Visualizando o perfil de segurança de um produto com o AWS Marketplace Vendor Insights - AWS Marketplace

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizando o perfil de segurança de um produto com o AWS Marketplace Vendor Insights

AWS Marketplace O Vendor Insights reúne dados de segurança dos vendedores. O perfil de segurança de um produto exibe informações atualizadas sobre segurança, resiliência, conformidade e outros fatores necessários para sua avaliação. Essas informações ajudam compradores como você a adquirir um software confiável que atenda continuamente aos padrões do setor. Para cada produto de software como serviço (SaaS) que avalia, o AWS Marketplace Vendor Insights reúne as informações baseadas em evidências para vários controles de segurança.

Painel no AWS Marketplace Vendor Insights

O painel apresenta os artefatos de conformidade e as informações de controle de segurança de um produto de software que são coletados pelo AWS Marketplace Vendor Insights. São fornecidas informações baseadas em evidências para todas as categorias de controle de segurança, como uma alteração na residência de dados ou na expiração da certificação. O painel consolidado fornece alterações nas informações de conformidade. AWS Marketplace O Vendor Insights elimina a necessidade de criar questionários adicionais e usar software de avaliação de risco. Com um painel atualizado e validado de forma consistente, você pode monitorar continuamente o controle de segurança do software após a aquisição.

Visualizando o perfil de segurança de um produto SaaS

AWS Marketplace O Vendor Insights ajuda você a tomar decisões sobre o software de um vendedor. AWS Marketplace O Vendor Insights extrai dados das informações baseadas em evidências de um vendedor em 10 categorias de controle e vários controles. Você pode visualizar o perfil e as informações resumidas de um produto de SaaS no painel ou selecionar categorias de controle para saber mais sobre os dados coletados. Você deve ser assinante do produto e ter acesso para visualizar as informações de conformidade por meio do perfil.

  1. Faça login no AWS Management Console e abra o AWS Marketplace console.

  2. Escolha Vendor Insights.

  3. No Vendor Insights, escolha um produto.

  4. Na página Detalhes do perfil, escolha a guia Segurança e conformidade.

    nota

    Um número em um círculo vermelho indica o número de controles não compatíveis.

  5. Em Categorias de controle, escolha o texto em qualquer uma das categorias listadas para ver mais informações.

    • Escolha o primeiro nome de controle (Você tem uma política/procedimento para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais aplicáveis?).

    • Leia as informações apresentadas. Você também pode visualizar relatórios de relatórios de AWS Artifact terceiros ou visualizar exceções do auditor.

    • Selecione o nome do produto na navegação acima para retornar à página Detalhes do produto.

Noções básicas sobre as categorias de controle

AWS Marketplace O Vendor Insights fornece informações baseadas em evidências de vários controles em 10 categorias de controle. AWS Marketplace O Vendor Insights reúne as informações de três fontes: contas de produção do fornecedor, autoavaliação do fornecedor e relatórios ISO 27001 e 2 do fornecedor Tipo II. SOC Para obter mais informações sobre essas fontes, consulte AWS Marketplace Insights do fornecedor.

A lista a seguir fornece uma descrição de cada categoria de controle:

Gerenciamento de acesso

Identifica, rastreia, gerencia e controla o acesso a um sistema ou uma aplicação.

Segurança da aplicação

Verifica se a segurança foi incorporada à aplicação ao projetá-la, desenvolvê-la e testá-la.

Política de auditoria, conformidade e segurança

Avalia a adesão de uma organização aos requisitos regulatórios.

Resiliência e continuidade dos negócios

Avalia a capacidade da organização de se adaptar rapidamente às interrupções, mantendo a continuidade dos negócios.

Segurança de dados

Protege dados e ativos.

Segurança do dispositivo de usuário final

Protege os dispositivos portáteis do usuário final e as redes às quais eles estão conectados contra ameaças e vulnerabilidades.

Recursos humanos

Avalia a divisão relacionada a funcionários quanto ao tratamento de dados confidenciais durante processos como contratação, pagamento e demissão de funcionários.

Segurança da infraestrutura

Protege ativos essenciais contra ameaças e vulnerabilidades.

Gerenciamento de riscos e resposta a incidentes

Avalia o nível de risco considerado aceitável e as medidas tomadas para responder aos riscos e ataques.

Política de segurança e configuração

Avalia as políticas e as configurações de segurança que protegem os ativos de uma organização.

Conjuntos de categorias de controle

As tabelas a seguir fornecem informações detalhadas para cada categoria com informações sobre os valores de cada categoria coletada. A lista a seguir descreve o tipo de informação em cada coluna da tabela:

  • Conjunto de controles: os controles são atribuídos a um conjunto de controles e cada controle reflete a função de segurança da categoria. Cada categoria tem vários conjuntos de controles.

  • Nome do controle: nome da política ou do procedimento. “Requer atestado manual” significa que é necessária uma confirmação por escrito ou documentação da política ou do procedimento.

  • Descrição do controle: perguntas, informações ou documentação necessárias sobre esta política ou procedimento.

  • Detalhe da extração de evidências: informações e contexto necessários sobre o controle para obter ainda mais os dados necessários para essa categoria.

  • Valor de exemplo: exemplo fornecido para orientação sobre a aparência de um valor de conformidade para essa categoria para que esteja de acordo com os padrões regulatórios.

Controles de gerenciamento de acesso

Os controles de gerenciamento de acesso identificam, rastreiam, gerenciam e controlam o acesso a um sistema ou uma aplicação. Esta tabela lista os valores e as descrições dos controles de gerenciamento de acesso.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo
Autenticação segura

Gerenciamento de acesso 3.1.1 - Autenticação segura - Dados pessoais em UserId (requer atestado manual)

Você precisa de dados pessoais (além do nome ou endereço de e-mail) no ID do usuário?

Especifique se dados pessoais, além do nome ou endereço de e-mail, são necessários como parte do identificador do usuário. Em caso afirmativo, quais dados serão usados? Para qual caso de uso são usados?

Não

Gerenciamento de acesso 3.1.2 - Autenticação segura - A aplicação suporta autenticação de dois fatores (requer atestado manual)

A aplicação oferece suporte à autenticação de dois fatores?

Especifique se a autenticação de dois fatores pode ser usada com a aplicação. Em caso afirmativo, quais ferramentas podem ser usadas?

Sim

Gerenciamento de acesso 3.1.3 - Autenticação segura - Bloqueio de conta (requer atestado manual)

A conta do cliente será bloqueada se houver vários logins com falha?

Especifique se o bloqueio da conta está habilitado caso haja vários logins com falha. Em caso afirmativo, especifique o número de tentativas após as quais a conta será bloqueada.

Sim. A conta é bloqueada após 5 logins com falha.

Gerenciamento de credenciais

Gerenciamento de acesso 3.2.1 - Gerenciamento de credenciais - Política de senha

A aplicação tem uma política de senha forte?

Especifique se uma política de senha forte (por exemplo RequireUppercaseCharacters, RequireSymbols ou PasswordReusePrevention) está presente.

Sim

Gerenciamento de acesso 3.2.2 - Gerenciamento de credenciais - Criptografia de senha

A política de senha exige que as credenciais de login (senha e ID de usuário) sejam criptografadas em trânsito e criptografadas com salt quando armazenadas?

