CONTRATO DE PRESTAÇÃO DE SERVIÇOS - MANAGED SECURITY SERVICES

Pelo presente instrumento particular, de um lado a TELEFONICA DATA S/A, inscrita no CNPJ/MF
sob o nº 04.027.547/0036-61, com sede na Cidade de Barueri, Estado de São Paulo, na Avenida
Tamboré, nº 341, parte, por sua filial de SÃO PAULO, inscrita no CNPJ/MF sob o nº
04.027.547/0032-38, estabelecida na Rua Uriel Gaspar, 206, parte, Tatuapé, São Paulo, SP, neste
ato devidamente representada em conformidade com seu Estatuto Social, doravante denominada
CONTRATADA e, de outro lado, a CONTRATANTE, devidamente qualificada nos Anexos
integrantes do presente contrato, têm ajustado entre si o que segue:

CLÁUSULA PRIMEIRA – OBJETO

1.1. O presente Contrato tem por objeto a prestação do serviço denominado “MANAGED
SECUITY SERVICES” pela CONTRATADA à CONTRATANTE, conforme detalhamento e
especificação técnica descritas nos documentos Anexos ao presente Contrato.

1.2. O serviço objeto deste Contrato é prestado pela CONTRATADA e a partir da solução
contratada e da infra-estrutura de segurança da CONTRATANTE.

1.3. Eventuais expansões, reconfigurações e alterações nas especificações técnicas solicitadas

pela CONTRATANTE poderão ser atendidas pela CONTRATADA, mediante envio de nova
Proposta Comercial por esta última.

1.4. O serviço objeto deste Contrato é prestado pela CONTRATADA a partir da filial localizada na
Cidade de Barueri.

CLÁUSULA SEGUNDA – DOCUMENTOS INTEGRANTES DO CONTRATO

2.1. Integram o presente Contrato, para todos os fins e efeitos de direito, como se nele
estivessem transcritos, os documentos abaixo mencionados, devidamente rubricados pelas
partes CONTRATANTES:

2.1.1. Anexo A - Proposta Técnica e Comercial de Prestação de Serviços de Managed

Security Services;
2.1.2. Anexo B – Solicitação de serviço;
2.1.3 Anexo C– Descritivo do Serviço contratado; e
2.1.4 Anexo D– Acordo de Níveis de Serviço (SLA).

1
2.2. Em caso de divergência entre o presente instrumento e os documentos relacionados na
cláusula acima, prevalecerá, onde couber, o presente instrumento.

CLÁUSULA TERCEIRA – VIGÊNCIA

3.1. O presente Contrato entrará em vigor na data de assinatura da Solicitação de Serviço

podendo ser prorrogado automaticamente por iguais e sucessivos períodos, desde que não
haja manifestação contrária de qualquer das Partes até 30 (trinta) dias antes de seu termo
final.

CLÁUSULA QUARTA – OBRIGAÇÕES E DEVERES DA CONTRATADA

4.1. Garantir à CONTRATANTE as condições de prestação dos serviços contratados, conforme

especificações constantes dos Descritivos e/ou da Proposta, durante toda a vigência do
presente Contrato.

4.2. Efetuar, sempre que necessário, a devida manutenção preventiva e/ou corretiva nos
equipamentos de sua propriedade, ou sob sua responsabilidade nos termos do presente
Contrato, necessários ao regular funcionamento dos serviços prestados à CONTRATANTE.

4.2.1. A CONTRATADA deverá comunicar à CONTRATANTE, com 01 (uma) semana de

antecedência, quando as manutenções efetuadas ocasionarem interrupção ou
degradação dos serviços prestados;

4.3. Atender às reclamações da CONTRATANTE, relativas a falhas ou degradações dos serviços.

Para efeitos do presente Contrato, será considerada indisponibilidade (“Indisponibilidade”) a
paralisação ou degradação do serviço que impossibilite seu uso pela CONTRATANTE,
conforme os parâmetros de disponibilidade estabelecidos no(s) Descritivo(s) e/ou Proposta.
Não serão objeto de desconto, e, portanto, serão expurgados do cálculo da Indisponibilidade,
os seguintes eventos:

4.3.1. Interrupções em que a CONTRATADA não tenha sido acionada pela CONTRATANTE
para reparar os serviços afetados, salvo se disposto de forma diversa no Descritivo
e/ou Proposta (contratação dos serviços de pró-atividade);

4.3.2. Interrupções dos serviços provocadas por causas imputáveis à CONTRATANTE;

4.3.3. Interrupções programadas para manutenção preventiva, desde que previamente

informada à CONTRATANTE, conforme item 4.2.1 do presente Contrato;

2
 4.3.4. Interrupções mutuamente definidas pelas Partes;

4.3.5. Interrupções decorrentes de caso fortuito ou força maior.

4.4. A contagem do período de Indisponibilidade terá início com a abertura de um bilhete de

defeito, sendo encerrada por ocasião da baixa de referido bilhete quando da conclusão do
reparo.

CLÁUSULA QUINTA – OBRIGAÇÕES DA CONTRATANTE

5.1. Utilizar o(s) serviço(s) objeto do presente Contrato exclusivamente para os fins a que se
destinam, não lhe sendo permitido sublocá-los ou cedê-los a terceiros, a qualquer título,
sem prévia e expressa autorização da CONTRATADA. Para os fins da presente cláusula,
não será considerada transferência ou cessão a utilização por qualquer terceiro que, sob a
responsabilidade da CONTRATANTE e em conexão com sua atividade-fim, utilize-se do(s)
serviço(s) disponibilizado(s).

5.2. Não se utilizar de qualquer material cujos direitos autorais e/ou propriedade intelectual
estejam protegidos por lei ou sejam considerados, de alguma forma, nocivos.

5.3. Não se utilizar de programas de computador ou qualquer outro tipo de sistema que não
tenha sido adquirido de maneira formal e cuja autorização de uso não esteja válida.

5.4. Assumir integralmente, a qualquer título, toda responsabilidade decorrente de danos ou

prejuízos havidos e/ou originados do uso indevido da solução CONTRATADA por força do
presente Contrato, sem solidariedade da CONTRATADA.

5.5. Manter os seus dados cadastrais devidamente atualizados e comunicar qualquer alteração à
CONTRATADA.

5.6. Cumprir pontualmente com todas as obrigações financeiras previstas neste contrato e na
Proposta Comercial.

5.7. Assumir integralmente, sem solidariedade da CONTRATADA, seja a que título for, toda a
responsabilidade pelos serviços e/ou informações e dados que prestar e/ou que trafegar no
ambiente monitorado nos termos deste Contrato.

3
5.8. Providenciar a aceitação ou rejeição dos serviços entregues pela CONTRATADA em um
prazo máximo de 10 (dez) dias úteis a contar da data de ativação. Ultrapassado este prazo
sem que haja qualquer manifestação da CONTRATANTE, os serviços serão considerados
tacitamente aceitos.

5.9. Reconhecer o direito da CONTRATADA a efetuar interrupções no fornecimento do serviço,

mediante comunicação prévia à CONTRATANTE conforme item 4.2.1 deste instrumento,
reconhecendo, do mesmo modo, que tem conhecimento pleno de que os serviços poderão,
eventualmente, ser afetados, ou temporariamente interrompidos por motivos técnicos.

5.10. A CONTRATADA declara que os prepostos constantes na Solicitação de Serviços possuem

procuração para assumirem obrigações pela CONTRATADA.

CLÁUSULA SEXTA – DOS PREÇOS E DAS CONDIÇÕES DE PAGAMENTO

6.1. Pela prestação dos serviços objeto do presente Contrato, a CONTRATANTE deverá pagar
mensalmente à CONTRATADA os valores especificados na Proposta Comercial e na
solicitação de serviço que será devida a partir da ativação dos serviços e será cobrada por
meio do correspondente documento fiscal-fatura e/ou mediante a apresentação do
documento competente (“Documentos de Cobrança”).

6.2. O não-pagamento do valor na data de seu vencimento sujeitará a CONTRATANTE,

independentemente de qualquer aviso, às seguintes sanções moratórias:

6.2.1 Pagamento de multa moratória de 2% (dois por cento) aplicada sobre o valor total
do débito;

6.2.2 Juros de mora de 1% (um por cento) a.m. calculados, pro rata die, devidos a partir
do dia seguinte ao vencimento do débito até a data de sua efetiva liquidação; e

6.2.3 Atualização monetária calculada pela variação do IGP-DI (Índice Geral de Preços –
Disponibilidade Interna, publicado pela Fundação Getúlio Vargas) desde a data
seguinte ao vencimento do débito até o dia de sua efetiva liquidação.

6.3. Após 30 (trinta) dias de não-pagamento, contados da data de vencimento da fatura, de

quaisquer valores devidos, e sem prejuízo do disposto no item 6.2 acima, a CONTRATANTE
estará sujeita ao seguinte:

4
 6.3.1 Suspensão da prestação do serviço, ficando o restabelecimento destes condicionado
à liquidação total dos débitos vencidos; e

6.3.2 Inclusão do débito no cadastro de empresas de proteção ao crédito, conforme

previsto na legislação aplicável.

6.4. A CONTRATANTE poderá contestar os valores constantes dos Documentos de Cobrança,

observando-se, para tanto, o seguinte:

6.4.1. A parcela incontroversa dos valores deverá ser paga na data do vencimento,
recaindo a contestação apenas sobre a parcela reputada indevida pela
CONTRATANTE;

6.4.2. A contestação deverá ser formulada em até 5 (cinco) dias contados da data de
vencimento do débito, por escrito ou através do meio indicado pela CONTRATADA,
acompanhada das respectivas fundamentações;

6.4.2.1. O prazo previsto no item 6.3 (e subitens) será suspenso na data de

formulação da contestação e apenas na hipótese da CONTRATADA
ter recebido dita contestação em até 5 (cinco) dias contados do
vencimento do débito. Contestações posteriores a este prazo não
implicarão na suspensão do prazo previsto no item 6.3.

