RD Station

Política de Segurança de Informação RD Station – Fornecedores e Parceiros

Esta política é parte integrante, indissociável e irrenunciável do contrato celebrado entre as Partes, manifestando a CONTRATADA a sua ciência com todos os termos a seguir apresentados.

Dos requisitos mínimos de Segurança da Informação

Cláusula 1ª. Referente ao seu Parque Tecnológico e as medidas de segurança da informação, a CONTRATADA se obriga a:

  1. Possuir uma Política e Segurança da Informação, uma Política de Privacidade com Aviso Externo de Privacidade, uma Política de Gerenciamento de Riscos e/ou possuir um processo de Gerenciamento de Riscos em implementação, e, uma Política de Resposta aos Incidentes de Segurança da Informação e Privacidade, devidamente comunicadas e publicizadas a todos os empregados, fornecedores, clientes e qualquer indivíduo, inteligência artificial ou sistema que possua credenciais de acesso a qualquer de seus ativos.
  2. Possuir obrigações contratuais com seus empregados, fornecedores, clientes e qualquer indivíduo que possua acesso a qualquer de seus ativos, declarando a sua responsabilidade e a da organização para a segurança da informação.
  3. Requerer à seus empregados, fornecedores, clientes e qualquer indivíduo que possua acesso a qualquer de seus ativos que pratiquem a segurança da informação de acordo com o estabelecido nas suas políticas e procedimentos.
  4. Tornar válidas as responsabilidades e obrigações pela segurança da informação e privacidade após um encerramento ou mudança da contratação com os seus empregados, fornecedores, clientes e qualquer indivíduo que possua acesso a qualquer de seus ativos, devendo ser, ainda, definidas, comunicadas e cumpridas.
  5. Identificar os mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os serviços de rede providos internamente como para terceirizados neste contrato, sendo por acordos de níveis de serviços, acordos de níveis operacionais ou outro instrumento.
  6. Transferir de forma segura, aplicando as técnicas necessárias para essa finalidade, qualquer informação, dado pessoal ou congênere referente a este contrato.
  7. Estabelecer planos de mitigação para os riscos envolvendo acesso de fornecedores ou terceiros aos ativos da CONTRATANTE.
  8. Estabelecer em sua política de gerenciamento de riscos e/ou em seu processo de Gerenciamento de Riscos em implementação, controles que contemplem riscos de segurança da informação e privacidade associados com a cadeia de suprimento de produtos e serviços de tecnologia da informação e comunicação.
  9. Instruir empregados, fornecedores, clientes e qualquer indivíduo que possua acesso a qualquer dos ativos da CONTRATANTE a notificar e registrar quaisquer fragilidades de segurança da informação, observada ou suspeita, nos sistemas ou serviços.
  10. As responsabilidades e obrigações pela segurança da informação que permaneçam válidas após um encerramento ou mudança da contratação devem ser definidas, comunicadas aos funcionários ou partes externas e cumpridas.
  11. Estabelecer e manter um inventário detalhado de ativos corporativos, endereçando ativos não autorizados.
  12. Estabelecer e manter um inventário de software, assegurando que o software autorizado seja atualmente suportado, endereçando o software não autorizado ao tratado adequado dentro do que preceitua a segurança da informação e privacidade.
  13. Estabelecer e manter um processo de gestão de dados com inventário de dados, lista de controle de acesso aos dados, retenção e descarte de dados com segurança.
  14. Criptografar dados em dispositivos de usuário final.
  15. Estabelecer e manter um processo de configuração segura para os ativos corporativos e para a Infraestrutura de Rede.
  16. Configurar o bloqueio automático de sessão nos ativos corporativos.
  17. Implementar e gerenciar um firewall nos servidores e nos dispositivos de usuário final.
  18. Gerenciar com segurança os ativos e software corporativos.
  19. Gerenciar contas padrão nos ativos e software corporativos, estabelecendo e mantendo um inventário de contas.
  20. Exigir o uso de senhas exclusivas e seguras por seus empregados, fornecedores, clientes e qualquer indivíduo, inteligência artificial ou sistema que possua credenciais de acesso a qualquer de seus ativos.
  21. Desabilitar contas inativas.
  22. Restringir privilégios de administrador a contas de Administrador dedicadas.
  23. Estabelecer um Processo de Concessão e Revogação de Acesso.
  24. Exigir Múltiplo Fator de Autenticação – MFA para aplicações expostas externamente, para acesso remoto à rede e para acesso administrativo.
  25. Estabelecer e manter um processo de gestão de vulnerabilidade e remediação.
  26. Executar a gestão automatizada de patches do sistema operacional e aplicações.
  27. Estabelecer e manter um processo de gestão de log de auditoria, coletando logs de auditoria, garantindo o armazenamento adequado do registro de auditoria.
  28. Garantir o uso apenas de navegadores e clientes de e-mail suportados plenamente pela CONTRATANTE.
  29. Usar serviços de filtragem de Sistema de Nome de Domínio (Domain Name System – DNS).
  30. Instalar e manter um software anti-malware, configurando atualizações automáticas de assinatura anti-malware e desabilitando a execução e reprodução automática para mídias removíveis.
  31. Estabelecer e manter um processo de recuperação de dados.
  32. Executar backups automatizados.
  33. Proteger os dados de recuperação, estabelecendo e mantendo uma instância isolada de dados de recuperação.
  34. Assegurar que a infraestrutura de rede esteja atualizada.
  35. Estabelecer e manter um programa de conscientização de segurança com seus empregados, fornecedores, clientes e qualquer indivíduo, inteligência artificial ou sistema que possua credenciais de acesso a qualquer de seus ativos.
  36. Treinar membros da força de trabalho para reconhecer ataques de engenharia social, nas melhores práticas de autenticação, nas melhores práticas de tratamento de dados, sobre as causas da exposição não intencional de dados, no reconhecimento e comunicação de incidentes de segurança, sobre como identificar e comunicar se o seus ativos corporativos estão faltando atualizações de segurança, e, sobre os perigos de se conectar e transmitir dados corporativos em redes inseguras.
  37. Estabelecer e manter um inventário de provedores de serviços (fornecedores).
  38. Designar Pessoal para Gerenciar Tratamento de Incidentes, estabelecendo e mantendo informações de contato para relatar incidentes de segurança, através de um processo corporativo para relatar incidentes definido.

