Treinamento Especifico Data Security and Privacy - Bradesco

IBM Global Business Services
Treinamento Específico de Data

Security & Privacy (DS&P)
Bradesco – BZBCLOD e BZBCLPE
PM: Rafael Coloda
SE: Luiz Vitoria Isaac Costa Casagrande
PMO: Luiz Matheus Ribeiro Menescal Campos / Isabella Silva
Updated 4.0 – March 2023
© Copyright IBM Corporation 2007

04/10/24 IBM Global Business Services
Objetivo do material
 Introduzir os novos membros do time de trabalho do Projeto no conhecimento,

prática e coleta de evidências do Data Security & Privacy (DS&P).
 Fornecer orientações sobre a implementação dos controles de negócios em
projetos de GBS Latin America
 Cumprir as políticas de DS&P da IBM e os requisitos específicos do cliente para o
projeto
 Minimizar os riscos relacionados com DS&P no projeto
2 IBM Confidential (Once Filled Up) © Copyright IBM Corporation 2009

Conteúdo
1. Introdução
2. O que é Data Security & Privacy (DS&P)?
3. O que é Personal Information (PI)?
4. O que é Sensitive Personal Information (SPI)?
5. O que é es Business Sensitive Information (BSI)?
6. Responsabilidades Gerais: On/Off-boarding
7. Responsabilidades Gerais: Treinamento
8. Treinamento requerido no On-boarding do projeto
9. Responsabilidades Gerais : Acesso PI/SPI/BSI
10. Responsabilidades Gerais : Armazenamento e Distribuição de PI/SPI/BSI
11. Responsabilidades Gerais : Transporte de PI/SPI/BSI
12. Responsabilidades Gerais : Utilização de PI/SPI/BSI
13. Responsabilidades Gerais : Uso da estação de trabalho (Workstation)
14. Responsabilidades Gerais: Processo de registro de usuários privilegiados na IBM
15. Responsabilidades Gerais : Segurança da Senha
16. Riscos e requisitos específicos do cliente para DS&P no projeto
17. Sumário
IBM Confidential (Once 3 © Copyright IBM Corporation 2009

Filled Up)
Conteúdo:
Anexo mandatorio para Project Managers
18.Como DS&P é implementado em LA?

19.Controles cobertos pelo framework de DS&P
20.O que fazer quando o PM entra no projeto?
21.O que fazer quando um novo funcionário entra/sai do projeto?
22.O que fazer se houver acesso ao PI/SPI/BSI no projeto?
23.O que fazer se houver usuários privilegiados no projeto?
24.O que fazer se houver usuários compartilhados e, ou emergenciais no projeto?
25.Controles adicionais – Application Management – external (ITAme)
26.Open Source Software (OSS)
27.Repositórios e gestão de informação
28.Referências

Filled Up)
1. Introdução
 A divulgação de informações pessoais (PI/SPI/BSI) ou a não proteção da segurança dos sistemas
do cliente podem afetar a IBM:
– O número de leis e regulamentos nessa área continua a crescer (por exemplo, GDPR:
Regulamento Geral de Proteção de Dados)
– Violações são relatadas nas notícias quase toda semana.
 Uma violação pode realmente acontecer? Quais as consequências?

– Impacto negativo na marca IBM e manchar a reputação no mercado
– Publicidade negativa
– Danos nos relacionamentos devido à perda de confiança
– Danos à posição competitiva da IBM
– Perda de possíveis negócios futuros
– Potencial litígio
– Investigações
– Potenciais sanções regulatórias
– Perda de recursos valiosos
 O estudo anual de 2017 do Instituto Ponemon dos EUA sobre o "custo de um vazamento de
dados" mostra:
– Varia de país para país, o custo médio anual nos EUA foi de 3,6 milhões.

Filled Up)
2. O que é Data Security and Privacy (DS&P)?

 É o processo que a IBM possui para garantir a segurança dos dados dos clientes IBM, para que os
funcionários e vendors, NÃO abusem destes dados ou informações dos clientes IBM aos quais têm
acesso.
 O programa DS&P é baseado em políticas e procedimentos para garantir que TODOS os projetos
estejam em conformidade com as diretrizes da corporação e que a IBM não perca posição no
mercado.
 Segurança: conjunto de práticas implementadas pelo meio de pessoas, processos e tecnologia
para proteger as informações e minimizar a possível alteração das informações ou garantir
compromissos.
– A segurança ajuda a fornecer:
 Confidencialidade
 Integridade dos dados
 Disponibilidade dos dados
 Autenticação
 Privacidade dos Dados: A capacidade das pessoas de determinar quando, como e para quais fins
as informações sobre elas são/serão usadas ou divulgadas a outras pessoas.
 Os padrões e requisitos de segurança ajudam garantir a proteção dos dados dos clientes da
IBM.

Filled Up)
3. O que é Personal Information (PI)?

 Personal Information (PI): http://w3.ibm.com/ibm/privacy/practices_guidance.html
– É qualquer informação que identifique ou possa ser usada para identificar, entrar em
contato ou localizar a pessoa a quem essa informação pertence.
– O cliente pode usar termos diferentes, como dados confidenciais ou dados privados,
para se referir ao PI.
Exemplos: nome, endereço residencial ou comercial, telefone, endereço de email
ou outros elementos de dados que refletem suas características físicas, sociais ou
financeiras. O PI também é conhecido como Dados Pessoais, mas na IBM
chamamos de Informações Pessoais (PI).
A definição de PI da UE é qualquer informação relacionada a uma pessoa identificada

ou identificável ("Titular dos dados"); uma pessoa identificável é aquela que pode ser
identificada direta ou indiretamente, em particular por referência a um identificador,
como nome, número de identificação, dados de localização, identificação on-line, um
ou mais fatores específicos da pessoa, identificação fisica, genética, mental,
econômica, cultural ou social dessa pessoa natural.

