one Relatorio Visdo geral da fase para o Teste 02 Abaixo ha uma visdo geral das op¢ées assinaladas ao longo do questionario para o sis- tema, Sao apresentados trés blocos: controles aplicados, ndo aplicados e nao se aplica. Dividos pelo grupo de medidas de seguranca, conforme Guia de Avaliacao de Riscos de Seguranca e Privacidade. Controles definidos como “sim”, aplicados (0): Medidas de Seguranca e Privacidade Abertura, Transparéncia e Notificacao Nao ha controles Compliance com a Privacidade Nao ha controtes Consentimento e Escolha Nao ha controles Continuidade de Negocio Nao ha controles Controles Criptograficos Nao ha controles Controles de Acesso Logico Nao ha controles Controle de Acesso e Privacidade Nao ha controles Controles de Seguranga em Redes, Protecao Fisica e do Ambiente Nao ha controles Copia de Seguranca Nao ha controlesDesenvolvimento Seguro Nao ha controtes Gestdo de Capacidade e Redundancia Nao ha controles Gestao de Mudangas Nao ha controtes Gestdo de Riscos Nao ha controles Legitimidade e Especificacao de Propésito Nao ha controles Limitagao de Coleta Nao ha controtes Minimizagao de Dados Nao ha controles Participagao Individual e Acesso Nao ha controle Precisao e qualidade Nao ha controtes Registro de Eventos, Ra! Nao ha controles reabilidade e Salvaguarda de Logs Responsabilizagio Nao ha controles Resposta a Incidente Nao ha controtes Seguranga Web Nao ha controles Uso, Retengdo e Limitagao de Divulgagao Nao ha controles Controles definidos como "na ido aplicado (113): Medidas de Seguranca e Privacidade Abertura, Transparencia e Notificacéo 100 - A finalidade do tratamento é comunicada ao titular dos dados pessoais, mesmo no caso de execu- 0 de politicas publicas e competéncia legal, antes que as informagdes sejam coletadas ou usadas? 101 - No contrato, ha a obrigacaio do operador de dacios pessoais notificar o Controlador em caso de ocorrén- cia de violacao de dados pessoais? 102 - Os terceiros operadores de dads informaram no contrato sobre a.utilizagao de subcontratos para processar dados pessoais? 103 - Os titulares de dados pessoais séo noti- ficados de alteragées na forma de tratamento de dados? 104 - Séo fornecidas aos titulares de dados pes- soais informagies claras e facilmente acessiveis sobre as politicas, procedimentos, praticas do controla- dor de dacos pessoais em relacao ao manuseio de dadios pessoais (dados coletados, processamento efe- tuado, finalidade a ser alcancada com o processamento, com quem compartilha e a finalidade, capaci- dade de consentir compartilhamento especificos). como os dados sao protegidos. dados de comunicaco com 0 encarregado, entre outras informagées de importancia a transparéncia e publicidade?Compliance com a Privacidade 5- A Politica de Seguranca da Informagao ja foi revisada para se adequar a medidas que objetivem a pro- tego de dados pessoais? 41 - Foi elaborada uma politica de privacidade para o servico? 42 - Existe Rela- t6rio de Impacto & Protecdo de Dados Pessoais, conforme previsto na Lei 13709 de 14 de agosto de 2018. relacionado a solugao de TIC? 88 - O desenvolvimento dos sistemas tem como base os riscos e as medi- das de seguranga identificadas no RIPD (Relatério de Impacto de Protecdo & Dados Pessoais)? 89 - 0 de- senvolvimento dos sistemas é orientado a protecdo da privacidade dos dados pessoais (Privacy by De- sign}? 90 - Os contratos firmados com os operadores de dados pessoais contém clausulas que assegu- ram 0 tratamento de dados pessoais conforme previsto pela Lei Geral de Protecao de Dados? 91 - Ha uma politica ou norma de protecao de dados pessoais que aborde a finalidade da instituigao perante 0 proces- samento de dados: a transparéncia com relacao a coleta e processamento de dados pessoais; a estrutura estabelecida para a protecao de dados pessoais; regras para tomar decisdes em questdes de protecao de dads pessoais: critérios de aceitacao de risco de privacidade: compromisso de satisfazer os requisitos, aplicaveis de protegao a privacidade? 92 - Os controles de protecao de dados pessoais séio monitoracios e auditados periodicamente para garantir que as operagdes que envolvam dados pessoais estejam em con- formidade com as leis, regulamentos e termos contratuais aplicaveis? 