6.4.3. A CONTRATADA apreciará e decidirá o pedido no prazo de 30 (trinta) dias contados

da data de apresentação da contestação, manifestando-se pela sua procedência ou
improcedência.

6.4.3.1. Em caso de procedência, a CONTRATADA emitirá, se necessário,

novo Documento de Cobrança, o qual deverá ser pago pela
CONTRATANTE no prazo nele indicado.

6.4.3.2. Em caso de improcedência, os valores constantes do Documento de

Cobrança contestado deverão ser pagos tão logo a CONTRATANTE
seja informada da decisão, acrescidos dos encargos previstos nos
item 6.2 incidentes desde a data de vencimento original do débito.

6.5. O não pagamento de qualquer valor devido por força do presente Contrato, após 90
(noventa) dias a contar do respectivo vencimento, dará direito à CONTRATADA de cancelar

5
 o presente Contrato, sem prejuízo do recebimento dos valores até então não pagos, bem
como de aplicar as penalidades cabíveis.

6.6. As Partes elegem o Índice Geral de Preços – Disponibilidade Interna (“IGP-DI”) como fator
de correção monetária para o reajuste dos preços referidos no presente Contrato, o qual será
aplicado na menor periodicidade admitida pela legislação, que atualmente é de 12 (doze)
meses, a contar da data de assinatura da Solicitação. Na falta deste índice, será aplicado,
pro rata tempori, o índice oficial que vier a substituí-lo, ou, na ausência deste, o índice que
refletir mais eficientemente os efeitos inflacionários da moeda corrente nacional.

6.7. Caso a legislação venha a permitir reajustes em períodos inferiores, estes serão aplicados
automaticamente aos valores contratados.

6.8. Estão inclusos nos preços referidos neste Contrato todos os tributos (impostos, taxas e
contribuições) e demais encargos incidentes na prestação de serviços. Fica desde já
acordado entre as Partes que se houver a criação de novos tributos ou encargos incidentes
sobre os serviços objeto deste Contrato, ou se houver alteração nas alíquotas vigentes,
bases de cálculo, hipóteses de incidência, prazos ou condições de pagamento de tributos ou
encargos (“Alteração Tributária”) que afetem os custos da prestação dos serviços, para mais
ou para menos, os preços e valores afetados serão automaticamente alterados, de forma a
refletir o impacto relativo à Alteração Tributária, cumprindo à CONTRATANTE a absorção de
eventuais ônus ou benefícios decorrentes desta alteração.

6.9. O valor referente à instalação e/ou ativação dos serviços é devido no ato da solicitação e
cobrado na instalação/ativação do mesmo. Caso a CONTRATANTE venha a requerer o
cancelamento do serviço antes da instalação/ativação, o respectivo valor será cobrado no ato
do cancelamento para indenização dos custos operacionais.

6.10. Caso a CONTRATANTE solicite serviços de manutenção e suporte da CONTRATADA que

não estejam compreendidos no objeto do presente Contrato, esta solicitação deverá
sempre ser formalizada mediante Proposta Comercial, o qual terá caráter de aditamento
contratual.

CLÁUSULA SÉTIMA – PENALIDADES POR DESCUMPRIMENTO DE SLA

7.1. O Acordo de Níveis de Serviço (SLA) e suas penalidades aplicáveis encontram-se

detalhadas no Anexo D ao presente Contrato.

6
CLÁUSULA OITAVA – RESCISÃO

8.1. As Partes poderão denunciar antecipadamente o presente Contrato, mediante entrega de

notificação prévia, com antecedência mínima de 30 (trinta) dias à outra Parte, observado o
disposto no item 8.1.1 infra.

8.1.1. Caso a CONTRATANTE denuncie o Contrato nos termos do item 8.1 supra, deverá
pagar à CONTRATADA valor correspondente a 30% (trinta por cento) da soma das parcelas
vincendas do serviço contratado.

8.2. O presente Contrato poderá ser rescindido por qualquer das Partes, motivadamente, nas
seguintes hipóteses:

8.2.1. Qualquer das Partes deixar de cumprir as obrigações estipuladas no presente

Contrato, sem que sane a irregularidade em até 10 (dez) dias após recebida
notificação da outra Parte para que o faça, hipótese em que a parte infratora ficará
obrigada ao pagamento à outra Parte, no ato da rescisão, da quantia correspondente
a 30% (trinta por cento) do saldo remanescente do valor total atualizado do
Contrato, sem prejuízo de indenização por eventuais perdas e danos havidos.

8.2.2. Decretação de falência, requerida a recuperação judicial ou extrajudicial, ou

dissolução de qualquer das Partes;

8.2.3. Transferência ou cessão de direitos e/ou obrigações relacionadas ao presente

Contrato, sem prévia anuência da outra Parte;

8.2.4. Suspensão ou cassação da autorização concedida pelo Poder Público competente, ou

por imposição de disposições legais ou normativas.

8.3. Em qualquer hipótese de extinção do presente Contrato, ficará a CONTRATANTE obrigada

ao pagamento de eventuais débitos vencidos e não-pagos decorrentes da presente
contratação, até a data de extinção do Contrato.

8.4. A rescisão do Contrato será formalizada pelo competente Termo de Rescisão Contratual.

CLÁUSULA NONA- DAS COMUNICAÇÕES E REPRESENTANTES DAS PARTES

9.1 As comunicações e/ou notificações entre as Partes decorrentes do presente Contrato serão
feitas por carta registrada, fax ou e-mail, sendo consideradas como validamente recebidas

7
 mediante a confirmação de recebimento pela outra Parte. Qualquer das Partes poderá
alterar o endereço para o qual as comunicações/notificações devem ser remetidas, devendo
informar à outra Parte acerca do novo endereço, dentro de um prazo de 05 (cinco) dias
contados a partir do evento que houver causado a alteração no endereço informado na
Proposta Técnica.

CLÁUSULA DEZ – DAS RESSALVAS

10.1 A CONTRATADA não é responsável pelo uso da CONTRATANTE do ambiente tecnológico

para o qual foram definidos os serviços prestados em razão deste Contrato, sendo, portanto,
de total responsabilidade da CONTRATANTE o uso do ambiente de acordo com as leis em
vigor e em estrita observância aos direitos de terceiros, comprometendo-se a não propagar
ou manter portal ou site na Internet com conteúdos que, mas não somente, (a) violem a lei,
a moral, a propriedade intelectual, os direitos à honra, à imagem, à intimidade pessoal e
familiar; (b) estimulem a prática de condutas ilícitas ou contrárias à moral; (c) incitem a
prática de atos discriminatórios, seja em razão de sexo, raça, religião, crenças, idade ou
qualquer outra condição; (d) coloquem à disposição ou possibilitem o acesso a mensagens,
produtos ou serviços ilícitos, violentos, pornográficos, degradantes; (e) induzam ou possam
induzir a um estado inaceitável de ansiedade ou temor; (f) induzam ou incitem práticas
perigosas, de risco ou nocivas para a saúde e para o equilíbrio psíquico; (g) sejam falsos,
ambíguos, inexatos, exagerados ou extemporâneos, de forma que possam induzir a erro
sobre seu objeto ou sobre as intenções ou propósitos do comunicador; (h) violem o sigilo das
comunicações; (i) constituam publicidade ilícita, enganosa ou desleal em geral, que
configurem concorrência desleal; (j) veiculem, incitem ou estimulem a pedofilia (k)
incorporem vírus ou outros elementos físicos ou eletrônicos que possam danificar ou impedir
o normal funcionamento da rede, do sistema ou dos equipamentos informáticos (hardware e
software) de terceiros ou que possam danificar os documentos eletrônicos e arquivos
armazenados nestes equipamentos informáticos.

10.2. É de inteira responsabilidade da CONTRATANTE a definição da Política de Segurança que

deve ser aplicada e/ou configurada pela CONTRATADA, devendo os dados necessários à
prestação do serviço contratado serem informados no prazo de 120 (cento e vinte) dias a
contar da assinatura deste Contrato, sendo que a CONTRATANTE garante e aceita, sem
restrições ou reservas, que a CONTRATADA será eximida de qualquer responsabilidade
pelos atos, danos e prejuízos sofridos pela CONTRATANTE e/ou por terceiros em
decorrência da utilização inadequada ou indevida dos serviços objeto do presente Contrato.

8
 10.2.1 A responsabilidade da CONTRATADA quanto ao bloqueio/liberação de acessos
é exclusiva em relação à Política de Segurança da CONTRATANTE e futuros
documentos que reflitam a atualização dos parâmetros técnicos desta Política, onde a
inobservância do prazo acima estabelecido pela CONTRATANTE implicará na absoluta
isenção de responsabilidade da CONTRATADA na execução dos serviços contratados.

10.3. A CONTRATADA não garante que seus serviços ficarão sem interrupção ou que estarão
livres de erros.

CLÁUSULA ONZE – DA CONFIDENCIALIDADE

11.1. Cada uma das Partes, em virtude dos serviços contratados, poderão ter acesso a
informações privilegiadas ou confidenciais da outra Parte, assumindo reciprocamente o
compromisso de, salvo nas hipóteses previstas no item 11.2, a:

11.1.1 Não divulgar total ou parcialmente a existência, o objeto e/ou o conteúdo deste
Contrato a quaisquer terceiros, que não a seus respectivos administradores e
empregados, dos quais deverão exigir, sob sua exclusiva responsabilidade,
iguais obrigações de confidencialidade, sem prejuízo do disposto no item 12.16
infra;

11.1.2 Não permitir o acesso de terceiros às informações confidenciais da outra Parte,

que não seus respectivos administradores e empregados, e a estes apenas na
extensão necessária para permitir a concretização do objeto deste Contrato;

11.1.3 Não utilizar qualquer das informações, exceto para os fins previstos no
Contrato; e

11.1.4 Manter total confidencialidade em relação às informações recebidas, inclusive

zelando, com rigor, para que não haja circulação de cópias, e-mails, fax ou
outras formas de comunicação privada ou pública das informações, além da
estritamente necessária para o cumprimento deste Contrato.