Especifique se as credenciais (senha e ID do usuário) são criptografadas em trânsito e, quando armazenadas, se a senha é criptografada com salt. Em caso afirmativo, você pode fornecer mais detalhes?

Sim, usamos código para empregar salt adequadamente.

Gerenciamento de acesso 3.2.3 - Gerenciamento de credenciais - Gerenciamento de segredos

Você usa algum serviço de gerenciamento de segredos?

Especifique se há um serviço de gerenciamento de segredos em vigor. Em caso afirmativo, você pode fornecer mais detalhes?

Sim. Todas as credenciais são armazenadas em um serviço de gerenciamento de segredos. Elas são alternadas periodicamente.

Gerenciamento de acesso 3.2.4 - Gerenciamento de credenciais - Credenciais no código (requer atestado manual)

As credenciais estão incluídas no código?

Especifique se as credenciais estão incluídas no código. Em caso afirmativo, você pode fornecer mais detalhes?

Não

Acesso ao ambiente de produção

Gerenciamento de acesso 3.3.1 - Acesso ao ambiente de produção - Logon único (requer atestado manual)

Está SSO habilitado para acessar o ambiente de produção?

Especifique se SSO pode ser usado com o aplicativo. Se sim, para qual ferramenta é usadaSSO?

Sim, Duo SSO

Gerenciamento de acesso 3.3.2 - Acesso ao ambiente de produção - Autenticação de dois fatores

A autenticação de dois fatores é necessária para acessar o ambiente de produção ou hospedado?

Especifique se a autenticação de dois fatores (2FA) é necessária para acessar o ambiente de produção. Em caso afirmativo, qual ferramenta é usada para 2FA?

Sim, Yubikey

Gerenciamento de acesso 3.3.3 - Acesso ao ambiente de produção - Usuário raiz (requer atestado manual)

O usuário raiz é usado somente como exceção para acessar o ambiente de produção?

Especifique que o usuário raiz seja usado somente por exceção. Em caso afirmativo, você pode estabelecer os casos para os quais ele será usado?

Sim. O usuário raiz é usado somente para fins de gerenciamento de dispositivos. Todos esses acessos são registrados e monitorados.

Gerenciamento de acesso 3.3.4 - Acesso ao ambiente de produção - Usuário raiz MFA

O usuário root exige autenticação multifatorial (MFA)?

Especifique se o login como usuário raiz requer autenticação multifator. Se sim, para qual ferramenta é usadaMFA?

Sim. É necessário usar usuários root para MFA fazer login. As credenciais raiz são distintas das credenciais corporativas normais.

Gerenciamento de acesso 3.3.5 - Acesso ao ambiente de produção - Acesso remoto

O acesso remoto ao ambiente de produção é protegido por meio de mecanismos como canais criptografados ou autenticação baseada em chaves?

Se a aplicação permitir acesso remoto, especifique se o acesso é seguro (por exemplo, a autenticação baseada em chave será usada e a comunicação será feita por canais criptografados?)

Sim. O acesso remoto é usado para fins de gerenciamento de dispositivos. Exigimos MFA mais de um canal criptográfico aprovado ao acessar o ambiente de produção remotamente.

Política de controle de acesso

Gerenciamento de acesso 3.4.1 - Política de controle de acesso - Acesso com privilégio mínimo

Você segue a política de acesso com privilégio mínimo para que os usuários acessem o ambiente de produção?

Especifique se os privilégios mínimos são atribuídos aos usuários. Em caso negativo, como você controla o acesso?

Sim

Gerenciamento de acesso 3.4.2 - Política de controle de acesso - Revisão da política de acesso

Todas as políticas de acesso no ambiente de produção são revisadas regularmente?

Especifique se todas as políticas de acesso são revisadas regularmente. Em caso afirmativo, forneça detalhes sobre a frequência com que as políticas são revisadas.

Sim. Todas as políticas de acesso são revisadas a cada três meses.

Gerenciamento de acesso 3.4.3 - Política de controle de acesso - Configuração de políticas de segurança e usuários (requer atestado manual)

A aplicação permite que os clientes configurem usuários e privilégios?

Especifique se os clientes podem configurar usuários (do lado do cliente e do fornecedor) que terão acesso ao ambiente.

Sim

Gerenciamento de acesso 3.4.4 - Política de controle de acesso - Segmentação lógica (requer atestado manual)

Há segmentação lógica dos usuários da aplicação?

Especifique se há uma segmentação lógica dos usuários.

Sim

Gerenciamento de acesso 3.4.5 - Política de controle de acesso - Revisão de acesso após a demissão

Todas as políticas de acesso relevantes são atualizadas após a demissão ou a mudança de função do funcionário?

Especifique se as políticas de acesso serão excluídas ou atualizadas após a demissão ou a mudança de função do funcionário.

Sim

Logs de acesso

Gerenciamento de acesso 3.5.1 - Logs de acesso

Você registra atividades realizadas por usuários individuais no ambiente de produção?

Especifique se as ações e atividades de um usuário (funcionário ou cliente) em um ambiente de produção são registradas. Em caso afirmativo, por quanto tempo os logs são retidos?

Sim. Os logs são retidos por um ano.

Controles de segurança da aplicação

Os controles de segurança da aplicação verificam se a segurança foi incorporada à aplicação ao projetá-la, desenvolvê-la e testá-la. Esta tabela lista os valores e as descrições dos controles da política de segurança da aplicação.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo

Ciclo de vida de desenvolvimento seguro de software

Segurança de aplicações 4.1.1 - Ciclo de vida de desenvolvimento seguro de software - Ambiente separado

O ambiente de desenvolvimento, teste e preparação é separado do ambiente de produção?

Especifique se o ambiente de desenvolvimento, teste e preparação é separado do ambiente de produção.

Sim

Segurança de aplicações 4.1.2 - Ciclo de vida de desenvolvimento seguro de software - Prática de codificação segura

Os engenheiros de segurança trabalham com desenvolvedores em práticas de segurança?

Especifique se desenvolvedores e engenheiros de segurança trabalham juntos em práticas de codificação segura.

Sim

Segurança de aplicações 4.1.3 - Ciclo de vida de desenvolvimento seguro de software - Uso de dados do cliente no ambiente de teste (requer atestado manual)

Os dados do cliente já foram usados nos ambientes de teste, desenvolvimento ou controle de qualidade?

Os dados do cliente já foram usados nos ambientes de teste, desenvolvimento ou controle de qualidade? Em caso afirmativo, quais dados são usados e para que são usados?

Não

Segurança de aplicações 4.1.4 - Ciclo de vida de desenvolvimento seguro de software - Conexão segura

SSL/está TLS habilitado para todas as páginas da web e comunicações que usam dados do cliente?

Especifique se uma conexão segura (comoSSL/TLS) é usada para todas as comunicações com os dados do cliente.

Sim

Segurança de aplicações 4.1.5 - Ciclo de vida de desenvolvimento seguro de software - Backup de imagem

O backup dos instantâneos de imagens da aplicação é feito?

Especifique se é feito backup de instantâneos de imagem (como sistemas que suportam a aplicação e sistemas que hospedam dados do cliente). Em caso afirmativo, existe um processo para garantir que os instantâneos de imagens contendo dados com escopo sejam autorizados antes de serem capturados? O controle de acesso está implementado para os instantâneos de imagem?

