Frameworks do Compliance Manager

Este documento fornece conteúdo de referência para os frameworks de nuvem integrados incluídos no Gerenciador de compliance.

Google Recommended AI Essentials - Vertex AI

Provedor de nuvem compatível: Google Cloud

Esse framework descreve as práticas recomendadas de segurança recomendadas pelo Google para cargas de trabalho da Vertex AI, fornecendo uma coleção prescritiva de políticas preventivas e de detecção essenciais. Após a ativação da proteção para IA no Security Command Center, uma avaliação detalhada de conformidade de segurança com base nesse framework será mostrada automaticamente no painel de segurança de IA.

Essa estrutura inclui os seguintes controles de nuvem:

CIS GKE 1.7

Provedor de nuvem compatível: Google Cloud

O comparativo de mercado CIS do GKE é um conjunto de recomendações de segurança e práticas recomendadas especificamente adaptadas para clusters do Google Kubernetes Engine (GKE). O comparativo de mercado tem como objetivo melhorar a postura de segurança dos ambientes do GKE.

Essa estrutura inclui os seguintes controles de nuvem:

CIS Critical Security Controls v8

Provedor de nuvem compatível: Google Cloud

Um conjunto priorizado de proteções contra ameaças cibernéticas comuns. Ele oferece uma abordagem prática para a defesa cibernética, dividida em grupos de implementação (IG1, IG2, IG3) para atender a organizações de diferentes níveis de maturidade.

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

cis-controls-1-1

Estabeleça e mantenha um inventário preciso, detalhado e atualizado de todos os recursos empresariais com potencial para armazenar ou processar dados, incluindo: dispositivos de usuários finais (portáteis e móveis), dispositivos de rede, dispositivos não computacionais/IoT e servidores. Verifique se o inventário registra o endereço de rede (se estático), o endereço de hardware, o nome da máquina, o proprietário do recurso empresarial, o departamento de cada recurso e se ele foi aprovado para se conectar à rede. Para dispositivos móveis do usuário final, as ferramentas de MDM podem ajudar nesse processo, quando apropriado. Esse inventário inclui recursos conectados à infraestrutura física, virtual e remotamente, além daqueles em ambientes de nuvem. Além disso, inclui ativos que estão regularmente conectados à infraestrutura de rede da empresa, mesmo que não estejam sob controle dela. Revise e atualize o inventário de todos os recursos corporativos semestralmente ou com mais frequência.

cis-controls-10-2

Configure atualizações automáticas para arquivos de assinatura antimalware em todos os recursos da empresa.

cis-controls-10-3

Desative a funcionalidade de execução automática e reprodução automática para mídia removível.

cis-controls-10-6

Gerencie de forma centralizada o software antimalware.

cis-controls-11-1

Estabeleça e mantenha um processo documentado de recuperação de dados que inclua procedimentos detalhados de backup. No processo, aborde o escopo das atividades de recuperação de dados, a priorização da recuperação e a segurança dos dados de backup. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-11-2

Realizar backups automatizados de recursos empresariais no escopo. Faça backups semanais ou com mais frequência, dependendo da sensibilidade dos dados.

cis-controls-11-3

Proteja os dados de recuperação com controles equivalentes aos dados originais. Referencie a criptografia ou a separação de dados, com base nos requisitos.

cis-controls-11-4

Estabeleça e mantenha uma instância isolada de dados de recuperação. Exemplos de implementações incluem controle de versão de destinos de backup por sistemas ou serviços off-line, na nuvem ou fora do local.

cis-controls-11-5

Teste a recuperação de backup trimestralmente ou com mais frequência para uma amostra de recursos empresariais no escopo.

cis-controls-12-2

Projetar e manter uma arquitetura de rede segura. Uma arquitetura de rede segura precisa abordar, no mínimo, segmentação, privilégio mínimo e disponibilidade. Exemplos de implementações podem incluir documentação, política e componentes de design.

cis-controls-12-3

Gerencie a infraestrutura de rede com segurança. Exemplos de implementações incluem infraestrutura como código (IaC) com controle de versão e o uso de protocolos de rede seguros, como SSH e HTTPS.

cis-controls-12-5

Centralizar o AAA da rede.

cis-controls-12-6

Adote protocolos seguros de gerenciamento de rede (por exemplo, 802.1X) e protocolos de comunicação seguros (por exemplo, Wi-Fi Protected Access 2 (WPA2) Enterprise ou alternativas mais seguras.

cis-controls-12-7

Exija que os usuários se autentiquem em serviços de VPN e autenticação gerenciados pela empresa antes de acessar recursos corporativos em dispositivos de usuários finais.

cis-controls-13-1

Centralize os alertas de ocorrência de segurança em todos os recursos da empresa para correlação e análise de registros. A implementação de práticas recomendadas exige o uso de um SIEM, que inclui alertas de correlação de eventos definidos pelo fornecedor. Uma plataforma de análise de registros configurada com alertas de correlação relevantes para a segurança também atende a essa proteção.

cis-controls-13-2

Implante uma solução de detecção de intrusões baseada em host nos recursos da empresa, quando apropriado e/ou compatível.

cis-controls-13-3

Implante uma solução de detecção de intrusões de rede em recursos empresariais, quando apropriado. Exemplos de implementações incluem o uso de um sistema de detecção de invasão de rede (NIDS, na sigla em inglês) ou um serviço equivalente de provedor de serviços de nuvem (CSP, na sigla em inglês).

cis-controls-13-4

Faça a filtragem de tráfego entre segmentos de rede, quando apropriado.

cis-controls-13-5

Gerenciar o controle de acesso para ativos que se conectam remotamente a recursos empresariais. Determine a quantidade de acesso aos recursos empresariais com base no seguinte: software antimalware atualizado instalado, conformidade da configuração com o processo de configuração segura da empresa e garantia de que o sistema operacional e os aplicativos estejam atualizados.

cis-controls-13-6

Coletar registros de fluxo de tráfego de rede e/ou tráfego de rede para revisar e alertar sobre dispositivos de rede.

cis-controls-13-7

Implante uma solução de prevenção de intrusão baseada em host nos recursos da empresa, quando apropriado e/ou compatível. Exemplos de implementações incluem o uso de um cliente de detecção e resposta de endpoints (EDR) ou um agente IPS baseado em host.

cis-controls-13-8

Implante uma solução de prevenção de invasões de rede, quando apropriado. Exemplos de implementações incluem o uso de um sistema de prevenção de intrusão de rede (NIPS, na sigla em inglês) ou um serviço CSP equivalente.

cis-controls-13-9

Implante o controle de acesso no nível da porta. O controle de acesso no nível da porta usa o 802.1x ou protocolos semelhantes de controle de acesso à rede, como certificados, e pode incorporar a autenticação de usuário e/ou dispositivo.

cis-controls-14-1

Estabelecer e manter um programa de conscientização sobre segurança. O objetivo de um programa de conscientização sobre segurança é educar a força de trabalho da empresa sobre como interagir com ativos e dados corporativos de maneira segura. Realize treinamentos na contratação e, no mínimo, uma vez por ano. Revise e atualize o conteúdo anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-14-3

Treine os membros da força de trabalho sobre as práticas recomendadas de autenticação. Exemplos de tópicos incluem MFA, composição de senhas e gerenciamento de credenciais.

cis-controls-14-5

Treine os membros da força de trabalho para que eles conheçam as causas da exposição não intencional de dados. Exemplos de tópicos incluem entrega incorreta de dados sensíveis, perda de um dispositivo portátil do usuário final ou publicação de dados para públicos-alvo não intencionais.

cis-controls-16-1

Estabelecer e manter um processo seguro de desenvolvimento de aplicativos. No processo, aborde itens como: padrões de design de aplicativos seguros, práticas de programação seguras, treinamento de desenvolvedores, gerenciamento de vulnerabilidades, segurança de código de terceiros e procedimentos de teste de segurança de aplicativos. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-16-11

Use módulos ou serviços verificados para componentes de segurança de aplicativos, como gerenciamento de identidade, criptografia, auditoria e geração de registros. Usar recursos da plataforma em funções de segurança críticas reduz a carga de trabalho dos desenvolvedores e minimiza a probabilidade de erros de design ou implementação. Os sistemas operacionais modernos oferecem mecanismos eficazes de identificação, autenticação e autorização, disponibilizando-os para aplicativos. Use apenas algoritmos de criptografia padronizados, aceitos atualmente e amplamente revisados. Os sistemas operacionais também oferecem mecanismos para criar e manter registros de auditoria seguros.

cis-controls-16-12

Aplique ferramentas de análise estática e dinâmica no ciclo de vida do aplicativo para verificar se as práticas de programação segura estão sendo seguidas.

cis-controls-16-13

Realize testes de penetração de aplicativos. Para aplicativos críticos, o teste de penetração autenticado é mais adequado para encontrar vulnerabilidades na lógica de negócios do que a verificação de código e o teste de segurança automatizado. Os testes de penetração dependem da habilidade do testador de manipular manualmente um aplicativo como um usuário autenticado e não autenticado. 

cis-controls-16-2

Estabeleça e mantenha um processo para aceitar e resolver relatórios de vulnerabilidades de software, incluindo um meio para que entidades externas façam denúncias. O processo inclui itens como: uma política de tratamento de vulnerabilidades que identifica o processo de denúncia, a parte responsável pelo tratamento de relatórios de vulnerabilidades e um processo de recebimento, atribuição, correção e teste de correção. Como parte do processo, use um sistema de rastreamento de vulnerabilidades que inclua classificações de gravidade e métricas para medir o tempo de identificação, análise e correção de vulnerabilidades. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção. Os desenvolvedores de aplicativos de terceiros precisam considerar isso como uma política externa que ajuda a definir expectativas para partes interessadas externas.

cis-controls-16-3

Realize a análise da causa raiz em vulnerabilidades de segurança. Ao analisar vulnerabilidades, a análise de causa raiz é a tarefa de avaliar os problemas subjacentes que criam vulnerabilidades no código. Isso permite que as equipes de desenvolvimento façam mais do que apenas corrigir vulnerabilidades individuais à medida que elas surgem.

cis-controls-16-7

Use modelos de configuração de proteção padrão e recomendados pelo setor para componentes de infraestrutura de aplicativos. Isso inclui servidores, bancos de dados e servidores da Web subjacentes e se aplica a contêineres de nuvem, componentes de plataforma como serviço (PaaS) e componentes de SaaS. Não permita que o software desenvolvido internamente enfraqueça o reforço da configuração.

