Escolar Documentos
Profissional Documentos
Cultura Documentos
Pelo presente instrumento particular, de um lado a TELEFONICA DATA S/A, inscrita no CNPJ/MF
sob o nº 04.027.547/0036-61, com sede na Cidade de Barueri, Estado de São Paulo, na Avenida
Tamboré, nº 341, parte, por sua filial de SÃO PAULO, inscrita no CNPJ/MF sob o nº
04.027.547/0032-38, estabelecida na Rua Uriel Gaspar, 206, parte, Tatuapé, São Paulo, SP, neste
ato devidamente representada em conformidade com seu Estatuto Social, doravante denominada
CONTRATADA e, de outro lado, a CONTRATANTE, devidamente qualificada nos Anexos
integrantes do presente contrato, têm ajustado entre si o que segue:
1.1. O presente Contrato tem por objeto a prestação do serviço denominado “MANAGED
SECUITY SERVICES” pela CONTRATADA à CONTRATANTE, conforme detalhamento e
especificação técnica descritas nos documentos Anexos ao presente Contrato.
1.2. O serviço objeto deste Contrato é prestado pela CONTRATADA e a partir da solução
contratada e da infra-estrutura de segurança da CONTRATANTE.
1.4. O serviço objeto deste Contrato é prestado pela CONTRATADA a partir da filial localizada na
Cidade de Barueri.
2.1. Integram o presente Contrato, para todos os fins e efeitos de direito, como se nele
estivessem transcritos, os documentos abaixo mencionados, devidamente rubricados pelas
partes CONTRATANTES:
1
2.2. Em caso de divergência entre o presente instrumento e os documentos relacionados na
cláusula acima, prevalecerá, onde couber, o presente instrumento.
4.2. Efetuar, sempre que necessário, a devida manutenção preventiva e/ou corretiva nos
equipamentos de sua propriedade, ou sob sua responsabilidade nos termos do presente
Contrato, necessários ao regular funcionamento dos serviços prestados à CONTRATANTE.
4.3.1. Interrupções em que a CONTRATADA não tenha sido acionada pela CONTRATANTE
para reparar os serviços afetados, salvo se disposto de forma diversa no Descritivo
e/ou Proposta (contratação dos serviços de pró-atividade);
2
4.3.4. Interrupções mutuamente definidas pelas Partes;
5.1. Utilizar o(s) serviço(s) objeto do presente Contrato exclusivamente para os fins a que se
destinam, não lhe sendo permitido sublocá-los ou cedê-los a terceiros, a qualquer título,
sem prévia e expressa autorização da CONTRATADA. Para os fins da presente cláusula,
não será considerada transferência ou cessão a utilização por qualquer terceiro que, sob a
responsabilidade da CONTRATANTE e em conexão com sua atividade-fim, utilize-se do(s)
serviço(s) disponibilizado(s).
5.2. Não se utilizar de qualquer material cujos direitos autorais e/ou propriedade intelectual
estejam protegidos por lei ou sejam considerados, de alguma forma, nocivos.
5.3. Não se utilizar de programas de computador ou qualquer outro tipo de sistema que não
tenha sido adquirido de maneira formal e cuja autorização de uso não esteja válida.
5.5. Manter os seus dados cadastrais devidamente atualizados e comunicar qualquer alteração à
CONTRATADA.
5.6. Cumprir pontualmente com todas as obrigações financeiras previstas neste contrato e na
Proposta Comercial.
5.7. Assumir integralmente, sem solidariedade da CONTRATADA, seja a que título for, toda a
responsabilidade pelos serviços e/ou informações e dados que prestar e/ou que trafegar no
ambiente monitorado nos termos deste Contrato.
3
5.8. Providenciar a aceitação ou rejeição dos serviços entregues pela CONTRATADA em um
prazo máximo de 10 (dez) dias úteis a contar da data de ativação. Ultrapassado este prazo
sem que haja qualquer manifestação da CONTRATANTE, os serviços serão considerados
tacitamente aceitos.
6.1. Pela prestação dos serviços objeto do presente Contrato, a CONTRATANTE deverá pagar
mensalmente à CONTRATADA os valores especificados na Proposta Comercial e na
solicitação de serviço que será devida a partir da ativação dos serviços e será cobrada por
meio do correspondente documento fiscal-fatura e/ou mediante a apresentação do
documento competente (“Documentos de Cobrança”).