11.2. As Partes declaram que não constituem infração ao disposto nesta Cláusula Décima
Primeira as hipóteses em que:

11.2.1 A informação torne-se disponível ao público em geral por meio que não resulte
de sua divulgação pelas Partes ou seus representantes, suas controladoras,

9
 controladas ou empresas que, direta ou indiretamente, estão sujeitas ao mesmo
controle a que está sujeita a Parte;

11.2.2 A revelação seja exigida por autoridade governamental ou ordem de

juízo/tribunal competente sob pena de ser caracterizada desobediência ou outra
penalidade. Nessas hipóteses, o material a ser revelado deverá ser objeto de
toda a proteção governamental ou judicial aplicável, devendo a Parte que
estiver obrigada a revelar tais informações, notificar a outra Parte anteriormente
à sua divulgação; ou

11.2.3 A revelação seja previamente autorizada pela outra Parte, por escrito.

11.3. As Partes reconhecem que todas as informações confidenciais fornecidas constituem

propriedade exclusiva da Parte que as forneceu, e que sua revelação ou a celebração do
presente Contrato não implicam, de forma alguma, licença, autorização, concessão, cessão,
transferência, expressa, tácita ou implícita, de qualquer direito autoral, de propriedade
intelectual, idéia, conceito, marca, patente, ou outro direito de titularidade das Partes.

11.4. Para fins do presente Contrato, entende-se por informações confidenciais ou privilegiadas
toda e qualquer informação, e documentos de qualquer espécie que sejam entregues a
uma das Partes pela outra Parte, ou por seus consultores, auditores, contadores,
advogados, representantes e empregados, que sejam relativos aos negócios das Partes ou
aos negócios de seus clientes, fornecedores e associados, incluindo, mas sem qualquer
limitação, dados de gestão, dados financeiros e estratégias de mercado. As Partes deverão
instruir todos aqueles a quem fornecerem acesso a informações confidenciais da outra
Parte sobre a obrigação de sigilo e de não divulgação ora assumidas.

11.5. As Partes continuarão obrigadas a conservar e manter o mais estrito sigilo em relação às
informações confidenciais ou privilegiadas, obtidas em virtude da execução do Contrato,
por um prazo de 5 (cinco) anos contados de seu término.

11.6. A violação dos deveres estabelecidos nesta Cláusula Décima Primeira ou o descumprimento
dos deveres de confidencialidade estabelecidos neste instrumento, sujeitará a Parte
infratora ao ressarcimento de todos os prejuízos, incorridos pela Parte prejudicada por tal
violação, limitada esta obrigação de indenização exclusivamente aos danos diretos
devidamente comprovados que tal Parte prejudicada venha a sofrer em razão do
descumprimento dos deveres de confidencialidade aqui pactuados.

CLÁUSULA DOZE – DAS DISPOSIÇÕES GERAIS

10
10
12.1. Nenhuma das Partes responderá por insucessos comerciais, danos emergentes ou lucros
cessantes da outra Parte em decorrência da imperfeita execução do presente Contrato.

12.1.1.Sem prejuízo do disposto no item 12.1 acima, a responsabilidade das Partes

decorrente do descumprimento de quaisquer obrigações previstas no presente
Contrato será limitada, para efeitos de apuração de indenização, às perdas diretas
havidas pela parte prejudicada, não ultrapassando dito valor, em qualquer hipótese,
o montante equivalente a 30% (trinta por cento) do valor total deste Contrato.

12.2. Eventuais solicitações de ampliação, redução, reprogramação e/ou alteração feitas pela
CONTRATANTE, poderão ser objeto de estudo de viabilidade e de novo projeto técnico,
sendo a CONTRATANTE responsável por todos os custos adicionais decorrentes destas
solicitações, as quais serão formalizadas através de aditivo contratual.

12.3. A CONTRATANTE, para obter quaisquer esclarecimentos, terá à sua disposição a Central de
Relacionamento da CONTRATADA, pelo telefone nº 0800.0151.551. Poderá, ainda,
encontrar informações sobre os serviços ora contratados, no endereço eletrôni
www.vivo.com.br/empresas

12.4. As relações entre a CONTRATADA e a CONTRATANTE deverão ser sempre por escrito,
ressalvando os entendimentos verbais motivados pela urgência, que deverão ser
confirmados expressamente no prazo de até 5 (cinco) dias úteis.

12.5. Não constitui novação nem implica aceitação, renúncia ou consentimento qualquer tolerância
por uma das Partes quanto à inobservância, pela outra, de quaisquer cláusulas ou
disposições previstas no presente Contrato ou nos documentos que lhe são parte integrante.

12.6. A CONTRATADA não se responsabiliza por serviços prestados pela CONTRATANTE a

terceiros e, tampouco, por quaisquer dados trafegados no ambiente de Internet da
CONTRATANTE.

12.7. É de inteira e total responsabilidade da CONTRATANTE qualquer informação ou uso

inadequado que venha a prejudicar terceiros, inclusive por direitos que dizem respeito à
propriedade intelectual, respondendo pelo dano a que der causa, sem solidariedade da
CONTRATADA.

12.8. A titularidade de qualquer produto desenvolvido, seja programa, sistema, material escrito,
ou qualquer outro, pela CONTRATADA, no âmbito dos serviços aqui contratados, caberá

11
11
 sempre à CONTRATADA não gerando qualquer direito à CONTRATANTE, salvo nos casos
em que tal desenvolvimento faça parte do projeto inicial e assim esteja expresso na
proposta.

12.9. Durante eventuais visitas de empregados, representantes e/ou terceiros designados pela
CONTRATANTE ao ambiente de prestação dos serviços contratados da CONTRATADA,
não será permitido àqueles tirar fotos e/ou filmar quaisquer partes das instalações desta
empresa. A CONTRATANTE será responsabilizada caso tal norma de segurança não seja
observada pelos agentes supracitados, podendo incorrer em penalidades por
inadimplemento, acordadas entre as Partes neste Contrato, sem prejuízo da indenização
por perdas e danos.

12.10. O presente Contrato não confere a qualquer das Partes poderes para assumir ou criar
qualquer obrigação, expressa ou implícita, em nome da outra Parte, nem representar a outra
como agente, funcionário, representante ou qualquer outra função, permanecendo cada qual
como inteiramente independente da outra.

12.11. Sendo uma das Partes compelida a participar de qualquer procedimento judicial ou
extrajudicial ou reclamação administrativa fundado em culpa da outra Parte, obriga-se esta
última a requerer a exclusão da Parte inocente da lide, na primeira oportunidade processual,
sem prejuízo de ressarcir a Parte inocente dos ônus legais e financeiros em que esta vier a
incorrer.

12.12. A CONTRATADA não se responsabiliza por eventuais falhas, atrasos ou interrupções na

prestação de serviço decorrentes de caso fortuito ou motivos de força maior, sendo estes
excludentes de responsabilidade nos termos do art. 393 do Código Civil Brasileiro, bem como
por limitações impostas por parte do Poder Público ou da atuação de operadoras de serviço
de telecomunicações interconectadas à rede da CONTRATANTE, ou, ainda, por má
utilização do serviço pela CONTRATANTE ou por qualquer outro fato alheio à
CONTRATADA.

12.13. É expressamente vedado à CONTRATANTE transferir, no todo ou em parte, os direitos,

obrigações e garantias decorrentes do presente instrumento, sem a prévia e expressa
anuência da CONTRATADA.

12.14. A CONTRATADA reserva-se ao direito de suspender a prestação dos serviços objetos do

presente Contrato, sem notificação prévia a CONTRATANTE, quando for constatada
qualquer infração ou violação ao disposto neste instrumento ou na Lei.

12
12
12.15. Caso o órgão regulador competente entenda e decida, em qualquer momento da presente
contratação, que a execução de todas ou quaisquer das disposições do presente
Instrumento violam qualquer dispositivo legal aplicável, as Partes desde já concordam que
a inexecução de todo ou em parte no presente Instrumento por esta justificativa não dará
direito à outra Parte a qualquer valor ou indenização.

12.16. Desde já a CONTRATANTE aceita e concorda que a CONTRATADA poderá dar publicidade
da presente contratação, a qualquer tempo, em mídia impressa e eletrônica, no território
brasileiro ou fora dele, exclusivamente para divulgação de case, sem que se caracterize uso
indevido de marca, nome comercial, imagem e/ou de quaisquer direitos do cliente.

CLÁUSULA TREZE – DO FORO

13.1. Fica eleito o foro da Comarca da Capital do Estado de São Paulo para dirimir quaisquer
questões relativas ao presente Contrato, com renúncia expressa de qualquer outro, por
mais privilegiado que seja.

Este documento encontra-se registrado no 10º Ofício de Registro de Títulos e Documentos de São
Paulo/SP sob o Nº 2078907, em 19/06/2015.

13
13
 Anexo C

MANAGED SECURITY SERVICES

Descritivo do Serviço

Família de Serviços MSS

O MSS permite aos clientes delegar a gestão de dispositivos de segurança e o

gerenciamento de incidentes de segurança das organizações a uma equipe técnica
especializada, permitindo que os mesmos se concentrem em tarefas de maior valor para
seus negócios.
O MSS tem como objetivo fornecer uma solução abrangente de segurança que proteja e
possibilite a evolução dos negócios atuais e futuros dos clientes, baseando-se nos
processos, pessoas e tecnologias do SOC da Telefônica | Vivo.
Este objetivo é atingido através de uma família de serviços projetados para fornecer
segurança de perímetro ao cliente em diferentes aspectos, divida em dois grandes grupos:
Gestão de Dispositivos de Segurança e Gestão de Incidentes de Segurança.