93 - E implementada e mantida uma estratégia abrangente de treinamento e conscientizacao, destinada a garantir que os envolvidos en- tendam suas responsabilidades e os procedimentos de protecio de dados pessoais? 94 - A instituico monitora continuamente as acdes de protecdo de dados pessoais, a fim de determinar o progresso no cumprimento dos requisitos de conformidade com a proteao de dados pessoais e dos controles de pro- tegao de dados pessoais, comparar o desempenho em toda a organizacao, identificar vulnerabilidades tacunas na politica ¢ na implementagao ¢ identificar modelos de sucesso? Consentimento e Escolha 95 - 0 Controlador oblém consentimento (LGPD, art 7° . | do titular de dados para o tratamento de dados pessoais que nao se enquadre nas demais hipéteses previstas pelo art, 7° e 11 da LGPD? Continuidade de Negécio 3 - Sao implementados mecanismos e procedimentos para mitigar ataques de negacdo de servico, tais como balanceamento de carga, proxy, firewall, etc.? 4 - Existe um Plano de Continuidade de Negécio, que garanta o nivel adequadio de continuidade para a seguranga da informagao durante uma situagao ad- versa? 44 - Sao realizados, em intervalos de tempo predefinidos, simulagdes e/ou testes planejados, le- vando-se em consideracao as menores indisponibilidades e impactos possiveis nos processos de nego- cio, de forma que seja possivel identificar falhas que venham a comprometer qualquer parte do proceso de continuidade, com vistas a promover revisdes e atualizacdes periddicas dos Planos relacionados?44 - ‘S40 realizados, em intervalos de tempo predefinidos, simulacées e/ou testes planejados, levando-se em considerago as menores indisponibilidades ¢ impactos possiveis nos processos de negécio, de forma que seja possivel identificar falhas que venham a comprometer qualquer parte do processo de continui- dade, com vistas a promover revises e atualizagdes periédicas dos Planos relacionados? Controles Criptograficos 45 - Ha utilizacio de criptografia para a protegao dos dados sensiveis ou criticos armazenados em disposi- tivos méveis, midias removiveis ou em banco de dacos? 83 - © compartilhamento ou transferéncia de da- dos pessoais é realizado por meio de um canal criptografado e de cifra recomendada pelos sitios especia- lizados de seguranga (Exemplo: https//wwwssllabscom/ssltest/)? Controles de Acesso Légico 32 - E exigida autorizacdo prévia da autoridade competente para liberacao das credenciais de acesso para © gerenciamento dos sistemas que suportam 0 servigo? 48 - O sislema em analise segue uma politica de senha com defingao de tamanho minimo e formato? 49 - As informagées das credenciais de acesso dos usuarios estdo gravadas em recursos de tecnologia da informacao protegidos e sob a forma criptogra- fada? 50 - As informacées das credenciais de acesso dos usuarios sdo transmitidas de forma protegida? 51- Um mecanismo de recuperacao de senha esta implementado de forma a assegurar a recuperacao da senha de maneira segura, sem fornecimento de senha por parte da aplicago, e que obrigue a alteragaode senha do usuario no primeiro acesso? 52 - Uma andlise critica de direitos de acesso 6 realizada em um periodo de tempo previamente definido ou a qualquer momento depois de qualquer mudanga nos direi- tos de usuarios ou para verificagao de incidentes de seguranga? 53 - Ha mecanismos para encerramento (expirar) de qualquer sesso cuja inatividade do usuario exceda um periodo de tempo predeterminado? 54 - Existem restrig6es de autenticacao do usudrio para acesso simultaneo a servico(s), sistemals) e/ou rece(s) ao mesmo tempo? 55 - O sistema implementa restrigdes/limitadores para sucessivas tentativas de acesso mal sucedidas? 56 - As credenciais de acesso e logs sio armazenados separadamente dos da- dos das aplicacées e dos sistemas? Controle de Acesso e Privacidade 76 - As permissées de acesso (incluir, consultar, alterar, excluir) dos usuarios que executam a operacao de processamento de dados pessoais se limitam ao minimo necessério para realizar 0 processamento? 77 - O acesso para realizar as operagées de tratamento de dados pessoais ¢ provido ao nlimero minimo de indi- viduos necessarios para executar as operacées de tratamento? 78 - Meios de autenticagao forte so provi- dos para 0 processamento dos dados pessoais, em especial os dados sensiveis (dados de satide e demais dads previstos pelo art.5®, Il da LGPDI? 