6.2.1 Pagamento de multa moratória de 2% (dois por cento) aplicada sobre o valor total
do débito;
6.2.2 Juros de mora de 1% (um por cento) a.m. calculados, pro rata die, devidos a partir
do dia seguinte ao vencimento do débito até a data de sua efetiva liquidação; e
6.2.3 Atualização monetária calculada pela variação do IGP-DI (Índice Geral de Preços –
Disponibilidade Interna, publicado pela Fundação Getúlio Vargas) desde a data
seguinte ao vencimento do débito até o dia de sua efetiva liquidação.
4
6.3.1 Suspensão da prestação do serviço, ficando o restabelecimento destes condicionado
à liquidação total dos débitos vencidos; e
6.4.1. A parcela incontroversa dos valores deverá ser paga na data do vencimento,
recaindo a contestação apenas sobre a parcela reputada indevida pela
CONTRATANTE;
6.4.2. A contestação deverá ser formulada em até 5 (cinco) dias contados da data de
vencimento do débito, por escrito ou através do meio indicado pela CONTRATADA,
acompanhada das respectivas fundamentações;
6.5. O não pagamento de qualquer valor devido por força do presente Contrato, após 90
(noventa) dias a contar do respectivo vencimento, dará direito à CONTRATADA de cancelar
5
o presente Contrato, sem prejuízo do recebimento dos valores até então não pagos, bem
como de aplicar as penalidades cabíveis.
6.6. As Partes elegem o Índice Geral de Preços – Disponibilidade Interna (“IGP-DI”) como fator
de correção monetária para o reajuste dos preços referidos no presente Contrato, o qual será
aplicado na menor periodicidade admitida pela legislação, que atualmente é de 12 (doze)
meses, a contar da data de assinatura da Solicitação. Na falta deste índice, será aplicado,
pro rata tempori, o índice oficial que vier a substituí-lo, ou, na ausência deste, o índice que
refletir mais eficientemente os efeitos inflacionários da moeda corrente nacional.
6.7. Caso a legislação venha a permitir reajustes em períodos inferiores, estes serão aplicados
automaticamente aos valores contratados.
6.8. Estão inclusos nos preços referidos neste Contrato todos os tributos (impostos, taxas e
contribuições) e demais encargos incidentes na prestação de serviços. Fica desde já
acordado entre as Partes que se houver a criação de novos tributos ou encargos incidentes
sobre os serviços objeto deste Contrato, ou se houver alteração nas alíquotas vigentes,
bases de cálculo, hipóteses de incidência, prazos ou condições de pagamento de tributos ou
encargos (“Alteração Tributária”) que afetem os custos da prestação dos serviços, para mais
ou para menos, os preços e valores afetados serão automaticamente alterados, de forma a
refletir o impacto relativo à Alteração Tributária, cumprindo à CONTRATANTE a absorção de
eventuais ônus ou benefícios decorrentes desta alteração.
6.9. O valor referente à instalação e/ou ativação dos serviços é devido no ato da solicitação e
cobrado na instalação/ativação do mesmo. Caso a CONTRATANTE venha a requerer o
cancelamento do serviço antes da instalação/ativação, o respectivo valor será cobrado no ato
do cancelamento para indenização dos custos operacionais.
6
CLÁUSULA OITAVA – RESCISÃO
8.1.1. Caso a CONTRATANTE denuncie o Contrato nos termos do item 8.1 supra, deverá
pagar à CONTRATADA valor correspondente a 30% (trinta por cento) da soma das parcelas
vincendas do serviço contratado.
8.2. O presente Contrato poderá ser rescindido por qualquer das Partes, motivadamente, nas
seguintes hipóteses:
8.4. A rescisão do Contrato será formalizada pelo competente Termo de Rescisão Contratual.
9.1 As comunicações e/ou notificações entre as Partes decorrentes do presente Contrato serão
feitas por carta registrada, fax ou e-mail, sendo consideradas como validamente recebidas
7
mediante a confirmação de recebimento pela outra Parte. Qualquer das Partes poderá
alterar o endereço para o qual as comunicações/notificações devem ser remetidas, devendo
informar à outra Parte acerca do novo endereço, dentro de um prazo de 05 (cinco) dias
contados a partir do evento que houver causado a alteração no endereço informado na
Proposta Técnica.
8
10.2.1 A responsabilidade da CONTRATADA quanto ao bloqueio/liberação de acessos
é exclusiva em relação à Política de Segurança da CONTRATANTE e futuros
documentos que reflitam a atualização dos parâmetros técnicos desta Política, onde a
inobservância do prazo acima estabelecido pela CONTRATANTE implicará na absoluta
isenção de responsabilidade da CONTRATADA na execução dos serviços contratados.
