipo do evento;
e) Endereço do IP e Hostname do equipamento.
4.7.Tempo de Armazenamento
i. Os arquivos de logs de sistemas, recursos e redes que tramitem informações objetos do contrato firmado com a Claro devem ser armazenados on-line pelo período mínimo de 6 (seis) meses;
ii. A CONTRATADA deve realizar as gravações das ligações de todas as operações realizadas para a Claro. As gravações devem ser armazenadas em locais seguros de acesso restrito por um período de, no mínimo, 5 (cinco) anos;
iii. Durante o cumprimento do contrato, o prazo de armazenamento poderá ser revisto pela própria Claro. A CONTRATADA deve estar ciente e preparada para se adequar em caso de alteração legislativa ou regulamentação pelas autoridades competentes, independentemente de prévia notificação da Claro de tal responsabilidade;
iv. A CONTRATADA deve definir um processo e um responsável para a disponibilização das gravações telefônicas à Claro. A Claro poderá solicitar a qualquer momento acesso a uma gravação e a CONTRATADA deve viabilizar sua entrega.
4.8.Descarte
i. As informações obtidas nos termos do contrato firmado com a Claro que forem armazenadas, processadas, transmitidas e tratadas devem ser destruídas ou devolvidas após término de contrato com a CONTRATADA ou quando solicitado por parte da Claro;
ii. As mídias digitais, tanto as fixas como as removíveis, que contenham dados e informações da Claro, quando não forem mais utilizadas, requerem os seguintes cuidados no descarte:
a) Identificar e registrar as mídias que requerem descarte seguro, tais como fitas de backup, discos rígidos, DVDs, impressos e outros;
b) Triturar, incinerar ou inutilizar as mídias para que os dados não possam ser recuperados;
c) Os serviços terceirizados de coleta e descarte de papel, de equipamentos e de mídias magnéticas, deve ser efetuado por fornecedor com experiência e controles de segurança adequados.
4.9.Gestão de Vulnerabilidade
i. A CONTRATADA deve manter um banco de dados ou ferramenta de inventário atualizada sobre ativos tecnológicos, sistemas operacionais e softwares base instalados na CONTRATADA, que inclua as informações de fabricantes, versões, níveis de atualização de patches e, no caso de software base, o sistema operacional em que este se encontra instalado;
ii. Implementar as correções de segurança (patches), conforme disponibilizadas pelos respectivos fabricantes dos softwares que suportam as operações;
iii. A CONTRATADA deve entregar para a Gerência de Segurança da Informação Corporativa da Claro, a cada 3 (três) meses, um relatório com plano de tratamento das vulnerabilidades identificadas. O resultado do trabalho não pode conter vulnerabilidades críticas;
iv. A CONTRATADA deve definir um procedimento para calcular o risco de cada vulnerabilidade identificado, considerando critérios de classificação da informação, probabilidade de exploração da vulnerabilidade e o impacto relacionado.
4.10. Gestão de Continuidade de Negócios
i. A CONTRATADA deve assegurar a disponibilidade de seus ambientes, conforme contratado, considerando o tipo de atividade a ser exercida, sendo:
a) Caberá a CONTRATADA fornecer, quando solicitado pela Claro (a qualquer momento), as informações referentes à infraestrutura que suporta as atividades, bem como o mapeamento das localidades e o número de estações de atendimento e/ou operação disponíveis em cada uma das localidades onde estas são prestadas;
b) Caberá a Claro fornecer uma avaliação quanto aos negócios elegíveis e prioridade de recuperação das atividades.
ii. A CONTRATADA deve informar à Xxxxx xxxx e qualquer alteração de infraestrutura e/ou recursos em seu ambiente de trabalho e nos ambientes de contingência que atuarem ou fizerem qualquer referência ao objeto ora contratado para o perfeito cumprimento desta cláusula;
iii. A CONTRATADA deverá implementar o Sistema de Gestão de Continuidade Negócio:
• Plano de Gestão de Crise (exemplo: crise hídrica e elétrica);
• Plano de Gestão de Incidente;
• Plano de Recuperação de Desastre;
• Plano de Contingência Operacional;
• Plano de Teste e Validação; e
• Plano de Comunicação.
