I) Considerando que o CLIENTE utiliza serviços e/ou produtos fornecidos pela CONTRATADA em seu ambiente tecnológico;

II) Considerando a importância, inquestionável, de proteger e elevar o nível da segurança da informação e mitigar riscos associados a ameaças diversas, inclusive cibernéticas;

II) Considerando que a CONTRATADA possui conhecimentos especializados e atua em consonância com as boas práticas que orienta;

As Partes concordam com as seguintes iniciativas de segurança da informação como fortes recomendações de uso e aplicação no ambiente tecnológico do CLIENTE, com as quais este se compromete a envidar seus melhores esforços para cumpri-las integralmente:

a) Política de Senhas Fortes: Recomenda-se que o CLIENTE implemente uma política de senhas fortes, sendo exigido o uso de senhas complexas, atualizadas periodicamente e não relacionadas a informações pessoais. A política de senhas também deve incentivar o uso de autenticação multifator (MFA - multi-factor authentication) sempre que possível e necessário. Recomenda-se que aplicações utilizem credenciais temporárias, em substituição a credenciais permanentes.

b) Atualização de Software: Recomenda-se que o CLIENTE mantenha seus sistemas operacionais, aplicativos e software de segurança atualizados com as versões mais recentes e patches de segurança, em todos os seus ambientes tecnológicos e dispositivos, inclusive de terceiros, quando for o caso, a fim de mitigar vulnerabilidades conhecidas.

c) Controle de Acesso: Recomenda-se que o CLIENTE implemente controles de acesso adequados para restringir acessos não autorizados a sistemas e/ou informações confidenciais. Isso pode incluir a utilização de autenticação de dois fatores, atribuição de privilégios mínimos necessários e a revisão regular dos direitos de acesso dos usuários.

d) Monitoramento e Detecção de Intrusões: Recomenda-se que o CLIENTE implemente sistemas de monitoramento e detecção de intrusões para identificar atividades suspeitas e/ou não autorizadas em sua rede ou sistemas, permitindo uma resposta rápida a incidentes de segurança.

e) Rastreabilidade: Recomenda-se que o CLIENTE implemente e mantenha medidas técnicas e organizacionais adequadas para garantir a integridade, confidencialidade e disponibilidade dos registros de logs com o objetivo de garantir a rastreabilidade de quaisquer acessos ou suas alterações em identidades internas ou externas. Isso inclui proteger esses registros contra perda, corrupção, acesso não autorizado e/ou divulgação indevida.

f) Treinamento de Conscientização em Segurança da Informação: Recomenda-se que o CLIENTE ofereça treinamentos e materiais regulares de conscientização em segurança da informação para seu pessoal, aqui incluídos seus profissionais, prepostos, sócios, parceiros, contratados, subcontratados etc., a fim de promover boas práticas de segurança e reduzir o risco de engenharia social, ataques de phishing e quais outras formas de tentativas de violações da segurança da informação.

g) Cópias de Segurança de Dados: Recomenda-se que o CLIENTE realize cópias de segurança periódicas dos dados considerados relevantes/importantes e teste regularmente a restauração dessas cópias, garantindo a integridade e disponibilidade das informações em caso de perda, violação e/ou até mesmo diante de dados corrompidos.

h) Gerenciamento de Incidentes de Segurança: Recomenda-se que o CLIENTE desenvolva e mantenha um plano de resposta a incidentes de segurança que inclua ações claras a serem tomadas em caso de violação de segurança e/ou suspeita de atividades maliciosas.

i) Avaliações de Segurança: Recomenda-se que o CLIENTE realize avaliações regulares de segurança em seu ambiente tecnológico, como testes de penetração e análises de vulnerabilidades, a fim de identificar e corrigir possíveis fragilidades do seu ambiente.

j) Privacidade de Dados: Recomenda-se que o CLIENTE esteja em conformidade com as leis de privacidade de dados aplicáveis e implemente medidas adequadas para proteger as informações pessoais de seus clientes, seus profissionais e outras partes interessadas.

k) Revogação de Acesso: Recomenda-se que o CLIENTE implemente procedimentos para revogar, imediatamente, o acesso de profissionais e/ou usuários que deixaram a organização ou cujos direitos de acesso foram revogados, ao seu ambiente tecnológico e físico, a fim de evitar ou mitigar riscos de acessos não autorizados.

l) Ações Preventivas: Recomenda-se que o CLIENTE adote Controles de Segurança Críticos ou Controles CIS que estabelecem um conjunto prescritivo e priorizado de práticas recomendadas de segurança cibernética e ações defensivas que podem ajudar a evitar diversos tipos de ataques. 

As Partes concordam que o não cumprimento de iniciativas de segurança da informação aumentam a possibilidade de casos de violação de dados, ataques hacker, consumo ou uso indevido de recursos tecnológicos, sejam em nuvem ou não. O CLIENTE entende e concorda que os riscos econômicos e financeiros são de sua inteira e exclusiva responsabilidade, sendo, portanto, fortemente recomendadas as práticas aqui referidas, bem como quaisquer outras boas práticas de segurança disponíveis no mercado.

Em sendo da preferência do CLIENTE, a parametrização e gestão da segurança de seu ambiente tecnológico e soluções adquiridas para aumentar sua proteção poderão ser providas pela CONTRATADA, mediante escopos e orçamentações específicas. Maiores detalhes sobre os serviços de segurança e conformidade disponíveis pela CONTRATADA podem ser consultados em www.processor.com.br/seguranca. 

Este termo tem como objetivo principal reforçar o compromisso da CONTRATADA com as boas práticas de mercado sobre segurança da informação e promover a incorporação destas no dia a dia de nossos clientes.