POLÍTICA DE SEGURANÇA DA LINHA DE BASE

ESTA POLÍTICA DE SEGURANÇA DA LINHA DE BETÃO É REGIDA PELO ACORDO MASTER DA LINHA DE BASE (O “MSA”). TODOS OS TERMOS CAPITALIZADOS SOB ESTA POLÍTICA DE SEGURANÇA DA LINHA DE BASE SERÃO CONSIDERADOS PARA TER O SIGNIFICADO DADO A TAIS TERMOS SOB O MSA.

COMPROMISSOS

• DIREITO À AUDITORIA DE SEGURANÇA

• Acesso às instalações da linha de base

O Cliente que executou um Master Services Agreement com Baseline tem permissão para acessar as instalações da Baseline para fins de Auditoria de segurança, sendo que o assunto está sujeito a: (i) consentimento prévio por escrito da linha de base (não retido indevidamente); (ii) quaisquer provisões de segurança razoáveis da Linha de Base em vigor no momento de tal acesso, e (iii) acordo sobre detalhes do pessoal, cronogramas, duração e escopo dos serviços prestados. O acesso pode ser negado com base no conflito de papéis e no impacto no desempenho do Baseline.

• Auditoria de Segurança

1. O cliente tem o direito de realizar auditorias periódicas do requisito do ambiente de segurança física.
2. A Linha de Base autoriza o Cliente a inspecionar / auditar regularmente os processos e procedimentos de Política de Segurança e Privacidade de Linha de Base implementados com relação aos Serviços de Linha de Base, incluindo os abaixo, mas não limitados a:

1. Processo de Gerenciamento de Risco.
2. Processo de gerenciamento de incidentes e mudanças.
3. Testes de segurança (vulnerabilidade e Pentest).
4. Diretrizes de proteção do sistema.
5. BCP e DR e outros serviços e processos de contingência.

1. A Linha de Base autoriza o Cliente, sem custo adicional, a inspecionar os processos operacionais implementados para os Serviços de Linha de Base com base no escopo, extensão e nos Acordos de Linha de Base em Vigor e Efeito.
2. A linha de base reconhece que o Cliente se reserva o direito de exigir alterações nos processos de Privacidade e Políticas de Segurança de TI da Linha de Base se forem considerados inadequados; tais mudanças são mutuamente acordadas, comercialmente razoáveis e sujeitas a um prazo razoável de execução.

• Relatórios de Inspeção

1. A expensas do cliente, a Baseline reconhece que o Cliente se reserva o direito de receber relatórios de auditoria onde auditores independentes são usados para auditar os arranjos de gerenciamento de risco da Baseline, incluindo relatórios de avaliação de segurança, como testes de penetração, avaliações de vulnerabilidade, planos BCP / DR. , relatórios de teste, etc.
2. O Baseline recomenda que avaliações e avaliações independentes sejam requeridas pelo Cliente para serem realizadas pelo menos anualmente, ou em intervalos planejados, para assegurar que a organização esteja em conformidade com políticas, procedimentos, padrões e requisitos regulatórios aplicáveis (isto é, auditorias internas / externas, certificações, vulnerabilidade). e testes de penetração).

• INFRAESTRUTURA OPERACIONAL

• Controles Físicos

1. A linha de base implementou procedimentos apropriados para garantir que as responsabilidades pela manutenção de um ambiente operacional seguro sejam alocadas e descartadas adequadamente.
2. A linha de base implementou controles físicos e ambientais para proteger o serviço de acordo com o nível de risco. A linha de base aborda ameaças físicas e ambientais na avaliação de risco.
3. A proteção física do equipamento dos Serviços de Base e da área de trabalho de serviço abrange, no mínimo:

1. Intrusos.
2. Segurança de pessoas em riscos de incêndio e outras ameaças, como calamidades naturais (tempestades, ciclones, incêndios florestais, etc.) e também calamidades provocadas pelo homem (ameaças de bomba, quaisquer atividades maliciosas acidentais ou intencionais).

1. Os sites em que os Dados confidenciais ou os processos são gerenciados estão em conformidade com os padrões reconhecidos (como ANSI / TIA942) para gerenciamento e segurança de instalações do data center.

• Controle Lógico

1. A linha de base garante que os equipamentos de TI (em locais principais, de backup e de terceiros) usados no fornecimento de serviços de linha de base ao cliente separem logicamente os dados corporativos do cliente e os dados pessoais dos usuários dos outros clientes da linha de base.
2. A linha de base garante que o ambiente do Cliente, nas instalações designadas da Linha de Base, seja pelo menos compartimentado logicamente, separando-o do restante do ambiente da Linha de Base para garantir que não haja penetração de outros ambientes de clientes ou da rede mais ampla da Linha de Base.