Sim. O backup das imagens é feito com a aprovação do cliente e da gerência.

Análise de segurança da aplicação

Segurança de aplicações 4.2.1 - Análise de segurança da aplicação - Análise segura do código

A análise segura do código é feita antes de cada lançamento?

Especifique se uma análise do código de segurança é feita antes de cada lançamento.

Sim

Segurança de aplicações 4.2.2 - Análise de segurança da aplicação - Teste de penetração

Os testes de penetração são realizados? Podemos obter relatórios de testes de penetração?

Especifique se os testes de penetração são realizados na aplicação. Em caso afirmativo, você pode compartilhar os últimos três relatórios como evidência manual?

Sim

Segurança de aplicações 4.2.3 - Análise de segurança da aplicação - Patches de segurança

Todos os patches de segurança de alto risco disponíveis são aplicados e verificados regularmente?

Especifique se os patches de segurança de alto risco são aplicados regularmente. Em caso afirmativo, com que frequência eles são aplicados?

Sim. Os patches de segurança são aplicados mensalmente.

Segurança de aplicações 4.2.4 - Análise de segurança da aplicação - Verificações de vulnerabilidade em aplicações

As verificações de vulnerabilidade são realizadas em todas as aplicações voltadas para a Internet regularmente e após mudanças significativas?

Especifique se as verificações de vulnerabilidade são realizadas em todas as aplicações voltadas para a Internet. Em caso afirmativo, com que frequência as verificações de vulnerabilidade são feitas? Podemos obter uma cópia do relatório?

Sim. As varreduras de vulnerabilidade são realizadas mensalmente.

Segurança de aplicações 4.2.5 - Análise de segurança da aplicação - Gerenciamento de ameaças e vulnerabilidades

Existem processos para gerenciar as ferramentas de avaliação de ameaças e vulnerabilidades e os dados que elas coletam?

Especifique se há processos para gerenciar ferramentas de avaliação de ameaças e vulnerabilidades e suas descobertas. Você poderia fornecer mais detalhes sobre como as ameaças e vulnerabilidades são gerenciadas?

Sim. Todas as ameaças e vulnerabilidades de diferentes fontes são agregadas em um portal. Elas são gerenciadas por gravidade.

Segurança de aplicações 4.2.6 - Análise de segurança da aplicação - Verificações antimalware

A verificação antimalware é feita na rede e nos sistemas que hospedam a aplicação regularmente?

Especifique se a verificação antimalware é feita na rede e nos sistemas que hospedam a aplicação. Em caso afirmativo, com que frequência isso é feito? Você pode fornecer o relatório?

Sim. As verificações antimalware são realizadas mensalmente.

Logs de aplicações

Segurança de aplicações 4.3.1 - Logs de aplicação - Logs de aplicação

Os logs de aplicação são coletados e revisados?

Especifique se os logs de aplicação são coletados e revisados. Em caso afirmativo, por quanto tempo os logs são retidos?

Sim. Os logs são retidos por um ano.

Segurança de aplicações 4.3.2 - Logs de aplicação - Acesso aos logs

Os logs do sistema operacional e da aplicação estão protegidos contra modificação, exclusão e/ou acesso inadequado?

Especifique se os logs do sistema operacional e da aplicação estão protegidos contra modificação, exclusão e/ou acesso inadequado. No caso de uma violação ou incidente, você tem processos implementados para detectar a perda de logs de aplicação?

Sim

Segurança de aplicações 4.3.3 - Logs de aplicação - Dados armazenados em logs (requer atestado manual)

Você armazena as informações de identificação pessoal do cliente (PII) em registros?

Especifique se você armazena as informações de identificação pessoal do cliente (PII) nos registros.

Não. Nenhum PII dado será armazenado nos registros.

Política de controle de alterações

Segurança de aplicações 4.4.1 - Política de controle de alterações - Teste funcional e de resiliência

Os testes funcionais e de resiliência são feitos antes de lançar uma alteração?

Especifique se o teste funcional e de resiliência é feito na aplicação antes de uma nova versão.

Sim

Segurança de aplicações 4.4.2 - Política de controle de alterações - Procedimentos de controle de alterações

Os procedimentos de controle de alterações são necessários para todas as mudanças no ambiente de produção?

Especifique se os procedimentos de controle de alterações estão em vigor para todas as alterações feitas no ambiente de produção.

Sim

Segurança de aplicações 4.4.3 - Política de controle de alterações - Evite erros/riscos humanos na produção

Você tem algum processo implementado para verificar se os erros humanos e os riscos não entram na produção?

Especifique que há algum processo para verificar se o erro humano e os riscos não entram na produção.

Sim

Segurança de aplicações 4.4.4 - Política de controle de alterações - Alterações de documentos e logs

Você documenta e registra alterações que podem afetar os serviços?

Especifique se as alterações que afetam o serviço são documentadas e registradas. Em caso afirmativo, por quanto tempo os logs são retidos?

Sim

Segurança de aplicações 4.4.5 - Política de controle de alterações - Notificação de alteração para compradores (requer atestado manual)

Existe algum processo formal para garantir que os clientes sejam notificados antes da realização de alterações que possam afetar os serviços?

Especifique se os clientes serão notificados antes de fazer alterações que possam afetar os serviços. Se sim, como SLA notificar os clientes sobre mudanças impactantes?

Sim. Notificamos os clientes 90 dias antes das alterações impactantes.

Controles de auditoria e conformidade

Os controles de auditoria e conformidade avaliam a adesão de uma organização aos requisitos regulatórios. Esta tabela lista os valores e as descrições dos controles de auditoria e conformidade.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo

Certificações concluídas

Auditoria e conformidade 1.1.1 - Certificações concluídas (requer atestado manual)

Liste as certificações que você tem.

Especifique quais certificações você tem.

SOC2,ISO/IEC27001

Certificação em andamento

Auditoria e conformidade 1.2.1 - Certificação em andamento (requer atestado manual)

Liste certificados adicionais que estão em andamento no momento.

Liste todos os certificados adicionais que estão sendo auditados ou revisados no momento com uma data de conclusão estimada.

Sim. PCIa certificação está em andamento (ETAsegundo trimestre de 2022).

Procedimentos que garantem a conformidade

Auditoria e conformidade 1.3.1 - Procedimentos que garantem a conformidade - Procedimentos que garantem a conformidade

Você tem alguma política ou procedimento para garantir a conformidade com os requisitos legislativos, regulatórios e contratuais aplicáveis?

Especifique se você tem alguma política ou procedimento para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais aplicáveis. Em caso afirmativo, liste os detalhes sobre o procedimento e faça o upload das evidências manuais.

Sim. Enviamos documentos comoSOC2, ISO IEC /27001.

Auditoria e conformidade 1.3.2 - Procedimentos que garantem a conformidade - Auditorias para monitorar requisitos pendentes

As auditorias são concluídas para monitorar os requisitos regulatórios e de conformidade pendentes?

Especifique se as auditorias são feitas para monitorar os requisitos pendentes. Em caso afirmativo, forneça detalhes.

Sim, as auditorias são feitas mensalmente para monitorar os requisitos pendentes.

