Escolar Documentos
Profissional Documentos
Cultura Documentos
de seguros
APRESENTAÇÃO DA EMPRESA
1. Razão Social:
2. CNPJ:
3. Endereço principal:
7. Quantidade de funcionários:
8. Site:
1
Paulo Sperb Corretora
de seguros
11. Houve alteração da razão social, aquisição, fusão ou incorporação nos últimos 5 anos?
( ) Sim ( )Não
Em caso afirmativo, detalhar:
13. Faturamento
Europ EU Canad Asi Outro Global -
Brasil
13.1 Faturamento Bruto - em Reais a A á a s Total
Projetada para os Próximos 12
meses
Realizado nos Últimos 12 meses
2
Paulo Sperb Corretora
de seguros
Dados de saúde
3
Paulo Sperb Corretora
de seguros
GOVERNANÇA E COMPLIANCE
19. A Proponente possui:
Sim / Imediato
Não Cargo Superior
Um responsável dedicado à Segurança de
Informação?
Um responsável dedicado à Segurança de Rede?
Um diretor de compliance?
Um encarregado de proteção de dados (DPO)?
Controle de Acesso
Gestão de ativos
Classificação de dados
Descarte de dados
Segurança de rede
Segurança física
Privacidade de dados
Segurança da informação
Gestão de vulnerabilidades
23. Com qual frequência a política de privacidade de dados é revisada? Quando foi a
última revisão?
24. Com qual frequência são realizadas auditorias de riscos de segurança da informação?
4
Paulo Sperb Corretora
de seguros
26. Possui certificado PCI DSS (Payment Card Industry Data Security Standard)?
( ) Sim ( )Não
Em caso afirmativo, informar o nível exigido (1 / 2 / 3 / 4 / N/A) e a data da última
certificação.
5
Paulo Sperb Corretora
de seguros
ATIVIDADES TERCEIRIZADAS
Recursos Humanos
Atendimento ao Cliente
Marketing
Atividade Principal
Tecnologia da Informação
Auditoria interna
Outros, especificar:
28. É mantida lista de todos os fornecedores que têm acesso à rede e/ou fornecedores
com os quais são compartilhadas informações de terceiros?
( ) Sim ( )Não
30. A Proponente exige que os terceirizados possuam seus próprios seguros de proteção
de dados?
( ) Sim ( )Não
6
Paulo Sperb Corretora
de seguros
33. Há proteção de antivírus em toda rede (computadores, e-mail servidores), inclusive nos
dispositivos portáteis?
( ) Sim ( )Não
Em caso negativo, especificar onde NÃO HÁ antivírus.
34. São instalados firewalls entre os ambientes de redes distintos (redes, redes sem fio e
internet) ?
( ) Sim ( )Não
35. São utilizados sistemas de detecção e prevenção de invasões (rede e/ou local) e as
assinaturas e anomalias são atualizadas periodicamente? (Ex: IDS / IPS)
( ) Sim ( )Não
36. Existe um processo formal de gestão de mudanças que leva em consideração os riscos
de segurança e privacidade de dados? (ex: instalação de patches, mudanças de regras
de firewall)
( ) Sim ( )Não
37. São realizadas varreduras de vulnerabilidade (interna e externa) e Pen tests de forma
periódica?
( ) Sim ( )Não
Qual frequência?
40. A proponente concede acesso remoto a sua rede, dados ou sistemas internos?
( ) Sim ( )Não
Esclareça a quem é concedido e à quais ambientes ou dados:
41. É utilizada autenticação em dois passos para todos os acessos remotos à rede interna
(EX VPN)?
( ) Sim ( )Não
7
Paulo Sperb Corretora
de seguros
45. Há implantado controles relacionados à segurança física do local para proibir o acesso
não autorizado ao sistema de computadores e data center?
( ) Sim ( )Não
47. Se for necessário aplicar uma atualização (patch) crítica, ela poderia ser aplicada
imediatamente?
( ) Sim ( )Não
Em caso negativo, quanto tempo levaria para aplicá-la?
48. Todos dados pessoais e/ou sensíveis estão sempre criptografados enquanto:
( )Digitalmente em trânsito
( )Armazenado em servidores
( )Armazenado em mídia portátil
53. A Proponente utiliza antivírus que detecta malware, spyware em todos os terminais de
acesso?