• Restrição de acesso à rede, link particular

1. A linha de base possui apenas o acesso mínimo à rede do Cliente para fornecer os Serviços de Linha de Base. Quando houver necessidade de uma linha de base para acessar alguns aplicativos, o acesso é, sempre que possível, fornecido por meio de um mecanismo de serviços de terminal. Onde não for possível, os sistemas compartilhados estão situados em uma DMZ específica. Os direitos de acesso no sistema operacional e nos níveis de aplicativos também são gerenciados para restringir o acesso ao mínimo necessário para fornecer os serviços de linha de base.
2. A transferência de dados entre o Cliente e a Linha de Base deve ser assegurada de ponta a ponta como um link privado. Quando implementado através de uma rede privada virtual, o nível de criptografia deve ser suficiente para garantir a integridade da conexão e é estabelecido no nível comercial mais forte de criptografia. Quando possível, a VPN deve ser estabelecida no nível do aplicativo (por exemplo, SSL VPN) em vez do nível da rede (por exemplo, IPSEC) para restringir o acesso e a conectividade apenas ao que é necessário. Quando uma VPN de rede é necessária, o encapsulamento de aplicativos (por exemplo, via serviços de terminal) deve ser usado e controles estritos de compartimentalização são aplicados (como acima).
3. A transferência de dados usando um link de comunicação dedicado é criptografada para evitar vazamento de dados.

• Arquitetura de Aplicativos

Para o desenvolvimento de aplicativos, os diferentes componentes do aplicativo (apresentação, processamento de dados, banco de dados, processo de identificação e autenticação, etc.) são distintos e, se possível, hospedados em diferentes servidores físicos ou virtuais, de modo que os diferentes componentes estejam situados em diferentes zonas. a arquitetura de rede.

• Separação de Ambientes de Desenvolvimento

A linha de base deve respeitar a separação clara dos ambientes de produção, desenvolvimento e integração.

• Mecanismo de Filtragem

1. A linha de base deve aplicar mecanismos de filtragem necessários para impedir o acesso irrestrito da Internet às interfaces de administração dos sites.
2. A linha de base pressupõe que o Cliente esteja na defensiva de sua rede de negócios e defina várias condições em sistemas que podem se conectar a ele. A linha de base deve introduzir controles para limitar a incidência de:

1. Acesso não autorizado aos sistemas do Cliente.
2. Interferência com componentes de rede.
3. Degradação de desempenho na rede.
4. Interferência no tráfego de rede.
5. A autenticação multifator é necessária para todo o acesso do usuário remoto.

1. A linha de base deve incluir as seguintes condições para todos os sistemas que desejam se conectar à rede do Cliente:

1. O gateway entre a rede do Cliente e os sistemas externos são adequadamente protegidos.
2. Existem controles para impedir o acesso não autorizado de sistemas conectados à rede da organização.
3. Há monitoramento e controles adequados para impedir que redes externas ou sistemas interfiram na operação da rede do Cliente.

1. A linha de base deve implementar o padrão da indústria em controle de acesso e autorização através do uso de IDs de usuário e senhas (tamanho, caracteres, tentativas, re-autenticação, duração e validade, armazenamento, desativação, etc.).
2. Autenticação forte será usada para aplicativos de negócios críticos e para atividades de acesso remoto.
3. O acesso do usuário às portas de diagnóstico e configuração deve ser restrito a indivíduos e aplicativos autorizados.
4. Políticas e procedimentos são estabelecidos e mecanismos implementados para criptografar dados confidenciais em armazenamento (por exemplo, servidores de arquivos, bancos de dados e estações de trabalho de usuários finais) e dados em transmissão (por exemplo, interfaces de sistema, redes públicas e mensagens eletrônicas).
5. Os dados relacionados ao comércio eletrônico (e-commerce) que atravessam as redes públicas devem ser adequadamente classificados e protegidos de atividades fraudulentas, divulgação ou modificação não autorizada, de modo a evitar disputas contratuais e comprometimento de dados.
6. Políticas e procedimentos devem ser estabelecidos e mecanismos implementados para proteger os ambientes de rede sem fio, incluindo os seguintes:

1. Firewalls de perímetro implementados e configurados para restringir o tráfego não autorizado.
2. Configurações de segurança ativadas com criptografia forte para autenticação e transmissão, substituindo as configurações padrão do fornecedor (por exemplo, chaves de criptografia, senhas, strings da comunidade SNMP, etc.).
3. Acesso de usuário lógico e físico a dispositivos de rede sem fio restritos a pessoal autorizado.
4. A capacidade de detectar a presença de dispositivos de rede sem fio não autorizados (desonestos) para uma desconexão oportuna da rede.

1. Uma fonte de tempo precisa externa (acordada externamente) deve ser usada para sincronizar os relógios do sistema de todos os sistemas de processamento de informações relevantes dentro da organização ou definir explicitamente o domínio de segurança para facilitar o rastreamento e a reconstituição dos cronogramas de atividades. Nota: jurisdições jurídicas específicas e plataformas de armazenamento e retransmissão orbital (GPS dos EUA e Galileo Satellite Network da UE) podem exigir um relógio de referência que difira em sincronia com a referência de tempo de domicílio da organização, neste caso a jurisdição ou plataforma é tratada como uma segurança explicitamente definida domínio.
2. A identificação automatizada do equipamento deve ser usada como um método de autenticação de conexão. As tecnologias de reconhecimento de localização podem ser usadas para validar a integridade da autenticação de conexão com base no local do equipamento conhecido.