Auditoria e conformidade 1.3.3 - Procedimentos que garantem a conformidade - Desvios e exceções (requer atestado manual)

Você tem algum processo para lidar com desvios e exceções dos requisitos de conformidade?

Especifique se há algum processo para lidar com exceções ou desvios dos requisitos de conformidade. Em caso afirmativo, forneça detalhes.

Sim. Temos um log de desvios e ferramentas de relatórios. Investigamos todas as exceções ou desvios para evitar futuras ocorrências.

Controles de resiliência de negócios

Os controles de resiliência de negócios avaliam a capacidade da organização de se adaptar rapidamente às interrupções e, ao mesmo tempo, manter a continuidade dos negócios. Esta tabela lista os valores e as descrições dos controles da política de resiliência de negócios.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo
Resiliência de negócios

Resiliência e continuidade de negócios 6.1.1 - Resiliência de negócios - Testes de failover (requer atestado manual)

Os testes de failover do site são realizados pelo menos uma vez por ano?

Especifique se os testes de failover são realizados anualmente. Em caso negativo, com que frequência eles são realizados?

Sim

Resiliência e continuidade de negócios 6.1.2 - Resiliência de negócios - Análise de impacto nos negócios (requer atestado manual)

Foi realizada alguma análise de impacto nos negócios?

Especifique se uma análise de impacto nos negócios foi feita. Em caso afirmativo, quando foi concluída pela última vez? Forneça detalhes sobre a análise realizada.

Sim. Uma análise de impacto nos negócios foi concluída há seis meses.

Resiliência e continuidade de negócios 6.1.3 - Resiliência de negócios - Dependências de fornecedores de terceiros (requer atestado manual)

Há alguma dependência de provedores de serviços de terceiros essenciais (além de um provedor de serviços em nuvem)?

Especifique se há alguma dependência de fornecedores de terceiros (além de um provedor de serviços em nuvem). Em caso afirmativo, você pode fornecer detalhes sobre os fornecedores?

Não

Resiliência e continuidade de negócios 6.1.4 - Resiliência de negócios - Testes de continuidade e recuperação de terceiros (requer atestado manual)

Você exige que fornecedores de terceiros tenham seus próprios processos e exercícios de recuperação de desastres?

Especifique se fornecedores de terceiros devem ter seus próprios processos e exercícios de recuperação de desastres.

Não aplicável nesta amostra.

Resiliência e continuidade de negócios 6.1.5 - Resiliência de negócios - Violação de contrato de fornecedores de terceiros (requer atestado manual)

Os contratos com prestadores de serviços essenciais incluem uma penalidade ou cláusula de remediação por violação de disponibilidade e continuidade vendidos e enviados pela Amazon ()? SSA

As cláusulas de penalidade ou remediação por violação de disponibilidade e continuidade estão incluídas nos contratos com fornecedores de terceiros?

Não aplicável nesta amostra.

Resiliência e continuidade de negócios 6.1.6 - Resiliência de negócios - Integridade do sistema

Você tem monitores ou alertas para entender a integridade do sistema?

Especifique se há monitores ou alertas para entender a integridade do sistema.

Sim

Continuidade dos negócios

Resiliência e continuidade de negócios 6.2.1 - Continuidade de negócios - Políticas/procedimentos de continuidade de negócios

Os procedimentos formais de continuidade de negócios são desenvolvidos e documentados?

Especifique se procedimentos formais são desenvolvidos e mantidos para a continuidade de negócios. Em caso afirmativo, forneça mais detalhes sobre os procedimentos.

Sim

Resiliência e continuidade de negócios 6.2.2 - Continuidade de negócios - Estratégias de resposta e recuperação

As estratégias específicas de resposta e recuperação estão definidas para as atividades priorizadas?

Especifique se as estratégias de recuperação e resposta foram desenvolvidas para as atividades e os serviços do cliente.

Sim

Resiliência e continuidade de negócios 6.2.3 - Continuidade de negócios - Testes de continuidade de negócios

Você realiza testes de recuperação para garantir a continuidade dos negócios?

Especifique se você realiza testes de recuperação para garantir a continuidade dos negócios em caso de falha.

Sim. Em caso de falha, os sistemas para continuidade dos negócios serão ativados em duas horas.

Resiliência e continuidade de negócios 6.2.4 - Continuidade de negócios - Impacto da disponibilidade em ambientes de multilocação (requer atestado manual)

Você limita a capacidade do comprador de impor uma carga que pode afetar a disponibilidade de outros usuários do seu sistema?

Especifique se a carga de um comprador pode afetar a disponibilidade de outro comprador. Em caso afirmativo, qual é o limite até o qual não haverá impacto? Em caso negativo, você pode fornecer mais detalhes sobre como garantir que os serviços não sejam afetados durante o pico de uso e acima?

Sim. Limite não disponível para esta amostra.

Disponibilidade da aplicação

Resiliência e continuidade de negócios 6.3.1 - Disponibilidade da aplicação - Registro de disponibilidade (requer atestado manual)

Houve algum problema significativo relacionado à confiabilidade ou disponibilidade no último ano?

Especifique se houve algum problema significativo relacionado à confiabilidade ou disponibilidade no último ano.

Não

Resiliência e continuidade de negócios 6.3.2 - Disponibilidade da aplicação - Janela de manutenção programada (requer atestado manual)

O tempo de inatividade é esperado durante a manutenção programada?

Especifique se há uma janela de manutenção programada durante a qual os serviços podem ficar inativos. Em caso afirmativo, quanto tempo dura o tempo de inatividade?

Não

Resiliência e continuidade de negócios 6.3.3 - Disponibilidade da aplicação - Portal de incidentes on-line (requer atestado manual)

Existe um portal on-line de status de resposta a incidentes que descreva interrupções planejadas e não planejadas?

Especifique se há um portal de status de incidentes que descreva interrupções planejadas e não planejadas. Em caso afirmativo, forneça detalhes sobre como um cliente pode acessá-lo. Quanto tempo após a interrupção o portal será atualizado?

Sim. O cliente pode acessar os detalhes em example.com.

Resiliência e continuidade dos negócios 6.3.4 - Disponibilidade da aplicação - Objetivo de tempo de recuperação (requer atestado manual)

Existe um objetivo específico de tempo de recuperação (RTO)?

Especifique se há um objetivo de tempo de recuperação (RTO). Se sim, você pode fornecer oRTO?

Sim, 2 horasRTO.

Resiliência e continuidade dos negócios 6.3.5 - Disponibilidade da aplicação - Objetivo de ponto de recuperação (requer atestado manual)

Existe um objetivo de ponto de recuperação específico (RPO)?

Especifique se há um objetivo de ponto de recuperação (RPO). Se sim, você pode fornecer oRPO?

Sim, uma semanaRPO.

Controles de segurança de dados

Os controles de segurança de dados protegem dados e ativos. Esta tabela lista os valores e as descrições dos controles de segurança de dados.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo

Dados do cliente ingeridos

Segurança de dados 2.1.1 - Dados do cliente ingeridos (requer atestado manual)

Crie uma lista dos dados necessários dos clientes para a funcionalidade do produto.

Descreva todos os dados consumidos pelos clientes. Especifique se dados sensíveis ou confidenciais são consumidos.

