Recomendações de Segurança da Informação

Prezado Cliente,

Sabendo a importância e a necessidade de aprimorarmos constantemente as medidas de segurança, elaboramos este documento com recomendações para que os usuários que contratam e utilizam serviços e/ou soluções fornecidas pela SUPPORT mantenham um perfil mínimo de segurança no seu ambiente, buscando reduzir o risco de fraudes, roubo de credenciais, sequestro, alteração ou exclusão de dados, evasão de recursos, consumo ou uso indevido de recursos tecnológicos e/ou uso inapropriado por pessoas autorizadas ou não.

A SUPPORT atua e ativa serviços somente quando solicitado pelo CLIENTE, estando à disposição para prestar esclarecimentos e orientar na gestão dos recursos quando necessário. A gerência destes acessos, contudo, permanece sendo responsabilidade do CLIENTE.

Recomendações de segurança para uso e operação do ambiente:

MÚLTIPLO FATOR DE AUTENTICAÇÃO (MFA): sugere-se a utilização de Múltiplo Fator de Autenticação (MFA) para todos os usuários que tenham acesso às ferramentas com poderes de edição ou mais.
NÍVEIS E CONTROLE DE ACESSO: recomenda-se ao CLIENTE adotar Níveis de Acesso restritivos, de forma a garantir que os usuários tenham acesso exclusivamente aos recursos que necessitam e para os quais estejam habilitados. Recomenda-se também que o CLIENTE implemente procedimentos para criação, alteração ou revogação, imediatamente, ao acesso de profissionais e/ou usuários que entraram ou deixaram a organização ou cujos direitos de acesso foram revogados, ao seu ambiente tecnológico e físico, a fim de evitar ou mitigar riscos de acessos não autorizados.
SENHAS: recomenda-se a utilização de uma política de senhas fortes para acesso, sendo exigido o uso de senhas complexas, atualizadas periodicamente e não relacionadas a informações pessoais.
ADMINISTRADORES: orienta-se que o cliente mantenha o menor número possível de usuários com a permissão de Administrador, devendo ser designados, preferencialmente, funcionários internos tecnicamente habilitados, uma vez que possuem amplos privilégios de gerência e criação de recursos. Caso sejam disponibilizados para terceiros, estes devem atender todas as normas de segurança descritas no presente termo. O controle e a responsabilidade de acesso e uso prevista, especialmente do ponto de vista legal e jurídico, é exclusivo do CLIENTE.
TREINAMENTO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO: é importante que o CLIENTE ofereça treinamentos e materiais de conscientização em segurança da informação, de maneira periódica, incluindo, profissionais, prepostos, sócios, parceiros, contratados, subcontratados etc.
USO DE SOFTWARES: recomenda-se que o CLIENTE utilize única e exclusivamente softwares devidamente licenciados, ou seja, adquirido de forma legal, e que obedeça aos termos de uso estabelecidos pelo fabricante, os quais deverão ser utilizados no máximo até o fim da vida útil definida pelo fabricante. Caso o CLIENTE permaneça utilizando softwares ou aplicativos que estejam fora do prazo de ciclo de vida do fabricante, assumirá todos os riscos de segurança decorrentes.
ATUALIZAÇÃO DE SOFTWARE/ APLICATIVOS: recomenda-se que o CLIENTE mantenha seus sistemas operacionais, aplicativos e software de segurança atualizados com as versões mais recentes e todos os patches de segurança aplicados, em todos os seus ambientes tecnológicos e dispositivos, inclusive de terceiros, quando for o caso, a fim de mitigar vulnerabilidades conhecidas.
BACKUP: orienta-se que o CLIENTE realize cópias de segurança dos seus dados, seguindo uma política apropriada e com periodicidade que atenda aos requisitos mínimos para o negócio, executado e monitorado regularmente.
DADOS: recomenda-se que o CLIENTE possua uma gestão efetiva dos dados armazenados em soluções contratadas junto à SUPPORT, sempre observando a integridade, confidencialidade e disponibilidade dos dados.
RASTREABILIDADE: recomenda-se que o CLIENTE mantenha medidas técnicas e organizacionais adequadas para garantir a integridade, confidencialidade e disponibilidade dos registros de logs com o objetivo de garantir a rastreabilidade de quaisquer acessos ou suas alterações em identidades internas ou externas. Isso inclui proteger esses registros contra perda, corrupção, acesso não autorizado e/ou divulgação indevida.
RECOMENDAÇÕES ADICIONAIS PARA SOLUÇÕES DE NUVEM: orienta-se que o CLIENTE adote os princípios de segurança em seu ambiente de nuvem. Da forma a seguir exposta:
- 11.1 Proprietários: a SUPPORT informa que privilégio de acesso owner (proprietário) das assinaturas de Azure não será concedido ao CLIENTE, devido ao elevado risco de fraudes por agentes maliciosos;
- 11.2 E-mail: sugere-se que as assinaturas de serviços de nuvem possuam endereço de e-mail de contato responsável atualizado e válido, configurado para problemas de segurança que possam ser verificados;
- 11.3 Permissionamento: recomenda-se que os recursos contratados tenham suas permissões de acesso baseadas no formato de “Least-Privileged Access” (menor privilégio possível) para todos os itens sob responsabilidade do CLIENTE, seja do tenant (portal da empresa/organização), gerenciamento de identidade, recursos ou qualquer outro ativo vinculado à assinatura de nuvem contratada com a SUPPORT;
- 11.4 Independência e segurança de rede: recomenda-se, para tornar os perímetros mais seguros, aplicar controles de acesso como:

a) Utilizar segmentação virtual de rede (via VNets) entre ativos de uso interno que não devam comunicar-se com ambientes externos;

b) Impedir a liberação de acesso do tipo “Any” a protocolos como RDP e SSH.

12. DISPOSIÇÕES FINAIS: o não cumprimento das recomendações de segurança indicadas neste “Termo” aumentam a possibilidade de casos de violação de dados, ataques hacker, consumo ou uso indevido de recursos tecnológicos, sejam em nuvem ou não. Caso o CLIENTE, por sua conta e risco, não aplique tais medidas, assumirá inteira e exclusiva responsabilidade sobre os respectivos danos decorrentes.

Além das recomendações descritas acima, a SUPPORT poderá indicar aos seus clientes outras ferramentas de proteção para aprimorar ainda mais o desempenho seguro na utilização dos recursos e serviços. Caso haja interesse em implementar outras medidas de segurança, o cliente deve contatar nosso suporte técnico.

Ao utilizar as soluções e serviços fornecidos pela SUPPORT, o CLIENTE dará o seu “aceite” ao presente “Termo”, mediante assinatura da PROPOSTA COMERCIAL.

Visando a melhor utilização dos recursos contratados, este “Termo” tem como objetivo principal reforçar o compromisso da SUPPORT com as boas práticas de mercado sobre segurança da informação e promover maior segurança ao ambiente do CLIENTE.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Recomendações de Segurança da Informação

Endereço:

Acompanhe-nos