• Armazenamento e Controle de Mídia

A linha de base deve assegurar que sua equipe compreenda a sensibilidade associada a todas as mídias dentro do serviço e instaure procedimentos apropriados para sua destruição segura em caso de falha, falha ou expiração da vida útil.

• Infraestrutura Operacional: Licenciamento

A linha de base deve demonstrar uma atitude responsável em relação aos direitos autorais, pois afeta o licenciamento e o uso de software, incluindo:

1. Procedimentos para gerenciamento de software e licença.
2. Monitorando qualquer uso de software não autorizado / não licenciado.
3. Investigação de tais incidentes e seus requisitos obrigatórios de comunicação ao Cliente.

• Software malicioso

1. A linha de base deve estabelecer procedimentos apropriados de verificação e eliminação para garantir que o serviço não seja afetado por vírus durante o desenvolvimento, manutenção e operação.
2. O Baseline garante a integridade de todos os softwares introduzidos e novas versões de software antes de sua integração nos ambientes de serviço.
3. Políticas e procedimentos devem ser estabelecidos e mecanismos implementados para restringir a instalação de software não autorizado.

• Configurações seguras

1. Os requisitos de segurança de linha de base devem ser estabelecidos e aplicados ao projeto e implementação de aplicativos (desenvolvidos ou adquiridos), bancos de dados, sistemas e infra-estrutura de rede e processamento de informações que estejam em conformidade com políticas, padrões e requisitos regulamentares aplicáveis. A conformidade com os requisitos da linha de base de segurança é reavaliada pelo menos anualmente ou após alterações significativas.
2. Quaisquer variações devem ser documentadas e acordadas pelas Partes.
3. Políticas e procedimentos devem ser estabelecidos e implementado o mecanismo para o gerenciamento de vulnerabilidades e patches, garantindo que as vulnerabilidades de aplicativos, sistemas e dispositivos de rede sejam avaliadas e que os patches de segurança aplicados pelos fornecedores sejam aplicados de maneira oportuna para priorizar patches críticos.
4. Políticas e procedimentos devem ser estabelecidos e medidas devem ser implementadas para limitar estritamente o acesso a Dados Sensíveis de dispositivos portáteis e móveis, como laptops, telefones celulares e assistentes pessoais digitais (PDAs), que são geralmente de maior risco que os dispositivos não portáteis (por exemplo computadores desktop nas instalações da organização).
5. Acordos de nível de serviço de rede e infra-estrutura (internos ou terceirizados) são claramente controles de segurança de documentos, níveis de capacidade e serviço e requisitos comerciais ou do cliente.
6. O código móvel é autorizado antes de sua instalação e uso, e a configuração garante que o código móvel autorizado funcione de acordo com uma política de segurança claramente definida. Todos os códigos móveis não autorizados são impedidos de serem executados.

• Registro e Monitoramento

1. Os registros de auditoria que registram atividades de acesso privilegiado a usuários, tentativas de acesso autorizado e não autorizado, exceções do sistema e eventos de segurança da informação devem ser retidos, obedecendo às políticas e regulamentações aplicáveis. Os logs de auditoria devem ser revisados pelo menos diariamente e ferramentas de integridade de arquivos (host) e detecção de invasão de rede (IDS) implementadas para ajudar a facilitar a detecção oportuna, a investigação pela análise da causa raiz e a resposta a incidentes. O acesso físico e lógico dos usuários aos registros de auditoria deve ser restrito ao pessoal autorizado.
2. O acesso e o uso de ferramentas de auditoria que interagem com os sistemas de informações da organização devem ser segmentados e restritos de maneira apropriada para evitar o comprometimento e uso indevido de dados de registro.

• GESTÃO DA INFORMAÇÃO, SEGURANÇA E CONFIDENCIALIDADE

• Em formação

1. Os registros de auditoria que registram atividades de acesso privilegiado a usuários, tentativas de acesso autorizado e não autorizado, exceções do sistema e eventos de segurança da informação devem ser retidos, obedecendo às políticas e regulamentações aplicáveis. Os logs de auditoria devem ser revisados pelo menos diariamente e ferramentas de integridade de arquivos (host) e detecção de invasão de rede (IDS) implementadas para ajudar a facilitar a detecção oportuna, a investigação pela análise da causa raiz e a resposta a incidentes. O acesso físico e lógico dos usuários aos registros de auditoria deve ser restrito ao pessoal autorizado.
2. Um inventário completo de ativos críticos é mantido com propriedade definida e documentada.
3. Políticas e procedimentos devem ser estabelecidos para o uso aceitável dos ativos de informação.
4. Todas as informações enviadas pelo Cliente para a Linha de Base, ou de outra forma na posse da Linha de Base ou acessíveis pela Linha de Base, permanecem como propriedade do Cliente. A informação do cliente não é:

1. Usado pela Linha de Base diferente da conexão com o fornecimento dos Serviços de Linha de Base.
2. Divulgada, vendida, cedida, alugada ou de outra forma fornecida a terceiros pela Linha de Base.
3. Comercialmente explorado por ou em nome da linha de base.
4. Todos os ativos pertencentes à organização dentro de um prazo definido e documentado, uma vez terminado o contrato, contrato ou contrato, são devolvidos.