iv. Deverá ser definido e documentado entre o gestor do contrato da Claro e a CONTRATADA o prazo e/ou tempo máximo e mínimo para recuperação dos dados e/ou serviços em caso de desastres;
v. Será necessário definir procedimentos e ações para a transferência das atividades essenciais do negócio para localidades alternativas até a resolução e avaliação do incidente;
vi. Os ativos críticos para a continuidade dos processos de negócios essenciais devem ser objeto de proteção redobrada e hospedados em local que permita o seu uso nos procedimentos de emergência mesmo em casos de desastres;
vii. Deve ser incluída capacitação e orientação de todos os envolvidos nos planos de continuidade de processos, estando aptos a desenvolver suas atribuições;
viii. Deverão ser realizados testes periodicamente dos planos e elementos de contingência, com coletas de evidências;
ix. A CONTRATADA deve garantir os backups das informações em consonância com as disposições legais, realizar periodicamente testes de restauração, bem como possuir infraestrutura de contingência: geradores, nobreak, redundância de servidores de hospedagem da página web, redundância de links, redundância de equipamentos críticos para operação, refrigeração, reservatórios de água, site alternativo, etc.;
x. Os recursos humanos da CONTRATADA, envolvidos nos Planos de Continuidade de Xxxxxxx (PCN), deverão ser treinados no tema, conforme as suas atribuições e responsabilidades nos planos;
xi. Devem ser identificadas as soluções táticas para suportar a restauração das atividades exigidas dentro de um tempo de recuperação desejado. Em cada caso, devem ser avaliadas as alternativas a fim de minimizar a probabilidade de um mesmo incidente afetar a solução de continuidade do negócio;
xii. Todo e qualquer incidente que comprometa a continuidade dos serviços deve ser comunicado de imediato ao gestor do contrato responsável, para as providências necessárias e, se necessário, acionar os respectivos planos de continuidade;
xiii. Devem ser desenvolvidos e implantados procedimentos para resposta e estabilização da situação após um incidente, utilizando-se dos planos de respostas específicos para cada tipo de cenário avaliado após a realização da análise de risco.
4.11. Segurança Lógica do Ambiente
i. Para as operações instaladas em ambientes/sites, a CONTRATADA deve:
a) Prover um segmento de rede exclusivo e segregado para os serviços contratados pela Claro;
b) Controlar e restringir os acessos de outras redes para a rede exclusiva utilizada na prestação do serviço, através de regras restritivas de firewall;
c) Prover, quando solicitado pela Claro, diagramas físicos e lógicos atualizados das redes que suportam as operações que são objeto do contrato, contendo os equipamentos utilizados e suas interconexões;
d) Prover monitoramento de segurança do tráfego de rede;
e) Implementar regras de controle de comunicação com a internet de acordo com a necessidade da operação;
f) Criar perfis de acessos para sistemas internos relacionados às operações, obedecendo aos princípios de mínimo privilégio e segregação de funções;
g) Proteger as conexões de rede da CONTRATADA de outras redes externas, de acordo com as melhores práticas de Segurança da Informação;
h) Os ativos da CONTRATADA devem prover proteção contra códigos maliciosos, tais como antivírus e personal firewall (manter atualizados diariamente);
i) A instalação e utilização de pontos de acesso sem fio (padrão IEEE 802.11) deve ser controlada. A interface de administração de equipamentos de rede, computadores e pontos de acesso sem fio deve ser acessada somente por usuários autorizados;
j) Os pontos de acesso sem fio devem ser configurados conforme padrões seguros de comunicação (Ex:WPA2 ou superior);
k) Os ativos envolvidos na prestação do serviço para a Claro devem ser contemplados por um processo de blindagem (hardening);
l) Deve haver um método de backup das informações da Claro que deve ser testado e atualizado periodicamente;
m) Somente os protocolos e sites necessários para execução dos serviços contratados devem ser liberados para acessos dos usuários;
n) Desabilitar serviços e funcionalidades desnecessárias nos computadores e equipamentos de rede que suportam as operações da Claro;
o) Os servidores devem ser armazenados em locais seguros;
p) A CONTRATADA deve restringir o acesso físico aos pontos de rede acessíveis publicamente, pontos sem fio, gateways e dispositivos portáteis;
q) Os computadores devem ser bloqueados após 15 (quinze) minutos de inatividade e somente devem ser desbloqueados através da senha de acesso do usuário;
r) Os equipamentos envolvidos na operação devem possuir apenas conexões, interfaces, aplicações e dispositivos necessários à sua finalidade. O fornecedor de Call Center deve bloquear a utilização de dispositivos que permitam a gravação de informações em mídia, como por exemplo:
• CD RW
• DVD RW
• Computadores de mão
• Câmeras digitais e qualquer outro tipo de equipamento que contenha recursos de fotografia
• Telefones celulares com câmeras
• iPods
• Tablets
• Gravadores
• Filmadoras
• Pen drives
• Quaisquer outras mídias ou periféricos que possibilitem a gravação de informações
s) Os dispositivos moveis estão autorizados somente para o uso de 2FA (Segundo Fator de Autenticação);
t) Apresentar os requisitos de segurança lógica atualmente implementados na sua operação, bem como projetos de melhorias já em execução;
u) O sistema de gravação de áudio utilizado na prestação do serviço para a Empresa deve estar em ambiente controlado de acesso restrito.