Gestão de Dispositivos de Segurança

Este grupo engloba os serviços prestados pela equipe técnica do SOC que possuem
interação e integração com a infraestrutura de segurança do cliente, em maior ou menor
escala, conforme o serviço contratado.
Manutenção

Este serviço fornece ao cliente o apoio técnico necessário para realizar o diagnóstico de
eventos de falha em seus ativos de segurança. Através da análise dos logs do equipamento,
o SOC determina se houve alguma avaria em um dos componentes de hardware dos ativos
e identifica a necessidade ou não de sua substituição.
Este serviço funciona como uma camada de gestão do processo conhecido como RMA
(sigla em inglês de return merchandise authorization). O SOC faz toda a interface entre o
fabricante e o cliente, para a abertura do RMA e substituição do componente danificado.
Sendo assim, para que este serviço seja ofertado, é necessário que o dispositivo do cliente
possua um contrato de manutenção ativo com o fabricante ou que ainda esteja em garantia.
Uma vez que o cliente suspeita do mau funcionamento de um dos componentes de seus
dispositivos de segurança, abre-se um chamado no SOC para o diagnóstico da situação. O
SOC, como parte do processo de análise, solicita ao cliente o envio de determinados logs do
equipamento. Com posse destas informações, o SOC avalia junto com o fabricante a
questão. Uma vez identificada uma falha de hardware, o SOC inicia o processo de RMA do
mesmo, tornando-se a interface do cliente de todo o processo perante o fabricante. Os
possíveis custos de logística e emissão de notas fiscais para o envio do componente
1
defeituoso não estão inclusos na prestação do serviço, assim como os custos para
desinstalação e preparo do equipamento defeituoso e instalação do novo equipamento.
Este serviço também possibilita a gestão dos contratos de manutenção do cliente com os
fabricantes de seus dispositivos, auxiliando-o no processo de renovação destes contratos de
manutenção (o custo dessas renovações não está incluído na prestação do serviço e deverá
ser faturado independentemente).
Itens Opcionais

Adicionalmente às funcionalidades indicadas na prestação básica do serviço, pode se

contratado o seguinte item opcional:
Atividade Preventiva: este serviço adicional contempla a revisão semestral dos registros e logs de
sistema dos dispositivos cobertos em busca de avisos e indícios de prováveis sintomas que
antecedem uma falha ou avaria..

Atendimento

O atendimento aos incidentes nos equipamentos mantidos ocorre em 24x7. O atendimento a

consultas e a solicitações ocorre na modalidade 8x5.

Atendimento a
Serviço
Incidentes Solicitações Consultas

Manutenção 24x7 8x5 8x5

Manutenção - Atendimento

Consultas

São previstas as seguintes consultas para este serviço:

Lista de equipamentos incluídos no serviço de Manutenção;

Mapa de rede e de serviços;

Lista de contatos autorizados pelo cliente.

Solicitações

São previstas as seguintes solicitações para este serviço:

Manutenção em um equipamento individual;

Manutenção massiva em uma lista de equipamentos;

Modificação na lista de contatos autorizados do cliente;

2
Modificação no mapa de rede ou no mapa de serviços do cliente;

Modificação de endereço ou contato de acesso a um endereço (o novo endereço será avaliado pelo
SOC em relação à área geográfica contratada).

Supervisão

Este serviço possibilita a monitoração constante da capacidade e da disponibilidade da

infraestrutura de segurança do cliente. Este tipo de monitoração é ponto chave para os
processos de gestão de capacidade e disponibilidade do ambiente, permitindo aos
administradores:
Compreender as atuais demandas sobre os recursos de segurança e criar previsões para futuras
solicitações;

Produzir um plano de capacidade que permitirá oferecer serviços na qualidade definida nos acordos
de nível de serviço da organização;

Avaliar se o nível de disponibilidade é sustentável e se possui um custo efetivo, permitindo o negócio

atingir seus objetivos de forma consistente.

A arquitetura de monitoração do SOC, , utiliza o protocolo SNMP para realizar os

healthchecks nos componentes da infraestrutura do cliente. Os dados coletados são
processados e disponibilizados em relatórios mensais. Se for identificado que algum
componente atingiu certo nível de utilização (threshold), um alerta será gerado e será
encaminhado para os técnicos responsáveis pela administração do ativo em questão.
As seguintes atividades serão executadas através do serviço de Supervisão:
Acompanhamento da saúde dos dispositivos supervisionados 24x7;

Comunicação de anomalias ao cliente, quando um componente monitorado apresentar índices não

usuais.

O serviço não inclui o desenvolvimento ou a implantação de agentes personalizados de

monitoração, oferecendo a monitorização da saúde dos dispositivos através de um número
predefinido de itens, conforme lista abaixo. Entretanto, estes itens nem sempre são
suportados por todas as tecnologias, neste caso a informação não estará disponível.
Utilização da CPU;

Utilização de memória;

3
Utilização do disco;

Estado das interfaces de rede;

Temperatura;

Número de sessões de VPN;

Número de pacotes perdidos;

Número de pacotes negado;

Número de conexões;

Estado do cluster;

Estado de serviços.

Estas verificações são ativadas no momento de implantação do serviço, utilizando

definições padrão de thresholds. Estes valores poderão ser ajustados com o apoio do cliente
a fim de identificar quais situações normalmente não correspondem à normalidade dos
serviços.
Relatórios Mensais

Serão apresentados mensalmente ao cliente, através de e-mail, um conjunto de com as

seguintes informações:
Número de solicitações, incidentes e consultas efetuadas;

Tempo médio de resolução das solicitações, incidentes e consultas efetuadas;

Cumprimento de SLA;

Número de notificações enviadas ao cliente devido a alertas detectados;

Disponibilidade dos ativos monitorados;

Número de alertas detectados nos ativos monitorados;

Tempo sem serviço devido à manutenção programada nos ativos.

Itens Opcionais

Adicionalmente às funcionalidades indicadas na prestação básica do serviço, podem ser

contratados os seguintes itens opcionais:
Sonda dedicada: trata-se de uma sonda que será instalada no site do cliente para a coleta dos dados
dos dispositivos monitorados. Utiliza-se a sonda dedicada em projetos em que o número de

4
dispositivos gerenciados é grande o suficiente ou em casos em que os equipamentos monitorados
estão em um local de rede que não é acessível facilmente por uma VPN ou conexão dedicada.

Requisitos Técnicos

Para que este serviço seja disponibilizado para o cliente é necessário que os ativos que
serão monitorados suportem os protocolos SNMPv3 (preferencialmente) ou SNMPv2c.
Também é necessário que tais ativos sejam configurados para permitirem o acesso SNMP
de leitura a partir da arquitetura de monitoração do SOC.
Requisitos Comerciais

O serviço de Supervisão requer a contratação de, pelo menos, um dos seguintes serviços:
Administração;

Notificação de Incidentes;

Requisitos de Conectividade

Este serviço necessita conectividade 24x7 entre o SOC e os equipamentos do cliente.

Atendimento

A prestação do serviço para atendimento aos incidentes dos equipamentos supervisionados

ocorre 24x7. O atendimento a consultas e modificações dos parâmetros de monitoração
ocorre na modalidade 8x5.

Atendimento a
Serviço
Incidentes Solicitações Consultas

Supervisão 24x7 8x5 8x5

Supervisão - Atendimento

Incidentes

Os seguintes tipos de incidentes podem ocorrer para este serviço:

Incidente num equipamento: indisponibilidade ou degradação da sonda de monitoração utilizada
para o serviço;

Notificação de alertas ao cliente que foram gerados pela ferramenta de monitoração.

5
Consultas

São previstas as seguintes consultas para este serviço:

Lista de equipamentos supervisionados;

Variáveis e limites de supervisão aplicados;

Mapa de rede e de serviços;

Lista de contatos autorizados pelo cliente.

Solicitações

São previstas as seguintes solicitações para este serviço:

Modificação nos parâmetros de supervisão de um equipamento;

Modificação massiva dos parâmetros de supervisão em uma lista de equipamentos;

Modificação na lista de contatos autorizados do cliente;

Modificação no mapa de rede ou no mapa de serviços do cliente.

Administração

O objetivo do serviço de Administração é realizar a operação remota, gestão de mudança e

gestão de configuração dos diferentes dispositivos de segurança do cliente, realizados
remotamente pela equipe técnica do SOC.
Através desta modalidade, o cliente não necessita manter recursos qualificados e prover
capacitação constante aos mesmos para operar sua infraestrutura de segurança, pois esta
responsabilidade passa a ser do SOC, que realizará as seguintes atividades:
Participação na resolução de incidentes de segurança: os operadores de segurança passam a resolver
incidentes de segurança que ocorrem nos elementos administradas, detectados pelo monitoramento
ou informados pelos clientes;

Planejamento e implementação de mudanças: contempla a avaliação e implementação de mudanças

nos dispositivos por meio de solicitações do cliente ou por recomendação do SOC, baseados nas
melhores práticas de gestão. Esta atividade não contempla mudanças na arquitetura ou
funcionalidade dos elementos gerenciados, atividades cobertas através de um projeto especial ou de
consultoria;

Resolução de solicitações feitas pelos clientes: contempla a realização das tarefas operacionais
solicitadas pelo cliente, tais como executar backup de configurações, gerenciamento de usuários,
entre outros;

6
Gestão de suporte do fabricante: o SOC será responsável por acionar o suporte do fabricante
(considerando que o ativo tenha tal suporte) em casos em que tal apoio seja necessário;

Garantir o correto funcionamento dos dispositivos administrados: o SOC irá monitorar

funcionamento dos dispositivos de forma proativa, visando garantir o bom funcionamento e a
disponibilidade dos serviços;

Manter e atualizar o software do dispositivo: o SOC irá atualizar o software sempre que
recomendado pelo fabricante ou quando solicitado pelo cliente. Toda atualização será feita somente
se autorizada pelo cliente, através do processo de gestão da mudança. Esta atividade está incluída na
aplicação de patches para a resolução de incidentes, correção de vulnerabilidades e prevenção de
incidentes de segurança;

Desenvolvimento de scripts para uso interno e procedimentos necessários para o bom

funcionamento da infraestrutura de segurança gerenciada;

Identificação de riscos: o SOC informará o cliente dos possíveis riscos de segurança identificados
através da administração da infraestrutura ou através das ferramentas de administração;

Gestão do processo de correção de vulnerabilidades: uma vez identificada uma vulnerabilidade, o

SOC torna-se responsável por executar a correção da mesma, tomando as devidas ações sobre itens
gerenciados.