Filled Up)
4. O que é Sensitive Personal Information (SPI)?

 Sensitive Personal Information (SPI)
– Às vezes, a PI é considerada "sensível" devido a muitas considerações legais nos
países e, ou riscos potenciais de que essas informações possam ser mal utilizadas
para prejudicar o indivíduo de maneira financeira, trabalhista ou social.
– SPI deve ser classificado e controlado como IBM Confidential information.

Exemplos: o SPI inclui pelo menos: número de identificação do país (RG, CPF,
etc.), número da carteira de motorista, dados da conta bancária, número do cartão
de crédito e número do cartão de débito em combinação com qualquer código de
segurança, código de acesso ou senha que permitisse acesso à conta financeira
do indivíduo, origem racial ou étnica, orientação sexual, inclinação política,
associação ao sindicato, crenças filosóficas ou religiosas e dados sobre saúde
física e mental, incluindo status de saúde, doença, deficiência, defeitos patológicos
ou tratamentos médicos, registros criminais, incluindo condenações, decisões
sobre multas, outras informações coletadas em processos judiciais ou
administrativos para provar uma ofensa ou consideração alegada ou suspeita de
uma infração, os dados biométricos ou genéticos, as necessidades do assistência
social, benefícios ou outra assistência recebida, independentemente de todos os
dados acima serem divulgados direta ou indiretamente.

Filled Up)
5. O que é Business Sensitive Information (BSI)?

 Business Sensitive Information (BSI)
– Refere-se a um tipo de informação que é confidencial para os negócios sobre consumidores e
indivíduos de clientes IBM, Parceiros de Negócios IBM, clientes em potencial, fornecedores e
outros terceiros com os quais a IBM mantém ou contempla um relacionamento comercial.
 ATENÇÃO!
– Toda e qualquer informação sobre o projeto/cliente é informação confidencial e não devem ser
compartilhadas/publicadas em ferramentas colaborativas como Lighthouse, Publisher, Mural,
Github, etc...
– Por isso atenção as ações para evitar a violação de dados:
1. Antes de publicar qualquer informação sobre a conta na qual está atuando, obtenha a aprovação do PM
do projeto.
2. Sua publicação deve ser privada somente aqueles que necessitam do acesso para finalidade dos
negócios.
3. Revise anualmente suas publicações nas ferramentas colaborativas e caso estejam públicas (para todos
IBMers), realizar a deleção ou privar a publicação conforme a recomendação anterior.
Lembre-se, violação de dados não ocorre unicamente quando há vazamentos de informações no

ambiente externo. Vazamento de informações confidenciais no ambiente interno podem gerar
impactos negativos a IBM e ao cliente.

Filled Up)
6. Responsabilidades Gerais: On/Off-boarding

O On/Off-boarding é o processo que garante que o funcionário responda às necessidades de
segurança do projeto e tenha um entendimento atual dos requisitos de segurança ao entrar ou
sair do projeto.
On-boarding
– Conclua as tarefas atribuídas a você, por exemplo, assine o contrato de
confidencialidade (NDA), conforme aplicavel, certifique treinamentos e cumpra os
requisitos dos padrões de segurança da IBM (ITSS e outros) em relação à sua
máquina e ao cuidado de outros ativos que você manuseia para o projeto.
– No prazo de 30 dias após a entrada no projeto, você deve enviar as evidências das
tarefas executadas na ferramenta On/Off-boarding ou enviá-las ao PM/PMO do
projeto, conforme aplicável.
Off-boarding
– Conclua as tarefas atribuídas a você, por exemplo: assine a certificação de remoção
de dados, devolva os ativos do projeto, etc.
– Nos 30 días após a saida do profisional do projeto (se o funcionário continua atuando
na IBM), deve ter evidência das tarefas feitas na tool de On/Off-boarding ou envia-las
ao PM/PMO do projeto conforme aplicável.

Filled Up)
7. Responsabilidades Gerais: Treinamento

 Conclua o treinamento específico do projeto ANTES de ter acesso a qualquer informação do cliente
– Entenda a política da IBM e os controles fundamentais de Data Security & Privacy (DS&P)
– Entenda todos os requisitos específicos do cliente incluindo requisitos associados ao tratamento ou
processamento de IP e SPI regulamentados para o projeto/conta em que você trabalha (se aplicável).
– Aderir às políticas de Workplace Security
– Entenda os requisitos de segurança e privacidade do seu projeto
– Siga os acordos documentados nas políticas de segurança e privacidade apropriadas
– Antes de usar o software de código aberto (OSS), conclua o treinamento e a certificação OSS exigidos pela
política IBM (processo OSS) e obtenha a aprovação do gerente de projeto (se aplicável)
– Gerenciar riscos relacionados ao gerenciamento de PI/SPI/BSI
– Relate ao gerente de projeto qualquer risco de segurança identificado e inadequado
– Relate imediatamente ao seu gerente de projeto qualquer suspeita ou perda de informação
– Torne seu ambiente de trabalho seguro e aplique os controles DS&P em casa ou em ambientes remotos
– Não use serviços da cloud pública que não sejam da IBM, como Google Docs, Dropbox, Apple iCloud para criar,
armazenar, encaminhar, copiar e, ou compartilhar informações confidenciais da IBM e, ou do cliente. Estes não
implementam controles de segurança IBM. Para lidar com as informações do cliente, você deve ter uma
aprovação por escrito do seu cliente antes de usar esses serviços públicos, verifique com o Project Manager da
conta.
– Forneça a documentação de que você concluiu os treinamentos conforme aplicável.
– Entre em contato com o gerente de projeto para obter mais informações
– No caso de software, servidores, OSS, bibliotecas de software, repositórios que você traz para o projeto e
gerencia, você é responsável por garantir que eles tenham os patches de segurança mais recentes e estejam
devidamente configurados para seu uso e tipo de dados que irão armazenar.
IBM Confidential © Copyright IBM Corporation 2009