10.3. A CONTRATADA não garante que seus serviços ficarão sem interrupção ou que estarão
livres de erros.
11.1. Cada uma das Partes, em virtude dos serviços contratados, poderão ter acesso a
informações privilegiadas ou confidenciais da outra Parte, assumindo reciprocamente o
compromisso de, salvo nas hipóteses previstas no item 11.2, a:
11.1.1 Não divulgar total ou parcialmente a existência, o objeto e/ou o conteúdo deste
Contrato a quaisquer terceiros, que não a seus respectivos administradores e
empregados, dos quais deverão exigir, sob sua exclusiva responsabilidade,
iguais obrigações de confidencialidade, sem prejuízo do disposto no item 12.16
infra;
11.1.3 Não utilizar qualquer das informações, exceto para os fins previstos no
Contrato; e
11.2. As Partes declaram que não constituem infração ao disposto nesta Cláusula Décima
Primeira as hipóteses em que:
11.2.1 A informação torne-se disponível ao público em geral por meio que não resulte
de sua divulgação pelas Partes ou seus representantes, suas controladoras,
9
controladas ou empresas que, direta ou indiretamente, estão sujeitas ao mesmo
controle a que está sujeita a Parte;
11.2.3 A revelação seja previamente autorizada pela outra Parte, por escrito.
11.4. Para fins do presente Contrato, entende-se por informações confidenciais ou privilegiadas
toda e qualquer informação, e documentos de qualquer espécie que sejam entregues a
uma das Partes pela outra Parte, ou por seus consultores, auditores, contadores,
advogados, representantes e empregados, que sejam relativos aos negócios das Partes ou
aos negócios de seus clientes, fornecedores e associados, incluindo, mas sem qualquer
limitação, dados de gestão, dados financeiros e estratégias de mercado. As Partes deverão
instruir todos aqueles a quem fornecerem acesso a informações confidenciais da outra
Parte sobre a obrigação de sigilo e de não divulgação ora assumidas.
11.5. As Partes continuarão obrigadas a conservar e manter o mais estrito sigilo em relação às
informações confidenciais ou privilegiadas, obtidas em virtude da execução do Contrato,
por um prazo de 5 (cinco) anos contados de seu término.
11.6. A violação dos deveres estabelecidos nesta Cláusula Décima Primeira ou o descumprimento
dos deveres de confidencialidade estabelecidos neste instrumento, sujeitará a Parte
infratora ao ressarcimento de todos os prejuízos, incorridos pela Parte prejudicada por tal
violação, limitada esta obrigação de indenização exclusivamente aos danos diretos
devidamente comprovados que tal Parte prejudicada venha a sofrer em razão do
descumprimento dos deveres de confidencialidade aqui pactuados.
10
10
12.1. Nenhuma das Partes responderá por insucessos comerciais, danos emergentes ou lucros
cessantes da outra Parte em decorrência da imperfeita execução do presente Contrato.
12.2. Eventuais solicitações de ampliação, redução, reprogramação e/ou alteração feitas pela
CONTRATANTE, poderão ser objeto de estudo de viabilidade e de novo projeto técnico,
sendo a CONTRATANTE responsável por todos os custos adicionais decorrentes destas
solicitações, as quais serão formalizadas através de aditivo contratual.
12.3. A CONTRATANTE, para obter quaisquer esclarecimentos, terá à sua disposição a Central de
Relacionamento da CONTRATADA, pelo telefone nº 0800.0151.551. Poderá, ainda,
encontrar informações sobre os serviços ora contratados, no endereço eletrôni
www.vivo.com.br/empresas
12.4. As relações entre a CONTRATADA e a CONTRATANTE deverão ser sempre por escrito,
ressalvando os entendimentos verbais motivados pela urgência, que deverão ser
confirmados expressamente no prazo de até 5 (cinco) dias úteis.
12.5. Não constitui novação nem implica aceitação, renúncia ou consentimento qualquer tolerância
por uma das Partes quanto à inobservância, pela outra, de quaisquer cláusulas ou
disposições previstas no presente Contrato ou nos documentos que lhe são parte integrante.
12.8. A titularidade de qualquer produto desenvolvido, seja programa, sistema, material escrito,
ou qualquer outro, pela CONTRATADA, no âmbito dos serviços aqui contratados, caberá
11
11
sempre à CONTRATADA não gerando qualquer direito à CONTRATANTE, salvo nos casos
em que tal desenvolvimento faça parte do projeto inicial e assim esteja expresso na
proposta.