( ) Sim ( )Não
55. A proponente depende de sistemas operacionais que não são mais suportados ou são
considerados obsoletos?
( ) Sim ( )Não
Em caso afirmativo, liste os casos e informe as correções programadas para
adequação.
8
Paulo Sperb Corretora
de seguros
56. O site da proponente permite input de conteúdos por meio de interação com redes
sociais, blogs, etc?
( ) Sim ( )Não
9
Paulo Sperb Corretora
de seguros
RANSOMWARE
57. Marque abaixo todas as opções que a Proponente adota de medidas para mitigação de
ataques Phishing:
( ) A Proponente fornece treinamentos de conscientização de segurança aos
funcionários pelo menos anualmente.
( ) A Proponente utiliza simulações de ataques de Phishing para testar a
conscientização dos funcionários pelo menos anualmente.
( ) Nas simulações de ataques de Phishing realizadas pelo Proponente, a taxa de
sucesso é menor que 15% (menos de 15% dos funcionários caíram no ataque)
( ) O Proponente utiliza tags ou outros meios para identificar e-mails recebidos de fora
da organização.
( ) A Proponente possui um processo para reporte de e-mails suspeitos para um time
interno de segurança realizar investigações.
( ) Nenhuma das opções acima.
- Inclua comentários adicionais sobre os esforços da companhia para mitigar o risco de
Phishing:
59. Em relação aos esforços do Proponente para bloquear websites e/ou e-mails
potencialmente maliciosos, selecione todas as opções que se aplicam.
( ) A Proponente utiliza uma solução de filtro de e-mails que bloqueia anexos
maliciosos conhecidos e tipos de arquivos suspeitos, incluindo arquivos executáveis.
( ) A Proponente utiliza uma solução de filtro de e-mails que bloqueia mensagens com
base no conteúdo ou atributos do remetente.
( ) A Proponente utiliza soluções de filtro de navegação web que impede o funcionário
de visitar páginas web maliciosas ou de conteúdo suspeito.
( ) A Proponente utiliza filtros DNS para bloquar o acesso a domínios não
categorizados e domínios registrados há pouco tempo.
( ) A Proponente utiliza soluções de filtro de navegação web que bloqueia o download
de arquivos suspeitos ou maliciosos, incluindo arquivos executáveis.
( ) A solução de filtro de e-mails do Proponente possui capacidades de executar
anexos suspeitos em sandbox.
( ) As capacidades do filtro de navegação web do Proponente são efetivas em todos
os dispositivos corporativos, mesmo quando o dispositivo não está conectado à rede
corporativa. (exemplo: dispositivos são configurados para utilizer filtros de navegação
web baseados em cloud ou requer uma conexão VPN para navegação na internet).
( ) Nenhuma das opções acima.
- Inclua comentários adicionais sobre os esforços da companhia para bloquear
websites ou e-mails maliciosos:
10
Paulo Sperb Corretora
de seguros
autenticação (algo que você sabe, algo que você tem, e algo que você é); o
Proponente pode fornecer mais detalhes abaixo)
( ) Acesso remoto à recursos corporativos requer uma combinação válida de usuário e
senha (único fator de autenticação).
( ) Autenticação multi fator está implantada para acesso remoto a alguns tipos de
recursos corporativos, mas não todos.
( ) Autenticação multi fator é requerida por política para acesso remoto a qualquer
recurso corporativo; todas as exceções à esta política são documentadas.
( ) A Proponente não fornece acesso remoto aos funcionários.
- Inclua comentários adicionais sobre requisitos de autenticação adotados pela
companhia:
61. Com relação a autenticação para prestadores de serviço e fornecedores que acessam
remotamente a rede corporativa e serviços baseados em nuvem que armazenem
dados sensíveis (incluindo acesso VPN, e-mail baseado em nuvem e soluções de
CRM), selecione a descrição que melhor representa a postura atual do Proponente:
( ) Acesso remoto à recursos corporativos requer uma combinação válida de usuário e
senha (único fator de autenticação).
( ) Autenticação multi fator está implantada para acesso remoto a alguns tipos de
recursos corporativos, mas não todos.
( ) Autenticação multi fator é requerida por política para acesso remoto a qualquer
recurso corporativo; todas as exceções à esta política são documentadas.
( ) A Proponente não fornece acesso remoto aos funcionários.