11
(Once Filled Up)
8. Treinamentos disponíveis
Curso Responsável
Cybersecurity & Privacy Empregados regulares e subcontratados com
acesso à intranet IBM (anualmente)
Treinamento Específico de Data Security Empregados regulares e subcontratados

& Privacy (DS&P) - Welcome Kit
(anualmente)
Treinamento requerido pelo cliente (se Empregados regulares e subcontratados

aplicável)
Business Conduct Guidelines - BCG Empregados regulares (anualmente)
Corporate GDPR/LGPD training Quando GDPR ou LGPD é aplicável ao

projeto, empregados regulares e
subcontratados (anualmente)
Data Privacy by Design & Default Empregados regulares e subcontratados do
development team (anualmente)
IBM Open Source Participation Guidelines Quando se utiliza OSS no projeto, empregados
(OSPG) regulares e subcontratados
12 IBM Confidential (Once Filled Up) © Copyright IBM Corporation 2009

9. Responsabilidades Gerais: Acesso a PI/SPI/BSI

A menos que o contrato com o cliente defina o contrário:
Gerenciar contas de usuário:
– Use apenas IDs de usuário e senhas criados apenas para você
– Não compartilhe ou revele IDs de usuários e senhas
– Quando suas atribuições ou funções mudarem, cancele oportunamente quaisquer IDs de usuários desnecessários
Gerenciar o acesso a ambientes:
– Acesse dados PI/SPI/BSI somente quando necessário para conclusão das tarefas.
– Não insira ou use PI/SPI/BSI real ou verdadeiro em ambientes de desenvolvimento e teste. Esses dados devem ser
mascarados, criptografados ou mantidos anônimos para reduzir os riscos.
Gerenciar a separação de responsabilidades segundo o estabelecido no contrato:
– Uma pessoa não deve ter acesso aos ambientes de desenvolvimento, teste e produção para o mesmo aplicativo.
– Quando há exceções (tarefas conflitantes), são necessários controles secundários. Consulte o seu gerente de projeto.
Mantenha a área e a estação de trabalho seguras:
– Proteja fisicamente o equipamento de trabalho atribuído a você, como por exemplo, um cabo de segurança.
– Nunca deixe dados PI/SPI/BSI desprotegido na tela, no sistema ou perto do local de trabalho.
– Nunca deixe PI/SPI/BSI desprotegido na tela, no sistema ou perto do local de trabalho
– Desligue a tela ou use o protetor de tela protegido por senha sempre que não estiver usando
– Proteja material impresso e portáveis em mesas e, ou gavetas fechadas
– Verifique se a sua estação de trabalho e o equipamento sob seu controle têm o sistema operacional, produtos de segurança,
antivírus e patches instalados e atualizados
– Verifique se as estações de trabalho IBM atendem aos requisitos do Beekeeper (ou exceções documentadas)
– É necessário que a criptografia da estação de trabalho seja instalada antes de acessar os dados do cliente
– Sempre desligue ou hiberne seu laptop quando ele for transportado, pois a criptografia não está ativada no modo “stand-by”.
– Compreender e cumprir as políticas da IBM com respeito à segurança com as estações de trabalho.
IBM Confidential (Once

13 © Copyright IBM Corporation 2009
Filled Up)
10. Responsibilidades Gerais: Armazenamento e Destruição de

PI/SPI/BSI
Siga a política de exceção da IBM se você deve usar dispositivos de mídia portáteis;
dispositivos portáteis para laptops não são permitidos sem exceções:
 Evite armazenar PI/SPI/BSI em dispositivos portáteis e mídia magnética:

– Laptops
– Floppy disks, CDs, etc
– Cópias impressas
 Destrua com segurança o PI/SPI/BSI assim que não for mais necessário:
– Destrua adequadamente a mídia física compartilhada (cópias impressas,
disquetes, CDs, etc.)
– Substituir com segurança os dados armazenados nos computadores
– Reescreva com segurança os dados armazenados nos computadores
 Destrua adequadamente os dados no final do projeto ou quando terminar a

alocação ao projeto (off-boarding)
 Para modelos preservados para fins de reutilização, eles devem ser removidos
de todas as referências e informações do cliente
IBM Confidential (Once © Copyright IBM Corporation 2009
Filled Up)
14
11. Responsabilidades Gerais: Transportando PI/SPI/BSI

 Ao transferir PI/SPI/BSI eletrónicamente :
– Criptografe os dados PI/SPI/BSI ou use protocolos padrão da industria.
 Ao transferir fisicamente PI/SPI/BSI:
– Limite a distribuição às pessoas de acordo com a lista de controle de
acesso do projeto.
– Use os controles apropiados:
 Criptografia, transporte em linhas seguras ou entregas pessoais
 Ao enviar PI/SPI/BSI por fax:
– Use os controles apropriados:
 Não deixe PI/SPI/BSI desprotegido
 Inclua uma carta coberta endereçada a quem a receberá
 Verifique se a máquina que recebe as informações está em um
local seguro
 Informe quem o receberá antes de enviar o fax
Cumprir os requisitos regulamentares aplicáveis com relação à
transferência de dados quando se trata de dados regulamentados.