12.9. Durante eventuais visitas de empregados, representantes e/ou terceiros designados pela
CONTRATANTE ao ambiente de prestação dos serviços contratados da CONTRATADA,
não será permitido àqueles tirar fotos e/ou filmar quaisquer partes das instalações desta
empresa. A CONTRATANTE será responsabilizada caso tal norma de segurança não seja
observada pelos agentes supracitados, podendo incorrer em penalidades por
inadimplemento, acordadas entre as Partes neste Contrato, sem prejuízo da indenização
por perdas e danos.
12.10. O presente Contrato não confere a qualquer das Partes poderes para assumir ou criar
qualquer obrigação, expressa ou implícita, em nome da outra Parte, nem representar a outra
como agente, funcionário, representante ou qualquer outra função, permanecendo cada qual
como inteiramente independente da outra.
12.11. Sendo uma das Partes compelida a participar de qualquer procedimento judicial ou
extrajudicial ou reclamação administrativa fundado em culpa da outra Parte, obriga-se esta
última a requerer a exclusão da Parte inocente da lide, na primeira oportunidade processual,
sem prejuízo de ressarcir a Parte inocente dos ônus legais e financeiros em que esta vier a
incorrer.
12
12
12.15. Caso o órgão regulador competente entenda e decida, em qualquer momento da presente
contratação, que a execução de todas ou quaisquer das disposições do presente
Instrumento violam qualquer dispositivo legal aplicável, as Partes desde já concordam que
a inexecução de todo ou em parte no presente Instrumento por esta justificativa não dará
direito à outra Parte a qualquer valor ou indenização.
12.16. Desde já a CONTRATANTE aceita e concorda que a CONTRATADA poderá dar publicidade
da presente contratação, a qualquer tempo, em mídia impressa e eletrônica, no território
brasileiro ou fora dele, exclusivamente para divulgação de case, sem que se caracterize uso
indevido de marca, nome comercial, imagem e/ou de quaisquer direitos do cliente.
13.1. Fica eleito o foro da Comarca da Capital do Estado de São Paulo para dirimir quaisquer
questões relativas ao presente Contrato, com renúncia expressa de qualquer outro, por
mais privilegiado que seja.
Este documento encontra-se registrado no 10º Ofício de Registro de Títulos e Documentos de São
Paulo/SP sob o Nº 2078907, em 19/06/2015.
13
13
Anexo C
Descritivo do Serviço
Este grupo engloba os serviços prestados pela equipe técnica do SOC que possuem
interação e integração com a infraestrutura de segurança do cliente, em maior ou menor
escala, conforme o serviço contratado.
Manutenção
Este serviço fornece ao cliente o apoio técnico necessário para realizar o diagnóstico de
eventos de falha em seus ativos de segurança. Através da análise dos logs do equipamento,
o SOC determina se houve alguma avaria em um dos componentes de hardware dos ativos
e identifica a necessidade ou não de sua substituição.
Este serviço funciona como uma camada de gestão do processo conhecido como RMA
(sigla em inglês de return merchandise authorization). O SOC faz toda a interface entre o
fabricante e o cliente, para a abertura do RMA e substituição do componente danificado.
Sendo assim, para que este serviço seja ofertado, é necessário que o dispositivo do cliente
possua um contrato de manutenção ativo com o fabricante ou que ainda esteja em garantia.
Uma vez que o cliente suspeita do mau funcionamento de um dos componentes de seus
dispositivos de segurança, abre-se um chamado no SOC para o diagnóstico da situação. O
SOC, como parte do processo de análise, solicita ao cliente o envio de determinados logs do
equipamento. Com posse destas informações, o SOC avalia junto com o fabricante a
questão. Uma vez identificada uma falha de hardware, o SOC inicia o processo de RMA do
mesmo, tornando-se a interface do cliente de todo o processo perante o fabricante. Os
possíveis custos de logística e emissão de notas fiscais para o envio do componente
1
defeituoso não estão inclusos na prestação do serviço, assim como os custos para
desinstalação e preparo do equipamento defeituoso e instalação do novo equipamento.
Este serviço também possibilita a gestão dos contratos de manutenção do cliente com os
fabricantes de seus dispositivos, auxiliando-o no processo de renovação destes contratos de
manutenção (o custo dessas renovações não está incluído na prestação do serviço e deverá
ser faturado independentemente).
Itens Opcionais
Atendimento
Atendimento a
Serviço
Incidentes Solicitações Consultas
Manutenção - Atendimento
Consultas
Solicitações
2
Modificação no mapa de rede ou no mapa de serviços do cliente;
Modificação de endereço ou contato de acesso a um endereço (o novo endereço será avaliado pelo
SOC em relação à área geográfica contratada).