4.12. Segurança Física
i. Para as operações instaladas em sites de propriedade da CONTRATADA, esta deve atender aos requisitos de segurança física definidos pela Gerência de Segurança Física da Claro.
4.13. Testes de Segurança
i. A CONTRATADA deve permitir que a área de Segurança da Informação da Claro (ou terceiro por ela designado) realize os testes de segurança necessários quando solicitado em sistemas, sites, aplicações etc. (objetos do contrato);
ii. O resultado do teste será enviado a CONTRATADA que deverá retornar um plano de ação no prazo de 30 (trinta) dias informando os prazos para correção das vulnerabilidades identificadas.
4.14. Diligências de Conformidade
i. A CONTRATADA obriga-se a manter, durante toda a execução do contrato, em compatibilidade com as obrigações por ela assumidas, todas as condições abaixo exigidas:
a) A CONTRATADA deverá responder aos reportes e envio de evidências solicitadas pela Gerência de Segurança da Informação Corporativa da Claro, contendo autoavaliação (self- assessment) dos requisitos de segurança determinados em contrato;
b) Ambientes físicos e lógicos de recebimento, tratamento e manipulação de dados/informações objetos do contrato poderão passar por vistorias de segurança periódicas designadas pela Gerência de Segurança da Informação Corporativa da Claro;
c) Permitir que colaboradores da Claro, a qualquer tempo, possam proceder à verificação na CONTRATADA de conformidade dos controles incluídos no contrato, bem como permitir a análise e verificação de seus procedimentos de atendimento e habilitação dos serviços;
d) As não conformidades identificadas devem ser corrigidas e um Plano de Ação deverá ser enviado à Claro com prazo para regularização. Vulnerabilidades classificadas como ALTA, conforme metodologia própria de análise de riscos da Claro não poderão ser corrigidas num prazo superior a 30 (trinta) dias.
5. ENCERRAMENTO DO CONTRATO DE SERVIÇOS
i. A substituição ou mesmo o encerramento dos serviços contratados pode ocorrer a qualquer momento. Para isto, alguns itens de segurança devem ser atendidos:
a) Notificação de rescisão e/ou elaboração de termo de distrato e quitação, caso encerramento amigável;
b) Garantia da revogação dos acessos;
c) Destruição dos dados armazenados, demonstrados pela CONTRATADA, quando solicitado;
d) Entrega de todas as gravações telefônicas e logs armazenados pela CONTRATADA;
e) Revisão dos planos de continuidades de negócio que envolvam a CONTRATADA;
f) Prazo para que sejam feitas as devidas regularizações, devendo estar previsto em contrato;
g) Atualização de normas e processos que envolvam a CONTRATADA.
ii. A área da Segurança da Informação Corporativa ou, na impossibilidade desta, um terceiro contratado, poderá realizar diligência para verificar se as cláusulas do contrato estão sendo atendidas, principalmente aqueles referentes à destruição das informações e revogação dos acessos.
6. DISPOSIÇÕES FINAIS
a) A CONTRATADA deve preservar a informação e os ativos da CLARO, utilizando-os estritamente para o cumprimento de suas funções e cumprindo com as políticas, normas de segurança e procedimentos definidos para a operação do objeto contratado.
b) A CONTRATADA é responsável por qualquer fraude originada pelo não cumprimento dos procedimentos definidos, independentemente da existência de travas sistêmicas.
c) Os recursos colocados à disposição pela CLARO, incluindo sistemas, aplicações e aplicativos, deverão ser utilizados para propósitos relacionados com o objeto contratado, sendo proibida qualquer utilização dos recursos para fins ilegais e/ou lucrativos bem como comerciais ou profissionais diferentes aos permitidos pela empresa.
d) A CONTRATADA deve notificar o antes possível, sobre a ocorrência de incidentes ou eventos suspeitos que afetem ou possam afetar a segurança da informação e do negócio, mediante os procedimentos e canais definidos pela CLARO.
e) Está proibido tirar proveito das vulnerabilidades ou debilidades que porventura existem nos sistemas.
f) A CONTRATADA deve possuir solução tecnológica que integre/autentique o atendente em nossos sistemas/aplicações.
g) A CONTRATADA não deve utilizar qualquer tipo de solução de robotização ou mesmo Front-End únicos para acessar nossos sistemas/aplicações.