Relatórios Mensais

Serão apresentados mensalmente ao cliente, através de e-mail, um conjunto de informes

com as seguintes informações:
Número total de dispositivos administrados;

Número de incidentes, solicitações e consultas efetuadas;

Número de incidentes, solicitações e consultas solucionadas;

Tempo médio de resolução dos incidentes, solicitações e consultas efetuadas;

Cumprimento de SLA;

Itens Opcionais

Adicionalmente às funcionalidades indicadas na prestação básica do serviço, podem ser

contratados os seguintes itens opcionais:
Horário estendido para solicitações: caso o cliente necessite de uma maior dedicação à resolução de
solicitações de alteração nos equipamentos, diferente do horário de 8x5 padrão para o serviço, ele
pode optar por um dos seguintes regimes de atendimento adicionais:

7
12x5: doze horas por dia, durante os dias úteis;

24x7: a qualquer hora, de qualquer dia, inclusive fins-de-semana e feriados.

Informes personalizados: o cliente pode optar pela adição de novos relatórios, aumento na
frequência de emissão dos mesmos e/ou pela personalização dos relatórios emitidos, permitindo o
agrupamento ou a geração de informações diferentes dos relatórios padrão. Neste caso é necessária
a validação do SOC quanto a disponibilidade dos dados desejados.

Requisitos Gerais

Os seguintes devem ser observados para a prestação de serviço:

A gestão dos usuários das ferramentas que compõem a solução de gestão será para uso exclusivo da
Telefônica | Vivo;

O cliente não poderá gerenciar os dispositivos em que este serviço é prestado;

A autenticação para acesso administrativo aos dispositivos ser dará através do serviço de
autenticação da Telefônica | Vivo;

Os dispositivos gerenciados devem ser sincronizados com servidor de tempo (NTP) da Telefônica |
Vivo.

Requisitos Comerciais

O serviço de Administração requer a contratação do serviço de Supervisão, para que o SOC

possa acompanhar o comportamento dos dispositivos administrados e agir, pró-ativamente
ou reativamente, quando necessário.
Requisitos de Conectividade

Este serviço necessita conectividade 24x7 entre o SOC e os equipamentos do cliente.

Atendimento

A prestação do serviço para atendimento aos incidentes dos equipamentos supervisionados

ocorre 24x7. O atendimento a consultas e solicitações do cliente ocorre, na modalidade
básica, em 8x5, podendo ser modificada para 12x5 ou 24x7 se o cliente adquirir a opção de
horário estendido correspondente.

Serviço Atendimento a

8
 Incidentes Solicitações Consultas

Administração (padrão) 24x7 8x5 8x5

Administração com horário estendido

12x5 24x7 12x5 12x5

Administração com horário estendido

24x7 24x7 24x7 24x7

Administração - Atendimento

Incidentes

Os seguintes tipos de incidentes podem ocorrer para este serviço:

Incidente num equipamento: indisponibilidade ou degradação do serviço de um equipamento
administrado.

Consultas

São previstas as seguintes consultas para este serviço:

Lista de equipamentos supervisionados;

Lista de alterações pré-autorizadas pelo cliente;

Mapa de rede e de serviços;

Lista de contatos autorizados pelo cliente;

Solicitações

São previstas as seguintes solicitações para este serviço:

Alteração na política (regra em firewall, alerta IPS, etc) de um equipamento;

Modificação nos parâmetros de configuração de um equipamento;

Modificação na lista de alterações pré-autorizadas pelo cliente;

Modificação na lista de contatos autorizados do cliente;

Modificação no mapa de rede ou no mapa de serviços do cliente.

Gestão de Incidentes de Segurança

Este grupo engloba os serviços prestados pela equipe técnica do SOC que monitoram a
infraestrutura de segurança do cliente visando identificar comportamentos que possam se
transformar em ameaças e, se concretizadas, impactar o negócio do mesmo.
9
Os serviços são complementares entre si e o cliente pode contratar um ou mais módulos
para um mesmo conjunto de equipamentos.

Alertas Online

Este é um serviço de assinatura que permite aos clientes receber notificações de segurança
relacionadas ao seu parque tecnológico. O cliente irá receber, por e-mail, notificações sobre
qualquer vulnerabilidade que surja em relação às tecnologias subscritas. Estas notificações
contêm informações disponíveis sobre a vulnerabilidade conhecidas, incluindo software e
versões afetadas, os sintomas, medidas preventivas sugeridas, entre outros. O serviço se
baseia em fontes de informações externas e nas notificações dos próprios fabricantes. Uma
vez que a informação é tornada pública, o serviço garante a notificação imediata para os
clientes.
Os alertas são enviados, por padrão, no idioma inglês. O cliente, se desejar, pode optar por
receber os alertas no idioma espanhol.
A assinatura básica do serviço permite que o cliente escolha até vinte tecnologias diferentes
para receber notificações de vulnerabilidades. Cada subscrição é formada pelo conjunto
fabricante, tecnologia e versão. Assim, por exemplo, as subscrições para Microsoft
Sharepoint 2003 e Microsoft Sharepoint 2008 são consideradas como duas subscrições
diferentes.
Relatórios Mensais

Além dos alertas enviados por e-mail, será apresentado mensalmente ao cliente, também
através de e-mail, um relatório contendo o número de notificações enviadas agrupadas por
tecnologias.
Opções Contratáveis

Adicionalmente às funcionalidades indicadas na prestação básica do serviço, podem ser

contratados os seguintes itens opcionais:
Tecnologias adicionais: pacote para o cliente incluir até cinco tecnologias adicionais em sua lista de
assinaturas, além das assinaturas do pacote básico.

Atendimento

A prestação do serviço para atendimento aos incidentes referente à plataforma de

notificações ocorre na modalidade 24x7. O atendimento a consultas e modificações dos
parâmetros das notificações ocorre na modalidade 8x5.
Serviço Atendimento a

10
 Incidentes Solicitações Consultas

Supervisão 24x7 8x5 8x5

Alertas Online - Atendimento

Incidentes

Os seguintes tipos de incidentes podem ocorrer para este serviço:

Indisponibilidade ou degradação no recebimento das notificações;

Indisponibilidade ou degradação do acesso ao Portal Hacking.

Consultas

São previstas as seguintes consultas para este serviço:

Lista tecnologias subscritas;

Consultas de notificações já enviadas;

Lista de contatos autorizados do cliente;

Informação administrativa sobre o serviço.

Solicitações

São previstas as seguintes solicitações para este serviço:

Modificação na lista de tecnologias subscritas (adição ou exclusão), desde que não ultrapasse os
limites contratados;

Informação detalhada sobre um alerta;

Modificação na lista de contatos autorizados do cliente;

Criação ou alteração de filtros de recepção de alertas.

Análise de Regras

O serviço de análise de regras tem como objetivo realizar uma auditoria nas regras e
configurações de firewalls e outros equipamentos que atuam na camada de rede visando
identificar parâmetros errôneos ou inseguros e conflitos de regras que podem colocar em
risco os ativos dos clientes que estão sob a proteção destes dispositivos. Através deste
serviço, a equipe de TI do cliente ganha uma ferramenta que aumenta consideravelmente a
segurança dos seus firewalls e ativos de rede, liberando-os para atuar em atividades mais
essenciais para os negócios da organização.

11
Uma equipe de especialistas examina as políticas e configurações dos dispositivos e emite
um relatório e recomendações sobre os riscos encontrados. Esta análise inclui:
Configuration compliance: analisa a configuração do dispositivo visando identificar possíveis
fragilidades ou ameaças devido a erros em sua configuração (exemplo: senhas padrão, registro de
acesso não habilitado, acesso remoto não criptografado, entre outros);

Rule compliance: analisa as regras de firewall a partir de um conjunto de regras sintáticas pré-
definidas (exemplo: "any" não deve aparecer em dois campos de origem, destino e serviço, número
de portas permitidas por uma regra não deve exceder 1024, entre outros);

Access compliance: simula o tráfego através do firewall, analisando as regras envolvidas em cada
uma das interfaces. Assim, é possível verificar as regras configuradas com base em padrões como
PCI, NIST ou a própria política de segurança do cliente;

Rule analysis: realiza uma análise sobre as regras em busca de regras que nunca serão executadas,
porque há os anteriores que incluem (regras redundantes), ou regras que não são executados porque
são impedidas por regras anteriores (regras sombreadas).

Os relatórios gerados por este serviço estão no idioma inglês.

Modalidades

O serviço é ofertado em duas modalidades: Não Integrada e Integrada.

Não Integrada

Nesta modalidade não há acesso ao equipamento auditado, mas somente ao seu arquivo de
configuração. Ao fim da análise é gerado um relatório com os detalhes das deficiências
encontradas, além das propostas de melhorias.
A análise desta modalidade pode ter uma frequência fixa (recorrente, trimestral, semestral)
ou pode ser feita pontualmente, uma única vez.
A análise é classificada (small, medium ou high) de acordo com o número de regras ou
ACLs que serão analisadas.
Integrada

A modalidade integrada consiste na conexão da plataforma do SOC com os ativos do

cliente, permitindo a obtenção das configurações em tempo real ou programada (por
exemplo, diariamente) diretamente dos vários dispositivos que constituem a infraestrutura do
cliente.
Esta modalidade inclui uma análise trimestral de regras, conforme descrição básica do
serviço, e também fornece aos administradores de firewall as seguintes funcionalidades:

12
Acompanhando das alterações: gera-se uma comparação das alterações feitas nas configurações dos
equipamentos nos últimos 30 dias. Com esta informação, o cliente pode verificar se suas janelas de
alteração têm sido utilizadas, se nenhum novo recurso está ativado no firewall, se foi adicionado
administradores ou outras operações consideradas críticas;

Simulação de tráfego: permitir determinar a visibilidade da rede a partir de um ponto específico, o

que torna mais fácil saber o nível de acesso de um atacante, dependendo de sua localização na rede
(mediante abertura de solicitação);

Estatísticas de utilização de regras: realiza uma análise baseada nos logs do firewall, permitindo obter
estatísticas sobre o uso de cada uma das regras a partir do número de logs gerados por cada uma
delas, permitindo otimizar a ordem de avaliação das regras do firewall.