1. Dados e objetos contendo dados são atribuídos a uma classificação baseada no tipo de dados, jurisdição de origem, jurisdição domiciliada, contexto, restrições legais, restrições contratuais, valor, sensibilidade, criticidade para a organização e obrigação de retenção e prevenção de divulgação não autorizada ou uso indevido.
2. Políticas e procedimentos devem ser estabelecidos para a rotulagem, manuseio e segurança de dados e objetos que contenham dados. Mecanismos para herança de rótulo devem ser implementados para objetos que atuam como recipientes agregados para dados.
3. Mecanismos de segurança devem ser implementados para evitar o vazamento de dados.
4. Os dados de produção não são replicados ou usados em ambientes de não produção.
5. A documentação do sistema de informações (por exemplo, guias do administrador e do usuário, diagramas de arquitetura etc.) é disponibilizada ao pessoal autorizado para garantir o seguinte:

1. Configurando, instalando e operando o sistema de informações.
2. Efetivamente usando os recursos de segurança do sistema.

1. A linha de base garante que a classificação dos dados especificados pelo proprietário da informação do Cliente (em termos de confidencialidade, integridade e disponibilidade) seja respeitada em todas as etapas do processamento da informação e também seja consistente com os requisitos da MSA.
2. A Linha de Base garante que (e qualquer pessoa empregada ou envolvida por tal parte em conexão com este projeto no decorrer de tal emprego ou engajamento) usa somente informações proprietárias fornecidas pelo Cliente para as finalidades para as quais foi fornecida ou entrou em sua posse.

• Conformidade

1. A linha de base deve estar em conformidade com o Sistema de Gerenciamento de Segurança da Informação (SGSI), conforme aplicável.
2. Os contatos e pontos de contato com as autoridades locais devem ser mantidos de acordo com os requisitos da empresa e do cliente e com os requisitos legais, regulamentares e contratuais. Dados, objetos, aplicativos, infra-estrutura e hardware podem ser atribuídos ao domínio legislativo e à jurisdição para facilitar os pontos de contato apropriados.
3. Requisitos estatutários, regulamentares e contratuais devem ser definidos para todos os elementos do sistema de informação. A abordagem da linha de base para atender aos requisitos conhecidos e adaptar-se a novos mandatos deve ser explicitamente definida, documentada e mantida atualizada para cada elemento do sistema de informação. Os elementos do sistema de informação podem incluir dados, objetos, aplicativos, infraestrutura e hardware. Cada elemento pode ser atribuído a um domínio legislativo e jurisdição para facilitar o mapeamento adequado de conformidade.
4. A linha de base deve aprovar uma política formal de segurança da informação (o documento “ Política de Segurança da Informação ”) que é comunicada e publicada aos funcionários, contratados e outras partes externas relevantes. A Política de Segurança da Informação deve estabelecer a direção da organização e alinhar-se às melhores práticas, leis regulatórias, federais / provinciais e internacionais, quando aplicável. A política de Segurança da Informação deve ser apoiada por um plano estratégico e um programa de segurança com funções e responsabilidades bem definidas para os papéis de liderança e de diretor.
5. A linha de base revisará a Política de Segurança da Informação em intervalos planejados ou como resultado de mudanças na organização para assegurar sua contínua eficácia e precisão, e políticas e procedimentos são estabelecidos e disponibilizados para todo o pessoal para suportar adequadamente o papel de operações de serviços.
6. Políticas e procedimentos são estabelecidos para autorização de gerenciamento para desenvolvimento ou aquisição de novos aplicativos, sistemas, bancos de dados, infraestrutura, serviços, operações e instalações.

• Protegendo Confidencialidade, Integridade e Disponibilidade

1. A linha de base reconhece formalmente sua responsabilidade de proteger Informações Confidenciais de acordo com os termos e condições do Contrato de Serviços Principais e os requisitos que refletem as necessidades da organização para a proteção de dados e detalhes operacionais devem ser identificados, documentados e revisados em intervalos planejados.
2. A linha de base implementa medidas de proteção para garantir a confidencialidade das Informações Confidenciais do Cliente e as informações de terceiros confiadas ao Cliente, armazenadas e em trânsito aplicáveis no serviço, que podem incluir:

1. Controles de acesso adequados a arquivos / registros.
2. Criptografia de arquivos confidenciais.
3. Criptografia de comunicações.
4. Gerenciamento de chaves seguras.
5. Política sobre estruturas de diretórios.
6. Ultimo privilégio.
7. Precisa conhecer as autoridades.