Supervisão
Produzir um plano de capacidade que permitirá oferecer serviços na qualidade definida nos acordos
de nível de serviço da organização;
Utilização de memória;
3
Utilização do disco;
Temperatura;
Número de conexões;
Estado do cluster;
Estado de serviços.
Cumprimento de SLA;
Itens Opcionais
4
dispositivos gerenciados é grande o suficiente ou em casos em que os equipamentos monitorados
estão em um local de rede que não é acessível facilmente por uma VPN ou conexão dedicada.
Requisitos Técnicos
Para que este serviço seja disponibilizado para o cliente é necessário que os ativos que
serão monitorados suportem os protocolos SNMPv3 (preferencialmente) ou SNMPv2c.
Também é necessário que tais ativos sejam configurados para permitirem o acesso SNMP
de leitura a partir da arquitetura de monitoração do SOC.
Requisitos Comerciais
O serviço de Supervisão requer a contratação de, pelo menos, um dos seguintes serviços:
Administração;
Notificação de Incidentes;
Requisitos de Conectividade
Atendimento
Atendimento a
Serviço
Incidentes Solicitações Consultas
Supervisão - Atendimento
Incidentes
5
Consultas
Solicitações
Administração
Resolução de solicitações feitas pelos clientes: contempla a realização das tarefas operacionais
solicitadas pelo cliente, tais como executar backup de configurações, gerenciamento de usuários,
entre outros;
6
Gestão de suporte do fabricante: o SOC será responsável por acionar o suporte do fabricante
(considerando que o ativo tenha tal suporte) em casos em que tal apoio seja necessário;
Manter e atualizar o software do dispositivo: o SOC irá atualizar o software sempre que
recomendado pelo fabricante ou quando solicitado pelo cliente. Toda atualização será feita somente
se autorizada pelo cliente, através do processo de gestão da mudança. Esta atividade está incluída na
aplicação de patches para a resolução de incidentes, correção de vulnerabilidades e prevenção de
incidentes de segurança;
Identificação de riscos: o SOC informará o cliente dos possíveis riscos de segurança identificados
através da administração da infraestrutura ou através das ferramentas de administração;
Relatórios Mensais
Cumprimento de SLA;
Itens Opcionais
7
12x5: doze horas por dia, durante os dias úteis;
Informes personalizados: o cliente pode optar pela adição de novos relatórios, aumento na
frequência de emissão dos mesmos e/ou pela personalização dos relatórios emitidos, permitindo o
agrupamento ou a geração de informações diferentes dos relatórios padrão. Neste caso é necessária
a validação do SOC quanto a disponibilidade dos dados desejados.
Requisitos Gerais
A autenticação para acesso administrativo aos dispositivos ser dará através do serviço de
autenticação da Telefônica | Vivo;
Os dispositivos gerenciados devem ser sincronizados com servidor de tempo (NTP) da Telefônica |
Vivo.
Requisitos Comerciais
Serviço Atendimento a
8
Incidentes Solicitações Consultas
Administração - Atendimento
Incidentes
Consultas
Solicitações
Este grupo engloba os serviços prestados pela equipe técnica do SOC que monitoram a
infraestrutura de segurança do cliente visando identificar comportamentos que possam se
transformar em ameaças e, se concretizadas, impactar o negócio do mesmo.
9
Os serviços são complementares entre si e o cliente pode contratar um ou mais módulos
para um mesmo conjunto de equipamentos.
Alertas Online
Este é um serviço de assinatura que permite aos clientes receber notificações de segurança
relacionadas ao seu parque tecnológico. O cliente irá receber, por e-mail, notificações sobre
qualquer vulnerabilidade que surja em relação às tecnologias subscritas. Estas notificações
contêm informações disponíveis sobre a vulnerabilidade conhecidas, incluindo software e
versões afetadas, os sintomas, medidas preventivas sugeridas, entre outros. O serviço se
baseia em fontes de informações externas e nas notificações dos próprios fabricantes. Uma
vez que a informação é tornada pública, o serviço garante a notificação imediata para os
clientes.
Os alertas são enviados, por padrão, no idioma inglês. O cliente, se desejar, pode optar por
receber os alertas no idioma espanhol.
A assinatura básica do serviço permite que o cliente escolha até vinte tecnologias diferentes
para receber notificações de vulnerabilidades. Cada subscrição é formada pelo conjunto
fabricante, tecnologia e versão. Assim, por exemplo, as subscrições para Microsoft
Sharepoint 2003 e Microsoft Sharepoint 2008 são consideradas como duas subscrições
diferentes.