Nesta modalidade a classificação (small, medium ou high) ocorre de acordo com o número
de dispositivos que serão analisados.
Relatórios Mensais

Os relatórios do serviço diferem em conteúdo dependendo da modalidade contratada.

Não Integrada

Nesta modalidade é disponibilizado um relatório pós-auditoria no Portal Hacking, contendo

as seguintes informações:
Ativos auditados;

Data e hora da janela de auditoria;

As não-conformidades detectadas com recomendações para a correção;

Integrada

Nesta modalidade, além das informações contidas no relatório pós-auditoria do modelo Não
Integrada, os relatórios também contém:
Acompanhamentos das alterações;

Estatística de utilização das regras.

Requisitos Técnicos

Este serviço somente poderá ser oferecido para equipamentos suportados pela plataforma
de análise de regras do SOC.
Nos firewalls que suportam virtualização, ou seja, aqueles nos quais é possível criar várias
estâncias lógicas de firewall num mesmo equipamento físico, cada firewall virtual é tratado
pelo serviço como um firewall independente. Sendo assim, cada firewall virtual presente
num equipamento deve ser considerado separadamente na precificação do serviço, embora

13
seja possível escolher dentre os firewalls virtuais de um equipamento quais que serão
analisados, conforme a prioridade para o cliente.
Requisitos de Conectividade

Este serviço, para a modalidade integrada, necessita conectividade entre o SOC e os

equipamentos do cliente.
Atendimento

A prestação do serviço ocorre na modalidade 8x5.

Incidentes

Os seguintes tipos de incidentes podem ocorrer para este serviço:

Indisponibilidade ou degradação da plataforma de análise utilizada para o serviço.

Consultas

São previstas as seguintes consultas para este serviço:

Informações administrativas sobre o serviço;

Consulta do planejamento de análises e ativos a serem analisados;

Lista de contatos autorizados pelo cliente.

Solicitações

São previstas as seguintes solicitações para este serviço:

Simulação de alteração de regras de firewall (Integrada);

Solicitação de execução de uma análise (Não Integrada);

Certificação de correção de não-conformidade;

Modificação dos ativos alvos de análise;

Modificação do planejamento de uma análise (data ou janela de execução);

Modificação na lista de contatos autorizados do cliente;

Modificação no mapa de rede ou no mapa de serviços do cliente.

Gestão de Vulnerabilidades

Este serviço possibilita a realização de auditorias de segurança em sistemas, servidores,

dispositivos de comunicação e serviços de rede (DNS, LDAP, Active Directory e SMTP) e

14
também oferece o gerenciamento de ciclo de vida das vulnerabilidades detectadas nesta
infraestrutura.
O serviço abrange a necessidade de gerir o ciclo de vida associada às vulnerabilidades
identificadas em ativos críticos da organização, através da repetição periódica das análises,
permitindo aos clientes consultar as vulnerabilidades que afetam seus ativos através uma
plataforma web e tomar uma decisão referente ao tratamento das mesmas. O cliente vai se
beneficiar do uso desta plataforma de serviços através de um controle rigoroso das decisões
tomadas em relação às vulnerabilidades encontradas.
A execução deste serviço baseia-se nas seguintes etapas:
Definição dos testes;

Execução dos testes;

Apresentação dos resultados;

Monitoramento das vulnerabilidades reportadas.

A execução deste serviço pode ter uma frequência fixa (recorrente, trimestral, semestral) ou
pode ser feita pontualmente, uma única vez.
Entre os benefícios deste serviço, destacam-se:
Identificação das vulnerabilidades no ambiente;

Mapeamento proativo das ameaças existentes;

Maior controle sobre os potenciais de riscos.

Definição dos testes

Esta etapa concentra-se no levantamento dos parâmetros e escopo dos testes a serem
realizados, através da definição da modalidade de auditoria, do tipo de auditoria, do
ambiente a ser analisado e data e janela de execução, assim como as restrições impostas
pelo cliente.

Modalidades de auditoria

O serviço pode ser oferecido nas modalidades automática e manual. A automática consiste
na execução de uma série de ferramentas de auditoria de segurança e posterior análise dos
resultados, a fim de excluir falsos positivos e vulnerabilidades notificadas em uma análise
anterior.
A modalidade manual agrega valor ao serviço uma vez que a auditoria é realizada por uma
equipe técnica altamente qualificada (ex.: CISSP, CEH) que, através do estudo do elemento
auditado, executa testes e verificações específicas aos possíveis pontos de falha.

15
Este tipo de auditoria geralmente oferece um maior número de conclusões. Assim, em um
escopo de serviço anual, recomenda-se que ambas as modalidades sejam contratadas, pois
os resultados da modalidade manual são complementados com os da automática e, entre os
testes manuais, a execução dos testes automáticos cobrem possíveis ocorrências de novas
vulnerabilidades.
Tipo de auditoria

Para a modalidade manual oferecem-se dois tipos de auditoria: caixa-preta e caixa-branca.

As provas de caixa-preta consistem no lançamento de tentativas de intrusão para detectar
vulnerabilidades sem o conhecimento prévio dos detalhes da infraestrutura do cliente. Tais
testes são normalmente realizados a partir da internet.
Os testes caixa-branca consistem no lançamento de tentativas de intrusão para detectar
vulnerabilidades com o conhecimento prévio dos detalhes da infraestrutura tecnológica
auditadas, como os arquivos de configuração dos elementos, as tabelas de roteamento,
regras de firewall, informações sobre a arquitetura, contas de usuários ou quaisquer outras
informações relevantes que não teria, a priori, um usuário malicioso.
Enquanto os testes de caixa-branca possuem uma maior profundidade uma vez que os
ataques são dirigidos de uma forma muito mais concreta, é interessante notar que as
auditorias de caixa-preta simulam a visão de um atacante externo à organização.
Ambiente auditado

O serviço está disponível para ser executado em três tipos de ambiente.

Sistemas, servidores e elementos de comunicação:

Neste tipo de auditoria executa-se um conjunto de testes a fim de descobrir vulnerabilidades no

contexto do sistema operacional, configuração das listas de controles de acesso (ACL), acesso a
módulos de administração, interceptação de comunicações que possa comprometer as aplicações
que residente nesses servidores/sistemas ou aos dados que são transmitidos por dispositivos de
comunicação auditados. Entre outros, os testes realizados podem ser agrupados em:

Identificação de serviços ativos;

Identificação de softwares instalados;

Detecção da arquitetura do sistema;

Detecção de versões de software;

Execução de exploits conhecidos;

Buffer overflow nos parâmetros de protocolo;

Negação de serviço (DoS) visando exploração de falhas de configuração;

16
Exploração de relações de confiança entre servidores;

Autenticação por força bruta;

Acesso não autorizado aos módulos de administração;

Evasão de listas de controle de acesso (ACLs);

Implementação de ataques man-in-the-middle;

Acesso a serviços com acesso controlado pelo firewall.

Ataques aos protocolos do modelo OSI.

Serviços de rede DNS, SMTP, Active Directory e LDAP:

Neste tipo de auditoria executa-se um conjunto de testes com o objetivo de encontrar

vulnerabilidades no contexto do serviço de rede, sem incluir testes que afetem o sistema operacional
em execução. São executados testes dirigidos especificamente aos serviços, como:

DNS: tentativa de transferências de zona, injeção de conteúdo em cache, alteração de registros,

execução de exploits conhecidos, testes de usuários e senha padrão, entre outros;

LDAP e/ou Active Directory: listagem de recursos, obtenção de credenciais, alteração de políticas de
grupo, adição de máquinas ao domínio, execução de exploits conhecidos, testes de usuários e senha
padrão, etc..

SMTP: identificação de serviço, testes de relay aberto, execução de exploits conhecidos, testes de
usuários e senha padrão, entre outros.

Janela de execução e restrições

Deve-se definir em conjunto com o cliente a programação de auditorias a serem realizadas

(datas e horários). Determinados clientes podem determinar que os testes ocorram em uma
janela específica, de acordo com os seus parâmetros de negócio. Além disso, o cliente do
serviço pode indicar uma série de restrições à realização da auditoria, tais como a execução
dos testes de um endereço IP específico, excluir uma série de ataques que o mesmo
considera perigosos, e assim por diante.
Estas informações são pré-requisitos para a fase de implantação do serviço, visando
garantir a execução do teste dentro dos parâmetros estabelecidos.

17
Execução dos testes

Durante este processo é realizado de auditoria de segurança com os parâmetros indicados

na fase de planejamento, visando identificar se o ambiente alvo é vulnerável (baseado em
ferramentas de software para detectar vulnerabilidades e brechas de segurança ou através
de testes manuais).
Apresentação dos resultados

Após os testes, classificam-se os riscos associados às vulnerabilidades reportadas, baseado

no padrão CVSS (Common Vulnerability Scoring System), assim como os ativos expostos,
de modo que a equipe de segurança do cliente possa definir um plano de ação para as
vulnerabilidades encontradas. O padrão CVSS é utilizado por se tratar de um sistema de
pontuação de vulnerabilidades projetado para fornecer um método aberto e padronizado
para avaliação de vulnerabilidades de TI, amplamente adotado pelas organizações.
Os resultados serão disponibilizados através de portal, que pode ser acessado pelo cliente
do serviço para que possa acompanhar as vulnerabilidades identificadas. O portal e
relatórios serão disponibilizados no idioma inglês.
Monitoramento das vulnerabilidades reportadas

Uma vez que as vulnerabilidades tenham sido registradas no portal, o cliente deve realizar a
gestão das mesmas, indicando as ações a serem tomadas para cada uma das
vulnerabilidades encontradas. Essas ações são:
Aceitar: o cliente assume a vulnerabilidade e seu risco;

Rejeitar: o cliente não aceita a vulnerabilidade;

Corrigir: o cliente implementa as recomendações indicadas para a vulnerabilidade de segurança.