cis-controls-17-2

Estabeleça e mantenha dados de contato para as partes que precisam ser informadas sobre incidentes de segurança. Os contatos podem incluir funcionários internos, provedores de serviços, autoridades policiais, provedores de seguros cibernéticos, agências governamentais relevantes, parceiros do Centro de Análise e Compartilhamento de Informações (ISAC, na sigla em inglês) ou outras partes interessadas. Verifique os contatos anualmente para garantir que as informações estejam atualizadas.

cis-controls-17-4

Estabeleça e mantenha um processo documentado de resposta a incidentes que aborde funções e responsabilidades, requisitos de compliance e um plano de comunicação. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-17-9

Estabelecer e manter limites de incidentes de segurança, incluindo, no mínimo, a diferenciação entre um incidente e um evento. Exemplos: atividade anormal, vulnerabilidade de segurança, falha de segurança, violação de dados, incidente de privacidade etc. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-18-1

Estabeleça e mantenha um programa de teste de penetração adequado ao tamanho, à complexidade, ao setor e à maturidade da empresa. As características do programa de teste de penetração incluem escopo, como rede, aplicativo da Web, interface de programação de aplicativos (API), serviços hospedados e controles de instalações físicas; frequência; limitações, como horários aceitáveis e tipos de ataques excluídos; informações de ponto de contato; correção, como o encaminhamento interno das descobertas; e requisitos retrospectivos.

cis-controls-18-2

Realize testes de penetração externos periódicos com base nos requisitos do programa, pelo menos uma vez por ano. Os testes de penetração externos precisam incluir reconhecimento empresarial e ambiental para detectar informações exploráveis. Os testes de penetração exigem habilidades e experiência especializadas e precisam ser realizados por uma parte qualificada. O teste pode ser em uma caixa transparente ou opaca.

cis-controls-18-5

Realize testes de penetração internos periódicos com base nos requisitos do programa, pelo menos uma vez por ano. O teste pode ser em uma caixa transparente ou opaca.

cis-controls-2-7

Use controles técnicos, como assinaturas digitais e controle de versões, para garantir que apenas scripts autorizados, como arquivos .ps1 e .py específicos, possam ser executados. Bloquear a execução de scripts não autorizados. Reavalie a cada seis meses ou com mais frequência.

cis-controls-3-1

Estabelecer e manter um processo documentado de gerenciamento de dados. No processo, aborde a sensibilidade dos dados, o proprietário dos dados, o tratamento dos dados, os limites de retenção e os requisitos de descarte, com base nos padrões de sensibilidade e retenção da empresa. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-3-11

Criptografar dados sensíveis em repouso em servidores, aplicativos e bancos de dados. A criptografia na camada de armazenamento, também conhecida como criptografia do lado do servidor, atende ao requisito mínimo dessa proteção. Outros métodos de criptografia podem incluir a criptografia da camada de aplicativos, também conhecida como criptografia do lado do cliente, em que o acesso aos dispositivos de armazenamento de dados não permite o acesso aos dados de texto simples.

cis-controls-3-14

Registre o acesso a dados sensíveis, incluindo modificação e descarte.

cis-controls-3-2

Estabelecer e manter um inventário de dados com base no processo de gerenciamento de dados da empresa. Inventarie dados sensíveis, no mínimo. Revise e atualize o inventário anualmente, no mínimo, com foco em dados sensíveis.

cis-controls-3-3

Configure listas de controle de acesso a dados com base na necessidade de saber de um usuário. Aplique listas de controle de acesso a dados, também conhecidas como permissões de acesso, a sistemas de arquivos, bancos de dados e aplicativos locais e remotos.

cis-controls-3-4

Reter dados de acordo com o processo documentado de gerenciamento de dados da empresa. A retenção de dados precisa incluir cronogramas mínimos e máximos.

cis-controls-3-5

Descarte os dados com segurança, conforme descrito no processo documentado de gerenciamento de dados da empresa. Verifique se o processo e o método de descarte são adequados à sensibilidade dos dados.

cis-controls-3-6

Criptografe os dados em dispositivos do usuário final que contêm informações sensíveis. Exemplos de implementações: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.

cis-controls-3-7

Estabelecer e manter um esquema geral de classificação de dados para a empresa. As empresas podem usar rótulos, como "Sensível", "Confidencial" e "Público", e classificar os dados de acordo com eles. Revise e atualize o esquema de classificação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-3-8

Fluxos de dados de documentos. A documentação do fluxo de dados inclui fluxos de dados do provedor de serviços e deve ser baseada no processo de gerenciamento de dados da empresa. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-3-9

Criptografar dados em mídia removível.

cis-controls-4-1

Estabeleça e mantenha um processo documentado de configuração segura para recursos empresariais (dispositivos de usuários finais, incluindo portáteis e móveis, dispositivos não computacionais/IoT e servidores) e software (sistemas operacionais e aplicativos). Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-4-2

Estabeleça e mantenha um processo documentado de configuração segura para dispositivos de rede. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-4-3

Configure o bloqueio automático de sessão em recursos empresariais após um período definido de inatividade. Para sistemas operacionais de uso geral, o período não pode exceder 15 minutos. Para dispositivos móveis de usuários finais, o período não pode exceder 2 minutos.

cis-controls-4-4

Implemente e gerencie um firewall em servidores, quando disponível. Exemplos de implementações incluem um firewall virtual, um firewall do sistema operacional ou um agente de firewall de terceiros.

cis-controls-4-5

Implemente e gerencie um firewall baseado em host ou uma ferramenta de filtragem de porta em dispositivos de usuários finais, com uma regra de negação padrão que descarta todo o tráfego, exceto os serviços e portas explicitamente permitidos.

cis-controls-4-6

Gerencie recursos e softwares corporativos com segurança. Exemplos de implementações incluem gerenciar a configuração usando a infraestrutura como código (IaC) controlada por versão e acessar interfaces administrativas por protocolos de rede seguros, como Secure Shell (SSH) e Hypertext Transfer Protocol Secure (HTTPS). Não use protocolos de gerenciamento sem segurança, como Telnet (Teletype Network) e HTTP, a menos que seja essencial para a operação.

cis-controls-4-7

Gerenciar contas padrão em ativos e softwares corporativos, como raiz, administrador e outras contas de fornecedores pré-configuradas. Exemplos de implementações: desativar ou tornar inutilizáveis as contas padrão.

cis-controls-4-8

Desinstale ou desative serviços desnecessários em recursos e softwares corporativos, como um serviço de compartilhamento de arquivos não utilizado, um módulo de aplicativo da Web ou uma função de serviço.

cis-controls-5-1

Estabelecer e manter um inventário de todas as contas gerenciadas na empresa. O inventário precisa incluir pelo menos contas de usuário, administrador e serviço. No mínimo, o inventário precisa conter o nome da pessoa, o nome de usuário, as datas de início e término e o departamento. Valide se todas as contas ativas estão autorizadas, em uma programação recorrente, no mínimo trimestralmente ou com mais frequência.

cis-controls-5-2

Use senhas exclusivas para todos os recursos empresariais. A implementação das práticas recomendadas inclui, no mínimo, uma senha de oito caracteres para contas que usam a autenticação multifator (MFA) e uma senha de 14 caracteres para contas que não usam a MFA. 

cis-controls-5-4

Restrinja os privilégios de administrador a contas dedicadas em recursos empresariais. Realize atividades gerais de computação, como navegação na Internet, e-mail e uso de pacote de produtividade, na conta principal e não privilegiada do usuário.

cis-controls-5-5

Estabeleça e mantenha um inventário de contas de serviço. No mínimo, o inventário precisa conter o proprietário do departamento, a data da revisão e a finalidade. Faça revisões de conta de serviço para validar se todas as contas ativas estão autorizadas, em uma programação recorrente, no mínimo trimestralmente ou com mais frequência.

cis-controls-5-6

Centralize o gerenciamento de contas em um diretório ou serviço de identidade.

cis-controls-6-1

Estabeleça e siga um processo documentado, de preferência automatizado, para conceder acesso aos recursos da empresa quando um usuário for contratado ou mudar de função.

cis-controls-6-2

Estabeleça e siga um processo, de preferência automatizado, para revogar o acesso a recursos empresariais. Isso pode ser feito desativando as contas imediatamente após o término do contrato, a revogação de direitos ou a mudança de função de um usuário. A desativação, em vez da exclusão, pode ser necessária para preservar os registros de auditoria.

cis-controls-6-3

Exija que todos os aplicativos corporativos ou de terceiros expostos externamente apliquem a MFA, quando disponível. A aplicação da MFA por um serviço de diretório ou provedor de SSO é uma implementação satisfatória dessa proteção.

cis-controls-6-5

Exija a MFA para todas as contas de acesso administrativo, quando disponível, em todos os recursos corporativos, gerenciados no local ou por um provedor de serviços.

cis-controls-6-6

Estabeleça e mantenha um inventário dos sistemas de autenticação e autorização da empresa, incluindo aqueles hospedados no local ou em um provedor de serviços remoto. Revise e atualize o inventário pelo menos uma vez por ano ou com mais frequência.

cis-controls-6-7

Centralize o controle de acesso para todos os recursos empresariais usando um serviço de diretório ou um provedor de SSO, quando disponível.

cis-controls-6-8

Defina e mantenha o controle de acesso com base em papéis, determinando e documentando os direitos de acesso necessários para cada função na empresa realizar as tarefas atribuídas. Faça revisões de controle de acesso dos recursos empresariais para validar se todos os privilégios estão autorizados, em uma programação recorrente pelo menos anual ou mais frequente.

cis-controls-7-2

Estabeleça e mantenha uma estratégia de correção baseada em risco documentada em um processo de correção, com revisões mensais ou mais frequentes.

cis-controls-7-7

Corrija as vulnerabilidades detectadas no software usando processos e ferramentas mensalmente ou com mais frequência, com base no processo de correção.

cis-controls-8-1

Estabeleça e mantenha um processo documentado de gerenciamento registro de auditoria que defina os requisitos de geração de registros da empresa. No mínimo, aborde a coleta, a análise e a retenção de registros de auditoria para ativos empresariais. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

cis-controls-8-11

Faça análises dos registros de auditoria para detectar anomalias ou eventos anormais que possam indicar uma possível ameaça. Faça revisões semanalmente ou com mais frequência.

cis-controls-8-2

Coletar registros de auditoria. Verifique se o registro em log, de acordo com o processo de gerenciamento registro de auditoria da empresa, foi ativado em todos os recursos empresariais.

cis-controls-8-3

Verifique se os destinos de geração de registros mantêm armazenamento adequado para obedecer ao processo de gerenciamento de registro de auditoria da empresa.

cis-controls-8-4

Padronize a sincronização de tempo. Configure pelo menos duas fontes de horário sincronizadas em todos os recursos da empresa, quando disponível.

