Recomendações de Segurança da Informação

Prezado Cliente, 

Sabendo a importância e a necessidade de aprimorarmos constantemente as medidas de segurança, elaboramos este documento com recomendações para que os usuários que contratam e utilizam serviços e/ou soluções fornecidas pela SUPPORT mantenham um perfil mínimo de segurança no seu ambiente, buscando reduzir o risco de fraudes, roubo de credenciais, sequestro, alteração ou exclusão de dados, evasão de recursos, consumo ou uso indevido de recursos tecnológicos e/ou uso inapropriado por pessoas autorizadas ou não.

A SUPPORT atua e ativa serviços somente quando solicitado pelo CLIENTE, estando à disposição para prestar esclarecimentos e orientar na gestão dos recursos quando necessário. A gerência destes acessos, contudo, permanece sendo responsabilidade do CLIENTE.

Recomendações de segurança para uso e operação do ambiente:

  1. MÚLTIPLO FATOR DE AUTENTICAÇÃO (MFA): sugere-se a utilização de Múltiplo Fator de Autenticação (MFA) para todos os usuários que tenham acesso às ferramentas com poderes de edição ou mais.
  2. NÍVEIS E CONTROLE DE ACESSO: recomenda-se ao CLIENTE adotar Níveis de Acesso restritivos, de forma a garantir que os usuários tenham acesso exclusivamente aos recursos que necessitam e para os quais estejam habilitados. Recomenda-se também que o CLIENTE implemente procedimentos para criação, alteração ou revogação, imediatamente, ao acesso de profissionais e/ou usuários que entraram ou deixaram a organização ou cujos direitos de acesso foram revogados, ao seu ambiente tecnológico e físico, a fim de evitar ou mitigar riscos de acessos não autorizados.
  3. SENHAS: recomenda-se a utilização de uma política de senhas fortes para acesso, sendo exigido o uso de senhas complexas, atualizadas periodicamente e não relacionadas a informações pessoais.
  4. ADMINISTRADORES: orienta-se que o cliente mantenha o menor número possível de usuários com a permissão de Administrador, devendo ser designados, preferencialmente, funcionários internos tecnicamente habilitados, uma vez que possuem amplos privilégios de gerência e criação de recursos. Caso sejam disponibilizados para terceiros, estes devem atender todas as normas de segurança descritas no presente termo. O controle e a responsabilidade de acesso e uso prevista, especialmente do ponto de vista legal e jurídico, é exclusivo do CLIENTE.
  5. TREINAMENTO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO: é importante que o CLIENTE ofereça treinamentos e materiais de conscientização em segurança da informação, de maneira periódica, incluindo, profissionais, prepostos, sócios, parceiros, contratados, subcontratados etc.
  6. USO DE SOFTWARES: recomenda-se que o CLIENTE utilize única e exclusivamente softwares devidamente licenciados, ou seja, adquirido de forma legal, e que obedeça aos termos de uso estabelecidos pelo fabricante, os quais deverão ser utilizados no máximo até o fim da vida útil definida pelo fabricante. Caso o CLIENTE permaneça utilizando softwares ou aplicativos que estejam fora do prazo de ciclo de vida do fabricante, assumirá todos os riscos de segurança decorrentes.
  7. ATUALIZAÇÃO DE SOFTWARE/ APLICATIVOS: recomenda-se que o CLIENTE mantenha seus sistemas operacionais, aplicativos e software de segurança atualizados com as versões mais recentes e todos os patches de segurança aplicados, em todos os seus ambientes tecnológicos e dispositivos, inclusive de terceiros, quando for o caso, a fim de mitigar vulnerabilidades conhecidas.
  8. BACKUP: orienta-se que o CLIENTE realize cópias de segurança dos seus dados, seguindo uma política apropriada e com periodicidade que atenda aos requisitos mínimos para o negócio, executado e monitorado regularmente.
  9. DADOS: recomenda-se que o CLIENTE possua uma gestão efetiva dos dados armazenados em soluções contratadas junto à SUPPORT, sempre observando a integridade, confidencialidade e disponibilidade dos dados.
  10. RASTREABILIDADE: recomenda-se que o CLIENTE mantenha medidas técnicas e organizacionais adequadas para garantir a integridade, confidencialidade e disponibilidade dos registros de logs com o objetivo de garantir a rastreabilidade de quaisquer acessos ou suas alterações em identidades internas ou externas. Isso inclui proteger esses registros contra perda, corrupção, acesso não autorizado e/ou divulgação indevida.
  11. RECOMENDAÇÕES ADICIONAIS PARA SOLUÇÕES DE NUVEM: orienta-se que o CLIENTE adote os princípios de segurança em seu ambiente de nuvem. Da forma a seguir exposta:
    • 11.1 Proprietários: a SUPPORT informa que privilégio de acesso owner (proprietário) das assinaturas de Azure não será concedido ao CLIENTE, devido ao elevado risco de fraudes por agentes maliciosos;
    • 11.2 E-mail: sugere-se que as assinaturas de serviços de nuvem possuam endereço de e-mail de contato responsável atualizado e válido, configurado para problemas de segurança que possam ser verificados;
    • 11.3 Permissionamento: recomenda-se que os recursos contratados tenham suas permissões de acesso baseadas no formato de “Least-Privileged Access” (menor privilégio possível) para todos os itens sob responsabilidade do CLIENTE, seja do tenant (portal da empresa/organização), gerenciamento de identidade, recursos ou qualquer outro ativo vinculado à assinatura de nuvem contratada com a SUPPORT;
    • 11.4 Independência e segurança de rede: recomenda-se, para tornar os perímetros mais seguros, aplicar controles de acesso como:

                        a) Utilizar segmentação virtual de rede (via VNets) entre ativos de uso interno que não devam comunicar-se com ambientes externos;

                        b) Impedir a liberação de acesso do tipo “Any” a protocolos como RDP e SSH.

12. DISPOSIÇÕES FINAIS: o não cumprimento das recomendações de segurança indicadas neste “Termo” aumentam a possibilidade de casos de violação de dados, ataques hacker, consumo ou uso indevido de recursos tecnológicos, sejam em nuvem ou não. Caso o CLIENTE, por sua conta e risco, não aplique tais medidas, assumirá inteira e exclusiva responsabilidade sobre os respectivos danos decorrentes.

Além das recomendações descritas acima, a SUPPORT poderá indicar aos seus clientes outras ferramentas de proteção para aprimorar ainda mais o desempenho seguro na utilização dos recursos e serviços. Caso haja interesse em implementar outras medidas de segurança, o cliente deve contatar nosso suporte técnico.

Ao utilizar as soluções e serviços fornecidos pela SUPPORT, o CLIENTE dará o seu “aceite” ao presente “Termo”, mediante assinatura da PROPOSTA COMERCIAL.

Visando a melhor utilização dos recursos contratados, este “Termo” tem como objetivo principal reforçar o compromisso da SUPPORT com as boas práticas de mercado sobre segurança da informação e promover maior segurança ao ambiente do CLIENTE.