Se for contratada a execução periódica de auditorias, as vulnerabilidades marcadas como

corrigidas pelo cliente serão alvo de certificação de correção na próxima auditoria. Esta
certificação consiste em repetir o ataque específico que descobriu a vulnerabilidade, a fim
de verificar se as ações aplicadas corrigiram a mesma.
É importante ressaltar que, se o cliente possuir contratado o serviço de Administração para
os ativos auditados, as vulnerabilidades marcadas para serem corrigidas serão direcionadas
para a camada de gestão do ambiente no SOC. Todavia, se o cliente não possuir tal serviço,
a implementação das correções pode ser alvo de um projeto de segurança complementar.
Requisitos de Conectividade

Para a modalidade automática, o serviço necessita conectividade entre o SOC e os

equipamentos do cliente. Para a modalidade manual, o sistema a ser auditado deve ser
acessível a partir da internet.

18
Atendimento

A prestação do serviço para incidentes e execução dos testes ocorre 24x7. O atendimento a
consultas e modificações dos parâmetros do serviço ocorre na modalidade 8x5.
Atendimento a
Serviço
Incidentes Solicitações Consultas

Gestão de
Vulnerabilidades 24x7 8x5 8x5

Análise de Vulnerabilidades - Atendimento

Incidentes

Os seguintes tipos de incidentes podem ocorrer para este serviço:

Indisponibilidade ou degradação de um ativo alvo de auditoria;

Indisponibilidade ou degradação do acesso ao Portal Hacking.

Consultas

São previstas as seguintes consultas para este serviço:

Informações administrativas sobre o serviço;

Consulta do planejamento de auditorias e ativos a serem auditados;

Lista de contatos autorizados pelo cliente.

Solicitações

São previstas as seguintes solicitações para este serviço:

Modificação dos ativos alvos de auditoria;

Modificação do planejamento de uma auditoria (data ou janela de execução);

Modificação na lista de contatos autorizados do cliente;

Modificação no mapa de rede ou no mapa de serviços do cliente;

Certificação de correção de vulnerabilidade;

Alteração do status de uma vulnerabilidade;

Solicitação de maiores informações sobre uma vulnerabilidade reportada;

19
Execução de uma auditoria não programada (somente se o cliente possuir o serviço periódico e após
verificação de disponibilidade de janela operacional pelo SOC).

Atividade de serviço

Notificação de início de auditoria: o SOC informa o início de uma auditoria planejada ao cliente

Notificação de Incidentes

Este serviço possibilita o acompanhamento em tempo real dos eventos (logs) gerados pelos
dispositivos da infraestrutura do cliente (de segurança, rede, aplicações críticas, etc.) em
busca padrões ou sequências de atividades maliciosas no ambiente monitorado.
Para isto, os eventos gerados pelos equipamentos monitorados são enviados para a
plataforma SIEM do SOC, que é responsável pela coleta, agregação, normalização e
correlacionamento de logs em busca de padrões comparáveis a uma base de
comportamentos, sintomas, assinaturas e vulnerabilidades conhecidas, em busca de
possíveis tentativas de comprometimento aos ativos do cliente.
Neste sentido, o serviço pode detectar, entre muitos outros:
Repetidas tentativas frustradas de acessar um sistema;

A ocorrência de alertas de IPS que não haviam sido registradas anteriormente;

A ocorrência de um alerta específico no IPS, tão logo a mesma ocorra;

A ocorrência de vários alertas de IPS repetidamente em um curto espaço de tempo;

Atividades suspeitas de um host, a partir da correlação de eventos de segurança de diferentes

sistemas reportando atividades de tal host;

O mau funcionamento de um sistema de filtragem de conteúdo, detectando que o usuário ganhou

acesso a uma URL proibida.

O serviço fornece incialmente um catálogo de regras básicas de correlação, de aplicação

geral, que serão ajustadas com os parâmetros pertinentes ao ambiente do cliente. Os
padrões que determinam a atividade maliciosa são altamente dependentes do sistema
monitorado, sendo necessário um período de ajustes para minimizar o número de falsos
positivos. Esse ajuste exigirá a colaboração ativa por parte dos responsáveis pelos sistemas
monitorados (lado do cliente), a fim de identificar se certas situações correspondem à
normalidade para os serviços monitorados.
O serviço cobre a necessidade de notificar situações de atividade maliciosa contra a
infraestrutura do cliente, permitindo alertar o responsável pelo sistema alvo para que
contramedidas a fim de remediar a situação em tempo hábil sejam aplicadas.

20
Para atingir estes objetivos, usam-se três métodos de correlação:
Correlação através de algoritmos heurísticos: detecta comportamentos não configurados pelo
sistema, usando redes neurais, determinando automaticamente se tal comportamento deve ser
alertado ou descartado. Este método possui uma elevada taxa de sucesso na detecção de
comportamentos anômalos, assim como de comportamentos periódicos que são nocivos;

Correlação usando sequências de eventos: concentre-se em ataques conhecidos e detectáveis,

relacionados através de regras que utilizam uma máquina de estados, padrões e comportamentos
conhecidos que definem um ataque;

Correlação cruzada: baseia-se na utilização de dados de inventário de ativos para priorizar alertas.

Este serviço não interage com o elemento monitorado para mitigar os incidentes (função
esta da oferta de Administração). Sua função restringe-se a alertar sobre as possíveis
ameaças através dos alertas gerados pela ferramenta de correlação de eventos.
Domínios de Monitoração

O serviço disponibiliza os seguintes domínios de monitoramento de eventos:

Negação de serviço: são considerados casos de negação de serviço os eventos de rede que causam
situações prejudiciais para sistemas através da exaustão ou o uso excessivo de recursos, tanto dos
sistemas operacionais e serviços como de hardware;

Acesso não autorizado: são considerados acesso não autorizado todas as situações em que um
indivíduo não autorizado obtiver ou tentar obter acesso lógico a um dispositivo ou serviço. Da
mesma forma, também é considerado como o acesso não autorizado qualquer tentativa de elevação
de privilégios;

Mal uso de recursos: caso houver uma política corporativa sobre o uso de tráfego e aplicações, os
eventos de segurança são considerados os eventos do uso desses aplicativos e serviços que violam a
política definida;

Código malicioso: são os eventos gerados após a detecção de eventuais ameaças, vírus, worms,
cavalos de tróia, etc., que poderiam comprometer o correto funcionamento dos sistemas e
aplicações;

Varreduras de rede e vulnerabilidades: as tentativas de obter informações sobre os sistemas e

aplicações. Estes eventos não representam um estado de mau funcionamento, mas uma ameaça
potencial;

Comportamento periódico: os eventos que seguem um padrão periódico e podem identificar um

erro de configuração ou um comportamento associado a uma infecção do computador por um vírus,
worm, trojan, etc.

Relatórios Mensais
21
Serão apresentados mensalmente ao cliente, através do Portal do Cliente, um conjunto de
informes com as seguintes informações:
Número de incidentes, solicitações e consultas efetuadas;

Tempo médio de resolução de incidentes, solicitações e consultas efetuadas;

Cumprimento de SLA;

Número de notificações enviadas ao cliente devido a alarmes detectados.

Número de ativos monitorados, por tecnologia;

Número de eventos recebidos, por ativo;

Número de alarmes detectados, agrupados pelo tipo de alarme;

Lista dos principais alarmes gerados;

Lista dos principais tipos de ataques detectadas.

Itens opcionais

Adicionalmente às funcionalidades indicadas na prestação básica do serviço, podem ser

contratados os seguintes itens opcionais:
Informes personalizados: o cliente pode optar pela adição de novos relatórios, aumento na
frequência de emissão dos mesmos e/ou pela personalização dos relatórios emitidos, permitindo o
agrupamento ou a geração de informações diferentes dos relatórios padrão. Neste caso é necessária
a validação do SOC quanto a disponibilidade dos dados desejados.

Requisitos Técnicos

Para que o serviço seja disponibilizado para o cliente, os seguintes requisitos devem ser
observados:
O responsável pela gestão dos equipamentos que serão monitorados deve configurar o acesso aos
mesmos para a utilização do serviço;

Os equipamentos monitorados devem enviar os logs para o SOC nos formatos suportados;

Validação pelo cliente dos parâmetros (baseline) definidos para os alertas do catálogo de regras
básicas de correlação.

Armazenamento de Logs

O serviço de Notificação de Incidentes não oferece, por padrão, o armazenamento dos logs
do cliente por um período maior que 2 meses. Caso o cliente necessite de armazenamento
22
por um período superior ao padrão, deverá ser feito uma nova cotação/contrato adicional de
armazenamento.

Requisitos Comerciais

Não há requisitos comerciais para a contratação do serviço de Notificação de Incidentes.

Requisitos de Conectividade

Este serviço necessita conectividade 24x7 entre o SOC e os equipamentos do cliente.

Atendimento

A prestação do serviço para atendimento a incidentes nos equipamentos monitorados ou

nas sondas de coleta dos eventos ocorre em 24x7. O atendimento a consultas e
modificações dos parâmetros de monitoração ocorre na modalidade 8x5.
Atendimento a
Serviço
Incidentes Solicitações Consultas

Notificação de Incidentes 24x7 8x5 8x5

Tabela 1 - Notificação – Atendimento

Incidentes

Os seguintes tipos de incidentes podem ocorrer para este serviço:

Incidente na plataforma de SIEM: indisponibilidade ou degradação da solução de SIEM utilizada para
o serviço;

Notificação de alertas ao cliente que foram gerados pela ferramenta de correlação;

Indisponibilidade ou degradação da notificação de alertas ao cliente.