cis-controls-8-5

Configure o registro de auditoria detalhado para recursos empresariais que contêm dados sensíveis. Inclua a origem do evento, a data, o nome de usuário, o carimbo de data/hora, os endereços de origem e de destino e outros elementos úteis que podem ajudar em uma investigação forense.

cis-controls-8-6

Colete registros de auditoria de consultas de DNS em recursos empresariais, quando apropriado e compatível.

cis-controls-8-7

Colete registros de auditoria de solicitações de URL em recursos corporativos, quando apropriado e compatível.

cis-controls-8-8

Colete registros de auditoria da linha de comando. Exemplos de implementações incluem a coleta de registros de auditoria do PowerShell®, BASH™ e terminais administrativos remotos.

cis-controls-8-9

Centralize, na medida do possível, a coleta e a retenção de registro de auditoria em todos os ativos empresariais de acordo com o processo documentado de gerenciamento de registro de auditoria. As implementações de exemplo incluem principalmente o uso de uma ferramenta SIEM para centralizar várias fontes de registros.

cis-controls-9-1

Verifique se apenas navegadores e clientes de e-mail totalmente compatíveis podem ser executados na empresa, usando apenas a versão mais recente fornecida pelo fornecedor.

cis-controls-9-2

Use serviços de filtragem de DNS em todos os dispositivos do usuário final, incluindo ativos remotos e locais, para bloquear o acesso a domínios maliciosos conhecidos.

cis-controls-9-3

Aplique e atualize filtros de URL baseados em rede para impedir que um recurso empresarial se conecte a sites potencialmente maliciosos ou não aprovados. Exemplos de implementações incluem filtragem com base em categorias ou reputação ou o uso de listas de bloqueio. Aplicar filtros a todos os recursos empresariais.

cis-controls-9-4

Restrinja, desinstalando ou desativando, todos os plugins, extensões e aplicativos complementares não autorizados ou desnecessários do navegador ou cliente de e-mail.

CSA Cloud Controls Matrix v4.0.11

Provedor de nuvem compatível: Google Cloud

Uma estrutura de controle de segurança cibernética projetada especificamente para o ambiente de computação em nuvem. Ele oferece um conjunto abrangente de controles em domínios importantes para ajudar você a avaliar a postura de segurança dos seus serviços de nuvem.

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

ccm-aa-01

Estabelecer, documentar, aprovar, comunicar, aplicar, avaliar e manter políticas, procedimentos e padrões de auditoria e garantia. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-aa-02

Realize auditorias independentes e avaliações de garantia de acordo com os padrões relevantes pelo menos uma vez por ano.

ccm-ais-01

Estabeleça, documente, aprove, comunique, aplique, avalie e mantenha políticas e procedimentos de segurança de aplicativos para orientar o planejamento, a entrega e o suporte adequados dos recursos de segurança de aplicativos da organização. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-ais-02

Estabeleça, documente e mantenha requisitos básicos para proteger diferentes aplicativos.

ccm-ais-03

Defina e implemente métricas técnicas e operacionais alinhadas aos objetivos de negócios, requisitos de segurança e obrigações de compliance.

ccm-ais-04

Defina e implemente um processo de SDLC para design, desenvolvimento, implantação e operação de aplicativos de acordo com os requisitos de segurança definidos pela organização.

ccm-ais-05

Implemente uma estratégia de testes, incluindo critérios para aceitação de novos sistemas de informação, upgrades e novas versões, que ofereça garantia de segurança de aplicativos e mantenha a conformidade, permitindo a velocidade organizacional das metas de entrega. Automatize quando aplicável e possível.

ccm-bcr-03

Estabeleça estratégias para reduzir o impacto, resistir e se recuperar de interrupções nos negócios dentro do apetite a riscos.

ccm-bcr-07

Estabelecer comunicação com as partes interessadas e os participantes durante os procedimentos de continuidade de negócios e resiliência.

ccm-bcr-08

Faça backup periódico dos dados armazenados na nuvem. Garanta a confidencialidade, a integridade e a disponibilidade do backup e verifique a restauração de dados do backup para garantir a capacidade de recuperação.

ccm-bcr-09

Estabelecer, documentar, aprovar, comunicar, aplicar, avaliar e manter um plano de resposta a desastres para se recuperar de desastres naturais e causados por ações humanas. Atualize o plano pelo menos uma vez por ano ou quando houver mudanças significativas.

ccm-bcr-10

Execute o plano de resposta a desastres anualmente ou quando houver mudanças significativas, incluindo, se possível, as autoridades de emergência locais.

ccm-bcr-11

Complemente equipamentos essenciais para os negócios com equipamentos redundantes localizados de forma independente a uma distância mínima razoável, de acordo com os padrões aplicáveis do setor.

ccm-ccc-01

Estabeleça, documente, aprove, comunique, aplique, avalie e mantenha políticas e procedimentos para gerenciar os riscos associados à aplicação de mudanças nos recursos da organização, incluindo aplicativos, sistemas, infraestrutura, configuração etc. As políticas e os procedimentos precisam ser gerenciados, independentemente de os recursos serem gerenciados internamente ou externamente. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-ccc-02

Siga um processo definido de controle, aprovação e teste de mudanças na qualidade com padrões estabelecidos de linha de base, teste e lançamento.

ccm-ccc-07

Implemente medidas de detecção com notificação proativa em caso de mudanças que se desviem do valor de referência estabelecido.

ccm-cek-01

Estabelecer, documentar, aprovar, comunicar, aplicar, avaliar e manter políticas e procedimentos para criptografia e gerenciamento de chaves. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-cek-02

Definir e implementar funções e responsabilidades de criptografia, criptografia e gerenciamento de chaves.

ccm-cek-03

Ofereça proteção criptográfica a dados em repouso e em trânsito usando bibliotecas criptográficas certificadas de acordo com padrões aprovados.

ccm-cek-04

Use algoritmos de criptografia adequados para a proteção de dados, considerando a classificação dos dados, os riscos associados e a usabilidade da tecnologia de criptografia.

ccm-cek-05

Estabeleça um procedimento padrão de gestão da mudança para acomodar mudanças de fontes internas e externas, para revisão, aprovação, implementação e comunicação de mudanças tecnológicas de criptografia, criptografia e gerenciamento de chaves.

ccm-cek-08

Os CSPs precisam oferecer aos CSCs a capacidade de gerenciar as próprias chaves de criptografia de dados.

ccm-cek-10

Gere chaves criptográficas usando bibliotecas criptográficas aceitas pelo setor, especificando a força do algoritmo e o gerador de números aleatórios usado.

ccm-cek-11

Gerenciar chaves privadas e secrets criptográficos provisionados para uma finalidade exclusiva.

ccm-cek-18

Defina, implemente e avalie processos, procedimentos e medidas técnicas para gerenciar chaves arquivadas em um repositório seguro que exija acesso com privilégio mínimo, incluindo disposições para requisitos legais e regulamentares.

ccm-cek-21

Definir, implementar e avaliar processos, procedimentos e medidas técnicas para que o sistema de gerenciamento de chaves rastreie e informe todos os materiais criptográficos e mudanças de status, incluindo disposições para requisitos legais e regulamentares.

ccm-dcs-07

Implemente perímetros de segurança física para proteger pessoal, dados e sistemas de informação. Estabeleça perímetros de segurança física entre as áreas administrativas e comerciais e as áreas de armazenamento e processamento de dados.

ccm-dcs-09

Permita que apenas pessoas autorizadas acessem áreas seguras, com todos os pontos de entrada e saída restritos, documentados e monitorados por mecanismos de controle de acesso físico. Mantenha os registros de controle de acesso periodicamente, conforme considerado adequado pela organização.

ccm-dsp-01

Estabelecer, documentar, aprovar, comunicar, aplicar, avaliar e manter políticas e procedimentos para a classificação, proteção e tratamento de dados ao longo do ciclo de vida deles, de acordo com todas as leis, regulamentações, padrões e níveis de risco aplicáveis. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-dsp-02

Aplique métodos aceitos pelo setor para o descarte seguro de dados de mídias de armazenamento, de modo que eles não possam ser recuperados por nenhum meio forense.

ccm-dsp-07

Desenvolver sistemas, produtos e práticas comerciais com base em um princípio de segurança por design e nas práticas recomendadas do setor.

ccm-dsp-08

Desenvolver sistemas, produtos e práticas comerciais com base em um princípio de privacidade por design e nas práticas recomendadas do setor. Verifique se as configurações de privacidade dos sistemas estão configuradas por padrão, de acordo com todas as leis e regulamentações aplicáveis.

ccm-dsp-10

Definir, implementar e avaliar processos, procedimentos e medidas técnicas que garantam a proteção de qualquer transferência de dados pessoais ou sensíveis contra acesso não autorizado e que sejam tratados apenas dentro do escopo, conforme permitido pelas leis e regulamentações aplicáveis.

ccm-dsp-16

A retenção, o arquivamento e a exclusão de dados são gerenciados de acordo com os requisitos comerciais e as leis e regulamentações aplicáveis.

ccm-dsp-17

Defina e implemente processos, procedimentos e medidas técnicas para proteger dados sensíveis durante todo o ciclo de vida deles.

ccm-grc-01

Estabelecer, documentar, aprovar, comunicar, aplicar, avaliar e manter políticas e procedimentos para um programa de governança de informações, que é patrocinado pela liderança da organização. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-grc-03

Revise todas as políticas organizacionais relevantes e os procedimentos associados pelo menos uma vez por ano ou quando ocorrer uma mudança substancial na organização.

ccm-grc-07

Identifique e documente todos os padrões, regulamentações e requisitos legais, contratuais e estatutários relevantes aplicáveis à sua organização.

ccm-iam-01

Estabelecer, documentar, aprovar, comunicar, implementar, aplicar, avaliar e manter políticas e procedimentos para gerenciamento de identidade e acesso. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-iam-03

Gerenciar, armazenar e analisar as informações de identidades do sistema e o nível de acesso.

ccm-iam-04

Use o princípio da separação de funções ao implementar o acesso ao sistema de informações.

ccm-iam-05

Use o princípio do privilégio mínimo ao implementar o acesso ao sistema de informações.

ccm-iam-07

Desprovisione ou modifique o acesso de pessoas que mudam de função, saem da empresa ou de mudanças na identidade do sistema de maneira oportuna para adotar e comunicar políticas de gerenciamento de identidade e acesso de forma eficaz.

ccm-iam-09

Defina, implemente e avalie processos, procedimentos e medidas técnicas para a segregação de papéis de acesso privilegiado, de modo que o acesso administrativo a dados, criptografia e recursos de gerenciamento de chaves e recursos de geração de registros sejam distintos e separados.