Relatórios Mensais
Além dos alertas enviados por e-mail, será apresentado mensalmente ao cliente, também
através de e-mail, um relatório contendo o número de notificações enviadas agrupadas por
tecnologias.
Opções Contratáveis
Atendimento
10
Incidentes Solicitações Consultas
Incidentes
Consultas
Solicitações
Análise de Regras
O serviço de análise de regras tem como objetivo realizar uma auditoria nas regras e
configurações de firewalls e outros equipamentos que atuam na camada de rede visando
identificar parâmetros errôneos ou inseguros e conflitos de regras que podem colocar em
risco os ativos dos clientes que estão sob a proteção destes dispositivos. Através deste
serviço, a equipe de TI do cliente ganha uma ferramenta que aumenta consideravelmente a
segurança dos seus firewalls e ativos de rede, liberando-os para atuar em atividades mais
essenciais para os negócios da organização.
11
Uma equipe de especialistas examina as políticas e configurações dos dispositivos e emite
um relatório e recomendações sobre os riscos encontrados. Esta análise inclui:
Configuration compliance: analisa a configuração do dispositivo visando identificar possíveis
fragilidades ou ameaças devido a erros em sua configuração (exemplo: senhas padrão, registro de
acesso não habilitado, acesso remoto não criptografado, entre outros);
Rule compliance: analisa as regras de firewall a partir de um conjunto de regras sintáticas pré-
definidas (exemplo: "any" não deve aparecer em dois campos de origem, destino e serviço, número
de portas permitidas por uma regra não deve exceder 1024, entre outros);
Access compliance: simula o tráfego através do firewall, analisando as regras envolvidas em cada
uma das interfaces. Assim, é possível verificar as regras configuradas com base em padrões como
PCI, NIST ou a própria política de segurança do cliente;
Rule analysis: realiza uma análise sobre as regras em busca de regras que nunca serão executadas,
porque há os anteriores que incluem (regras redundantes), ou regras que não são executados porque
são impedidas por regras anteriores (regras sombreadas).
Modalidades
Nesta modalidade não há acesso ao equipamento auditado, mas somente ao seu arquivo de
configuração. Ao fim da análise é gerado um relatório com os detalhes das deficiências
encontradas, além das propostas de melhorias.
A análise desta modalidade pode ter uma frequência fixa (recorrente, trimestral, semestral)
ou pode ser feita pontualmente, uma única vez.
A análise é classificada (small, medium ou high) de acordo com o número de regras ou
ACLs que serão analisadas.
Integrada
12
Acompanhando das alterações: gera-se uma comparação das alterações feitas nas configurações dos
equipamentos nos últimos 30 dias. Com esta informação, o cliente pode verificar se suas janelas de
alteração têm sido utilizadas, se nenhum novo recurso está ativado no firewall, se foi adicionado
administradores ou outras operações consideradas críticas;
Estatísticas de utilização de regras: realiza uma análise baseada nos logs do firewall, permitindo obter
estatísticas sobre o uso de cada uma das regras a partir do número de logs gerados por cada uma
delas, permitindo otimizar a ordem de avaliação das regras do firewall.
Nesta modalidade a classificação (small, medium ou high) ocorre de acordo com o número
de dispositivos que serão analisados.
Relatórios Mensais
Integrada
Nesta modalidade, além das informações contidas no relatório pós-auditoria do modelo Não
Integrada, os relatórios também contém:
Acompanhamentos das alterações;
Requisitos Técnicos
Este serviço somente poderá ser oferecido para equipamentos suportados pela plataforma
de análise de regras do SOC.
Nos firewalls que suportam virtualização, ou seja, aqueles nos quais é possível criar várias
estâncias lógicas de firewall num mesmo equipamento físico, cada firewall virtual é tratado
pelo serviço como um firewall independente. Sendo assim, cada firewall virtual presente
num equipamento deve ser considerado separadamente na precificação do serviço, embora
13
seja possível escolher dentre os firewalls virtuais de um equipamento quais que serão
analisados, conforme a prioridade para o cliente.
Requisitos de Conectividade
Consultas
Solicitações
Gestão de Vulnerabilidades
14
também oferece o gerenciamento de ciclo de vida das vulnerabilidades detectadas nesta
infraestrutura.
O serviço abrange a necessidade de gerir o ciclo de vida associada às vulnerabilidades
identificadas em ativos críticos da organização, através da repetição periódica das análises,
permitindo aos clientes consultar as vulnerabilidades que afetam seus ativos através uma
plataforma web e tomar uma decisão referente ao tratamento das mesmas. O cliente vai se
beneficiar do uso desta plataforma de serviços através de um controle rigoroso das decisões
tomadas em relação às vulnerabilidades encontradas.
