Requisitos de SI v4.1

INSTRUÇÕES PARA PREENCHIMENTO
1. Todos os requisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
2. O nível de atendimento deve ser preenchido conforme abaixo:

Atende integralmente - Requisito é atendido plenamente pela empresa.
Não atende - Requisito não é atendido plenamente.
Não se aplica - Requisito não se aplica à contratação.
3. Todas as respostas devem ser justificadas na coluna JUSTIFICATIVA.
4. Após o preenchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em a
"Nos comprometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento int
ID CATEGORIA
1 Política de Segurança da
Informação
Informação
Política de Segurança da
3 Informação
Informação
Informação
Informação
7 Conformidade de
Segurança da Informação
Conformidade de
8 Segurança da Informação
9 Conformidade de
Segurança da Informação
10 Continuidade das
Operações
11 Continuidade das
Operações
Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

#

ID CATEGORIA
12 Proteção Física
13 Proteção Lógica
22 Criptografia de
Informações
23 Criptografia de
Informações

#

ID CATEGORIA
Criptografia de
24 Informações
25 Criptografia de
Informações
26 Gestão de Dados
27 Gestão de Dados
28 Gestão de Dados
29 Gestão de Dados
30 Gestão de Incidentes
31 Gestão de
Vulnerabilidades
32 Identidade e Acesso

#

ID CATEGORIA
37 Registro de
Eventos
Registro de
38 Eventos
39 Desenvolvimento Seguro

#

ID CATEGORIA

#
REQUISITOS DE SEGURA
ES PARA PREENCHIMENTO
equisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
atendimento deve ser preenchido conforme abaixo:

egralmente - Requisito é atendido plenamente pela empresa.
e - Requisito não é atendido plenamente.
ica - Requisito não se aplica à contratação.
spostas devem ser justificadas na coluna JUSTIFICATIVA.
enchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em atender todos os requisitos apl
ometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento integral é pré-requisito para a di
REQUISITO
Possuir uma Política de Segurança da Informação, publicada e formalmente aprovada pela direção da empresa.
Possuir um ponto focal de contato para assuntos e atividades relacionados à segurança da informação.
Informar telefone e e-mail na coluna JUSTIFICATIVA.
Prever em sua Política de Segurança da Informação a existência de critérios e controles aplicados, conforme a classificação das
informações.
Prever em sua Política de Segurança da Informação processos para execução de backup de dados e testes de restore, sendo mantidos
logs evidenciando a execução destes processos.
Possuir cláusulas de confidencialidade e não divulgação nos contratos de trabalho com seus funcionários ou terceiros.
Possuir ações de conscientização para capacitar e disseminar a cultura de segurança da informação a seus funcionários e terceiros.
Armazenar ou processar dados e informações em datacenter com classificação TIER 2 ou superior

e certificação SOC II.
Garantir que todos os requisitos de Segurança da Informação atendidos, sejam atendidos também pelos seus prestadores de serviço
contratados que tenham acesso, processem ou armazenem dados ou informações.
Possuir relatórios de conformidade obtidos junto ao PCI SSC, para escopos relacionados ao armazenamento, processamento ou
transmissão de dados de portadores de cartões ou dados de autenticações de cartões. Entre os relatórios de conformidade minimamente
esperados estão os relacionados aos padrões PCI-DSS, PA-DSS, PIN e TSP.
Possuir controles para garantir que as informações sejam recuperadas e estejam acessíveis, de acordo com a necessidade de negócio.
Possuir um processo de Gestão de Mudanças para os ambientes de TI documentado.

#

REQUISITO
Garantir que o datacenter onde são armazenadas ou processadas as informações, seja próprio ou em nuvem, possua controles de acesso
físico, incluindo cadastro e revogação de acessos, registros de entrada e saída e segregação dos demais ambientes.
Possuir, minimamente, tecnologias de proteção anti-malware, firewall, IPS, ataques DoS e DDoS, com atualizações aplicadas
periodicamente.
Possuir um processo periódico de atualizações (patches) de segurança, incluindo sistema operacional atualizado, para os ativos do
ambiente de TI.
Disponibilizar serviços web em ambiente de TI protegido por tecnologias/sistemas WAF (Web Application Firewall).
Possuir ferramentas, mecanismos ou controles para prevenir o vazamento de informações.