ccm-iam-10

Defina e implemente um processo de acesso para garantir que os papéis e direitos de acesso privilegiado sejam concedidos por um período limitado e implemente procedimentos para evitar o acúmulo de acesso privilegiado segregado.

ccm-iam-11

Defina, implemente e avalie processos e procedimentos para que os clientes participem, quando aplicável, da concessão de acesso para funções de acesso privilegiado de alto risco acordadas, conforme definido pela avaliação de risco organizacional.

ccm-iam-12

Defina, implemente e avalie processos, procedimentos e medidas técnicas para garantir que a infraestrutura de geração de registros seja somente leitura para todos com acesso de gravação, incluindo funções de acesso privilegiado, e que a capacidade de desativá-la seja controlada por um procedimento que garanta a segregação de funções e procedimentos de emergência.

ccm-iam-13

Defina, implemente e avalie processos, procedimentos e medidas técnicas que garantam que os usuários sejam identificáveis por IDs exclusivos ou que possam associar indivíduos ao uso de IDs de usuário.

ccm-iam-14

Definir, implementar e avaliar processos, procedimentos e medidas técnicas para autenticar o acesso a sistemas, aplicativos e recursos de dados, incluindo a autenticação multifator para acesso de usuários com privilégios mínimos e dados sensíveis. Adote certificados digitais ou alternativas que alcancem um nível equivalente de segurança para identidades de sistema.

ccm-iam-16

Definir, implementar e avaliar processos, procedimentos e medidas técnicas para verificar se o acesso a dados e funções do sistema está autorizado.

ccm-ivs-01

Estabeleça, documente, aprove, comunique, aplique, avalie e mantenha políticas e procedimentos para segurança de infraestrutura e virtualização. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-ivs-03

Monitore, criptografe e restrinja as comunicações entre ambientes apenas a conexões autenticadas e autorizadas, conforme justificado pela empresa. Revise essas configurações pelo menos uma vez por ano e apoie-as com uma justificativa documentada de todos os serviços, protocolos, portas e controles compensatórios permitidos.

ccm-ivs-04

Reforce o host e o SO convidado, o hipervisor ou o plano de controle da infraestrutura de acordo com as respectivas práticas recomendadas e com o suporte de controles técnicos, como parte de um nível de segurança.

ccm-ivs-06

Projete, desenvolva, implante e configure aplicativos e infraestruturas para que o acesso do usuário do CSP e do CSC (locatário) e o acesso entre locatários sejam adequadamente segmentados e separados, monitorados e restritos de outros locatários.

ccm-ivs-07

Use canais de comunicação seguros e criptografados ao migrar servidores, serviços, aplicativos ou dados para ambientes de nuvem. Esses canais precisam incluir apenas protocolos atualizados e aprovados.

ccm-ivs-09

Defina, implemente e avalie processos, procedimentos e técnicas de defesa em profundidade para proteção, detecção e resposta oportuna a ataques baseados em rede.

ccm-log-01

Estabeleça, documente, aprove, comunique, aplique, avalie e mantenha políticas e procedimentos para geração de registros e monitoramento. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-log-02

Defina, implemente e avalie processos, procedimentos e medidas técnicas para garantir a segurança e a retenção dos registros de auditoria.

ccm-log-03

Identificar e monitorar eventos relacionados à segurança em aplicativos e na infraestrutura subjacente. Defina e implemente um sistema para gerar alertas às partes interessadas responsáveis com base nesses eventos e nas métricas correspondentes.

ccm-log-04

Restrinja o acesso aos registros de auditoria a pessoas autorizadas e mantenha registros que ofereçam responsabilidade de acesso exclusivo.

ccm-log-05

Monitore os registros de auditoria de segurança para detectar atividades fora dos padrões típicos ou esperados. Estabeleça e siga um processo definido para analisar e tomar medidas adequadas e oportunas em relação às anomalias detectadas.

ccm-log-07

Estabeleça, documente e implemente quais metadados de informações e eventos do sistema de dados devem ser registrados. Revise e atualize o escopo pelo menos uma vez por ano ou sempre que houver uma mudança no ambiente de ameaças.

ccm-log-08

Gerar registros de auditoria com informações de segurança relevantes.

ccm-log-12

Monitore e registre o acesso físico usando um sistema de controle de acesso auditável.

ccm-sef-01

Estabelecer, documentar, aprovar, comunicar, aplicar, avaliar e manter políticas e procedimentos para gerenciamento de incidentes de segurança, descoberta eletrônica e perícia forense na nuvem. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-sef-02

Estabeleça, documente, aprove, comunique, aplique, avalie e mantenha políticas e procedimentos para o gerenciamento oportuno de incidentes de segurança. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-sef-08

Mantenha pontos de contato para as autoridades regulatórias aplicáveis, autoridades policiais nacionais e locais e outras autoridades legais jurisdicionais.

ccm-sta-04

Delimite a propriedade compartilhada e a aplicabilidade de todos os controles da CSA CCM de acordo com o SSRM para a oferta de serviços de nuvem.

ccm-sta-08

Os CSPs revisam periodicamente os fatores de risco associados a todas as organizações na cadeia de suprimentos.

ccm-sta-09

Os contratos de serviço entre CSPs e CSCs (locatários) precisam incorporar pelo menos as disposições e os termos mutuamente acordados que incluem escopo, características e local da relação comercial e dos serviços oferecidos, requisitos de segurança da informação (incluindo SSRM), processo de gerenciamento de mudanças, capacidade de geração de registros e monitoramento, procedimentos de gerenciamento e comunicação de incidentes, direito de auditoria e avaliação de terceiros, rescisão do serviço, requisitos de interoperabilidade e portabilidade e privacidade de dados.

ccm-tvm-01

Estabelecer, documentar, aprovar, comunicar, aplicar, avaliar e manter políticas e procedimentos para identificar, relatar e priorizar a correção de vulnerabilidades, a fim de proteger os sistemas contra a exploração de vulnerabilidades. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-tvm-02

Estabeleça, documente, aprove, comunique, aplique, avalie e mantenha políticas e procedimentos para proteger contra malware em recursos gerenciados. Revise e atualize as políticas e os procedimentos pelo menos uma vez por ano.

ccm-tvm-03

Definir, implementar e avaliar processos, procedimentos e medidas técnicas para permitir respostas programadas e de emergência a identificações de vulnerabilidades, com base no risco identificado.

ccm-tvm-06

Defina, implemente e avalie processos, procedimentos e medidas técnicas para a realização periódica de testes de penetração por terceiros independentes.

ccm-uem-04

Mantenha um inventário de todos os endpoints usados para armazenar e acessar dados da empresa.

ccm-uem-07

Gerencie mudanças nos sistemas operacionais, níveis de patch e aplicativos dos endpoints usando os processos de gerenciamento de mudanças da empresa.

ccm-uem-10

Configure endpoints gerenciados com firewalls de software configurados corretamente.

ccm-uem-11

Configure endpoints gerenciados com tecnologias e regras de Prevenção contra perda de dados (DLP) de acordo com uma avaliação de risco.

Data Security and Privacy Essentials

Provedor de nuvem compatível: Google Cloud

Controles recomendados pelo Google na nuvem para segurança e privacidade de dados

Essa estrutura inclui os seguintes controles de nuvem:

Data Security Framework Template

Provedor de nuvem compatível: Google Cloud

Framework integrado do Google para implantar controles avançados de nuvem da DSPM.

Essa estrutura inclui os seguintes controles de nuvem:

FedRAMP Low 20x

Provedor de nuvem compatível: Google Cloud

Um programa governamental que oferece uma abordagem padronizada e reutilizável para avaliação e autorização de segurança de produtos e serviços de computação em nuvem que processam informações não classificadas usadas por agências. O impacto baixo da FedRAMP é mais adequado para CSOs em que a perda de confidencialidade, integridade e disponibilidade resultaria em um efeito adverso limitado nas operações, nos recursos ou nas pessoas de uma agência.

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

ksi-cmt-1

Registre e monitore as modificações do sistema. Verifique se todas as mudanças no sistema estão documentadas e se os valores de referência de configuração estão atualizados.

ksi-cna-1

Configure todos os recursos de informações para limitar o tráfego de entrada e saída.

ksi-cna-2

Projete sistemas para reduzir a superfície de ataque e minimizar o movimento lateral em caso de comprometimento.

ksi-cna-4

Use infraestrutura imutável com funcionalidade e privilégios estritamente definidos.

ksi-cna-6

Projete sistemas de informação com alta disponibilidade e recursos de recuperação rápida para evitar a perda de dados.

ksi-cna-7

Implemente recursos de informações com prioridade na nuvem com base nas práticas recomendadas e orientações documentadas do provedor de hospedagem.

ksi-iam-3

Aplique métodos de autenticação seguros a todas as contas e serviços que não são de usuários no Google Cloud para proteger dados e recursos contra acesso não autorizado.

ksi-iam-4

Implemente um modelo de autorização de segurança com privilégio mínimo, baseado em função e atributo e just-in-time. Use esse modelo para todas as contas e serviços de usuários e não usuários para reduzir o risco de acesso não autorizado ou uso indevido.

ksi-mla-2

Analise regularmente os registros de auditoria dos seus aplicativos e serviços.

ksi-mla-3

Detecte vulnerabilidades e corrija ou reduza os riscos para diminuir o impacto nos aplicativos e serviços.

ksi-piy-1

Mantenha um inventário de recursos de informações atualizado ou um código que defina todos os ativos, softwares e serviços implantados.

ksi-piy-4

Incorpore considerações de segurança ao ciclo de vida de desenvolvimento de software (SDLC) e se alinhe aos princípios de segurança incorporada ao design da Agência de Cibersegurança e Segurança de Infraestrutura (CISA).

ksi-svc-1

Revise e fortaleça regularmente as configurações de rede e sistema para garantir um parâmetro de segurança.

ksi-svc-2

Criptografe todos os dados de conteúdo principais trocados entre máquinas que se conectam ao Google Cloud ou proteja todo o tráfego de rede para proteger os dados.

ksi-svc-6

Use sistemas automatizados de gerenciamento de chaves para proteger, gerenciar e alternar regularmente chaves e certificados digitais.

ksi-svc-7

Implemente uma abordagem consistente e baseada em riscos para aplicar patches de segurança aos seus aplicativos e serviços.

ISO 27001:2022

Provedor de nuvem compatível: Google Cloud

O padrão internacional para um Sistema de Gestão de Segurança da Informação (SGSI). Ela oferece uma abordagem sistemática e baseada em riscos para gerenciar informações sensíveis, especificando requisitos para estabelecer e melhorar os controles de segurança.

