Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Todos os requisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
4. Após o preenchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em a
"Nos comprometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento int
ID CATEGORIA
1 Política de Segurança da
Informação
2 Política de Segurança da
Informação
Política de Segurança da
3 Informação
4 Política de Segurança da
Informação
5 Política de Segurança da
Informação
6 Política de Segurança da
Informação
7 Conformidade de
Segurança da Informação
Conformidade de
8 Segurança da Informação
9 Conformidade de
Segurança da Informação
10 Continuidade das
Operações
11 Continuidade das
Operações
1. Todos os requisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
4. Após o preenchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em a
"Nos comprometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento int
ID CATEGORIA
12 Proteção Física
13 Proteção Lógica
14 Proteção Lógica
15 Proteção Lógica
16 Proteção Lógica
17 Proteção Lógica
18 Proteção Lógica
19 Proteção Lógica
20 Proteção Lógica
21 Proteção Lógica
22 Criptografia de
Informações
23 Criptografia de
Informações
1. Todos os requisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
4. Após o preenchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em a
"Nos comprometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento int
ID CATEGORIA
Criptografia de
24 Informações
25 Criptografia de
Informações
26 Gestão de Dados
27 Gestão de Dados
28 Gestão de Dados
29 Gestão de Dados
30 Gestão de Incidentes
31 Gestão de
Vulnerabilidades
32 Identidade e Acesso
33 Identidade e Acesso
34 Identidade e Acesso
1. Todos os requisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
4. Após o preenchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em a
"Nos comprometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento int
ID CATEGORIA
35 Identidade e Acesso
36 Identidade e Acesso
37 Registro de
Eventos
Registro de
38 Eventos
39 Desenvolvimento Seguro
40 Desenvolvimento Seguro
41 Desenvolvimento Seguro
42 Desenvolvimento Seguro
43 Desenvolvimento Seguro
44 Desenvolvimento Seguro
45 Desenvolvimento Seguro
46 Desenvolvimento Seguro
1. Todos os requisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
4. Após o preenchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em a
"Nos comprometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento int
ID CATEGORIA
47 Desenvolvimento Seguro
equisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
enchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em atender todos os requisitos apl
ometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento integral é pré-requisito para a di
REQUISITO
Possuir uma Política de Segurança da Informação, publicada e formalmente aprovada pela direção da empresa.
Possuir um ponto focal de contato para assuntos e atividades relacionados à segurança da informação.
Informar telefone e e-mail na coluna JUSTIFICATIVA.
Prever em sua Política de Segurança da Informação a existência de critérios e controles aplicados, conforme a classificação das
informações.
Prever em sua Política de Segurança da Informação processos para execução de backup de dados e testes de restore, sendo mantidos
logs evidenciando a execução destes processos.
Possuir cláusulas de confidencialidade e não divulgação nos contratos de trabalho com seus funcionários ou terceiros.
Possuir ações de conscientização para capacitar e disseminar a cultura de segurança da informação a seus funcionários e terceiros.
Garantir que todos os requisitos de Segurança da Informação atendidos, sejam atendidos também pelos seus prestadores de serviço
contratados que tenham acesso, processem ou armazenem dados ou informações.
Possuir relatórios de conformidade obtidos junto ao PCI SSC, para escopos relacionados ao armazenamento, processamento ou
transmissão de dados de portadores de cartões ou dados de autenticações de cartões. Entre os relatórios de conformidade minimamente
esperados estão os relacionados aos padrões PCI-DSS, PA-DSS, PIN e TSP.
Possuir controles para garantir que as informações sejam recuperadas e estejam acessíveis, de acordo com a necessidade de negócio.
equisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
enchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em atender todos os requisitos apl
ometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento integral é pré-requisito para a di
REQUISITO
Garantir que o datacenter onde são armazenadas ou processadas as informações, seja próprio ou em nuvem, possua controles de acesso
físico, incluindo cadastro e revogação de acessos, registros de entrada e saída e segregação dos demais ambientes.
Possuir, minimamente, tecnologias de proteção anti-malware, firewall, IPS, ataques DoS e DDoS, com atualizações aplicadas
periodicamente.
Possuir um processo periódico de atualizações (patches) de segurança, incluindo sistema operacional atualizado, para os ativos do
ambiente de TI.
Disponibilizar serviços web em ambiente de TI protegido por tecnologias/sistemas WAF (Web Application Firewall).
Possuir mecanismos de proteção relacionados ao acesso remoto de funcionários ou terceiros, tais como VPN e acesso através de
múltiplos fatores de autenticação.
Não permitir a utilização de equipamentos (notebooks/desktops) particulares para execução de atividades de trabalho.
Possuir controles e filtro de conteúdo para navegação na Internet, impossibilitando o acesso a sites externos que representem riscos à
segurança das informações.
Aplicar bloqueio para utilização de mídias de armazenamento removíveis em seus equipamentos (notebooks e desktops).
Possuir recursos tecnológicos que possibilitem a criação de rede virtual privada (VPN) do tipo Site-to-Site.