Filled Up) 15 © Copyright IBM Corporation 2009
12. Responsabilidades Gerais: Utilizando PI/SPI/BSI

 Os dados inseridos nas ferramentas de suporte podem criar problemas para o PI/SPI/BSI que
não são óbvios:
– PI/SPI/BSI introduzidos em áreas de texto de formato livre devem cumprir os requisitos

contratuais e regulamentares para finalidade de negócios, mas devem ser evitados sempre
que possível.
– Pessoas sem autorização para visualizar dados, podem ter acesso a todos os dados da
ferramenta, incluindo dados contendo PI/SPI/BSI. Fique atento a qualquer sinal de
vulnerabilidade.
 Não incluir o PI/SPI/BSI ao inserir dados em documentos criados para dar suporte a um
projeto, por exemplo:
– Folhas de cálculo
– Documentos de texto
– Anotações
– Emails
– Telas / bitmaps

Filled Up)
13. Responsabilidades Gerais: Uso da estação de trabalho

(Workstation)
 Entenda a política da IBM e os controles DS&P fundamentais relacionados ao uso da Estação
de Trabalho, por exemplo:
– As estações de trabalho usadas para conduzir negócios da IBM (incluindo entregáveis para o cliente) devem ser
registrados em ferramentas IBM e analisados periodicamente para garantir que as medidas de segurança
adequadas (Bekeeper) sejam seguidas.
– Todas as estações de trabalho devem ter a criptografia do disco rígido instalada (verificada pelo Beekeeper)
– As informações confidenciais da IBM não devem ser armazenadas em uma estação de trabalho do cliente
– Considere restrições adicionais ao uso de estações de trabalho que se aplicam a estações de trabalho usadas
para executar atividades privilegiadas do usuário, como:
 O uso pessoal de uma Estação de Trabalho IBM usado para atividades privilegiadas é restrito aos
negócios IBM (somente o uso pessoal de emergência é permitido)
 A estação de trabalho usada deve ser usada como sistema operacional Linux ou Windows 10 (outros
tipos de sistemas operacionais não são permitidos)
 O uso pessoal de uma estação de trabalho fornecida pelo cliente não é permitido
 Não pode usar estações de trabalho pessoais para executar atividades privilegiadas (sem exceções)
 Um dispositivo de armazenamento de propriedade pessoal (HD externo, memória USB) não pode ser
conectado a uma estação de trabalho de usuário privilegiada
– Além disso, os fornecedores de vendors e subcontractors de GBS que terão acesso ao PI/SPI/BSI do cliente
devem usar:
 Uma estação de trabalho IBM registrada na IBM (indicando acesso ao SPI, se aplicável) ou,
 Uma estação de trabalho fornecida pelo cliente
 Link do beekeeper para avaliar status de compliance do seu equipamento IBM: https://beekeeper.us1a.cirrus.ibm.com
14. Responsabilidades Gerais: Processo de registro de

usuários privilegiados com a IBM
 Atualização standard ITSS 2021 - Capítulo 3 Seção 3.2
 Qualquer acesso aos dados dos clientes em ambiente de produção.
AÇÃO REQUERIDA:
 Se você atender à definição ITSS de Usuário Privilegiado, certifique-se de se registrar como usuário privilegiado inserindo o seguinte
link: IBMs Privileged User registration process.
- Se seu status mudar, certifique-se de atualizar seu registro para refletir a atualização.
 Dados do Cliente de Produção: Quaisquer dados ou código-fonte fornecidos à IBM pelo

cliente ou criados pela IBM em nome de um cliente, como parte de uma atividade de
produto, oferta, serviço ou suporte fornecida pela IBM, excluindo apresentações de
clientes, relatórios e trocas de e-mails que não contenham dados destinados a serem
usados para processamento de sistemas de informações.
 Definição de usuário privilegiado atualizada (para fins de registro de estação de trabalho em
Beekeeper)
 Esta mudança afeta as estações de trabalho IBM registradas como usuários privilegiados em
Beekeeper. Isso não altera a definição do DS&P e os critérios para controles relacionados à
“Gestão de Acesso” para acesso privilegiado.
 Definição de usuário privilegiado (para ITSS Capítulo 3 Seção 3.2)
 Qualquer pessoa com a capacidade de fazer alterações em qualquer sistema no ambiente
produtivo
IBM Confidential (acesso
(Once Filled Up)
19 superior à leitura) © Copyright IBM Corporation 2009
14. Responsabilidades Gerais: Processo de registro de

usuários privilegiados com a IBM – cont
 Exemplos de usuário privilegiado
Pode haver momentos em que você será um usuário privilegiado para os requisitos da estação de trabalho ITSS, mas você não terá acesso privilegiado conforme definido pela DS&P. Ex: Se você tiver acesso ao ambiente de produção do cliente com dados do cliente,
você seria um usuário privilegiado de acordo com o ITSS e teria que se registrar através do Beekeeper. No entanto, você não teria acesso privilegiado sob as diretrizes da DS&P.
 ITSS- https://pages.github.ibm.com/ciso-psg/main/standards/itss.html#32-privileged-user-responsibilities
 ITSS FAQ (Definition)- https://pages.github.ibm.com/ciso-psg/main/faqs/euaur_faq.html
 Beekeeper- https://w3.ibm.com/w3publisher/cio-endpoint-security/beekeeper
– Recursos:
 Acesso aos ambientes de produção de clientes com dados do cliente.
 Acesso a ambientes de desenvolvimento/teste com uma cópia dos dados do cliente dos ambientes de produção.
 Acesso ao código fonte entregue aos clientes sob contratos ou ofertas de serviços.
 Acesso de administrador ao ambiente de produção
 Acesso com permissões para fazer alterações no ambiente de produção
 Acesso ao ambiente de preparação do cliente com dados e código do cliente.
 Nota: Esta lista não se destina a ser exaustiva, mas apenas para fins instrutivos.
 Guia: Se você tiver acesso ao ambiente de um cliente ou ao código fonte que um cliente usa, você deve se registrar no Beekeeper como usuario privilegiado.
IBM Confidential 20 © Copyright IBM Corporation 2009