79 - A instituico controla por meio de um processo formal a con- cessdo de direitos de acesso privilegiado para o processamento de dados? Controles de Seguranga em Redes, Protecao Fisica e do Ambiente 7 O local que processa as informagées é restrito somente ao pessoal autorizado? 8 - O trabalho nas teas seguras é supervisionado? 9 - A rede corporativa é segmentada em dominios légicos (limitando aos, funcionarios 0 acesso as redes e aos servigos de rede especificamente autorizacios a usar), de acordo com cada rede local, atendendo as necessidades de fornecimento de servico publico e protecao da rede cor- porativa? 10 - O acesso externo aos sistemas é provide de meios de seguranca que protegem a confiden- cialidade e integridade dos dados trafegados, tais como o uso de VPN? 11 - Existem e sdo executados pro- cessos periédicos de cépias de seguranca das configuracées e sistemas operacionais dos switches e roteadores? Cépia de Seguranca 27 - Ha uma politica ou norma de backup que aborde os procedimentos operacionais que padronizam os processos de geracao de cépias de seguranga e recuperacao de arquivos, assim como os processos de controle de acesso, armazenamento, movimentagao e descarte das midias que contém cépias de segu- ranca? 28 - Esta estabelecida a abrangéncia dos procedimentos de backup para cada tipo de informag3o (por exemplo, completa ou diferencia? 29 - E definida a abrangéncia dos testes de backup e sua periodi- cidade, de forma que os testes sejam planejados observando as dependéncias e relacionamentos entre sistemas, considerando inclusive os ambientes de continuidade de negécios, com o objetivo de minimizar a possibilidade de que a auséncia de sincronismo entre os dados inviabilize ou dificulte sua recuperacao? 30 - As midias que contém cépias de seguranga sao armazenadas em uma localidade remota offsite’), a uma distancia suficiente que geranta sua integridade e disponibilidade contra possiveis danos advindos de um desastre ocortido no sitio primario? 31 - O periodo de retencao das cépias de seguranga e os requi- sitos de releitura sao predefinidos, levando-se em consideragao os requisitos de negécio, contratuais, re- gulamentares ou legais? 46 - Existe uma frequéncia estabelecida para geragao dos backups? 47 - E reali- zada cépias de seguranca dos logs de acordo com periodos de retencdo, que consideram os requisitos de negécio, contratuais, requlamentares ou legais? 110 - Os dados pessoais armazenados/retidos possuem controles de integridade permitindo identificar se os dados foram alterados sem permissao? Desenvolvimento Seguro 33 - Existe e 6 executado um processo formal de desenvolvimento de sistema seguro? 34 - As areas de desenvolvimento, teste, homologacdo e producao sao segregadas a fim de reduzir as possibilidades de modificacao ou uso indevido dos recursos de processamento da informagao, com controles de seguranga adequados para cada ambiente? 35 - Em caso de desenvolvimento de sistemas de informagao por tercei- 0S, 0 proprietario do ativo da informagao supervisiona o processo do planejamento até a implantagao? 36 - Quando hd a cépia dos dados de producao para os ambientes de desenvolvimento, teste e homologa- Go, ha autorizacao do proprietario do ativo de informagao? 63 - Requisitos de seguranga sao identificados© considerados em todas as fases do projeto do sistema? 64 - Existem controles de versao para garantira gestdo dos cédigos-fonte? 65 - As mensagens de erro do sistema nao revelam detalhes da sua estrutura interna? 66 - E realizada anilise estatica e/ou analise dindmica dos requisitos de seguranga cibernética do sistema? 107 - A instituigao revisa periodicamente as medidas de seguranga aplicadas nos ativos que rea- lizam o tratamento de dados pessoais (coleta, retencao, processamento, compartilhamento e eliminagao)? Gestdo de Capacidade e Redundancia 2- Ha mecanismos para monitoramento do uso dos recursos, de forma a atender as necessidades de ca- pacidade futura e garantir o desempenho requerido das aplicagées? 40 - Hé redundancia dos recursos de processamento da informagao suficiente pata atender aos requisitos de disponibilidade previstos em contrato? Gesto de Mudangas 12 - E realizado 0 controle de mudangas em atualizagoes de software e outros componentes das solugdes de TIC? 13 - Mudangas sao planejadas e testadas? 