A execução deste serviço baseia-se nas seguintes etapas:
Definição dos testes;
A execução deste serviço pode ter uma frequência fixa (recorrente, trimestral, semestral) ou
pode ser feita pontualmente, uma única vez.
Entre os benefícios deste serviço, destacam-se:
Identificação das vulnerabilidades no ambiente;
Esta etapa concentra-se no levantamento dos parâmetros e escopo dos testes a serem
realizados, através da definição da modalidade de auditoria, do tipo de auditoria, do
ambiente a ser analisado e data e janela de execução, assim como as restrições impostas
pelo cliente.
Modalidades de auditoria
O serviço pode ser oferecido nas modalidades automática e manual. A automática consiste
na execução de uma série de ferramentas de auditoria de segurança e posterior análise dos
resultados, a fim de excluir falsos positivos e vulnerabilidades notificadas em uma análise
anterior.
A modalidade manual agrega valor ao serviço uma vez que a auditoria é realizada por uma
equipe técnica altamente qualificada (ex.: CISSP, CEH) que, através do estudo do elemento
auditado, executa testes e verificações específicas aos possíveis pontos de falha.
15
Este tipo de auditoria geralmente oferece um maior número de conclusões. Assim, em um
escopo de serviço anual, recomenda-se que ambas as modalidades sejam contratadas, pois
os resultados da modalidade manual são complementados com os da automática e, entre os
testes manuais, a execução dos testes automáticos cobrem possíveis ocorrências de novas
vulnerabilidades.
Tipo de auditoria
16
Exploração de relações de confiança entre servidores;
LDAP e/ou Active Directory: listagem de recursos, obtenção de credenciais, alteração de políticas de
grupo, adição de máquinas ao domínio, execução de exploits conhecidos, testes de usuários e senha
padrão, etc..
SMTP: identificação de serviço, testes de relay aberto, execução de exploits conhecidos, testes de
usuários e senha padrão, entre outros.
17
Execução dos testes
Uma vez que as vulnerabilidades tenham sido registradas no portal, o cliente deve realizar a
gestão das mesmas, indicando as ações a serem tomadas para cada uma das
vulnerabilidades encontradas. Essas ações são:
Aceitar: o cliente assume a vulnerabilidade e seu risco;
18
Atendimento
A prestação do serviço para incidentes e execução dos testes ocorre 24x7. O atendimento a
consultas e modificações dos parâmetros do serviço ocorre na modalidade 8x5.
Atendimento a
Serviço
Incidentes Solicitações Consultas
Gestão de
Vulnerabilidades 24x7 8x5 8x5
Incidentes
Consultas
Solicitações
19
Execução de uma auditoria não programada (somente se o cliente possuir o serviço periódico e após
verificação de disponibilidade de janela operacional pelo SOC).
Atividade de serviço
Notificação de início de auditoria: o SOC informa o início de uma auditoria planejada ao cliente
Notificação de Incidentes
Este serviço possibilita o acompanhamento em tempo real dos eventos (logs) gerados pelos
dispositivos da infraestrutura do cliente (de segurança, rede, aplicações críticas, etc.) em
busca padrões ou sequências de atividades maliciosas no ambiente monitorado.
Para isto, os eventos gerados pelos equipamentos monitorados são enviados para a
plataforma SIEM do SOC, que é responsável pela coleta, agregação, normalização e
correlacionamento de logs em busca de padrões comparáveis a uma base de
comportamentos, sintomas, assinaturas e vulnerabilidades conhecidas, em busca de
possíveis tentativas de comprometimento aos ativos do cliente.
Neste sentido, o serviço pode detectar, entre muitos outros:
Repetidas tentativas frustradas de acessar um sistema;
20
Para atingir estes objetivos, usam-se três métodos de correlação:
Correlação através de algoritmos heurísticos: detecta comportamentos não configurados pelo
sistema, usando redes neurais, determinando automaticamente se tal comportamento deve ser
alertado ou descartado. Este método possui uma elevada taxa de sucesso na detecção de
comportamentos anômalos, assim como de comportamentos periódicos que são nocivos;
Correlação cruzada: baseia-se na utilização de dados de inventário de ativos para priorizar alertas.
Este serviço não interage com o elemento monitorado para mitigar os incidentes (função
esta da oferta de Administração). Sua função restringe-se a alertar sobre as possíveis
ameaças através dos alertas gerados pela ferramenta de correlação de eventos.