Nenhum dado sensível e confidencial é consumido. Este produto consome apenas informações não confidenciais, como logs de aplicações, infraestrutura e Serviços da AWS. (AWS CloudTrail, AWS Config, Registros VPC de fluxo)

Local de armazenamento de dados

Segurança de dados 2.2.1 - Local de armazenamento de dados (requer atestado manual)

Onde os dados do cliente são armazenados? Liste os países e regiões onde os dados são armazenados.

Especifique a lista de países e regiões onde os dados são armazenados.

Ohio (EUA), Oregon (EUA), Irlanda (UE)

Controle de acesso

Segurança de dados 2.3.1 - Controle de acesso - Acesso de funcionários (requer atestado manual)

Os funcionários têm acesso aos dados não criptografados dos clientes?

Especifique se os funcionários têm acesso aos dados não criptografados do cliente. Em caso afirmativo, explique resumidamente por que eles precisam de acesso. Em caso negativo, explique resumidamente como você controla o acesso.

Não, todos os dados são criptografados quando armazenados. Os funcionários não terão acesso aos dados do cliente, mas apenas aos dados sobre seu uso.

Segurança de dados 2.3.2 - Controle de acesso - Aplicação móvel (requer atestado manual)

Os clientes podem acessar seus dados por meio de uma aplicação móvel?

Especifique se os clientes podem acessar seus dados usando uma aplicação móvel. Em caso afirmativo, forneça mais detalhes. Como os clientes fazem login? As credenciais são armazenadas em cache pela aplicação? Com que frequência os tokens são atualizados?

Não, o serviço não pode ser acessado usando uma aplicação móvel.

Segurança de dados 2.3.3 - Controle de acesso - Países para os quais os dados são transmitidos (requer atestado manual)

Os dados do cliente são transmitidos para países fora da origem?

Os dados do cliente são transmitidos para países fora da origem? Em caso afirmativo, especifique a lista de países para os quais os dados do cliente são transmitidos ou recebidos.

Não

Segurança de dados 2.3.4 - Controle de acesso - Os dados são compartilhados com fornecedores de terceiros (requer atestado manual)

Os dados do cliente são compartilhados com fornecedores de terceiros (exceto provedores de serviços em nuvem)?

Os dados do cliente são compartilhados com fornecedores de terceiros? Em caso afirmativo, especifique a lista de fornecedores de terceiros e os países ou regiões para os quais você fornece dados de clientes.

Não

Segurança de dados 2.3.5 - Controle de acesso - Política de segurança relacionada a fornecedores de terceiros

Você tem políticas ou procedimentos em vigor para garantir que fornecedores de terceiros mantenham a confidencialidade, a disponibilidade e a integridade dos dados do cliente?

Especifique se você tem políticas ou procedimentos em vigor para garantir que fornecedores de terceiros mantenham a confidencialidade, a disponibilidade e a integridade dos dados do cliente. Em caso afirmativo, faça o upload de um manual ou documento das políticas ou procedimentos.

Não aplicável nesta amostra.

Criptografia de dados

Segurança de dados 2.4.1 - Criptografia de dados - Criptografia de dados em repouso

Todos os dados são criptografados em repouso?

Especifique se todos os dados são criptografados em repouso.

Sim

Segurança de dados 2.4.2 - Criptografia de dados - Criptografia de dados em trânsito

Todos os dados são criptografados em trânsito?

Especifique se todos os dados são criptografados em trânsito.

Sim

Segurança de dados 2.4.3 - Criptografia de dados - Algoritmos fortes (requer atestado manual)

Você usa algoritmos de criptografia fortes?

Você usa algoritmos de criptografia fortes? Se sim, especifique quais algoritmos de criptografia (comoRSA,, AES 256) são usados.

Sim. AES256 é usado para criptografar os dados.

Segurança de dados 2.4.4 - Criptografia de dados - Chave de criptografia exclusiva (requer atestado manual)

Os clientes têm a capacidade de gerar uma chave de criptografia exclusiva?

Os clientes podem fornecer ou gerar suas próprias chaves de criptografia exclusivas? Em caso afirmativo, forneça mais detalhes e envie evidências.

Sim

Segurança de dados 2.4.5 - Criptografia de dados - Acesso às chaves de criptografia (requer atestado manual)

Os funcionários são impedidos de acessar as chaves de criptografia de um cliente?

Especifique se seus funcionários estão impedidos de acessar as chaves de criptografia de um cliente. Em caso negativo, explique por que eles têm acesso às chaves do cliente. Em caso afirmativo, explique como o acesso é controlado.

Sim. As chaves criptográficas são armazenadas com segurança e alternadas periodicamente. Os funcionários não têm acesso a essas chaves.

Armazenamento e classificação de dados

Segurança de dados 2.5.1 - Armazenamento e classificação de dados - Backup de dados

Você faz backup dos dados do cliente?

Especifique se você faz backup dos dados do cliente. Em caso afirmativo, descreva sua política de backup (incluindo detalhes sobre a frequência com que o backup ocorre, onde o backup é armazenado, criptografia de backup e redundância).

Sim, o backup é feito a cada três meses. O backup é criptografado e armazenado na mesma região dos dados do cliente. O engenheiro de suporte ao cliente tem acesso para restaurar o backup, mas não os dados no backup.

Segurança de dados 2.5.2 - Armazenamento e classificação de dados - Política de controle de acesso a dados

Você implementa controles de acesso apropriados para os dados armazenados do cliente? Forneça suas políticas de controle de acesso.

Especifique se os controles de acesso apropriados (comoRBAC) são implementados para os dados armazenados do cliente. Forneça mais detalhes e evidências manuais sobre como você controla o acesso aos dados.

Sim. Os controles de acesso com privilégios mínimos são implementados para restringir o acesso aos dados do cliente.

Segurança de dados 2.5.3 - Armazenamento e classificação de dados - Dados da transação (requer atestado manual)

Os detalhes da transação do cliente (como informações do cartão de pagamento e informações sobre os grupos que realizam transações) estão armazenados em uma zona perimetral?

Especifique se os detalhes da transação do cliente (como informações do cartão de pagamento e informações sobre os grupos que realizam transações) serão armazenados em uma zona perimetral. Em caso afirmativo, explique por que eles precisam ser armazenados na zona perimetral.

Não

Segurança de dados 2.5.4 - Armazenamento e classificação de dados - Classificação de informações

Os dados do cliente são classificados de acordo com os requisitos legais ou regulamentares, o valor comercial e a sensibilidade à divulgação ou modificação não autorizadas?

Especifique se os dados do cliente são classificados por confidencialidade. Em caso afirmativo, faça o upload da evidência manual dessa classificação.

Sim

Segurança de dados 2.5.5 - Armazenamento e classificação de dados - Segmentação de dados (requer atestado manual)

A capacidade de segmentação e separação de dados entre clientes é fornecida?

Especifique se os dados de diferentes clientes são segmentados. Em caso negativo, explique os mecanismos necessários para proteger os dados contra contaminação cruzada.

Sim

Retenção de dados

Segurança de dados 2.6.1 - Retenção de dados (requer atestado manual)

Por quanto tempo você retém os dados?

Especifique a duração da retenção de dados. Se o período de retenção diferir de acordo com a classificação e a confidencialidade dos dados, você pode fornecer detalhes sobre cada período de retenção?