1. O Baseline toma todas as precauções necessárias para garantir que as Informações Confidenciais sejam divulgadas apenas para seus funcionários, servidores, agentes, consultores ou subcontratados que tenham necessidade de saber.
2. O acesso normal e privilegiado do usuário a aplicativos, sistemas, bancos de dados, configurações de rede e dados e funções confidenciais é restrito e aprovado pelo gerenciamento antes do acesso concedido.
3. As políticas e procedimentos de acesso do usuário são documentados, aprovados e implementados para conceder e revogar acesso normal e privilegiado a aplicativos, bancos de dados e infraestrutura de servidor e rede de acordo com os requisitos de contrato de negócios, segurança, conformidade e acordo de nível de serviço (SLA).
4. O desprovisionamento, a revogação ou modificação oportuna do acesso do usuário aos sistemas, aos ativos de informações e aos dados da organização são implementados mediante qualquer mudança no status de funcionários, contratados, clientes, parceiros de negócios ou terceiros. Qualquer alteração no status destina-se a incluir a rescisão do contrato de trabalho, contrato ou acordo, mudança de emprego ou transferência dentro da organização.
5. Todos os níveis de acesso do usuário são revisados pelo gerenciamento em intervalos planejados e documentados. Para violações de acesso identificadas, a remediação segue as políticas e procedimentos documentados de controle de acesso.
6. Acordos de terceiros que afetam direta ou indiretamente os ativos ou dados de informações da organização incluem a cobertura explícita de todos os requisitos de segurança relevantes. Isso inclui acordos envolvendo processamento, acesso, comunicação, hospedagem ou gerenciamento de ativos de informações da organização ou adição ou encerramento de serviços ou produtos a informações existentes. As disposições dos contratos de ativos incluem segurança (por exemplo, criptografia, controles de acesso e prevenção de vazamento) e controles de integridade para dados trocados para evitar divulgação, alteração ou destruição inadequadas.
7. Antes de conceder aos clientes acesso a dados, ativos e sistemas de informação, todos os requisitos de segurança, contratuais e regulamentares identificados para o acesso do cliente devem ser tratados e corrigidos.

• Devolução ou Destruição de Informações

Mediante solicitação do Cliente a qualquer momento, a Linha de Base deverá:

1. Devolver imediatamente ao Cliente, no formato e na mídia em uso a partir da data da solicitação, toda ou parte solicitada dos Dados da Empresa do Cliente; e / ou
2. Apaga ou destrói todos ou parte dos Dados Corporativos do Cliente na posse da Linha de Base e destrói todas as mídias que contêm Dados da Empresa do Cliente que não estão funcionando corretamente. Se o Cliente direcionar o Baseline a apagar ou destruir todos ou parte dos Dados Comerciais do Cliente, o Baseline confirma imediatamente ao Cliente, por escrito, que tal apagamento ou destruição ocorreu. As fitas de arquivamento que contêm dados comerciais do cliente são usadas apenas para fins de backup e são devolvidas ou destruídas.

• Política e Escopo

1. A linha de base deve ter uma política de gerenciamento de risco de informação que seja demonstrável e, no mínimo, abranja o seguinte escopo de áreas:

1. Proteção da informação
2. Processo de conscientização
3. Segurança física
4. Gerenciamento de Computadores e Redes
5. Controles de acesso
6. Desenvolvimento e manutenção de sistemas
7. Planos de recuperação de IS
8. Conformidade

1. A linha de base realiza periodicamente avaliações de riscos abrangendo todas as operações dentro do escopo do contrato da Linha de Base com o Cliente, e a Linha de Base periodicamente analisa os requisitos de gerenciamento de riscos da informação do Cliente para os Serviços de Linha de Base.

• Papéis e responsabilidades

1. Como parte do Acordo de Nível de Serviço da Linha de Base, as funções de gerenciamento de risco da informação atribuídas a cada Parte e suas responsabilidades associadas estão claramente definidas.
2. A linha de base indicará um gerente de risco de informações para o Cliente (o Gerente de Conta Técnico da TAM) e é responsável pela proteção das Informações Confidenciais do Cliente e por quaisquer informações de terceiros confiadas ao Cliente.
3. As funções e responsabilidades dos contratados, funcionários e usuários de terceiros são documentadas como relacionadas a ativos de informação e segurança.
4. Políticas, processos e procedimentos são implementados para garantir e garantir a segregação adequada de funções. Nos eventos em que existe restrição de conflito de interesses entre a função do usuário, existem controles técnicos para reduzir os riscos decorrentes de modificação não autorizada ou não intencional ou mau uso dos ativos de informações da organização.
5. Os usuários são informados de suas responsabilidades por:

1. Manter a conscientização e conformidade com as políticas, procedimentos, padrões e requisitos regulamentares de segurança publicados.
2. Manter um ambiente de trabalho seguro e protegido.
3. Deixar o equipamento desacompanhado de maneira segura.

• Gerenciamento de riscos

1. O Baseline compartilha as constatações de avaliação de risco e os planos de remediação propostos com o Cliente e notifica o Cliente sobre quaisquer atrasos no cumprimento das datas acordadas para implementar controles específicos de gerenciamento de risco da informação e adere ao processo acordado para gerenciar qualquer deslizamento.
2. A linha de base deve ter procedimentos de gestão de risco em vigor no que diz respeito à gestão de pessoal:

1. Ligação com o gerente de risco de informações do Cliente.
2. Monitorar o serviço para violações de gerenciamento de risco da informação.
3. Investigando e relatando todas as violações de gerenciamento de risco de informações e resultados de todas as investigações dentro dos limites do serviço fornecido.

1. A linha de base deve ter procedimentos de gestão de risco em vigor no que diz respeito à gestão de pessoal:

1. Contratação, mudança de trabalho, demissão, demissão, redundância, rescisão de contrato, transferência, indisponibilidade do pessoal, remoção de privilégios de acesso do usuário.
2. Todos os membros da equipe da Baseline e da Subcontratada deverão assinar um contrato de confidencialidade em relação às informações de propriedade do Cliente e das informações de terceiros confiadas ao Cliente.