14 - Ha uma avaliacdo de impactos potenciais, riscos e consequéncias, incluindo impactos de seguranga cibernética, quando da identificagao de necessidade de mudangas? 15 - As mudangas so comunicadas para todas as partes interessadas? 16 - Existe um prazo formaimente definido para o tratamento de vulnerabilidades técnicas relevantes identificadas? Gestéo de Riscos 17 - Ha um inventario completo e atualizado dos ativos de informagao, contendo 0 fornecedor, o ntimero da versao, os dados pessoais processados, a classificacdo dos dados pessoais (sensiveis ou apenas dados pessoais), quais softwares esto instalados e em quais sistemas, e a(s) pessoals) na organizagéo responsavel(s) pelos ativos? 18 - Ha um processo de anélise e monitoramento de vulnerabilidades? 37 - E realizada periodicamente uma analise/avaliagao de riscos da arquitetura da Solucao de TIC, indicando os eventos de risco e seus respectivos niveis de risco ao qual o sistema esta exposto, baseada em prévia analise de vulnerabilidades dos ativos que compdem a Solucao de TIC? 38 - Os recursos de seguranca da informagao e de tecnologia da informacao encontram-se em versdes seguras, estaveis e atualizadas? 39 - O responsavel pelo sistema acompanna junto aos fabricantes o periodo de obsolescéncia do produto, para evitar que os componentes tornem-se expostos a vulnerabilidades sem corregao? Legitimidade e Especificagao de Propésito 6 - Os dados pessoais encontram-se classificados em sensiveis e nao sensiveis, incluindo categorias de informages pessoais de satide, informacées pessoais financeiras, entre outras? 43 - Ha um inventario completo e atualizado dos dados pessoais, contendo os agentes de tratamento (controlador e operadon), encarregado, descri¢ao do fluxo de tratamento dos dados pessoais (como sio coletados, armazenados, processados, retidos e eliminados), abrangéncia da area geografica do tratamento (nacional, estadual. municipal), finalidade do tratamento dos dados pessoais, categoria dos dados pessoais (identificacaio pes- soal, financeiros, caracteristicas pessoais, outros), categoria de dados sensiveis, dados pessoais comparti- thados e transferéncia internacional? 96 - 0 tratamento de dados pessoas ¢ realizado para 0 atendimento de sua finalidade puiblica, na persecugao do interesse ptiblico, com 0 objetivo de executar as competén- cias legais ou cumprir as atribuigdes legais do servico publico (embasamento legal)? 97 - As transferéncias internacionais de dados pessoais so realizadas de acordo com o disposto pelo art. 33 da Lei n® 13,709/2018 (LGPD)? Limitagao de Coleta 98 - Os dados coletados limitam-se ao minimo necessério para atendimento da finalidade do tratamento? 99 - E realizada uma analise periédica sobre os dados coletados, se eles continuam limitados ao minimo necessério para 0 atendimento a finaliciade? Minimizagao de Dados 105 - No processamento de dados. ¢ utilizado 0 minimo necessério de dados pessoais para atingir a finali- dade pretendida? 106 - € avaliada a necessidade de permitir que operadores e administradores de banco de dados usem linguagens de consulta, que habilitam recuperacao maciga automatizada de bases de da- dos que contém dados pessoais?Participacao Individual e Acesso 112 - Ainstituigao permite aos titulares dos dados pessoais, quando permitido pela legislacao aplicavel, a capacidade de acessar e revisar seus dados pessoais para elevar a integridade e preciso das informa- 96es? 113 - Ha um canal de comunicacao ativo, seguro e autenticado para o recebimento de reclamacées e manter um ponto de contato para receber e responder a reclamacées, preocupagées ou perguntas dos titulares sobre o tratamento de dados pessoais realizados pela instituigao? Precisao e qualidade 108 - A instituicdo implementa processos para que 0 tratamento dos dados pessoais seja preciso, com- pleto, atualizado, adequado e relevante para a finaliciade de uso? 109 - A instituicao implementa medidas que garantam e maximizem a preciso dos dados pessoais coletados, antes de qualquer armazenamento ou processamento de dados pessoais? Registro de Eventos, Rastreabilidade e Salvaguarda de Logs 57 - O log registra identificagao do usuario, incluinco administrador e acessos privilegiados? 