Detalhar na coluna JUSTIFICATIVA.
Possuir mecanismos de proteção relacionados ao acesso remoto de funcionários ou terceiros, tais como VPN e acesso através de
múltiplos fatores de autenticação.
Não permitir a utilização de equipamentos (notebooks/desktops) particulares para execução de atividades de trabalho.
Possuir controles e filtro de conteúdo para navegação na Internet, impossibilitando o acesso a sites externos que representem riscos à
segurança das informações.
Aplicar bloqueio para utilização de mídias de armazenamento removíveis em seus equipamentos (notebooks e desktops).
Possuir recursos tecnológicos que possibilitem a criação de rede virtual privada (VPN) do tipo Site-to-Site.
Possuir criptografia de disco nos equipamentos/dispositivos.
Utilizar criptografia com padrões TLSv1.2 ou superior, com chave de 128 bits ou superiores para qualquer transmissão de informações.
Estes padrões devem suportar SHA-256 com RSA-2048 ou superior.

#

REQUISITO
Utilizar criptografia para armazenamento de informações confidenciais. Devem ser utilizados algoritmos seguros como RSA e AES (com
chaves de 256 bits ou superior).
Armazenar senhas de qualquer tipo utilizando algoritmos de hash + salt, no mínimo SHA-256.
Possuir controles para segregação dos dados de seus clientes, lógica e/ou fisicamente.
Armazenar ou processar os dados somente em países/regiões autorizados, conforme

COMUNICADO Nº 31.999, DE 10 DE MAIO DE 2018, emitido pelo Banco Central do Brasil
(https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Comunicado&numero=31999)
Manter documentação informando os locais (países/regiões) onde os dados são armazenados ou processados.
Possuir processo documentado de remoção/descarte seguro de informações.
Possuir um Plano/Processo de Resposta a Incidentes de Segurança da Informação documentado.
Possuir processo documentado para identificar, avaliar e corrigir vulnerabilidades de segurança da informação de forma periódica de
acordo com a criticidade.
Utilizar autenticação com múltiplos fatores para acesso de superusuários (administradores) a ambientes e/ou sistemas de TI
Possibilitar a extração das seguintes informações: usuários do sistema, usuários por perfil de acesso e transações disponíveis por perfil,
para sistemas fornecidos ou disponibilizados para uso.
Suportar autenticação de usuários cadastrados através de Federação, utilizando os protocolos OpenID Connect, OAuth 2.0 ou SAMLv2
para sistemas fornecidos ou disponibilizados para uso.

#

REQUISITO
Suportar autorização de usuários cadastrados através de Federação, utilizando os protocolos OpenID Connect, OAuth 2.0 ou SAMLv2 para
os sistemas fornecidos ou disponibilizados para uso.
Possuir perfis de acesso com funções segregadas. Ex.: Administrador, Aprovador, Consulta, etc., para sistemas fornecidos ou
disponibilizados para uso.
Gerar e manter registros de eventos (logs) de transações críticas, minimamente, eventos de autenticação com sucesso e falha, operações
de gestão de usuários e senhas, operações de alteração e exclusão de logs, para sistemas fornecidos ou disponibilizados para uso.
Gerar e manter registros de eventos (logs) contendo, minimamente, de nome de usuário, data e hora com fuso horário, endereço IP e
porta da origem do acesso, para os sistemas fornecidos ou disponibilizados para uso.
Adotar padrões e melhores práticas de desenvolvimento seguro como, por exemplo, OWASP Security Code Practices, Microsoft SDL -
Security Development Lifecycle, CERT Secure Coding, entre outros.
Adotar padrões e melhores práticas de desenvolvimento seguro na construção de web services e APIs REST.
Desenvolver softwares contemplando controles para prevenir falhas e proteção contra vulnerabilidades, conforme TOP 25 CWE/SANS.
Possuir controles para assegurar a proteção da aplicação web contra as vulnerabilidades descritas no Top Ten (OWASP).
Possuir controles para assegurar a proteção da aplicação web contra as vulnerabilidades descritas no Top Tem APIS (OWASP).
Possuir controles para assegurar a proteção da aplicação web contra as vulnerabilidades descritas no Top Ten Mobile (OWASP).
Desenvolver softwares que possuam compatibilidade com versões atualizadas e suportadas pelos fabricantes de sistema operacional,
banco de dados, plugins e outros serviços necessários para seu funcionamento.
Possuir processo formalizado de segurança para tratamento e armazenamento de credenciais e chaves utilizadas na autenticação e
autorização de APIs e webservices.