(Once Filled Up)
15. Responsabilidades Gerais: Segurança da Senha

 De acordo com o ITSS, as senhas de verificação de identidade não devem ser triviais ou
previsíveis e devem:
– Tenha pelo menos 15 caracteres e se o sistema permitir menos de 15 caracteres, o maior permitido.
– Contenha uma mistura de caracteres alfabéticos, maiúsculos e minúsculos e não alfabéticos (números,
pontuação ou caracteres especiais) ou uma mistura de pelo menos dois tipos de caracteres não alfabéticos.
– Não contenha seu ID do usuário como parte da senha
– Aderir à política de senha do cliente
 A senha pode ser aceita pelo sistema, mas ainda ser "trivial" e / ou "previsível“.
 RISCO: Senhas triviais ou previsíveis são vulneráveis aos hackers. Se sua senha for trivial ou
previsível, seu ID poderá ser usado com más intenções.
 Consulte a seção ITSS “4.3.2 Gerenciamento de senha e segredos de autenticação” para obter mais
informações.
 Use as ferramentas fornecidas pela IBM para salvar suas senhas (por exemplo
https://1password.com/ibm/.
 Não salve suas senhas em arquivos do Word, Bloco de Notas ou Excel.
 Não permita que outras pessoas vejam suas senhas quando você estiver compartilhando a tela em
reuniões de trabalho.

Filled Up)
16. Riscos e requisitos específicos de DS&P no projeto
 O projeto possui acesso a informações regulamentadas pela Lei Geral de Proteção de Dados do Brasil
(LGPD), portanto é de responsabilidade do projeto (recursos, PM, PMO, SE) manter as informações
protegidas conforme as orientações dos treinamentos
 Os treinamentos devem seguir o processo de renovação anualmente, por semestre ou quartil. Portanto
não deixe de realizar ao receber as notificações dentro dos prazos determinados.
 Em decorrência da pandemia Covid-19, os recursos que atuam no formato “Home Office”, devem
realizar por quartil a auto inspeção de segurança no ambiente de trabalho conforme o arquivo “Home
Worker Checklist” que será enviado por e-mail.
 Caso considere que ocorreu um incidente de segurança, antes de qualquer contato com o cliente, entre
em contato com seu PM e informe-o no seguinte link:
https://w3.ibm.com/ibm/privacy/data-incident-reporting

Filled Up)
17. Sumário
 Entenda os requisitos relacionados com PI/SPI/BSI
 Use boas práticas de segurança o tempo todo
– As principais áreas a serem focadas incluem:
 Proteção de PI, SPI e BSI
 Cumprir todos os requisitos de ON/OFF-Boarding
 Gerenciamento de acesso a sistemas e ambientes
 Separação de Tarefas (SOD)
 Minimize os riscos associados ao acesso ao PI/SPI/BSI
 Aderir aos requisitos e procedimentos do projeto mencionados neste módulo de treinamento
 Nota final: não há uma resposta única para cada situação
– Pergunte a si mesmo qual é a melhor maneira de gerenciar e proteger os dados pelos quais
você é responsável.
– Considere os requisitos associados aos dados que você manipula
– Se você não tiver certeza, pergunte ao seu gerente de projeto
– Pensé e faça perguntas.

Filled Up)
Training Completion
I Have Read and Understood the Contents of the Presentation
Name: Gustavo Wendel da Silva Borges
Project: BRADESCO
Date: 22 / 02/ 2024
23 Centrelink Call Insights | June 2009 © Copyright IBM Corporation 2009

Anexo obrigatório para

Gerentes de Projeto

Filled Up)
18. Como o DS&P é implementado em LA?

 O GBS DS&P Control Framework serve como um conjunto de princípios de orientação
tática para definir os controles necessários a serem aplicados pela equipe do projeto,
a fim de abordar e mitigar os riscos para a IBM e o cliente.
 Através do site Latin America DS&P Templates você encontra suporte local
relacionado a DS&P em relação a templates e considerações específicas para o
Brasil, SSA e México (templates em português e espanhol)
 A aplicação de controles sobre um projeto específico será apropriada se for baseada

nas políticas da IBM, nos requisitos contratuais, nos riscos, nas condições de
negócios e nas circunstâncias únicas desse compromisso.
 Todo novo projeto deve concluir uma avaliação (DRA) dentro dos primeiros 90 dias do
início do serviço no projeto. Projetos categorizados como “Alto risco” podem ser
selecionados para executar um RRA posteriormente.
‒ DRA. Delivery Risk Assessment, é realizada apenas no início do projeto e serve para o projeto
implementar os controles necessários do DS&P.
‒ RRA. Risk Re-Assessments, são realizadas periodicamente em uma seleção de projetos de “alto
risco” e servem para verificar se os controles estão sendo implementados.
 Se você não for convidado por um SRA (Security Risk Analyst) para executar um DRA
ao iniciar seu projeto, entre em contato com o Focal Point de DS&P LA.

Filled Up)
19. Controles cobertos pelo framework de DS&P

1. Training, Awareness and On/Off-Boarding
‒ Implemente e gerencie um processo de On/Off-boarding que responda às
necessidades de segurança do projeto e garanta que o equipe de trabalho tenha um
entendimento atual dos requisitos de segurança.
2. Workplace Security
‒ Documentar e fazer cumprir as regras de segurança no local de trabalho e no
processo de inspeção.
3. Risk & Issue Management
‒ Gerenciar riscos e questões de segurança (issues/problemas) como parte do processo
de gerenciamento de riscos e sistema de gerenciamento do projeto.
4. Security Planning
‒ Planeje controles de segurança apropriados com base nos riscos do projeto, setor,
tamanho, complexidade, boas práticas de GBS, requisitos do cliente e regulamentos
atuais.
5. Access Management
‒ Gerenciar o acesso aos dados e sistemas do cliente.
6. Separation of Duties
‒ Gerenciar a separação de funções para evitar conflitos de tarefas.