1. De acordo com as leis, regulamentações, ética e restrições contratuais locais, todos os candidatos a emprego, contratados e terceiros estão sujeitos a uma verificação de antecedentes proporcional à classificação de dados a ser acessada, aos requisitos de negócios e aos riscos aceitáveis.
2. A linha de base garante que o regime de gerenciamento de risco da informação proposto para proteger as informações é apropriado para os riscos ambientais.
3. O executivo e o gerente de linha devem tomar medidas formais para apoiar a segurança da informação por meio de orientação clara documentada, compromisso, atribuição explícita e verificação da execução da atribuição.
4. A linha de base deve ter um processo para resolver disputas sobre questões de gerenciamento de risco da informação.
5. A linha de base deve desenvolver e manter uma estrutura de gerenciamento de riscos corporativos para gerenciar os riscos a um nível aceitável.
6. Alinhados com a estrutura corporativa, avaliações de riscos formais devem ser realizadas pelo menos anualmente, ou em intervalos planejados, determinando a probabilidade e o impacto de todos os riscos identificados, usando métodos qualitativos e quantitativos. A probabilidade e o impacto associados ao risco inerente e residual devem ser determinados independentemente, considerando todas as categorias de risco (por exemplo, resultados de auditoria, análise de ameaças e vulnerabilidades e conformidade regulatória).
7. Os riscos devem ser mitigados para um nível aceitável. Os níveis de aceitação baseados em critérios de risco devem ser estabelecidos e documentados de acordo com prazos razoáveis de resolução e aprovação executiva.
8. Os resultados da avaliação de riscos devem incluir atualizações de políticas, procedimentos, padrões e controles de segurança para garantir que eles permaneçam relevantes e eficazes.
9. A identificação, avaliação e priorização dos riscos colocados pelos processos de negócios que exigem acesso de terceiros aos sistemas de informações e dados da organização são seguidos por uma aplicação coordenada de recursos para minimizar, monitorar e medir a probabilidade e o impacto de acesso não autorizado ou inadequado. Os controles de compensação derivados da análise de risco são implementados antes do acesso ao provisionamento.

• Consciência

1. A linha de base deve assegurar que seu pessoal tenha uma compreensão das ameaças e preocupações de gerenciamento de riscos de informações relacionadas aos Serviços de Linha de Base e às políticas relevantes de gerenciamento de risco de informações.
2. O pessoal de linha de base atribuído aos Serviços de Base receberá treinamento e atualizações regulares sobre políticas e procedimentos relevantes de gerenciamento de risco de informações do esquema de classificação de gerenciamento de risco padrão e procedimentos apropriados.
3. O pessoal subcontratado designado para os Serviços de Base deve estar ciente do esquema de classificação de gerenciamento de risco da informação da Linha de Base e dos procedimentos apropriados.
4. Políticas e procedimentos devem ser estabelecidos para limpar documentos visíveis que contenham dados confidenciais quando um espaço de trabalho estiver sem supervisão e para a imposição de logout da sessão da estação de trabalho por um período de inatividade.

• GESTÃO DE INCIDENTES

• Procedimentos para gerenciar incidentes de segurança da informação

1. Haverá procedimentos estabelecidos cobrindo a investigação e a comunicação de todos os incidentes de segurança da informação imediatamente, incluindo os seguintes, mas não limitados a:

1. A investigação
2. Escalação
3. Formato de relatório
4. Ação disciplinar
5. Ação legal
6. Ações tomadas para evitar a recorrência do incidente
7. Feedback para o sistema de gerenciamento de segurança

1. A linha de base deve ter um processo para assegurar que os incidentes de segurança da informação sejam adequadamente gerenciados sem custo adicional para o Cliente e dentro de um prazo documentado dentro do Acordo de Nível de Serviço e para qualquer investigação forense formal.
2. A Linha de Base compromete-se a se comunicar em total transparência com o Cliente sobre a investigação e as ações subsequentes tomadas após os incidentes de segurança da informação envolvendo o Cliente.
3. Devem existir mecanismos para monitorar e quantificar os tipos, volumes e custos dos incidentes de segurança da informação.
4. A Linha de Base notificará o Cliente sobre qualquer posse não autorizada, divulgação, uso ou conhecimento, ou tentativa de, das informações do Cliente de que tenha conhecimento, incluindo qualquer violação de segurança em um sistema, LAN ou rede de telecomunicações que contenha, processe ou transmita informações confidenciais.
5. A linha de base deve garantir que os registros de serviço sejam inspecionados regular e efetivamente quanto a incidentes de segurança da informação. 
6. A Linha de Base notificará o Cliente sobre quaisquer alterações em seu ambiente que possam alterar significativamente o nível de segurança dos Serviços de Linha de Base.
7. A linha de base deve executar o risco da informação. A linha de base deve executar o monitoramento e o relatório do risco da informação e, no mínimo:

1. Monitoramento e relatório do status de segurança.
2. Relatório de incidentes de gerenciamento de risco de informações.
3. Adere à estrutura e aos formatos de relatórios predefinidos.
4. As frequências de relatórios são pelo menos trimestrais.