Domínios de Monitoração
Acesso não autorizado: são considerados acesso não autorizado todas as situações em que um
indivíduo não autorizado obtiver ou tentar obter acesso lógico a um dispositivo ou serviço. Da
mesma forma, também é considerado como o acesso não autorizado qualquer tentativa de elevação
de privilégios;
Mal uso de recursos: caso houver uma política corporativa sobre o uso de tráfego e aplicações, os
eventos de segurança são considerados os eventos do uso desses aplicativos e serviços que violam a
política definida;
Código malicioso: são os eventos gerados após a detecção de eventuais ameaças, vírus, worms,
cavalos de tróia, etc., que poderiam comprometer o correto funcionamento dos sistemas e
aplicações;
Relatórios Mensais
21
Serão apresentados mensalmente ao cliente, através do Portal do Cliente, um conjunto de
informes com as seguintes informações:
Número de incidentes, solicitações e consultas efetuadas;
Cumprimento de SLA;
Itens opcionais
Requisitos Técnicos
Para que o serviço seja disponibilizado para o cliente, os seguintes requisitos devem ser
observados:
O responsável pela gestão dos equipamentos que serão monitorados deve configurar o acesso aos
mesmos para a utilização do serviço;
Os equipamentos monitorados devem enviar os logs para o SOC nos formatos suportados;
Validação pelo cliente dos parâmetros (baseline) definidos para os alertas do catálogo de regras
básicas de correlação.
Armazenamento de Logs
O serviço de Notificação de Incidentes não oferece, por padrão, o armazenamento dos logs
do cliente por um período maior que 2 meses. Caso o cliente necessite de armazenamento
22
por um período superior ao padrão, deverá ser feito uma nova cotação/contrato adicional de
armazenamento.
Requisitos Comerciais
Incidentes
Consultas
Solicitações
23
São previstas as seguintes solicitações para este serviço:
Criação de um novo alerta ou regra de correlação;
Anexo D
O SLA para a família de serviços MSS segue as definições das tabelas abaixo.
24
Tempo de Notificação 95% Consultas, requisições e incidentes.
Assim, os itens que excedam não cumpram o SLA definido estarão sujeitos a um desconto,
que serão liquidadas mensalmente pela fórmula:
Vpd =
(Te × 100)
(1.440 × Nd)
Na qual:
Vpd = percentual de minutos excedidos no respectivo mês;
Te = tempo excedido em minutos além do determinado na tabela de SLO para o serviço em questão;
Percentual Descontos %
25
Descrição das Severidades
O tempo para atendimento varia de acordo com a severidade e serviço contratado. Para
consultar o SLO de cada serviço, verificar a definição do serviço em questão.
Os SLOs são estabelecidos de acordo com a severidade do evento que ocorreu. As
severidades são definidas de acordo com impacto do evento, conforme tabelas abaixo.
Notificação de Definição
Incidentes
Alto Alerta de severidade Alta sobre ativo identificado como não crítico
Médio Alerta de severidade Média sobre ativo não crítico ou severidade Baixa
sobre ativo crítico
Baixo Alerta de severidade Baixa sobre ativo identificado como não crítico
26
Tempo de atendimento a partir
da comunicação do cliente até a 15 30
Todos 1h. 2h.
atribuição do ticket a um analista min. min.
do SOC
Tempo de notificação de
incidentes de segurança deste a
Notificação de 15 30
detecção a partir da plataforma 4h. 24h.
Incidentes min. min.
até que seja comunicado ao
cliente
27
SLO de Apresentação de Relatórios
28
Anexo D
O SLA para a família de serviços MSS segue as definições das tabelas abaixo.
Vpd =
(Te × 100)
(1.440 × Nd)
Na qual:
Vpd = percentual de minutos excedidos no respectivo mês;
Te = tempo excedido em minutos além do determinado na tabela de SLO para o
serviço em questão;
Nd = Número de dias no mês
Percentual Descontos %
0 < Vpd ≤ 2 0,5
2 < Vpd ≤ 4 1,0
4 < Vpd ≤ 6 2,5
6 < Vpd ≤ 10 5,0
10 < Vpd ≤ 20 7,5
Vpd > 20 10,0
Notificação de Definição
Incidentes
Crítico Alerta de severidade Alta sobre ativo identificado como crítico
Alto Alerta de severidade Alta sobre ativo identificado como não crítico
Médio Alerta de severidade Média sobre ativo não crítico ou severidade Baixa sobre
ativo crítico
Baixo Alerta de severidade Baixa sobre ativo identificado como não crítico
Critérios de Severidade – Notificações
SLO de Incidentes