Consultas

São previstas as seguintes consultas para este serviço:

Lista de equipamentos monitorados;

Alarmes, janelas e limites (threshold) aplicados;

Mapa de rede e de serviços;

Lista de contatos autorizados pelo cliente.

Solicitações

23
São previstas as seguintes solicitações para este serviço:
Criação de um novo alerta ou regra de correlação;

Modificação os parâmetros e limites de um alerta;

Modificação massiva dos parâmetros e limites de monitoração em uma lista de equipamentos;

Modificação na lista de contatos autorizados do cliente;

Modificação no mapa de rede ou no mapa de serviços do cliente.

Anexo D

MANAGED SECURITY SERVICES

Acordo de Nível de Serviço

SLA de Prestação dos Serviços

O SLA para a família de serviços MSS segue as definições das tabelas abaixo.

Métrica SLA Aplica-se a

Tempo de Atendimento 95% Consultas, requisições e incidentes.

Tempo de Resposta 95% Consultas, requisições e incidentes.

24
 Tempo de Notificação 95% Consultas, requisições e incidentes.

Tempo de Resolução 95% Consultas e requisições.

Somente se considera para efeitos de penalização:

Incidentes Críticos e Altos;

As requisições categorizadas como Altas pelo cliente na abertura do chamado.

Assim, os itens que excedam não cumpram o SLA definido estarão sujeitos a um desconto,
que serão liquidadas mensalmente pela fórmula:

Vpd =
(Te × 100)
(1.440 × Nd)
Na qual:
Vpd = percentual de minutos excedidos no respectivo mês;

Te = tempo excedido em minutos além do determinado na tabela de SLO para o serviço em questão;

Nd = Número de dias no mês

Sendo constatado o não cumprimento do SLA, os índices de descontos, da tabela, abaixo,

serão aplicados sobre o valor mensal a ser pago pelo cliente. Os descontos serão aplicados
no mês subsequente ao mês da confirmação da ocorrência.

Percentual Descontos %

0 < Vpd ≤ 2 0,5

2 < Vpd ≤ 4 1,0

4 < Vpd ≤ 6 2,5

6 < Vpd ≤ 10 5,0

10 < Vpd ≤ 20 7,5

Vpd > 20 10,0

25
 Descrição das Severidades

O tempo para atendimento varia de acordo com a severidade e serviço contratado. Para
consultar o SLO de cada serviço, verificar a definição do serviço em questão.
Os SLOs são estabelecidos de acordo com a severidade do evento que ocorreu. As
severidades são definidas de acordo com impacto do evento, conforme tabelas abaixo.

Incidentes de Serviço Definição

Crítico Evento que indisponibiliza os serviços de um ativo classificado como

crítico

Alto Evento que degrada os serviços de um ativo classificado como crítico

ou que indisponibiliza os serviços de um ativo não crítico

Médio Evento que degrada os serviços de um ativo classificado como não

crítico

Baixo Evento que não afeta os serviços

Critérios de Severidade – Incidentes

Notificação de Definição
Incidentes

Crítico Alerta de severidade Alta sobre ativo identificado como crítico

Alto Alerta de severidade Alta sobre ativo identificado como não crítico

Médio Alerta de severidade Média sobre ativo não crítico ou severidade Baixa
sobre ativo crítico

Baixo Alerta de severidade Baixa sobre ativo identificado como não crítico

Critérios de Severidade – Notificações

SLO de Prestação dos Serviços

Este serviço é prestado pelo SOC considerando os seguintes objetivos de atendimento.

SLO de Incidentes

Serviço Definição Crítico Alto Médio Baixo

26
 Tempo de atendimento a partir
da comunicação do cliente até a 15 30
Todos 1h. 2h.
atribuição do ticket a um analista min. min.
do SOC

Tempo de resposta a partir da

Todos comunicação do cliente até que 1h. 1,5h. 3h. 6h.
SOC faça o primeiro diagnóstico

Tempo de resolução a partir da

comunicação do cliente até que o
Todos 4h. 6h. 12h. 24h.
SOC comunique a resolução do
mesmo

Tempo de notificação deste a

detecção a partir da plataforma 15 30
Supervisão 1h. 1h.
até que seja comunicado ao min. min.
cliente

Tempo de notificação de
incidentes de segurança deste a
Notificação de 15 30
detecção a partir da plataforma 4h. 24h.
Incidentes min. min.
até que seja comunicado ao
cliente

27
SLO de Apresentação de Relatórios

Serviço Definição Prazo

Tempo de entrega de relatórios

Todos Até 5º dia útil do mês
mensais

Tempo de entrega de relatório 48 horas

Administração após resolução de incidentes
críticos

Gestão de Tempo de entrega de relatórios

72 horas
Vulnerabilidades de auditoria

SLO de Solicitações e Consultas

Serviço Definição Alto Médio Baixo

Tempo de atendimento de consultas a partir da

Todos comunicação do cliente até a atribuição do ticket a 1h. 2h. 3h.
um analista do SOC

Tempo de resolução de consultas a partir da

Todos comunicação do cliente até que o SOC comunique 8h. 10h. 16h.
a resolução do mesmo

Tempo de atendimento de solicitações a partir da

Todos comunicação do cliente até a atribuição do ticket a 1h. 2h. 2h.
um analista do SOC

Tempo de resolução de solicitações a partir da

Todos comunicação do cliente até que o SOC comunique 8h. 12h. 16h.
a resolução do mesmo

28
 Anexo D

MANAGED SECURITY SERVICES

Acordo de Nível de Serviço

SLA de Prestação dos Serviços

O SLA para a família de serviços MSS segue as definições das tabelas abaixo.

Métrica SLA Aplica-se a

Tempo de Atendimento 95% Consultas, requisições e incidentes.
Tempo de Resposta 95% Consultas, requisições e incidentes.
Tempo de Notificação 95% Consultas, requisições e incidentes.
Tempo de Resolução 95% Consultas e requisições.

Somente se considera para efeitos de penalização:

Incidentes Críticos e Altos;
As requisições categorizadas como Altas pelo cliente na abertura do chamado.
Assim, os itens que excedam não cumpram o SLA definido estarão sujeitos a um
desconto, que serão liquidadas mensalmente pela fórmula:

Vpd =
(Te × 100)
(1.440 × Nd)
Na qual:
Vpd = percentual de minutos excedidos no respectivo mês;
Te = tempo excedido em minutos além do determinado na tabela de SLO para o
serviço em questão;
Nd = Número de dias no mês

Sendo constatado o não cumprimento do SLA, os índices de descontos, da tabela,

abaixo, serão aplicados sobre o valor mensal a ser pago pelo cliente. Os descontos
serão aplicados no mês subsequente ao mês da confirmação da ocorrência.

Percentual Descontos %
0 < Vpd ≤ 2 0,5
2 < Vpd ≤ 4 1,0
4 < Vpd ≤ 6 2,5
 6 < Vpd ≤ 10 5,0
10 < Vpd ≤ 20 7,5
Vpd > 20 10,0

Descrição das Severidades

O tempo para atendimento varia de acordo com a severidade e serviço contratado.

Para consultar o SLO de cada serviço, verificar a definição do serviço em questão.
Os SLOs são estabelecidos de acordo com a severidade do evento que ocorreu. As
severidades são definidas de acordo com impacto do evento, conforme tabelas abaixo.

Incidentes de Serviço Definição

Crítico Evento que indisponibiliza os serviços de um ativo classificado como crítico
Alto Evento que degrada os serviços de um ativo classificado como crítico ou que
indisponibiliza os serviços de um ativo não crítico
Médio Evento que degrada os serviços de um ativo classificado como não crítico
Baixo Evento que não afeta os serviços
Critérios de Severidade – Incidentes

Notificação de Definição
Incidentes
Crítico Alerta de severidade Alta sobre ativo identificado como crítico
Alto Alerta de severidade Alta sobre ativo identificado como não crítico
Médio Alerta de severidade Média sobre ativo não crítico ou severidade Baixa sobre
ativo crítico
Baixo Alerta de severidade Baixa sobre ativo identificado como não crítico
Critérios de Severidade – Notificações

SLO de Prestação dos Serviços

Este serviço é prestado pelo SOC considerando os seguintes objetivos de

atendimento.

SLO de Incidentes

Serviço Definição Crítico Alto Médio Baixo

Tempo de atendimento a partir da
comunicação do cliente até a 30
Todos 15 min. 1h. 2h.
atribuição do ticket a um analista do min.
SOC
Tempo de resposta a partir da
Todos comunicação do cliente até que SOC 1h. 1,5h. 3h. 6h.
faça o primeiro diagnóstico
Todos Tempo de resolução a partir da 4h. 6h. 12h. 24h.
 comunicação do cliente até que o
SOC comunique a resolução do
mesmo
Tempo de notificação deste a
30
Supervisão detecção a partir da plataforma até 15 min. 1h. 1h.
min.
que seja comunicado ao cliente
Tempo de notificação de
Notificação de incidentes de segurança deste a 30
15 min. 4h. 24h.
Incidentes detecção a partir da plataforma até min.
que seja comunicado ao cliente

SLO de Apresentação de Relatórios

Serviço Definição Prazo

Tempo de entrega de relatórios
Todos Até 5º dia útil do mês
mensais
Tempo de entrega de relatório após 48 horas
Administração
resolução de incidentes críticos
Gestão de Tempo de entrega de relatórios de
72 horas
Vulnerabilidades auditoria

SLO de Solicitações e Consultas

Serviço Definição Alto Médio Baixo

Tempo de atendimento de consultas a partir da
Todos comunicação do cliente até a atribuição do ticket a um 1h. 2h. 3h.
analista do SOC
Tempo de resolução de consultas a partir da
Todos comunicação do cliente até que o SOC comunique a 8h. 10h. 16h.
resolução do mesmo
Tempo de atendimento de solicitações a partir da
Todos comunicação do cliente até a atribuição do ticket a um 1h. 2h. 2h.
analista do SOC
Tempo de resolução de solicitações a partir da
Todos comunicação do cliente até que o SOC comunique a 8h. 12h. 16h.
resolução do mesmo