- Inclua comentários adicionais sobre os requisitos de autenticação para acessos de
prestadores de serviços adotados pela companhia:
11
Paulo Sperb Corretora
de seguros
65. Qual é o tempo médio para o Proponente detectar e conter incidentes de segurança
em estações de trabalho?
( ) Proponente não mede este indicador.
( ) < 30 minutos.
( ) Entre 30 minutos e 2 horas
( ) Entre 2 e 8 horas
( ) Mais que 8 horas
- Comentários adicionais sobre o tempo para contenção de incidentes:
12
Paulo Sperb Corretora
de seguros
70. Em relação a segurança de sistemas acessíveis via internet, selecione todas as opções
que se aplicam ao Proponente:
( ) Proponente realiza testes de invasão pelo menos anualmente para avaliar a
segurança dos sistemas acessíveis via internet.
( ) Proponente possui Web Application Firewall (WAF) configurado no modo bloqueio
para proteção das aplicações acessíveis via internet.
( ) Proponente utiliza algum serviço externo para monitorar sua superfície de ataque
(sistemas externos/acessíveis via internet).
( ) Nenhuma das opções acima.
13
Paulo Sperb Corretora
de seguros
14
Paulo Sperb Corretora
de seguros
82. A Proponente adota alguma metodologia reconhecida pelo mercado? (NIST, NBR
ISSO/IEC 27002:2013, se outra citar)
( ) Sim ( )Não
83. Após quanto tempo o negócio será impactado por perda de acesso a rede? ____
84. Quanto tempo demorará para restaurar inteiramente os sistemas críticos? _____
85. A Proponente ou seu provedor de serviços de nuvem configura sua rede para oferecer
alta disponibilidade ou proteção de transferência (failover) para seu website ou outras
aplicações críticas? Em caso negativo, especifique.
( ) Sim ( )Não
15
Paulo Sperb Corretora
de seguros
90. Indicar os sistemas os quais a empresa depende para operar seus negócios, incluindo
aqueles operados por fornecedores externos:
16
Paulo Sperb Corretora
de seguros
RECLAMAÇÕES E NOTIFICAÇÕES
91. Nos últimos três anos a proponente foi notificada por qualquer violação dos direitos de
propriedade intelectual por qualquer terceiro?
( ) Sim ( )Não
92. Nos últimos três anos a proponente sofreu qualquer invasão de sistema, furto de dados
ou outras perdas de dados?
( ) Sim ( )Não
93. Nos últimos três anos a proponente foi notificado por qualquer terceiro que informações
pessoais foram comprometidas a partir dos sistemas da proponente?
( ) Sim ( )Não
94. Nos últimos três anos a proponente notificou terceiros sobre informações pessoais
comprometidas?
( ) Sim ( )Não
95. A proponente já foi alvo de uma investigação por uma agência regulatória ou órgão
governamental em decorrência de vazamento de informações?
( ) Sim ( )Não
96. Nos últimos três anos a proponente sofreu algum ataque de negação de servilo
(DDOS)?
( ) Sim ( )Não
17
Paulo Sperb Corretora
de seguros
OUTRAS INFORMAÇÕES
98. A proponente possui seguro de Riscos Cibernéticos? ( ) Sim ( )Não
99. Qual companhia seguradora?
100. Favor informar a(s) importância(s) segurada(s) pretendida(s):
( ) R$ 1.000.000,00
( ) R$ 3.000.000,00
( ) R$ 5.000.000,00
( ) R$ 7.000.000,00
( ) R$ 10.000.000,00
( ) Outras:
DECLARAÇÃO
A assinatura desta proposta não obriga nem o Proponente nem a seguradora a efetivar o
seguro, mas fica desde já acordado que esta proposta deverá ser a base do contrato caso a
apólice venha a ser emitida, e lhe será anexada, passando a ser parte integrante da mesma.
Declaro que as informações do presente questionário são verdadeiras e que nenhum fato tenha
sido suprimido. Concordo que este questionário, juntamente com quaisquer outras informações
fornecidas, é parte integrante do contrato de seguro. Fica entendido e acordado que o
Proponente está obrigado a informar a(s) seguradora(s) de qualquer alteração substancial com
relação aos fatos ocorridos antes do início de vigência do contrato de seguro.
Data:
__________________________________________
Nome e Assinatura
18