20. O que fazer quando o PM entra no projeto?

 Leia toda a documentação contratual: Master SOW, SOW, DoU, PCRs, MSA, ICA, CSEG, DPRC Wizard, DPA, DPA
Exhibit, STCCs (EUMC), No-PI Language clauses, etc.
 Na documentação identifique:
– Responsabilidades da IBM e do cliente relacionadas a: Gerenciamento de acesso, segurança, patches ou
fixes, técnicas de proteção de dados e sua configuração de segurança, passagem entre ambientes, mudanças
em produção nos Apps, ambientes, ferramentas, etc. do projeto. Veja seções de premissas da solução,
responsabilidades da IBM e do Cliente, acordo de confidencialidade e o anexo com a tabela de responsabilidades
da DS&P (se estiver no contrato).
– Requisitos específicos do cliente: Cláusula de confidencialidade, tabela de funções e responsabilidades do
DS&P, regras, políticas, treinamento do cliente, solicitação de informações sobre recursos para On-Boarding, etc.
Todos os requisitos devem ser documentados na Contract Review Worksheet (CRW) do projeto.
– Regulamentos ou leis que se aplicam ao serviço: Regulamentações que afetam a segurança de dados, por
exemplo, GDPR, LGPD, CCPA, etc. Consulte DPA, anexo DPA ou a cláusula “Regulated PI”.
– Incluir no Plano de Segurança do projeto os controles para cumprir as responsabilidades, requisitos e
regulamentos aplicáveis.
 Se alguma parte do contrato não coincidir com o serviço prestado ao cliente, ou a responsabilidade não for clara, um
risco deve ser registrado, comunicado ao cliente e procurar assinar uma mudança no projeto (PCR) para modificar
esse ponto. Exemplos:
 Não está claro no contrato que a responsabilidade pelo Gerenciamento de Patch/Configuração de Segurança/Avaliação de
Segurança (code sanning, pen test, other)/Gerenciamento de Mudanças seja do cliente.
 Tabela de funções e responsabilidades DS&P: menciona controles para produção ou usuários privilegiados e o contrato não
contempla acesso à produção pela IBM ou menciona que a IBM gerencia senhas em ambientes gerenciados pelo cliente.
 O contrato menciona que não abre acesso a PI regulada, mas há acesso a PI regulado por GDPR ou LGPD.

Filled Up)
21. O que fazer quando um novo funcionário entra / sai do

projeto?
 Trabalhe com o funcionário, o PMO e o SE para concluir as atividades de On/Off-boarding do
funcionário dentro de 30 dias da entrada/saída
1. Para os ingresos, no caso de pertencer a outra Brand ou CIC, verifique se existe um DOU
aprovado e, no caso de funcionários terceirizados, se existe um contrato assinado que contemple
os requisitos de segurança a serem cumpridos pelo fornecedor..
• Se o GDPR se aplicar, os subcontratados deverão ser aprovados pelo cliente antes de acessar os sistemas
PI ou do cliente.
2. Solicite a alta/baixa dos accesos e comunique por correio o cliente que o funcionário entrou/saiu
do projeto.
‒ Quando o funcionário sai da IBM, a licença deve ser solicitada nas próximas 24 horas.
3. Atualize a lista de usuários com os recursos que entraram/sairam do projeto.

4. Atualize a matriz SOD com os recursos que entram/saem do projeto.
5. Em caso de saídas certifique-se de que o funcionário retorne todos os ativos do projeto e elimine
todos os dados PI/SPI/BSI relacionados ao projeto de sua máquina (peça a certificação de
remoção de dados assinada - DRC).
6. Todas as evidencias devem se salvar no repositório de ON/OFF-Boarding.

Filled Up)
22. O que fazer se houver acesso ao PI/SPI/BSI no projeto?

 Uma boa prática é eliminar o acesso ao PI/SPI/BSI do cliente. Se a eliminação não for possível,
o acesso apenas aos recursos que uma empresa precisa acessar e ao mínimo de informações
necessárias para realizar suas atividades deve ser reduzido.
 O acesso PI/SPI/BSI deve ser comunicado ao cliente por meio de uma carta de risco para
confirmar e reconhecer que a equipe IBM precisa acessar esse tipo de informação ou que as
alterações necessárias são feitas para impedir o acesso a o PI/SPI/BSI.
 Quando não é possível evitar/eliminar o acesso a dados PI/SPI/BSI, deve ser capturado como um
risco (no log de riscos) e os controles necessários implementados para reduzir o risco associado
ao seu acesso.
Verifique se o projeto é regulamentado pela GDPR, CCPA, LGPD, etc. Para mais informações sobre o
GDPR/LGPD, acessar no wiki do GBS Global GDPR
https://w3.ibm.com/w3publisher/dprc/security-tools-and-resources/gbs-dprc-wizard

Filled Up)
23. O que fazer se houver usuários privilegiados no Projeto?