#

REQUISITO
Possuir relatórios que evidenciem a execução de testes de intrusão externos e/ou scans de vulnerabilidade internos periódicos, em
sistemas/aplicações/aplicativos fornecidos ou disponibilizados para uso.

#
UISITOS DE SEGURANÇA DA INFORMAÇÃO - v.4.1 (13/10/2021)
e-se em atender todos os requisitos aplicáveis, conforme texto sugerido abaixo:

mento integral é pré-requisito para a disponibilização e utilização do sistema ou serviço por parte do Sicredi."
NÍVEL DE
ATENDIMENTO OBSERVAÇÃO
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione

#

NÍVEL DE OBSERVAÇÃO
ATENDIMENTO
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione

#

ATENDIMENTO
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione

#

ATENDIMENTO
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione

#

ATENDIMENTO
Selecione

#
ORMAÇÃO - v.4.1 (13/10/2021)
gerido abaixo:
do sistema ou serviço por parte do Sicredi."
JUSTIFICATIVA

#
ORMAÇÃO - v.4.1 (13/10/2021)
gerido abaixo:
JUSTIFICATIVA

#
ORMAÇÃO - v.4.1 (13/10/2021)
gerido abaixo:
JUSTIFICATIVA

#
ORMAÇÃO - v.4.1 (13/10/2021)
gerido abaixo:
JUSTIFICATIVA

#
ORMAÇÃO - v.4.1 (13/10/2021)
gerido abaixo:
JUSTIFICATIVA

#
Nível de Atendimento
Selecione
Atende integralmente
Não atende
Não aplicável

#

Requisitos de SI v4.1

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Requisitos de SI v4.1

Enviado por

Direitos autorais:

Formatos disponíveis

INSTRUÇÕES PARA PREENCHIMENTO

2. O nível de atendimento deve ser preenchido conforme abaixo:

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

2. O nível de atendimento deve ser preenchido conforme abaixo:

3. Todas as respostas devem ser justificadas na coluna JUSTIFICATIVA.

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

2. O nível de atendimento deve ser preenchido conforme abaixo:

3. Todas as respostas devem ser justificadas na coluna JUSTIFICATIVA.

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

2. O nível de atendimento deve ser preenchido conforme abaixo:

3. Todas as respostas devem ser justificadas na coluna JUSTIFICATIVA.

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

2. O nível de atendimento deve ser preenchido conforme abaixo:

3. Todas as respostas devem ser justificadas na coluna JUSTIFICATIVA.

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

atendimento deve ser preenchido conforme abaixo:

Armazenar ou processar dados e informações em datacenter com classificação TIER 2 ou superior

Possuir um processo de Gestão de Mudanças para os ambientes de TI documentado.

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

atendimento deve ser preenchido conforme abaixo:

spostas devem ser justificadas na coluna JUSTIFICATIVA.

Possuir ferramentas, mecanismos ou controles para prevenir o vazamento de informações.

Possuir criptografia de disco nos equipamentos/dispositivos.

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

atendimento deve ser preenchido conforme abaixo:

spostas devem ser justificadas na coluna JUSTIFICATIVA.

Armazenar ou processar os dados somente em países/regiões autorizados, conforme

Possuir processo documentado de remoção/descarte seguro de informações.

Possuir um Plano/Processo de Resposta a Incidentes de Segurança da Informação documentado.

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

atendimento deve ser preenchido conforme abaixo:

spostas devem ser justificadas na coluna JUSTIFICATIVA.

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

atendimento deve ser preenchido conforme abaixo:

spostas devem ser justificadas na coluna JUSTIFICATIVA.

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

e-se em atender todos os requisitos aplicáveis, conforme texto sugerido abaixo:

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

e-se em atender todos os requisitos aplicáveis, conforme texto sugerido abaixo:

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

e-se em atender todos os requisitos aplicáveis, conforme texto sugerido abaixo:

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

e-se em atender todos os requisitos aplicáveis, conforme texto sugerido abaixo:

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

e-se em atender todos os requisitos aplicáveis, conforme texto sugerido abaixo:

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

Classificação da Informação: Uso Interno_x000D_ Classificação da informação: Uso Interno

Você também pode gostar