1. A linha de base deve informar imediatamente ao gerente do contrato do Cliente ou ao contato designado, quaisquer comprometimentos conhecidos ou suspeitos dos ativos de informações do Cliente ou violações do contrato.

• Acompanhamento e Notificação

1. A investigação de incidentes de segurança da informação descobertos em trilhas de auditoria deve ser gerenciada dentro dos procedimentos gerais estabelecidos para o gerenciamento e relato de incidentes de segurança da informação.
2. No caso de uma ação de acompanhamento referente a uma pessoa ou organização após um incidente de segurança da informação exigir uma ação legal, procedimentos legais adequados, incluindo a cadeia de custódia, deverão estar em vigor para coleta, retenção e apresentação de evidência para apoiar possíveis ações legais sujeitas ao jurisdição relevante.

• Resposta de emergência

1. A linha de base conta com uma equipe de resposta a emergências, de acordo com o SLA.
2. No caso de uma grande violação de gerenciamento de risco, a linha de base deve alocar recursos apropriados para a equipe de resposta a emergências criada pelo Cliente.

• CONTINUIDADE DE NEGÓCIOS

• Plano e Procedimentos

1. A linha de base deve ter um método definido e documentado para determinar o impacto de qualquer interrupção para a organização que incorpore o seguinte:

1. Identifique produtos e serviços críticos.
2. Identifique todas as dependências, incluindo processos, aplicativos, parceiros de negócios e serviços de terceiros.
3. Entenda ameaças a produtos e serviços críticos.
4. Determine os impactos resultantes de interrupções planejadas ou não planejadas e como elas variam ao longo do tempo.
5. Estabeleça o período máximo tolerável para interrupção.
6. Estabelecer prioridades para recuperação.
7. Estabelecer objetivos de tempo de recuperação para a retomada de produtos e serviços críticos dentro de seu período máximo tolerável de interrupção.
8. Estimar os recursos necessários para a retomada.
9. Consciência do pessoal de contingência.
10. Planos de segurança

1. A linha de base deve ter um conjunto definido de procedimentos para ação em uma situação de contingência. A linha de base deve assegurar que:

1. As condições de implementação são claramente definidas e entendidas.
2. As responsabilidades da linha de base são totalmente definidas.
3. Todas as responsabilidades de terceiros são totalmente definidas.

1. Deve haver um plano detalhado de recuperação e recuperação dentro do plano de migração para evitar a perda ou corrupção das informações do Cliente.
2. Políticas e procedimentos devem ser estabelecidos para a manutenção do equipamento, assegurando a continuidade e a disponibilidade das operações.
3. Para reduzir os riscos de ameaças ambientais, os perigos e as oportunidades de acesso não autorizado a equipamentos devem estar localizados longe de locais sujeitos a riscos ambientais de alta probabilidade e complementados por equipamentos redundantes localizados a uma distância razoável.
4. Mecanismos de segurança e redundâncias devem ser implementados para proteger o equipamento de interrupções do serviço público (por exemplo, falhas de energia, interrupções de rede, etc.).
5. Equipamentos de telecomunicações, cabeamento e relés que transcendem dados ou serviços de apoio devem ser protegidos de interceptação ou danos e projetados com redundâncias, fonte de energia alternativa e roteamento alternativo.
6. A Linha de Base fornecerá tecnologia confiável suportada por instalações alternativas ou duplicadas, bem como por estratégia de backup de dados primários (no local) e secundários (fora do local) para atender aos requisitos de serviço no Acordo de Base em Força e Efeito e capacidade suficiente para lidar com as previsões atuais e previstas. cargas de trabalho.
7. Devem ser estabelecidas políticas e procedimentos para retenção e armazenamento de dados e implementados mecanismos de backup ou redundância para garantir a conformidade com os requisitos regulatórios, estatutários, contratuais ou comerciais. O teste da recuperação de backups em disco ou fita deve ser implementado em intervalos planejados.

• Resiliência de serviço

1. A linha de base deve ter um plano de teste anual descrevendo o número e os tipos de testes a serem realizados e os objetivos do teste.
2. Os empreendimentos de linha de base que o plano de continuidade de negócios aprovado devem ser periodicamente testados por terceiros para sua adequação e eficácia.

• Procedimentos de Mudança e Evolução

1. A linha de base deve ter um processo para gerenciar mudanças nos Serviços de Baseline (para cobrir todos os componentes dos ambientes operacionais de serviço) que:

1. Um processo formal e controlado deve ser aplicado para todas as mudanças.
2. Um processo de integração deve ser aplicado a todos os novos componentes antes de serem implementados.
3. Um plano de reversão deve ser definido e validado para cada alteração.
4. As mudanças funcionais devem ser validadas pelos proprietários da informação.
5. Quaisquer alterações nos aplicativos ou no sistema operacional que tenham impacto na infraestrutura devem ser validadas pelo gerente de Segurança da Informação relevante.
6. As aplicações devem ser mantidas considerando o suporte contínuo da infraestrutura e a evolução das plataformas pelos fornecedores.