§1º. Qualquer alteração nos incisos acima, em eventuais condutas, padrões e/ou evoluções da Segurança da Informação e Privacidade da CONTRATADA deve ser informada, imediatamente, à CONTRATANTE.

§2º. Em eventual encerramento do contrato, por qualquer motivo, a CONTRATADA se compromete a executar as orientações da CONTRATANTE quanto ao seu processo de descomissionamento de Prestadores de Serviços e/ou Parceiros, executando a desativação de contas de usuário e serviço, o encerramento de fluxos de dados, e realizando o descarte seguro de dados corporativos em seus sistemas, dentre outras ações que se fizerem necessárias.

Dos acessos físicos e lógicos

Cláusula 2ª. Todos os acessos físicos e lógicos da CONTRATADA serão monitorados quando houver a utilização da infraestrutura física e tecnológica da CONTRATANTE.

§1º. Os registros de conexão à Internet e às aplicações de Internet caracterizam-se conforme o inciso VI do art. 5º da Lei 12.965/2014, Marco Civil da Internet, e também pelas seguintes informações:

a. Data e hora de início e término da conexão à Internet e/ou à aplicação de Internet.
b. A duração da conexão.
c. O endereço IP e a respectiva porta lógica da origem.
d. O fuso horário do servidor ou sistema utilizado para o provimento do acesso.

§2º. A CONTRATANTE armazenará os registros de conexão às aplicações de Internet que sejam de seu próprio fornecimento pelo prazo de 05 (cinco) anos.

§3º. Todos os registros de conexão à Internet serão armazenados pela CONTRATANTE pelo prazo de 05 (cinco) anos.

§4º. A CONTRATADA se obriga a armazenar os registros de conexão às aplicações de Internet a que vier a prover, incluindo os dados mencionados no §1º, bem como pelo prazo informado no §2º, ambos deste artigo.

§5º. A CONTRATADA declara a sua ciência de que todos os registros, tanto de conexão à Internet quanto de conexão à aplicações de Internet, poderão ser disponibilizados:

a. Mediante a solicitação do Titular do Dados Pessoais.
b. Mediante ordem judicial.
c. Para defesa dos direitos da CONTRATANTE.

Revisão e comunicação da política geral de segurança da informação

Cláusula 3º. A Política de Segurança da Informação será objeto de revisão anual ou sempre que se verifiquem alterações significativas, de forma a providenciar a sua contínua aplicabilidade, adequabilidade e eficácia.


Cláusula 4º. Toda e qualquer alteração será comunicada amplamente pelos canais oficiais da RD Station.