Utilizar criptografia com padrões TLSv1.2 ou superior, com chave de 128 bits ou superiores para qualquer transmissão de informações.
Estes padrões devem suportar SHA-256 com RSA-2048 ou superior.
equisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
enchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em atender todos os requisitos apl
ometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento integral é pré-requisito para a di
REQUISITO
Utilizar criptografia para armazenamento de informações confidenciais. Devem ser utilizados algoritmos seguros como RSA e AES (com
chaves de 256 bits ou superior).
Armazenar senhas de qualquer tipo utilizando algoritmos de hash + salt, no mínimo SHA-256.
Possuir controles para segregação dos dados de seus clientes, lógica e/ou fisicamente.
Manter documentação informando os locais (países/regiões) onde os dados são armazenados ou processados.
Possuir processo documentado para identificar, avaliar e corrigir vulnerabilidades de segurança da informação de forma periódica de
acordo com a criticidade.
Utilizar autenticação com múltiplos fatores para acesso de superusuários (administradores) a ambientes e/ou sistemas de TI
Possibilitar a extração das seguintes informações: usuários do sistema, usuários por perfil de acesso e transações disponíveis por perfil,
para sistemas fornecidos ou disponibilizados para uso.
Suportar autenticação de usuários cadastrados através de Federação, utilizando os protocolos OpenID Connect, OAuth 2.0 ou SAMLv2
para sistemas fornecidos ou disponibilizados para uso.
equisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
enchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em atender todos os requisitos apl
ometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento integral é pré-requisito para a di
REQUISITO
Suportar autorização de usuários cadastrados através de Federação, utilizando os protocolos OpenID Connect, OAuth 2.0 ou SAMLv2 para
os sistemas fornecidos ou disponibilizados para uso.
Possuir perfis de acesso com funções segregadas. Ex.: Administrador, Aprovador, Consulta, etc., para sistemas fornecidos ou
disponibilizados para uso.
Gerar e manter registros de eventos (logs) de transações críticas, minimamente, eventos de autenticação com sucesso e falha, operações
de gestão de usuários e senhas, operações de alteração e exclusão de logs, para sistemas fornecidos ou disponibilizados para uso.
Gerar e manter registros de eventos (logs) contendo, minimamente, de nome de usuário, data e hora com fuso horário, endereço IP e
porta da origem do acesso, para os sistemas fornecidos ou disponibilizados para uso.
Adotar padrões e melhores práticas de desenvolvimento seguro como, por exemplo, OWASP Security Code Practices, Microsoft SDL -
Security Development Lifecycle, CERT Secure Coding, entre outros.
Adotar padrões e melhores práticas de desenvolvimento seguro na construção de web services e APIs REST.
Desenvolver softwares contemplando controles para prevenir falhas e proteção contra vulnerabilidades, conforme TOP 25 CWE/SANS.
Possuir controles para assegurar a proteção da aplicação web contra as vulnerabilidades descritas no Top Ten (OWASP).
Possuir controles para assegurar a proteção da aplicação web contra as vulnerabilidades descritas no Top Tem APIS (OWASP).
Possuir controles para assegurar a proteção da aplicação web contra as vulnerabilidades descritas no Top Ten Mobile (OWASP).
Desenvolver softwares que possuam compatibilidade com versões atualizadas e suportadas pelos fabricantes de sistema operacional,
banco de dados, plugins e outros serviços necessários para seu funcionamento.
Possuir processo formalizado de segurança para tratamento e armazenamento de credenciais e chaves utilizadas na autenticação e
autorização de APIs e webservices.
equisitos devem ser respondidos, sem exceção, preenchendo-se com o nível de atendimento.
enchimento de todas as respostas, a empresa deverá incluir na proposta comercial/técnica o texto onde compromete-se em atender todos os requisitos apl
ometemos em atender todos os requisitos de Segurança da Informação aplicáveis e concordamos que o seu atendimento integral é pré-requisito para a di
REQUISITO
Possuir relatórios que evidenciem a execução de testes de intrusão externos e/ou scans de vulnerabilidade internos periódicos, em
sistemas/aplicações/aplicativos fornecidos ou disponibilizados para uso.
NÍVEL DE
ATENDIMENTO OBSERVAÇÃO
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
NÍVEL DE OBSERVAÇÃO
ATENDIMENTO
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
NÍVEL DE OBSERVAÇÃO
ATENDIMENTO
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
NÍVEL DE OBSERVAÇÃO
ATENDIMENTO
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
Selecione
NÍVEL DE OBSERVAÇÃO
ATENDIMENTO
Selecione
gerido abaixo:
do sistema ou serviço por parte do Sicredi."
JUSTIFICATIVA
gerido abaixo:
do sistema ou serviço por parte do Sicredi."
JUSTIFICATIVA
gerido abaixo:
do sistema ou serviço por parte do Sicredi."
JUSTIFICATIVA
gerido abaixo:
do sistema ou serviço por parte do Sicredi."
JUSTIFICATIVA
gerido abaixo:
do sistema ou serviço por parte do Sicredi."
JUSTIFICATIVA