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

iso-27001-2022-a-5-1

A política de segurança das informações e as políticas específicas de temas precisam ser definidas, aprovadas pela gerência, publicadas, comunicadas e reconhecidas pelo pessoal e pelas partes interessadas relevantes, além de revisadas em intervalos planejados e se ocorrerem mudanças significativas.

iso-27001-2022-a-5-10

As regras de uso aceitável e os procedimentos para lidar com informações e outros recursos associados precisam ser identificados, documentados e implementados.

iso-27001-2022-a-5-12

As informações devem ser classificadas de acordo com as necessidades de segurança da informação da organização com base em confidencialidade, integridade, disponibilidade e requisitos relevantes das partes interessadas.

iso-27001-2022-a-5-14

Regras, procedimentos ou contratos de transferência de informações devem estar em vigor para todos os tipos de instalações de transferência dentro da organização e entre ela e outras partes.

iso-27001-2022-a-5-15

As regras para controlar o acesso físico e lógico às informações e outros recursos associados devem ser estabelecidas e implementadas com base nos requisitos de negócios e segurança da informação.

iso-27001-2022-a-5-17

A alocação e o gerenciamento de informações de autenticação serão controlados por um processo de gerenciamento, incluindo a orientação da equipe sobre o tratamento adequado dessas informações.

iso-27001-2022-a-5-18

Os direitos de acesso a informações e outros recursos associados devem ser provisionados, revisados, modificados e removidos de acordo com a política específica da organização sobre o assunto e as regras de controle de acesso.

iso-27001-2022-a-5-19

Processos e procedimentos precisam ser definidos e implementados para gerenciar os riscos de segurança da informação associados ao uso de produtos ou serviços do fornecedor.

iso-27001-2022-a-5-20

Requisitos relevantes de segurança da informação serão estabelecidos e acordados com cada fornecedor com base no tipo de relacionamento.

iso-27001-2022-a-5-23

Os processos de aquisição, uso, gerenciamento e saída dos serviços em nuvem precisam ser estabelecidos de acordo com os requisitos de segurança da informação da organização.

iso-27001-2022-a-5-24

A organização precisa planejar e se preparar para gerenciar incidentes de segurança da informação definindo, estabelecendo e comunicando processos, funções e responsabilidades de gerenciamento de incidentes de segurança da informação.

iso-27001-2022-a-5-25

A organização vai avaliar os eventos de segurança da informação e decidir se eles serão categorizados como incidentes de segurança da informação.

iso-27001-2022-a-5-28

A organização deve estabelecer e implementar procedimentos para identificação, coleta, aquisição e preservação de evidências relacionadas a eventos de segurança da informação.

iso-27001-2022-a-5-30

A prontidão de TIC deve ser planejada, implementada, mantida e testada com base nos objetivos de continuidade de negócios e nos requisitos de continuidade de TIC.

iso-27001-2022-a-5-33

Os registros precisam ser protegidos contra perda, destruição, falsificação, acesso e divulgação não autorizados.

iso-27001-2022-a-5-5

A organização precisa estabelecer e manter contato com as autoridades relevantes.

iso-27001-2022-a-5-6

A organização deve estabelecer e manter contato com grupos de interesse especial ou outros fóruns de segurança especializados e associações profissionais.

iso-27001-2022-a-5-9

Um inventário de informações e outros recursos associados, incluindo proprietários, será desenvolvido e mantido.

iso-27001-2022-a-6-7

As medidas de segurança devem ser implementadas quando a equipe trabalha remotamente para proteger as informações acessadas, processadas ou armazenadas fora das instalações da organização.

iso-27001-2022-a-8-1

As informações armazenadas, processadas ou acessíveis usando dispositivos de endpoint do usuário precisam ser protegidas.

iso-27001-2022-a-8-10

As informações armazenadas em sistemas, dispositivos ou qualquer outra mídia de armazenamento serão excluídas quando não forem mais necessárias.

iso-27001-2022-a-8-13

As cópias de backup de informações, software e sistemas devem ser mantidas e testadas regularmente de acordo com a política específica sobre backup.

iso-27001-2022-a-8-14

As instalações de tratamento de informações precisam ser implementadas com redundância suficiente para atender aos requisitos de disponibilidade.

iso-27001-2022-a-8-15

Os registros que gravam atividades, exceções, falhas e outros eventos relevantes precisam ser produzidos, armazenados, protegidos e analisados.

iso-27001-2022-a-8-16

Redes, sistemas e aplicativos devem ser monitorados para detectar comportamentos anômalos e tomar as medidas adequadas para avaliar possíveis incidentes de segurança da informação.

iso-27001-2022-a-8-17

Os relógios dos sistemas de tratamento de informações usados pela organização precisam ser sincronizados com fontes de tempo aprovadas.

iso-27001-2022-a-8-2

A alocação e o uso de direitos de acesso privilegiado precisam ser restritos e gerenciados.

iso-27001-2022-a-8-20

As redes e os dispositivos de rede precisam ser protegidos, gerenciados e controlados para proteger as informações em sistemas e aplicativos.

iso-27001-2022-a-8-21

Os mecanismos de segurança, os níveis e os requisitos de serviço dos serviços de rede precisam ser identificados, implementados e monitorados.

iso-27001-2022-a-8-22

Os grupos de serviços de informação, usuários e sistemas de informação precisam ser separados nas redes da organização.

iso-27001-2022-a-8-23

O acesso a sites externos precisa ser gerenciado para reduzir a exposição a conteúdo malicioso.

iso-27001-2022-a-8-24

As regras para o uso eficaz da criptografia, incluindo o gerenciamento de chaves criptográficas, precisam ser definidas e implementadas.

iso-27001-2022-a-8-25

Regras para o desenvolvimento seguro de software e sistemas precisam ser estabelecidas e aplicadas.

iso-27001-2022-a-8-26

Os requisitos de segurança da informação devem ser identificados, especificados e aprovados ao desenvolver ou adquirir aplicativos.

iso-27001-2022-a-8-27

Os princípios para projetar sistemas seguros precisam ser estabelecidos, documentados, mantidos e aplicados a todas as atividades de desenvolvimento de sistemas de informação.

iso-27001-2022-a-8-28

Os princípios de programação segura devem ser aplicados ao desenvolvimento de software.

iso-27001-2022-a-8-29

Os processos de teste de segurança precisam ser definidos e implementados no ciclo de vida de desenvolvimento.

iso-27001-2022-a-8-3

O acesso a informações e outros recursos associados será restrito de acordo com a política específica sobre controle de acesso.

iso-27001-2022-a-8-30

A organização deve orientar, monitorar e revisar as atividades relacionadas ao desenvolvimento de sistemas terceirizados.

iso-27001-2022-a-8-4

O acesso de leitura e gravação ao código-fonte, às ferramentas de desenvolvimento e às bibliotecas de software precisa ser gerenciado adequadamente.

iso-27001-2022-a-8-5

Tecnologias e procedimentos de autenticação seguros serão implementados com base nas restrições de acesso a informações e na política específica sobre controle de acesso.

iso-27001-2022-a-8-6

O uso de recursos precisa ser monitorado e ajustado de acordo com os requisitos de capacidade atuais e esperados.

iso-27001-2022-a-8-7

A proteção contra malware precisa ser implementada e apoiada pela conscientização adequada do usuário.

iso-27001-2022-a-8-8

As informações sobre vulnerabilidades técnicas dos sistemas de informação em uso precisam ser obtidas, a exposição da organização a essas vulnerabilidades precisa ser avaliada e medidas adequadas precisam ser tomadas.

iso-27001-2022-a-8-9

As configurações, incluindo as de segurança, de hardware, software, serviços e redes precisam ser estabelecidas, documentadas, implementadas, monitoradas e revisadas.

Qatar National Information Assurance Standard v2.1

Provedor de nuvem compatível: Google Cloud

O NIAS do Catar foi criado para fornecer às organizações do Estado do Catar a base necessária e as ferramentas relevantes para permitir a implementação de um Sistema de Gestão de Segurança da Informação completo nas organizações.

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

qa-nias-2-1-am-1

Os usuários recebem acesso com base no conceito de privilégio mínimo e são regidos por uma necessidade de saber ou de ter.

qa-nias-2-1-am-11

Os repositórios de autenticação centralizados, como LDAP e bancos de dados de autenticação, são protegidos contra ataques de negação de serviço e usam canais seguros e autenticados para recuperação de dados de autenticação. Esses repositórios registram os seguintes eventos: atualização ou acesso não autorizado; data e hora de início e fim da atividade (juntamente com o identificador do sistema); identificação do usuário (para login ilegal); atividade de login e logout (para login ilegal); e sessão, terminal ou conexão remota.

qa-nias-2-1-am-12

As organizações precisam desenvolver e manter um conjunto de políticas, planos e procedimentos, derivados da Política Nacional de Classificação de Dados (IAP-NAT-DCLS), que abrange a identificação, a autenticação e a autorização dos usuários do sistema.

qa-nias-2-1-am-14

Todos os usuários do sistema são identificáveis de forma exclusiva e autenticados sempre que o acesso é concedido a um sistema.

qa-nias-2-1-am-17

Informações de autenticação desprotegidas que concedem acesso ao sistema ou descriptografam um dispositivo criptografado estão localizadas no sistema ou dispositivo a que as informações de autenticação concedem acesso ou com eles.

qa-nias-2-1-am-18

Os dados de autenticação do sistema em uso não estão sujeitos a ataques, incluindo, entre outros, repetição, man-in-the-middle e sequestro de sessão.

qa-nias-2-1-am-2

O acesso é gerenciado e controlado por controles de acesso ao sistema, identificação e autenticação, além de trilhas de auditoria com base na sensibilidade das informações. Esses pedidos de acesso precisam ser autorizados pelo supervisor ou gerente do funcionário.

qa-nias-2-1-am-20

As senhas são alteradas pelo menos a cada 90 dias.

qa-nias-2-1-am-23

Os bloqueios de tela e de sessão são configurados da seguinte maneira: ativados após um máximo de 15 minutos de inatividade do usuário do sistema; ativados normalmente pelo usuário do sistema, se desejado; bloqueados para ocultar completamente todas as informações na tela; garantem que a tela não pareça estar desligada enquanto estiver bloqueada; exigem que o usuário do sistema se autentique novamente para desbloquear o sistema; e negam aos usuários do sistema a capacidade de desativar o mecanismo de bloqueio.

qa-nias-2-1-am-24

O acesso a um sistema é suspenso após um número especificado de tentativas de login sem êxito ou assim que o funcionário não precisa mais de acesso, devido a mudanças de função ou saída da organização.