 A definição de usuários/acessos privilegiados pode variar de conta para conta. Em geral, os
usuários privilegiados se distinguem pela designação de autoridades administrativas de segurança
ou autoridades do sistema em dispositivos de rede, sistemas de computadores, componentes de
middleware ou aplicativos para-IBM ou clientes.
 Uma boa prática é eliminar o uso de usuarios/acessos privilegiados. Se a eliminação não for
possível, tentar reduzir o uso desse tipo de usuário.
 Os usuários privilegiados devem se comunicar com o cliente por meio de uma carta de risco,
para que ele confirme e reconheça que tipos de acesso e a quais sistemas são considerados
privilegiados e consequentemente, solicite sua eliminação ou administração e controle rigorosos
sobre eles.
 Quando não é possível evitar/eliminar o uso desse tipo de acesso, eles devem ser capturados como
um risco (no log de riscos) e implementar os controles necessários para reduzir o risco associado ao
seu uso, solicitação, concessão, administração e revogação. Para obter mais informações sobre os
possíveis controles, consulte o framework de DS&P:
05.3 ACCESS MANAGEMENT- Production Monitoring of Privileged Access.
 A administração adequada de usuários privilegiados reduz o risco associado ao seu uso.

Filled Up)
24. O que fazer se houver usuários compartilhados e, ou

emergenciais no Projeto?
 Usuários compartilhados (IDs compartilhados) e de emergência não podem ser associados ou
monitorados individualmente, ou seja, não há uma pessoa direta encarregada de seu acesso e das
atividades realizadas com esse tipo de ID de usuário. Isso pode resultar em uma exposição de
informações confidenciais do cliente e atividades não autorizadas nos ambientes do cliente.
 Uma boa prática é eliminar o uso de usuários compartilhados e emergênciais. Se a remoção não for
possível, deve-se tentar a redução do uso desse tipo de usuário.
 Os usuários compartilhados e de emergência devem se comunicar com o cliente por meio de
uma carta de risco para ficar ciente e asumir que esse tipo de usuários são necessários e que uma
administração e controles rigorosos sobre eles sejam implementados. Atividades regulares devem
ser planejadas e programadas para monitorar o uso e a necessidade de empregar esse tipo de
usuário.
 Atividades regulares devem ser planejadas e agendadas para monitorar o uso e a necessidade
desse tipo de usuário.
 Quando não é possível evitar/eliminar o uso desse tipo de acesso, eles devem ser capturados como
um risco (Log de Riscos) e implementar os controles necessários para reduzir o risco associado ao
seu uso. Para obter maiores informações sobre os possíveis controles, consulte o Framework de
DS&P: 05.4 ACCESS MANAGEMENT- Managing Shared and Emergency User IDs.
 O gerenciamento adequado de usuários compartilhados ou emergênciais reduz o risco associado ao
seu uso.

Filled Up)
25. Controles adicionais - Application Development Management -

external (ITGMA)
IT AMe (Application Management for external projects) é um processo auditável que inclui o programa DS&P
além de outras áreas de risco. De acordo com a última auditoria em LA, o GBS considera as seguintes áreas de
risco:
• No site a seguir, dentro da subseção IT AMe dentro de
SSA e Modelos de DS&P do México, as lições aprendidas
durante a última auditoria LA GBS são descritas:
https://w3.ibm.com/w3publisher/ibm-consulting-americas-bis
o-org/ds-p-program-americas/ds-p-control-framework/americ
as-only-ds-p-templates
• Guía de GBS de IT AMe em inglês:

https://w3.ibm.com/w3publisher/gbs-it-application-manage
ment-external
• Para acessar o programa de auditoria IT AMe, consulte o

seguinte link:
• https://w3.ibm.com/w3publisher/ia-it-apidr

Filled Up)
26. Open-Source Software (OSS)

• OSS é um software disponível gratuitamente na forma de código-fonte que pode ser usado,
copiado, modificado ou redistribuído.
• A forma usual de distribuição OSS é anexada a uma licença de software livre.
• O risco legal e financeiro ao usar o OSS está nas possíveis obrigações que podem estar na
licença de software para seu uso (direitos autorais o Copyright).
• OSS é diferente de Domínio Público, Freeware ou SW Comercial.
• A conformidade com a política da IBM requer:
‒ Todos os profissionais participantes do projeto certificam o treinamento OSPG
‒ Gerenciar um inventário com todos os OSS para usar no projeto
‒ Aprovar o uso do OSS no projeto após o processo de aprovação do OSS dos serviços globais
Global Services OSS Approval Process

Filled Up)
27. Repositórios e gerenciamento de informação
 O projeto deve ter um repositório (Box, IPWC, bancos de dados Notes, Github, Blueroom, etc.)
para armazenar as informações do projeto (por exemplo, processos e evidências de
implementação dos processos).
 O acesso ao repositório deve ser restrito às pessoas ativas no projeto e o acesso deve ser
eliminado para as pessoas que saem do projeto ou não precisam de acesso.
 A responsabilidade pelo gerenciamento das informações salvas é do projeto, mesmo que este não
tenha o controle do repositório. Se for esse o caso, deve ser acordado com a entidade que controla
o repositório como será feito o controle de acesso.
 Deve haver ao menos 2 pessoas como reserva para poder acessar as informações do projeto (se o
projeto tiver 2 pessoas, inclua seu gerente ou parceiro que pode estar de reserva)
 As informações devem ser devidamente rotuladas, sejam elas PI/SPI/BSI ou outras informações
confidenciais.
 No caso de utilizar BOX e armazenar informação confidencial, altere a classificação BOX para
confidencial (o mesmo para outros repositórios que o permitam).
 Em caso de dúvida quanto ao manuseio de informações confidenciais, consulte a Instrução
Corporativa LEG 116:
https://w3-03.ibm.com/ibm/documents/corpdocweb.nsf/ContentDocsByTitle/Corporate+Instruction+
LEG+116
34 Centrelink Call Insights | June 2009 © Copyright IBM Corporation 2009