58 - O log re- gistra endereco IP ou outro atributo que permita a identificagao de onde o usuario efetuou o acesso? 59 - log registra as agdes executadas pelos usuarios? 60 - O log registra data e hora do evento com alguma fonte de tempo sincronizada? 61 - Os logs gerados sao protegidos, quando da geracao, contra edigdo e exclusdo? 62 - Os logs sao protegidos contra 0 acesso indevido? 111 - As operacdes de processamento re- alizadas com dados pessoais sao registradas de modo a identificar a operagao realizada, quem realizou, data hora? Responsabilizagao 1- Ha uma matriz de responsabilidades com atribuicao das responsabllidades pela seguranga da informa- Ao na organizagao, pela protecao de dados (encarregado), identificacaio dos gestores de servigos com dados pessoais, operadores de tratamento de dados, de forma a evidenciar a segregacao de funcées e assegurar que colaboradores e partes externas entendam suas responsabilidades? 84 - No compartitha- mento de dados com terceiro operador ou érgéios puiblicos, sao documentadas as informagées de limita- cdo do tratamento dos dados pessoais 20 minimo necessario para atendimento do fornecimento do ser- Vigo e dispositivo legal? 85 - Acordos de confidencialidade, termos de responsabilidade. termos de sigilo so assinados com os orgaos e operadores de dados pessoais? E importante que os termos e acordos in- formem a respeito dos itens a seguir, mas a eles ndo se limitem: tipos de tratamento de dados pessoais a serem realizados por quem ira receber os dads; agbes requeridas quando do encerramento do comparti- thamento, como destruigao dos dados, responsabilidade e acdes dos signatérios para evitar a divulgacao no autorizada dos dados pessoais: base legal pata o compattithamento: direito de auditar e monitorar as atividades que envolvem os dados pessoais; processo para notificar ou relatar vazamentos: violacdes ou divulgagSes nao autorizadas dos dados pessoais; agdes a serem tomadas diante da violacao do acordo; ¢ outras medidas possiveis. 86 - Os contratos firmados com os operadores contém clausulas que contem- plam, nao se limitando a: uma declara¢ao adequada sobre a escala, natureza e finalidade do processa- mento contratado; relatar casos de violagao de dados, processamento no autorizado ou outro nao cum- primento dos termos e condigées contratuais: medidas aplicaveis na resciséo do contralto, especialmente no que diz respeito a exclusdo segura de dados pessoais; impedimento de tratamento de dados pessoais por subcontratados, exceto por aprovacao do controlador? 87 - 0 compartilhamento e a transferéncia de dados pessoais com terceiros operadores ou érgaos puiblicos s4o registrados, incluindo quais dados pes- soais foram divulgados, a quem, a que horas e com que finalidade? Resposta a Incidente 19 - Existe uma equipe de deteccdo. tratamento e resposta a incidentes de seguranga cibernética (CSIRTI? 20 - Existe um canal apropriado para notificar os incidentes de seguranga da informagao de forma rapida? 21- Existem formalmente e sao executados procedimentos especificos para resposta aos incidentes, con- templando: a definicao de incidente: o escopo da resposta; quando e por quem as autoridades devem ser contatadas: papéis, responsabilidades e autoridades: avaliagao de impacto do incidente: medidas para re- duzir a probabilidade e mitigar o impacto do incidente: descrigao da natureza dos dados pessoais afeta- dos; as informacées sobre os titulares de dados pessoais envolvidos; procedimentos para determinar seum aviso para individuos afetados e outras entidades designadas (por exemplo, érgaos reguladores) 6 ne- cessario? 22 - Os ativos de informagao esto configurados de forma a registrar todos 0s eventos relevan- tes de seguranga da informagao, contendo, pelo menos, a identificagao inequivoca do usuario, a natureza do evento, a data, hora e fuso horério, o identificador do ativo de informago, as coordenadas geograficas, se disponiveis, e outras informagées que possam identificar a possivel origem do evento? 23 - Ha um sis- tema para monitoramento de aplicacées, alertas e vulnerabilidades utilizado para auxiliar na deteccao e tratamento de incidentes de seguranga cibernética (IPS, IDS. etc.)? 