1. A Linha de Base notificará o gerente de risco de informações do Cliente sobre quaisquer alterações que possam ter um efeito no ambiente de gerenciamento de risco da informação dos Serviços de Linha de Base.

• Testando

1. A linha de base deve ter procedimentos em vigor para garantir a certificação adequada e aceitação dos produtos após o teste, que incluem, no mínimo:

1. Aceitação de autoridade de design
2. Certificação de teste
3. Procedimentos de entrega ao cliente

1. A linha de base se empenha em demonstrar que seu regime de testes é capaz de gerenciar adequadamente os dados de teste
2. A linha de base deve tomar todas as precauções para que os Dados confidenciais nunca sejam usados para fins de teste. Se o uso de dados confidenciais for essencial para a implementação bem-sucedida dos serviços de linha de base, a linha de base deve implementar procedimentos para gerenciá-los adequadamente.
3. Todos os softwares fornecidos para uso com os Serviços de Linha de Base devem ser adequadamente testados e incluir, no mínimo:

1. Teste funcional.
2. Teste de integração.
3. Testes de segurança.
4. Teste de performance.
5. Testes de aptidão.
6. Autoridade de teste independente.
7. Teste independente.
8. Teste de regressão de compatibilidade de versão de software do sistema.
9. Teste do ambiente do sistema, incluindo o software operacional e de aplicativos, a infraestrutura de rede e o processo operacional envolvidos na prestação de serviços.

• Mudanças de Emergência

A linha de base deve ter um processo para lidar com mudanças de emergência, o que inclui a integração das mudanças em procedimentos padrão.

• SEGURANÇA PCI-DSS

A linha de base deve ter formalmente avaliado e documentado sua conformidade com os requisitos do PCI DSS

• DESENVOLVIMENTO DE SOFTWARE E APLICAÇÃO

• Procedimentos

1. A linha de base deve ter um método definido e documentado para determinar o impacto de qualquer interrupção para a organização que incorpore o seguinte:
2. As políticas de segurança devem declarar explicitamente os requisitos e processos de segurança a serem adotados durante o desenvolvimento do software / aplicativo, e são projetados de acordo com os padrões de segurança aceitos pelo setor e cumprem os requisitos regulamentares e comerciais aplicáveis.
3. Um processo de segurança é estabelecido, implementado e monitorado.
4. A linha de base deve garantir que seus desenvolvedores recebam sessões regulares de conscientização.
5. A linha de base deve ter processos de segurança para identificar e endereçar os aplicativos que usam dados pessoais do usuário.

• Fase de Requisitos

A linha de base deve ter um processo para determinar os requisitos de segurança do proprietário do negócio / aplicação dos requisitos e estágios de viabilidade em si, e no mínimo ele aborda:

1. Consciência dos contatos e assessores de segurança e privacidade.
2. Documento definido sobre barras de erros de segurança e privacidade, juntamente com o uso obrigatório do sistema de rastreamento de bugs.
3. Identificação de equipe que tem acesso a dados confidenciais.
4. Administração dos usuários através de revisões de acesso e verificação de identidade.
5. Recursos de registro de aplicativos ativados.
6. Identificação e comunicação sobre autenticação e criptografia multifator como parte da solução, se aplicável.

• Fase de Design, Desenvolvimento e Implementação

1. A linha de base deve ter técnicas de design documentadas que são seguidas por identificação baseada em código gerenciado / não gerenciado, privilégios mínimos, minimização de superfície de ataque e limite por meio de configurações padrão, etc., e registros são mantidos em relação ao acesso individual concedido, razão de acesso e versão da fonte código exposto.
2. A linha de base deve garantir critérios de segurança suplementares identificados por meio de problemas de produto exclusivos, como scripts de cross-site, ataques de injeção SQL, etc., e programas utilitários capazes de substituir potencialmente controles de sistema, objeto, rede, máquina virtual e aplicativo.
3. A linha de base deve adotar e implementar um processo de modelagem de ameaças como uma revisão sistemática da arquitetura de recursos e produtos para identificar ameaças e mitigação.
4. A segurança é considerada e tomada como parte da validação de entrada e do tratamento de exceções.
5. A linha de base deve garantir que tenha havido projeto de balanceamento de carga e monitoramento de carga para proteger contra a destruição ou a negação de serviço e garantir a disponibilidade.
6. Deve haver um processo definido, documentação e ferramentas necessárias para garantir a implantação e operação seguras.

• Verificação, teste e liberação

1. No mínimo, a linha de base deve considerar e assegurar o seguinte:

1. Avaliações de vulnerabilidade feitas para garantir a segurança do aplicativo.
2. Testes de penetração para garantir os impactos de segurança da perspectiva de um hacker são cobertos.
3. Todos os planos de resposta são implementados e acionados juntamente com a reavaliação da superfície de ataque.
4. Conduta de uma revisão de código automática e manual para garantir que o código esteja livre de bugs.
5. Revisão do design e arquitetura à luz de novas ameaças.
6. Rotinas de integridade de entrada e saída de dados (ou seja, reconciliação e verificações de edição).

1. A linha de base deve garantir que haja uma conduta na análise final de segurança (que não faz parte dos testes de caneta) como parte do processo de liberação para garantir que não haja vulnerabilidades de segurança conhecidas.