6 meses

Retenção de dados após o cancelamento da assinatura dos compradores

Segurança de dados 2.6.2 - Retenção de dados após o cancelamento da assinatura do cliente (requer atestado manual)

Por quanto tempo você retém os dados depois que os compradores cancelam a assinatura?

Especifique a duração da retenção de dados após o cancelamento da assinatura dos clientes.

3 meses

Controles de segurança do dispositivo de usuário final

Os controles de segurança do dispositivo do usuário final protegem os dispositivos portáteis do usuário final e as redes às quais eles estão conectados contra ameaças e vulnerabilidades. Esta tabela lista os valores e as descrições dos controles da política de segurança do dispositivo do usuário final.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo
Inventário de ativos/software

Segurança do dispositivo do usuário final 7.1.1 - Inventário de ativos/software - Inventário de ativos

A lista de inventário de ativos é atualizada periodicamente?

Especifique se um inventário de ativos é mantido. Em caso afirmativo, com que frequência ele é atualizado?

Sim. O inventário é atualizado semanalmente.

Segurança do dispositivo do usuário final 7.1.2 - Inventário de ativos/software - Inventário de software e aplicações

Todas as plataformas e aplicações de software instalados em sistemas com escopo definido são inventariados?

Especifique se o inventário de todos os softwares e aplicações instalados é mantido. Em caso afirmativo, com que frequência ele é atualizado?

Sim. O inventário é atualizado semanalmente.

Segurança de ativos

Segurança do dispositivo do usuário final 7.2.1 - Segurança de ativos - Patches de segurança

Todos os patches de segurança de alto risco disponíveis são aplicados e verificados pelo menos mensalmente em todos os dispositivos do usuário final?

Especifique se todos os patches de segurança de alto risco são aplicados pelo menos uma vez por mês. Em caso negativo, com que frequência são aplicados? Você pode fornecer mais detalhes sobre como gerenciar os patches?

Sim. Temos uma equipe de segurança que realiza esse processo quinzenalmente.

Segurança do dispositivo do usuário final 7.2.2 - Segurança de ativos - Segurança de endpoint

Você tem segurança de endpoint?

Especifique se a segurança de endpoint está instalada em todos os dispositivos. Em caso afirmativo, você pode fornecer mais detalhes sobre a ferramenta e como ela é mantida?

Sim. Nossa equipe de segurança lida com isso quinzenalmente usando ferramentas internas.

Segurança do dispositivo do usuário final 7.2.3 - Segurança de ativos - Manutenção e reparo de ativos (requer atestado manual)

A manutenção e o reparo dos ativos organizacionais são realizados e registrados, com ferramentas aprovadas e controladas?

Especifique se a manutenção e o reparo dos ativos são executados e registrados com ferramentas controladas. Em caso afirmativo, você poderia fornecer mais detalhes sobre como isso é gerenciado?

Sim. Toda a manutenção dos dispositivos é registrada. Essa manutenção não causa tempo de inatividade.

Segurança do dispositivo do usuário final 7.2.4 - Segurança de ativos - Controle de acesso para dispositivos

Os dispositivos têm controle de acesso habilitado?

Especifique se os dispositivos têm controles de acesso (comoRBAC) habilitados.

Sim. O acesso com privilégios mínimos é implementado para todos os dispositivos.

Logs do dispositivo

Segurança do dispositivo do usuário final 7.3.1 - Logs do dispositivo - Detalhes suficientes nos logs (requer atestado manual)

Há detalhes suficientes registrados nos logs do sistema operacional e do dispositivo para apoiar a investigação de incidentes?

Especifique se detalhes suficientes (como tentativas de login bem-sucedidas e com falha e alterações em configurações e arquivos confidenciais) estão incluídos nos logs para apoiar a investigação de incidentes. Em caso negativo, forneça mais detalhes sobre como você lida com as investigações de incidentes.

Sim

Segurança do dispositivo do usuário final 7.3.2 - Logs do dispositivo - Acesso aos logs do dispositivo

Os logs do dispositivo estão protegidos contra modificação, exclusão e/ou acesso inadequado?

Especifique se os logs do dispositivo estão protegidos contra modificação, exclusão e/ou acesso inadequado. Em caso afirmativo, você pode fornecer detalhes sobre como aplicá-la?

Sim. As alterações nos logs são impostas pelo controle de acesso. Todas as alterações nos logs geram um alerta.

Segurança do dispositivo do usuário final 7.3.3 - Logs do dispositivo - Retenção de logs (requer atestado manual)

Os logs são mantidos por tempo suficiente para investigar um ataque?

Por quanto tempo os logs serão retidos?

Sim, um ano.

Gerenciamento de dispositivos móveis

Segurança do dispositivo do usuário final 7.4.1 - Gerenciamento de dispositivos móveis - Programa de gerenciamento de dispositivos móveis

Existe algum programa de gerenciamento de dispositivos móveis?

Especifique se há algum programa de gerenciamento de dispositivos móveis. Em caso afirmativo, especifique qual ferramenta é usada para gerenciamento de dispositivos móveis.

Sim. Usamos ferramentas internas.

Segurança do dispositivo do usuário final 7.4.2 - Gerenciamento de dispositivos móveis - Acesse o ambiente de produção a partir de dispositivos móveis privados (requer atestado manual)

A equipe está impedida de acessar o ambiente de produção usando dispositivos móveis privados não gerenciados?

Especifique se os funcionários são impedidos de acessar o ambiente de produção usando dispositivos móveis privados não gerenciados. Em caso negativo, como você aplica esse controle?

Sim

Segurança do dispositivo do usuário final 7.4.3 - Gerenciamento de dispositivos móveis - Acesse dados do cliente a partir de dispositivos móveis (requer atestado manual)

Os funcionários são impedidos de usar dispositivos móveis privados não gerenciados para visualizar ou processar dados de clientes?

Especifique se os funcionários são impedidos de acessar os dados do cliente usando dispositivos móveis não gerenciados. Em caso negativo, qual é o caso de uso para permitir o acesso? Como você monitora o acesso?

Sim

Controles de recursos humanos

Os controles de recursos humanos avaliam a divisão relacionada a funcionários para lidar com dados confidenciais durante processos como contratação, pagamento e demissão de funcionários. Esta tabela lista os valores e as descrições dos controles de políticas de recursos humanos.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo
Política de recursos humanos

Recursos humanos 9.1.1 - Política de recursos humanos - Análise de antecedentes dos funcionários

A análise de antecedentes é feita antes da contratação?

Especifique se a análise de antecedentes é feita para todos os funcionários antes da contratação.

Sim

Recursos humanos 9.1.2 - Política de recursos humanos - Contrato de funcionários

Um contrato de trabalho é assinado antes da contratação?

Especifique se um contrato de trabalho foi assinado antes da contratação.

Sim

Recursos humanos 9.1.3 - Política de recursos humanos - Treinamento de segurança para funcionários

Todos os funcionários passam por treinamento de conscientização sobre segurança regularmente?

Especifique se os funcionários passam por treinamento de segurança regularmente. Em caso afirmativo, com que frequência eles passam por treinamento de segurança?

Sim. Eles passam por treinamento de segurança anualmente.