28. Referencias
 Latin America DS&P Templates (português e espanhol): https://w3.ibm.com/w3publisher/ibm-consulting-
americas-biso-org/ds-p-program-americas/ds-p-control-framework/americas-only-ds-p-templates
 GBS Global DS&P Framework: https://w3.ibm.com/w3publisher/dsp/framework
 Guidance on PI/SPI: http://w3-03.ibm.com/ibm/privacy/practices_guidance.html
 Classification and control of IBM information (Confidential Information):

https://w3-03.ibm.com/ibm/documents/corpdocweb.nsf/ContentDocsByTitle/
Corporate+Instruction+LEG+116/
 IT Security Standard (ITSS): https://pages.github.ibm.com/ciso-psg/main/standards/itss.html#32-privileged-

user-responsibilities
 IGBS IT AMe: https://w3.ibm.com/w3publisher/gbs-it-application-management-external
 IT AMe audit program: https://w3.ibm.com/w3publisher/ia-it-apidr
 Global Services OSS Approval Process: https://w3.ibm.com/w3publisher/ossc-process/processes/global-

services-oss-approval-process
 GBS IT AMe & PM procedures, templates – QMS (ex OPAL): https://qms.dal1a.cirrus.ibm.com/
 GBS BISO DPRC (Regulaciones): https://w3.ibm.com/w3publisher/dprc/security-tools-and-resources/gbs-

dprc-wizard
 Global GBS BISO (Seguridad en GBS): https://w3.ibm.com/w3publisher/gbs-biso-global
 LA Internal Controls & Testing - IBM Consulting https://w3.ibm.com/w3publisher/ibm-la-consulting-internal-

controls

Filled Up)
Obrigado!

Filled Up)

Treinamento Especifico Data Security and Privacy - Bradesco

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Treinamento Especifico Data Security and Privacy - Bradesco

Enviado por

Direitos autorais:

Formatos disponíveis

IBM Global Business Services

Treinamento Específico de Data

Updated 4.0 – March 2023

© Copyright IBM Corporation 2007

 Introduzir os novos membros do time de trabalho do Projeto no conhecimento,

2 IBM Confidential (Once Filled Up) © Copyright IBM Corporation 2009

IBM Confidential (Once 3 © Copyright IBM Corporation 2009

Anexo mandatorio para Project Managers

18.Como DS&P é implementado em LA?

IBM Confidential (Once 4 © Copyright IBM Corporation 2009

– Violações são relatadas nas notícias quase toda semana.

 Uma violação pode realmente acontecer? Quais as consequências?

IBM Confidential (Once 5 © Copyright IBM Corporation 2009

2. O que é Data Security and Privacy (DS&P)?

 Integridade dos dados

 Disponibilidade dos dados

IBM Confidential (Once 6 © Copyright IBM Corporation 2009

3. O que é Personal Information (PI)?

A definição de PI da UE é qualquer informação relacionada a uma pessoa identificada

IBM Confidential (Once 7 © Copyright IBM Corporation 2009

4. O que é Sensitive Personal Information (SPI)?

– SPI deve ser classificado e controlado como IBM Confidential information.

IBM Confidential (Once 8 © Copyright IBM Corporation 2009

5. O que é Business Sensitive Information (BSI)?

Lembre-se, violação de dados não ocorre unicamente quando há vazamentos de informações no

IBM Confidential (Once 9 © Copyright IBM Corporation 2009

6. Responsabilidades Gerais: On/Off-boarding

IBM Confidential (Once 10 © Copyright IBM Corporation 2009

7. Responsabilidades Gerais: Treinamento

IBM Confidential © Copyright IBM Corporation 2009

Treinamento Específico de Data Security Empregados regulares e subcontratados

Treinamento requerido pelo cliente (se Empregados regulares e subcontratados

Corporate GDPR/LGPD training Quando GDPR ou LGPD é aplicável ao

12 IBM Confidential (Once Filled Up) © Copyright IBM Corporation 2009

9. Responsabilidades Gerais: Acesso a PI/SPI/BSI

IBM Confidential (Once

10. Responsibilidades Gerais: Armazenamento e Destruição de

 Evite armazenar PI/SPI/BSI em dispositivos portáteis e mídia magnética:

 Destrua adequadamente os dados no final do projeto ou quando terminar a

11. Responsabilidades Gerais: Transportando PI/SPI/BSI

IBM Confidential (Once

12. Responsabilidades Gerais: Utilizando PI/SPI/BSI

– PI/SPI/BSI introduzidos em áreas de texto de formato livre devem cumprir os requisitos

IBM Confidential (Once 16 © Copyright IBM Corporation 2009

13. Responsabilidades Gerais: Uso da estação de trabalho

14. Responsabilidades Gerais: Processo de registro de

 Qualquer acesso aos dados dos clientes em ambiente de produção.

 Dados do Cliente de Produção: Quaisquer dados ou código-fonte fornecidos à IBM pelo

14. Responsabilidades Gerais: Processo de registro de

IBM Confidential 20 © Copyright IBM Corporation 2009

15. Responsabilidades Gerais: Segurança da Senha

IBM Confidential (Once 20 © Copyright IBM Corporation 2009

16. Riscos e requisitos específicos de DS&P no projeto

IBM Confidential (Once 21 © Copyright IBM Corporation 2009

IBM Confidential (Once 22 © Copyright IBM Corporation 2009

I Have Read and Understood the Contents of the Presentation

Name: Gustavo Wendel da Silva Borges

Date: 22 / 02/ 2024

23 Centrelink Call Insights | June 2009 © Copyright IBM Corporation 2009

Anexo obrigatório para

IBM Confidential (Once 24 © Copyright IBM Corporation 2009

18. Como o DS&P é implementado em LA?

 A aplicação de controles sobre um projeto específico será apropriada se for baseada