qa-nias-2-1-am-3

Os direitos de acesso de um usuário ou entidade para criar, ler, atualizar, excluir ou transmitir os recursos de informação de uma organização devem se basear em um modelo de matriz (hierárquico) de direitos definidos por regras de negócios estabelecidas pelos proprietários dessas informações.

qa-nias-2-1-am-31

O uso de contas privilegiadas é documentado, controlado, responsabilizado e mantido no mínimo. As contas privilegiadas só podem ser usadas para trabalho administrativo.

qa-nias-2-1-am-32

Os administradores de sistema recebem uma conta individual para realizar as tarefas de administração.

qa-nias-2-1-am-34

O registro de gerenciamento do sistema é atualizado para registrar as seguintes informações: atividades de higienização, inicialização e desligamento do sistema, falhas de componentes ou do sistema, atividades de manutenção, atividades de backup e arquivamento, atividades de recuperação do sistema e atividades especiais ou fora do horário de expediente.

qa-nias-2-1-am-35

O acesso remoto só pode ser concedido com autorização explícita do chefe do departamento, se for justificado por requisitos comerciais e após a devida diligência para analisar os riscos associados e implementar controles adequados para mitigá-los.

qa-nias-2-1-am-36

A autenticação de dois fatores, usando um token de hardware, controle biométrico ou similar, é usada ao acessar sistemas que processam dados classificados como C3 ou superior.

qa-nias-2-1-am-37

As sessões de acesso remoto são protegidas com criptografia de ponta a ponta adequada, conforme especificado na seção C-10, Segurança criptográfica (CY).

qa-nias-2-1-am-6

Qualquer tentativa não autorizada de burlar o controle de acesso da organização será considerada um incidente de segurança e será tratada de acordo com o procedimento estabelecido de tratamento de incidentes e as políticas e procedimentos adequados de recursos humanos.

qa-nias-2-1-am-7

Os registros de auditoria precisam ser ativados e mantidos de forma a permitir o monitoramento da conformidade com a política governamental e auxiliar no gerenciamento de incidentes.

qa-nias-2-1-am-8

O acesso lógico às redes da organização é controlado tecnicamente. Isso pode ser feito usando serviços e dispositivos de controle de admissão de rede (NAC, na sigla em inglês).

qa-nias-2-1-cy-1

Os algoritmos criptográficos, o hardware ou software de criptografia, os sistemas de gerenciamento de chaves e as assinaturas digitais precisam demonstrar conformidade com os algoritmos e sistemas de criptografia/criptográficos aprovados, conforme especificado pela autoridade competente na Lei nº (16) de 2010 sobre a promulgação da Lei de comércio e transações eletrônicas.

qa-nias-2-1-cy-2

A vida útil da chave é determinada principalmente pelo aplicativo e pela infraestrutura de informações em que ela é usada. As chaves precisam ser revogadas e substituídas imediatamente se forem comprometidas ou houver suspeita de que foram.

qa-nias-2-1-cy-3

Os recursos de informação classificados como C3 (IAP-NAT-DCLS) são criptografados e protegidos contra divulgação não autorizada quando armazenados e em trânsito, independentemente do formato ou da mídia de armazenamento. As organizações podem aplicar esses controles criptográficos a ativos com requisitos de confidencialidade mais baixos, se determinado como necessário pela avaliação de risco.

qa-nias-2-1-cy-4

Os recursos de informação classificados como I3 (IAP-NAT-DCLS) têm integridade garantida usando hash criptográfico. As organizações podem aplicar esses controles criptográficos a ativos com requisitos de integridade mais baixos, se determinado como necessário pela avaliação de risco.

qa-nias-2-1-cy-5

Os seguintes protocolos ou versões mais recentes, com algoritmos aprovados descritos no Padrão Nacional de Criptografia do Catar – Inglês v1.0 (ou mais recente) emitido pela autoridade competente, são usados para proteger dados classificados como C3 em trânsito: para proteger o tráfego da Web: TLS (+128 bits) (RFC4346); para proteger transferências de arquivos: SFTP (SFTP); para acesso remoto seguro: SSH v2 (RFC4253) ou IPSEC (RFC 4301); e apenas S/MIME v3 (RFC3851) ou versões mais recentes são usadas para proteger e-mails. Consulte CY11 para o requisito associado.

qa-nias-2-1-cy-6

As senhas precisam sempre ser criptografadas ou hashadas e protegidas contra divulgação não autorizada quando são armazenadas ou em trânsito, independente do formato ou da mídia de armazenamento. As senhas privilegiadas precisam ser criptografadas e armazenadas fora do local com arquivos de backup sempre que a senha for alterada para garantir a recuperação completa.

qa-nias-2-1-cy-7

Quando usados, os módulos de segurança de hardware (HSMs) são certificados pelo menos no nível 2 do FIPS 2-140 (FIPS2-140) ou no EAL4 dos critérios comuns (CC3.1).

qa-nias-2-1-cy-9

Processos adequados de gerenciamento de chaves são definidos, conforme (ISO1-11770), e usados para gerenciar o ciclo de vida das chaves criptográficas, abrangendo as seguintes funções: funções e responsabilidades dos custodiantes de chaves, geração de chaves, controle duplo e conhecimento dividido, armazenamento seguro de chaves, uso de chaves, distribuição segura de chaves em trânsito, backup e recuperação de chaves, verificação periódica do status das chaves, comprometimento de chaves, revogação e destruição de chaves, trilhas de auditoria e documentação.

qa-nias-2-1-gs-1

As redes são protegidas contra outras redes por gateways, e os fluxos de dados são controlados adequadamente.

qa-nias-2-1-gs-13

A exportação de dados para um sistema menos classificado é restrita pela filtragem de dados usando pelo menos verificações em rótulos de classificação.

qa-nias-2-1-gs-2

Os gateways que conectam redes da organização a outras redes da organização ou a redes públicas não controladas são implementados da seguinte forma: com um dispositivo de rede adequado para controlar o fluxo de dados, com todos os fluxos de dados controlados adequadamente e com componentes de gateway localizados fisicamente em uma sala de servidores adequadamente protegida.

qa-nias-2-1-gs-6

As zonas desmilitarizadas (DMZs) são usadas para separar sistemas acessíveis externamente de redes públicas não controladas e redes internas usando firewalls e outros equipamentos de segurança de rede.

qa-nias-2-1-gs-7

Os gateways precisam: ser os únicos caminhos de comunicação para dentro e fora das redes internas; negar, por padrão, todas as conexões para dentro e fora da rede; permitir apenas conexões explicitamente autorizadas; ser gerenciados usando um caminho seguro isolado de todas as redes conectadas; fornecer capacidade de auditoria suficiente para detectar violações de segurança do gateway e tentativas de invasão de rede; e fornecer alarmes em tempo real.

qa-nias-2-1-gs-8

Os gateways são reforçados antes de qualquer implementação no site de produção e são protegidos contra o seguinte: código e vulnerabilidades maliciosos, configurações incorretas ou inadequadas, comprometimento de contas e escalonamento de privilégios, monitoramento de rede não autorizado, ataques de negação de serviço (DoS) e vazamento de informações ou dados.

qa-nias-2-1-gs-9

O monitoramento e a supervisão dos gateways estão em vigor e incluem mecanismos de prevenção de ameaças, geração de registros, alertas e vigilância de equipamentos. Consulte a seção B-10, Geração de registros e monitoramento de segurança (SM).

qa-nias-2-1-ie-12

Garanta que as informações trocadas entre sistemas estejam protegidas contra uso indevido, acesso não autorizado ou corrupção de dados. Para transmitir informações classificadas como C2, I2 ou superior, canais autenticados e criptografados devem ser usados conforme especificado em CY5, seção C-10, Segurança criptográfica (CY).

qa-nias-2-1-ie-3

Verifique se os contratos necessários (especificamente os de confidencialidade) entre as entidades que trocam informações foram estabelecidos antes da troca. Os contratos precisam fornecer informações sobre responsabilidades, procedimento de notificação de troca de informações, padrões técnicos para transmissão, identificação de transportadoras, responsabilidades, propriedade e controles. Para fornecedores e terceiros, um contrato de confidencialidade (NDA) formal deve ser usado. O Apêndice D fornece um modelo de NDA.

qa-nias-2-1-ie-4

A organização precisa garantir que a mídia usada para trocar informações esteja protegida contra acesso, manipulação ou uso indevido não autorizados dentro ou fora do ambiente da organização.

qa-nias-2-1-ie-8

Proteja as informações trocadas usando mensagens eletrônicas contra acesso não autorizado, alteração ou interrupção do serviço.

qa-nias-2-1-ms-20

A mídia, incluindo a mídia com falhas, que contém informações classificadas é higienizada na medida do possível antes do descarte.

qa-nias-2-1-ns-1

Detalhes da rede interna e da configuração do sistema, serviços de diretório relacionados a funcionários ou dispositivos e outras tecnologias sensíveis não são divulgados publicamente nem enumerados por pessoas não autorizadas.

qa-nias-2-1-ns-17

Um servidor DNS interno separado é configurado e colocado na rede interna para informações de domínio interno que não são divulgadas à Internet.

qa-nias-2-1-ns-2

A organização remove ou desativa todas as contas padrão (por exemplo, root ou administrador) ou muda a senha conforme especificado na seção C-6, Segurança de software (SS).

qa-nias-2-1-ns-20

Os arquivos de zona são assinados digitalmente, e a autenticação mútua criptográfica e a integridade de dados de transferências de zona e atualizações dinâmicas são fornecidas.

qa-nias-2-1-ns-21

A autenticação de origem criptográfica e a garantia de integridade dos dados de DNS são fornecidas.

qa-nias-2-1-ns-22

Os serviços de DNS, incluindo transferências de zona, são fornecidos apenas a usuários autorizados.

qa-nias-2-1-ns-25

O gateway de Internet nega todos os serviços da Internet, a menos que sejam ativados especificamente.

qa-nias-2-1-ns-27

A organização tem a capacidade necessária para monitorar o tráfego, deduzir padrões de tráfego, uso e assim por diante. Consulte a seção B-10, Geração de registros e monitoramento de segurança (SM, na sigla em inglês), para mais informações.

qa-nias-2-1-ns-29

A proteção TLS é usada com o servidor de e-mail SMTP de acordo com a seção C-10, Segurança criptográfica (CY).

qa-nias-2-1-ns-3

A configuração de rede fica sob o controle do gerente de rede ou de um cargo semelhante, e todas as mudanças nas configurações são: aprovadas por um processo formal de controle de mudanças, conforme definido na seção B-5, Gerenciamento de mudanças (CM); documentadas e em conformidade com a política de segurança de rede e o plano de segurança, conforme definido na seção B-12, Documentação (DC); e revisadas regularmente. As configurações antigas, conforme exigido pelos procedimentos da organização, são mantidas como parte da revisão de mudanças. A frequência de revisão da configuração depende do risco e dos processos da organização.