24 - 0 plano de comunicacao foi atuali- zado para incluir os contatos que devem ser notificados, caso haja uma violagao de privacidade, ou para reportar detalhes de processamento, como contatos com a autoridade de protegdo de dados e/ou gru- pos diretamente relacionados? 25 - Nos casos em que seja inviével preservar as midias de armazena- mento em razao da necessidade de pronto restabelecimento do servico afetado, o agente responsavel pelo CSIRT coleta e armazena cépia dos arquivos afetados pelo incidente, tais como: logs, configuracées do sistema operacional, arquivos do sistema de informacao, e outros julgados necessarios, mantendo-se a estrutura de diretérios original, bem como os "metadados" desses arquivos, como data, hora de criagdo & permissées: registrando em relatério a impossibilidade de preservar as midias afetadas e listando todos os procedimentos adotados? 26 - Os arquivos coletados como evidéncias sao gravados em conjunto com 0 arquivo coma lista dos resumes criptograficos? Seguranga Web 67 - O servidor da aplicagao fornece opgées de protocolos criptograficos para conexao em versdes segu- ras, estaveis e atualizadas? 68 - O servidor da aplicagao tem configurado 0 cabegalho HTTP com X-XSS- Protection para evitar que usuarios de navegadores antigos sejam vulneraveis a ataques de Cross-site Scripting (XSS)? 69 - O servidor da aplicagao tem configurado o cabegalho HTTP com X-Frame-Options para evitar que usuarios caiam em ataques de clickjacking? 70 - O servidor da aplicacao tem configurado © cabecalho HTTP com HTTP Stricl-Transport-Security (HSTS) para garantir que todo o trafego de dados ocorra criptografado? 71 - O servidor da aplicacao implementa politicas (Content Security Policy (CSP) que validam a renderizagao da pagina e protegem contra ataques de injego de contetido como Cross-Site Scripting (XSS)? 72 - 0 servidor da aplicacao implementa o X-Content-Type-Options para evitar que nave- gadiores como Internet Explorer e Chrome interpretem o contetido da pagina e execute o dado como c6- digo? 73 - Os cookies da aplicagao sao enviados para o usuario apenas através de conexées criptografa- daas (flag SECURE)? 74 - A aplicacao esta configurada para que 0s cookies nao possam ser acessiveis Via comando JavaScript. evitando assim ataques cross-site scripting (XSS) (flag HTTPOnly)? 75 - O servidor da aplicagao esta configurado com o cabegalho Subresource Integrity (SRI) para proteger contra invasores que modifiquem 0 contevido de bibliotecas JavaScript hospedadas em redes de entrega de contetido (CONS)? Uso, Retengao ¢ Limitagao de Divulgacao 80 - Os dados pessoais utilizados em ambiente de TDH (teste, desenvolvimento e homologagao) passa- ram por um processo de anonimizagao? 81 - A institui¢ao utiliza técnicas ou métodos apropriados para ga- rantir exclusdo ou destruicdo segura de dados pessoais (incluindo originals, cépias e registros arquivados), de modo a impedir sua recuperacao? 82 - Ao fornecer a base de informagées para rgdos de pesquisa, os dados pessoais s40 anonimizados ou pseudoanonimizados? Controles definides como “nao se aplica” (0): Medidas de Seguranca e Privacidade Abertura, Transparéncia e Notificagao Nao ha controles Compliance com a Privacidade Nao ha controles Consentimento e Escolha Nao ha controlesContinuidade de Negécio Nao ha controles Controles Criptogratficos Nao ha controles Controtes de Acesso Logico Nao ha controles Controle de Acesso e Privacidade Nao ha controles Controles de Seguranga em Redes, Protecao Fisica e do Ambiente Nao ha controles Copia de Seguranca Nao ha controles Desenvolvimento Seguro Nao ha controles Gestao de Capacidade e Redundancia Nao ha controles Gestdo de Mudangas Nao ha controles Gestao de Riscos Nao ha controles Legitimidade e Especificacao de Propésito Nao ha controles Limitagao de Coleta Nao ha controles Minimizagao de Dados Nao ha controles Participacao Individual e Acesso Nao ha controles Precisdo e qualidade Nao ha controles Registro de Eventos, Rastreabilidade e Salvaguarda de Logs Nao ha controles Responsabilizagao Nao ha controles Resposta a Incidente Nao ha controles Seguranga Web Nao ha controles Uso, Retencao ¢ Limitagao de Divulgagao Nao ha controles‘Sugestao: Realize a impressao desta pagina com o nome Relatério Parte 2 - Controles Gerais, com CTRLP,