Recursos humanos 9.1.4 - Política de recursos humanos - Processo disciplinar por não conformidade de políticas

Existe um processo disciplinar para o não cumprimento das políticas de recursos humanos?

Especifique se há um processo disciplinar por não conformidade com as políticas de recursos humanos.

Sim

Recursos humanos 9.1.5 - Política de recursos humanos - Verificação de antecedentes de empreiteiros/subcontratados (requer atestado manual)

As verificações de antecedentes são realizadas para fornecedores, contratados e subcontratados terceirizados?

Especifique se a verificação de antecedentes é feita para fornecedores, contratados e subcontratados terceirizados. Em caso afirmativo, a verificação de antecedentes é feita regularmente?

Sim. A verificação de antecedentes é feita anualmente.

Recursos humanos 9.1.6 - Política de recursos humanos - Devolução de ativos após a demissão

Existe um processo para verificar a devolução dos ativos constituintes após a demissão?

Especifique se há um processo para verificar a devolução dos ativos constituintes após a demissão do funcionário.

Sim

Controles de segurança da infraestrutura

Os controles de segurança da infraestrutura protegem ativos críticos contra ameaças e vulnerabilidades. Esta tabela lista os valores e as descrições dos controles da política de segurança da infraestrutura.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo
Segurança física

Segurança da infraestrutura 8.1.1 - Segurança física - Acesso físico às instalações

As pessoas que precisam de acesso presencial aos ativos (como edifícios, veículos ou hardware) precisam fornecer identificação e todas as credenciais necessárias?

Especifique se as pessoas que precisam de acesso presencial aos ativos (como edifícios, veículos, hardware) devem fornecer identificação e todas as credenciais necessárias.

Sim

Segurança da infraestrutura 8.1.2 - Segurança física - Segurança física e controles ambientais em vigor

A segurança física e os controles ambientais estão em vigor no datacenter e nos prédios de escritórios?

Especifique se a segurança física e os controles ambientais estão em vigor para todas as instalações.

Sim

Segurança da infraestrutura 8.1.3 - Segurança física - Acesso de visitantes (requer atestado manual)

Você registra o acesso dos visitantes?

Se os visitantes tiverem permissão para entrar na instalação, os logs de acesso dos visitantes são mantidos? Em caso afirmativo, por quanto tempo os logs são retidos?

Sim. Os logs serão mantidos por um ano.

Segurança de rede

Segurança da infraestrutura 8.2.1 - Segurança de rede - Desabilitar portas e serviços não utilizados (requer atestado manual)

Todas as portas e serviços não utilizados estão desabilitados no ambiente e nos sistemas de produção?

Especifique se todas as portas e serviços não utilizados estão desabilitados no ambiente e nos sistemas de produção.

Sim

Segurança da infraestrutura 8.2.2 - Segurança de rede - Uso de firewalls

Os firewalls são usados para isolar sistemas críticos e confidenciais em segmentos de rede separados dos segmentos de rede com sistemas menos confidenciais?

Especifique se os firewalls são usados para isolar segmentos críticos e sensíveis de segmentos com sistemas menos sensíveis.

Sim

Segurança da infraestrutura 8.2.3 - Segurança de rede - Revisão das regras de firewall

Todas as regras de firewalls são revisadas e atualizadas regularmente?

Com que frequência as regras de firewall são revisadas e atualizadas?

Sim. As regras de firewall são atualizadas a cada três meses.

Segurança da infraestrutura 8.2.4 - Segurança de rede - Sistemas de detecção/prevenção de intrusões

Os sistemas de detecção e prevenção de intrusões estão implantados em todas as zonas confidenciais da rede e onde quer que os firewalls estejam habilitados?

Especifique se os sistemas de detecção e prevenção de intrusões estão habilitados em todas as zonas confidenciais da rede.

Sim

Segurança da infraestrutura 8.2.5 - Segurança de rede - Padrões de segurança e fortalecimento

Você tem padrões de segurança e fortalecimento em vigor para dispositivos de rede?

Especifique se você tem padrões de segurança e fortalecimento em vigor para dispositivos de rede. Em caso afirmativo, você pode fornecer mais detalhes (incluindo detalhes sobre a frequência com que esses padrões são implementados e atualizados)?

Sim. Os padrões de segurança e fortalecimento são implementados mensalmente nos dispositivos de rede.

Serviços em nuvem

Segurança da infraestrutura 8.3.1 - Serviços em nuvem - Plataformas usadas para hospedar aplicações (requer atestado manual)

Liste as plataformas de nuvem que você usa para hospedar sua aplicação.

Especifique quais plataformas de nuvem você usa para hospedar sua aplicação.

AWS

Controles de gerenciamento de riscos e resposta a incidentes

O gerenciamento de riscos e os controles de resposta a incidentes avaliam o nível de risco considerado aceitável e as medidas tomadas para responder aos riscos e ataques. Esta tabela lista os valores e as descrições dos controles de gerenciamento de riscos e políticas de resposta a incidentes.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo
Avaliação de risco

Gerenciamento de riscos/resposta a incidentes 5.1.1 - Avaliação de riscos - Abordar e identificar riscos

Existe um processo formal focado em identificar e abordar os riscos de incidentes disruptivos para a organização?

Especifique se há um processo para identificar e abordar os riscos que causam incidentes disruptivos para a organização.

Sim

Gerenciamento de riscos/resposta a incidentes 5.1.2 - Avaliação de riscos - Processo de gerenciamento de riscos

Existe um programa ou processo para gerenciar o tratamento dos riscos identificados durante as avaliações?

Especifique se há um programa ou processo para gerenciar riscos e mitigações. Em caso afirmativo, você pode fornecer mais detalhes sobre o processo de gerenciamento de riscos?

Sim. Analisamos e corrigimos problemas regularmente para abordar não conformidades. As informações a seguir são identificadas para qualquer problema que afete nosso meio ambiente:

• Detalhes do problema identificado

• Causa raiz

• Controles de compensação

• Gravidade

• Proprietário

• Rumo a curto prazo

• Rumo a longo prazo

Gerenciamento de riscos/resposta a incidentes 5.1.3 - Avaliação de risco - Avaliações de risco

As avaliações de risco são feitas com frequência?

As avaliações de risco são feitas com frequência? Em caso afirmativo, especifique a frequência das avaliações de risco.

Sim. As avaliações de risco são concluídas a cada seis meses.

Gerenciamento de riscos/resposta a incidentes 5.1.4 - Avaliação de risco - Avaliação de risco de fornecedores de terceiros

As avaliações de risco são realizadas para todos os fornecedores de terceiros?

Especifique se as avaliações de risco são realizadas para todos os fornecedores de terceiros. Em caso afirmativo, com que frequência?

Não aplicável nesta amostra.

Gerenciamento de riscos/resposta a incidentes 5.1.5 - Avaliação de risco - Reavaliação de risco quando o contrato muda

As avaliações de risco são realizadas quando ocorrem mudanças na prestação de serviços ou no contrato?

Especifique se as avaliações de risco serão realizadas sempre que uma prestação de serviço ou contrato for alterada.

Não aplicável nesta amostra.

Gerenciamento de riscos/resposta a incidentes 5.1.6 - Avaliação de riscos - Aceitar riscos (requer atestado manual)

Existe um processo para a gerência aceitar riscos de forma consciente e objetiva e aprovar planos de ação?