qa-nias-2-1-ns-5

As redes são projetadas e configuradas para limitar oportunidades de acesso não autorizado a informações que transitam pela infraestrutura de rede. As organizações precisam usar as seguintes tecnologias para atender a esse requisito: switches em vez de hubs; segurança de porta em switches para limitar o acesso e desativar todas as portas não utilizadas; roteadores e firewalls que segregam partes da rede com base na necessidade de saber; IPsec ou IP versão 6; criptografia no nível do aplicativo; uma ferramenta automatizada que compara a configuração em execução dos dispositivos de rede com a configuração documentada; autenticação de borda de rede; restringir e gerenciar dispositivos de usuários finais que se comunicam com a rede da organização usando técnicas como filtragem de endereço MAC; IPS ou SDI para detectar e evitar atividades maliciosas na rede; e restrições de horário e dia.

qa-nias-2-1-ns-53

Voz e dados são redes separadas. A separação precisa ser física, mas o uso de LANs virtuais é permitido. O gateway de voz, que faz interface com a PSTN, separa o H.323, o SIP ou outros protocolos VoIP da rede de dados.

qa-nias-2-1-ns-6

As redes de gerenciamento adotam as seguintes medidas de proteção: redes dedicadas são usadas para dispositivos de gerenciamento implementando uma VLAN de gerenciamento separada ou infraestrutura fisicamente separada; e canais seguros são usados, por exemplo, com VPNs ou SSH.

qa-nias-2-1-ns-7

As VLANs são usadas para separar o tráfego de telefonia IP em redes essenciais para os negócios.

qa-nias-2-1-ns-8

O acesso administrativo só é permitido da VLAN mais classificada para uma do mesmo nível de classificação ou de classificação inferior.

qa-nias-2-1-pr-5

A avaliação de segurança do produto é feita em uma configuração de avaliação dedicada, incluindo testes de funcionalidade, testes de segurança e aplicação de patches para proteger contra possíveis ameaças e vulnerabilidades.

qa-nias-2-1-pr-6

A entrega de produtos é consistente com a prática de segurança da organização para entrega segura.

qa-nias-2-1-pr-7

Os procedimentos de entrega segura precisam incluir medidas para detectar adulteração ou falsificação.

qa-nias-2-1-pr-8

Os produtos foram comprados de desenvolvedores que se comprometeram a manter a garantia do produto.

qa-nias-2-1-pr-9

Os processos de atualização e aplicação de patch do produto estão em vigor. As atualizações de produtos precisam seguir as políticas de gerenciamento de mudanças especificadas na seção B-5, Gerenciamento de mudanças (CM).

qa-nias-2-1-ss-13

As estações de trabalho usam um ambiente operacional padrão (SOE, na sigla em inglês) reforçado que inclui: remoção de software indesejado; desativação de funcionalidades não usadas ou indesejadas em softwares e sistemas operacionais instalados; implementação de controles de acesso em objetos relevantes para limitar os usuários e programas do sistema ao acesso mínimo necessário para realizar as tarefas; instalação de firewalls baseados em software que limitam as conexões de rede de entrada e saída; e configuração do registro remoto ou da transferência de registros de eventos locais para um servidor central.

qa-nias-2-1-ss-14

As possíveis vulnerabilidades nos SOEs e sistemas são reduzidas com as seguintes ações: remoção de compartilhamentos de arquivos desnecessários, garantia de que a aplicação de patches esteja atualizada, desativação do acesso a todas as funcionalidades de entrada e saída desnecessárias, remoção de contas não utilizadas, renomeação de contas padrão e substituição de senhas padrão.

qa-nias-2-1-ss-15

Servidores de alto risco, como servidores da Web, de e-mail, de arquivos e de telefonia por protocolo de Internet, que têm conectividade com redes públicas não controladas, precisam seguir estas diretrizes: manter uma separação funcional eficaz entre os servidores para que eles operem de forma independente; minimizar as comunicações entre servidores nos níveis de rede e sistema de arquivos, conforme apropriado; e limitar os usuários e programas do sistema ao acesso mínimo necessário para realizar as tarefas.

qa-nias-2-1-ss-16

Verifique a integridade de todos os servidores cujas funções são essenciais para a organização e aqueles identificados como de alto risco de comprometimento. Sempre que possível, essas verificações devem ser realizadas em um ambiente confiável, e não no próprio sistema.

qa-nias-2-1-ss-17

Armazene as informações de integridade com segurança fora do servidor de uma maneira que mantenha a integridade.

qa-nias-2-1-ss-19

Como parte da programação de auditoria contínua da organização, compare as informações de integridade armazenadas com as atuais para determinar se ocorreu uma violação ou uma modificação legítima, mas concluída incorretamente.

qa-nias-2-1-ss-2

Todos os aplicativos (incluindo os novos e desenvolvidos) são classificados usando a Política Nacional de Classificação de Dados (IAP-NAT-DCLS) e recebem proteção de segurança adequada às classificações de confidencialidade, integridade e disponibilidade.

qa-nias-2-1-ss-20

A organização precisa resolver as mudanças detectadas de acordo com os procedimentos de gerenciamento de incidentes de segurança de tecnologia da informação e comunicação (TIC) da organização.

qa-nias-2-1-ss-21

Todos os aplicativos de software são analisados para determinar se tentam estabelecer conexões externas. Se a funcionalidade de conexão de saída automatizada estiver incluída, as organizações precisarão tomar uma decisão comercial para determinar se permitem ou negam essas conexões, incluindo uma avaliação dos riscos envolvidos.

qa-nias-2-1-ss-23

A conectividade e o acesso entre cada componente do aplicativo da Web são minimizados.

qa-nias-2-1-ss-24

As informações pessoais e os dados sensíveis são protegidos durante o armazenamento e a transmissão usando controles criptográficos adequados.

qa-nias-2-1-ss-29

Os arquivos de banco de dados são protegidos contra acesso que burla os controles normais de acesso do banco de dados.

qa-nias-2-1-ss-3

Os requisitos de segurança, incluindo requisitos funcionais, técnicos e de garantia, são desenvolvidos e implementados como parte dos requisitos do sistema.

qa-nias-2-1-ss-30

Os bancos de dados oferecem funcionalidades para permitir a auditoria das ações dos usuários do sistema.

qa-nias-2-1-ss-31

Os usuários do sistema que não têm privilégios suficientes para acessar o conteúdo do banco de dados não podem ver os metadados associados em uma lista de resultados de uma consulta do mecanismo de pesquisa. Se os resultados das consultas de banco de dados não puderem ser filtrados adequadamente, as organizações precisarão garantir que todos os resultados sejam higienizados para atender ao privilégio de segurança mínima dos usuários do sistema.

qa-nias-2-1-ss-4

Infraestrutura dedicada de teste e desenvolvimento, incluindo sistemas e dados, disponível e separada dos sistemas de produção. Além disso, o fluxo de informações entre os ambientes deve ser estritamente limitado de acordo com uma política definida e documentada, com acesso concedido apenas a usuários do sistema com uma exigência comercial clara. O acesso de gravação à fonte oficial do software precisa ser desativado.

qa-nias-2-1-ss-5

Todos os aplicativos, adquiridos ou desenvolvidos, ficam disponíveis para uso em produção somente após testes e verificações adequados de garantia de qualidade e segurança para garantir que o sistema confirme e obedeça aos requisitos de segurança pretendidos.

qa-nias-2-1-ss-6

Os desenvolvedores de software usam práticas de programação seguras ao escrever código, incluindo o seguinte: obedecer às práticas recomendadas, por exemplo, os 25 principais erros de programação mais perigosos da Mitre (Mitre); projetar software para usar o nível de privilégio mais baixo necessário para realizar a tarefa; negar o acesso por padrão; verificar os valores de retorno de todas as chamadas do sistema; e validar todas as entradas.

qa-nias-2-1-ss-7

O software precisa ser revisado e/ou testado para detectar vulnerabilidades antes de ser usado em um ambiente de produção. O software precisa ser revisado e/ou testado por uma parte independente, não pelo desenvolvedor.

qa-nias-2-1-vl-1

Destruição de emergência, plano de bloqueio, exclusão permanente remota ou autodestruição estão em vigor para todos os dispositivos móveis e laptops.

qa-nias-2-1-vl-2

Reforce o hipervisor, a camada administrativa, a máquina virtual e os componentes relacionados de acordo com as práticas recomendadas e as diretrizes de segurança aceitas pelo setor, além das recomendações do fornecedor.

qa-nias-2-1-vl-3

Aplique o princípio privilégio mínimo e a separação de tarefas para gerenciar o ambiente virtual da seguinte forma: defina funções específicas e privilégios granulares para cada administrador no software central de gerenciamento de virtualização; limite o acesso administrativo direto ao hipervisor na medida do possível; e, dependendo do risco e da classificação das informações processadas, as organizações devem considerar o uso da autenticação multifator ou do controle duplo ou dividido de senhas administrativas entre vários administradores. Para mais informações, consulte a seção C9 "Gerenciamento de acesso".

qa-nias-2-1-vl-5

O ambiente de tecnologia virtualizada precisa ser complementado por tecnologia de segurança de terceiros para oferecer controles de segurança em camadas, como a abordagem de defesa em profundidade, complementando os controles fornecidos pelo fornecedor e pela própria tecnologia.

qa-nias-2-1-vl-6

Separe as máquinas virtuais com base na classificação dos dados que elas processam ou armazenam.

qa-nias-2-1-vl-7

Um processo de gestão da mudança abrange o ambiente de tecnologia virtual. Isso inclui: garantir que o perfil da máquina virtual esteja atualizado e que a integridade da imagem da máquina virtual seja mantida em todos os momentos; e tomar cuidado para manter e atualizar as VMs que não estão em um estado ativo (inativas ou não usadas mais). Para mais informações, consulte a seção B6: Gerenciamento de mudanças.

qa-nias-2-1-vl-8

Os registros do ambiente de tecnologia virtual serão registrados e monitorados junto com outras infraestruturas de TI. Consulte a seção B10 "Registro em log e monitoramento de segurança".

NIST 800-53 Revision 5

Provedor de nuvem compatível: Google Cloud

Um catálogo abrangente de controles de segurança e privacidade para criar um programa de segurança robusto. Obrigatório para sistemas federais dos EUA, agora é uma estrutura de práticas recomendadas usada por organizações de todos os setores.