Especifique se há um processo para a gerência entender e aceitar riscos e aprovar planos de ação e um cronograma para corrigir um problema relacionado ao risco. O processo inclui fornecer detalhes das métricas por trás de cada risco para a gerência?

Sim. Detalhes sobre a gravidade do risco e os possíveis problemas, se não forem mitigados, são fornecidos à gerência antes que ela aprove um risco.

Gerenciamento de riscos/resposta a incidentes 5.1.7 - Avaliação de risco - Métricas de risco (requer atestado manual)

Você tem medidas para definir, monitorar e relatar métricas de risco?

Especifique se há um processo para definir, monitorar e relatar métricas de risco.

Sim

Gerenciamento de incidentes

Gerenciamento de riscos/resposta a incidentes 5.2.1 - Gerenciamento de incidentes - Plano de resposta a incidentes

Existe um plano formal de resposta a incidentes?

Especifique se há um plano formal de resposta a incidentes.

Sim

Gerenciamento de riscos/resposta a incidentes 5.2.2 - Gerenciamento de incidentes - Entre em contato para relatar incidentes de segurança (requer atestado manual)

Existe um processo para os clientes denunciarem um incidente de segurança?

Especifique se há um processo para os clientes relatarem um incidente de segurança. Em caso afirmativo, como um cliente pode relatar um incidente de segurança?

Sim. Os clientes podem denunciar incidentes em example.com.

Gerenciamento de riscos/resposta a incidentes 5.2.3 - Gerenciamento de incidentes - Relatar incidentes/principais atividades

Você relata as principais atividades?

Você relata as principais atividades? O que é necessário SLA para relatar as principais atividades?

Sim. Todas as principais atividades serão relatadas em uma semana.

Gerenciamento de riscos/resposta a incidentes 5.2.4 - Gerenciamento de incidentes - Recuperação de incidentes

Você tem planos de recuperação de desastres?

Especifique se você tem planos de recuperação após a ocorrência de um incidente. Em caso afirmativo, você pode compartilhar detalhes sobre os planos de recuperação?

Sim. Após um incidente, a recuperação será feita em 24 horas.

Gerenciamento de riscos/resposta a incidentes 5.2.5 - Gerenciamento de incidentes - Logs disponíveis para compradores em caso de ataque (requer atestado manual)

No caso de um ataque, os recursos relevantes (como logs, relatórios de incidentes ou dados) estarão disponíveis para os clientes?

Recursos relevantes (como logs, relatórios de incidentes ou dados) relacionados ao uso estarão disponíveis para os clientes caso ocorra um ataque ou incidente?

Sim

Gerenciamento de riscos/resposta a incidentes 5.2.6 - Gerenciamento de incidentes - Boletim de segurança (requer atestado manual)

Você tem um boletim de segurança que descreve os ataques e vulnerabilidades mais recentes que afetam suas aplicações?

Especifique se você tem um boletim de segurança que descreve os ataques e vulnerabilidades mais recentes que afetam suas aplicações. Em caso afirmativo, você pode fornecer os detalhes?

Sim. Os clientes podem denunciar incidentes em example.com.

Detecção de incidente

Gerenciamento de riscos/resposta a incidentes 5.3.1 - Detecção de incidentes - Registro em log abrangente

Existe um registro em log abrangente para apoiar a identificação e mitigação de incidentes?

Especifique se há um registro em log abrangente habilitado. Identifique os tipos de eventos que o sistema é capaz de registrar. Por quanto tempo os logs são retidos?

Sim. Os seguintes eventos são registrados: aplicativos, dispositivos, etc. Serviços da AWS AWS CloudTrail AWS Config, e registros de VPC fluxo. Os logs são retidos por um ano.

Gerenciamento de riscos/resposta a incidentes 5.3.2 - Detecção de incidentes - Monitoramento de logs

Você monitora e alerta sobre atividades incomuns ou suspeitas usando mecanismos de detecção, como monitoramento de logs?

Especifique se o monitoramento e o alerta de segurança regulares são executados. Em caso afirmativo, isso inclui monitoramento de logs para comportamentos incomuns ou suspeitos?

Sim. Todos os registros são monitorados quanto a comportamentos incomuns, como vários logins com falha, login de uma geolocalização incomum ou outros alertas suspeitos.

Gerenciamento de riscos/resposta a incidentes 5.3.3 - Detecção de incidentes - Violação de dados de terceiros

Existe um processo para identificar, detectar e registrar problemas de segurança, privacidade ou violação de dados de subcontratados?

Especifique se há um processo em vigor para identificar e detectar fornecedores de terceiros ou subcontratados em caso de violação de dados, problemas de segurança ou problemas de privacidade.

Sim

SLApara notificação de incidentes

Gerenciamento de riscos/resposta a incidentes 5.4.1 - SLA para notificação de incidentes (requer atestado manual)

O que é o envio SLA de notificações sobre incidentes ou violações?

O que é o envio SLA de notificações sobre incidentes ou violações?

7 dias

Controles de políticas de segurança e configuração

Os controles de políticas de segurança e configuração avaliam as políticas e as configurações de segurança que protegem os ativos de uma organização. Esta tabela lista os valores e as descrições dos controles de política de segurança e configuração.

Conjunto de controles Título do controle Descrição do controle Detalhe da extração de evidências Valor de exemplo

Políticas de segurança da informação

Política de segurança e configuração 10.1.1 - Políticas de segurança da informação - Política de segurança da informação

Você tem uma política de segurança da informação que pertence e é mantida por uma equipe de segurança?

Especifique se você tem uma política de segurança da informação. Em caso afirmativo, compartilhe ou envie uma evidência manual.

Sim. Construímos nossa política de segurança com base na NIST estrutura.

Política de segurança e configuração 10.1.2 - Políticas de segurança da informação - Revisão de políticas

Todas as políticas de segurança são revisadas anualmente?

Especifique se as políticas de segurança são revisadas anualmente. Em caso negativo, com que frequência as políticas são revisadas?

Sim. Revisadas todos os anos.

Políticas para configurações de segurança

Política de segurança e configuração 10.2.1 - Políticas para configurações de segurança - Configurações de segurança (requer atestado manual)

Os padrões de configuração de segurança são mantidos e documentados?

Especifique se todos os padrões de configuração de segurança são mantidos e documentados. Em caso afirmativo, compartilhe ou envie uma evidência manual.

Sim

Política de segurança e configuração 10.2.2 - Políticas para configurações de segurança - Análise das configurações de segurança (requer atestado manual)

As configurações de segurança são revisadas pelo menos uma vez por ano?

Especifique se as configurações de segurança são revisadas pelo menos uma vez por ano. Em caso negativo, especifique a frequência da revisão.

Sim. Revisadas a cada três meses.

Política de segurança e configuração 10.2.3 - Políticas para configurações de segurança - Alterações nas configurações

As alterações nas configurações são registradas?

Especifique se as alterações de configuração são registradas. Em caso afirmativo, por quanto tempo os logs são retidos?

Sim. Todas as alterações nas configurações são monitoradas e registradas. Os alertas são gerados quando as configurações são alteradas. Os logs são retidos por seis meses.