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

nist-r5-ac-02

A. Defina e documente os tipos de contas permitidas e proibidas para uso no sistema. B. Atribua gerentes de contas. C. Exigir pré-requisitos e critérios definidos pela organização para associação a grupos e funções. D. Especifique: a. Usuários autorizados do sistema. b. Associação a grupos e funções. c. Autorizações ou privilégios de acesso e atributos definidos pela organização para cada conta. E. Exigir aprovações de pessoal ou funções definidas pela organização para solicitações de criação de contas. F. Crie, ative, modifique, desative e remova contas de acordo com a política, os procedimentos, os pré-requisitos e os critérios definidos pela organização. G. Monitore o uso das contas. H. Notifique os gerentes de contas e o pessoal ou as funções definidas pela organização em: a. Um período definido pela organização em que as contas não são mais necessárias. b. Um período definido pela organização em que os usuários são encerrados ou transferidos. c. Um período definido pela organização em que o uso do sistema ou a necessidade de saber mudam para um indivíduo. I. Autorize o acesso ao sistema com base em: a. Uma autorização de acesso válida. b. Uso pretendido do sistema. c. Atributos definidos pela organização. J. Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas de acordo com a frequência definida pela organização. K. Estabeleça e implemente um processo para mudar os autenticadores de contas compartilhadas ou de grupo quando pessoas forem removidas do grupo. L. Alinhe os processos de gerenciamento de contas com os de rescisão e transferência de pessoal.

nist-r5-ac-03

Aplique as autorizações aprovadas para acesso lógico a informações e recursos do sistema de acordo com as políticas de controle de acesso aplicáveis.

nist-r5-ac-04

Aplique autorizações aprovadas para controlar o fluxo de informações dentro do sistema e entre sistemas conectados com base em políticas de controle de fluxo de informações definidas pela organização.

nist-r5-ac-05

Identifique e documente as funções definidas pela organização de pessoas que precisam de separação. Defina autorizações de acesso ao sistema para oferecer suporte à separação de tarefas.

nist-r5-ac-06

Use o princípio de privilégio mínimo, permitindo apenas os acessos autorizados para usuários ou processos que atuam em nome de usuários necessários para realizar as tarefas organizacionais atribuídas.

nist-r5-ac-06-05

Restrinja as contas privilegiadas no sistema a pessoas ou funções definidas pela organização.

nist-r5-ac-07

Impor um limite de tentativas de login inválidas consecutivas definidas pela organização durante um período definido pela organização. Quando o número máximo de tentativas sem sucesso for excedido, bloqueie automaticamente a conta ou o nó por um período definido pela organização, até que um administrador libere, atrase o próximo pedido de login de acordo com um algoritmo de atraso definido pela organização, notifique o administrador do sistema ou tome outra ação definida pela organização.

nist-r5-ac-12

Encerrar automaticamente uma sessão de usuário após condições definidas pela organização ou acionar eventos que exigem a desconexão da sessão.

nist-r5-ac-17

Estabeleça e documente restrições de uso, requisitos de configuração e conexão e orientações de implementação para cada tipo de acesso remoto permitido. Autorize cada tipo de acesso remoto ao sistema antes de permitir essas conexões.

nist-r5-ac-17-03

Encaminhe acessos remotos por pontos de controle de acesso à rede autorizados e gerenciados.

nist-r5-ac-17-04

Autorize a execução de comandos privilegiados e o acesso a informações relevantes para a segurança usando o acesso remoto apenas em um formato que forneça evidências avaliáveis e para necessidades definidas pela organização. Documente a justificativa para o acesso remoto no plano de segurança do sistema.

nist-r5-ac-18

Estabeleça requisitos de configuração e conexão e orientações de implementação para cada tipo de acesso sem fio. Autorize cada tipo de acesso sem fio ao sistema antes de permitir essas conexões.

nist-r5-ac-19

Estabeleça requisitos de configuração e conexão, além de orientações de implementação para dispositivos móveis controlados pela organização, inclusive quando esses dispositivos estiverem fora de áreas controladas. Autorizar a conexão de dispositivos móveis aos sistemas organizacionais.

nist-r5-au-01

Desenvolva, documente e divulgue uma política de auditoria e responsabilidade em conformidade e os procedimentos para implementação dela, garantindo que a política atenda ao propósito, escopo, papéis e responsabilidades. Designe um funcionário específico para gerenciar essa documentação e revise e atualize regularmente a política e os procedimentos com base em um cronograma definido ou em resposta a eventos específicos.

nist-r5-au-02

A. Identifique os tipos de eventos que o sistema pode registrar para oferecer suporte à função de auditoria: B. Coordene a função de registro de eventos com outras entidades organizacionais que precisam de informações relacionadas à auditoria para orientar e informar os critérios de seleção dos eventos a serem registrados. C. Especifique os tipos de eventos definidos pela organização que são um subconjunto dos tipos de eventos definidos em AU-02a, junto com a frequência ou a situação que exige o registro em cada tipo de evento identificado. D. Explique por que os tipos de eventos selecionados para registro em registros são considerados adequados para apoiar investigações de incidentes após o fato. E. Revise e atualize os tipos de eventos selecionados para geração de registros de acordo com a frequência definida pela organização.

nist-r5-au-03

Verifique se os registros de auditoria contêm informações que estabelecem o seguinte: A. Qual tipo de evento ocorreu. B. Quando o evento ocorreu. C. Onde o evento ocorreu. D. Origem do evento. D. Resultado do evento. F. Identidade de indivíduos, assuntos, objetos e entidades associados ao evento.

nist-r5-au-03-01

Gerar registros de auditoria com informações extras definidas pela organização.

nist-r5-au-04

Alocar capacidade de armazenamento de registro de auditoria para atender aos requisitos de retenção definidos pela organização.

nist-r5-au-05

Alertar o pessoal ou as funções definidas pela organização dentro do período definido pela organização em caso de falha no processo de geração de registros de auditoria. Tome outras ações definidas pela organização.

nist-r5-au-05-02

Enviar um alerta dentro do período em tempo real definido pela organização para pessoal, funções ou locais definidos pela organização quando ocorrerem eventos de falha de registro de auditoria definidos pela organização que exigem alertas em tempo real.

nist-r5-au-06

Analise e revise os registros de auditoria do sistema de acordo com a frequência definida pela organização para identificar atividades inadequadas ou incomuns definidas pela organização e o possível impacto delas. Informar as descobertas ao pessoal ou às funções definidas pela organização. Ajustar o nível de revisão, análise e geração de relatórios de registros de auditoria no sistema quando houver uma mudança no risco com base em informações de aplicação da lei, de inteligência ou outras fontes confiáveis.

nist-r5-au-07

Forneça e implemente um recurso de redução de registros de auditoria e geração de relatórios que ofereça suporte a requisitos de análise, revisão e geração de relatórios de registros de auditoria sob demanda e investigações de incidentes após o fato. A capacidade não pode alterar o conteúdo original nem a ordem cronológica dos registros de auditoria.

nist-r5-au-11

Mantenha os registros de auditoria pelo período definido pela organização, de acordo com a política de retenção de registros, para dar suporte a investigações de incidentes após o fato e atender aos requisitos regulamentares e organizacionais de retenção de informações.

nist-r5-au-12

A. Fornecer capacidade de geração de registros de auditoria para os tipos de eventos que o sistema pode auditar, conforme definido em AU-2a em componentes do sistema definidos pela organização. B. Permitir que pessoas ou funções definidas pela organização selecionem os tipos de eventos que serão registrados por componentes específicos do sistema. C. Gere registros de auditoria para os tipos de eventos definidos em AU-2c, que incluem o conteúdo do registro de auditoria definido em AU-3.

nist-r5-ca-2-2

Inclua como parte das avaliações de controle, de acordo com a frequência definida pela organização, anunciada ou não: monitoramento detalhado, instrumentação de segurança, casos de teste de segurança automatizados, verificação de vulnerabilidades, teste de usuário mal-intencionado, avaliação de ameaças internas, teste de desempenho e carga, avaliação de vazamento ou perda de dados ou outras formas de avaliação definidas pela organização.

nist-r5-ca-7

Desenvolva uma estratégia de monitoramento contínuo no nível do sistema e implemente o monitoramento contínuo de acordo com a estratégia no nível da organização, que inclui: A. Estabelecer as métricas no nível do sistema definidas pela organização. B. Estabelecer frequências definidas pela organização para monitorar e avaliar a eficácia do controle. C. Avaliações de controle contínuas de acordo com a estratégia de monitoramento contínuo. D. Monitoramento contínuo das métricas definidas pelo sistema e pela organização de acordo com a estratégia de monitoramento contínuo. E. Correlação e análise das informações geradas por avaliações e monitoramento de controle. F. Ações de resposta para abordar os resultados da análise da avaliação de controle e das informações de monitoramento. G. Informar o status de segurança e privacidade do sistema ao pessoal ou às funções definidas pela organização com a frequência definida por ela.

nist-r5-ca-9

A. Autorize conexões internas de componentes ou classes de componentes definidos pela organização ao sistema. B. Documente, para cada conexão interna, as características da interface, os requisitos de segurança e privacidade e a natureza das informações comunicadas. C. Encerrar conexões internas do sistema após condições definidas pela organização. D. Revise, de acordo com a frequência definida pela organização, a necessidade contínua de cada conexão interna.

nist-r5-cm-01

A. Desenvolver, documentar e disseminar para pessoal ou funções definidos pela organização: a. Uma política de gerenciamento de configuração definida no nível da organização, da missão ou do processo de negócios ou no nível do sistema. A política precisa abordar propósito, escopo, funções, responsabilidades, compromisso da gestão, coordenação entre entidades organizacionais e conformidade. A política precisa estar de acordo com as leis, ordens executivas, diretrizes, regulamentos, políticas, padrões e orientações aplicáveis. b. Procedimentos para facilitar a implementação da política de gerenciamento de configuração e dos controles associados. B. Designe um funcionário oficial definido pela organização para gerenciar o desenvolvimento, a documentação e a disseminação da política e dos procedimentos de gerenciamento de configuração. C. Analise e atualize as políticas e os procedimentos atuais de gerenciamento de configuração de acordo com as frequências e os eventos definidos pela organização.

nist-r5-cm-02

A. Desenvolva, documente e mantenha, sob controle de configuração, uma configuração de base atual do sistema. B. Revise e atualize a configuração de referência do sistema: a. De acordo com a frequência definida pela organização. b. Quando necessário devido a circunstâncias definidas pela organização. c. Quando os componentes do sistema são instalados ou atualizados.

nist-r5-cm-06

A. Estabeleça e documente as configurações dos componentes usados no sistema que refletem o modo mais restritivo consistente com os requisitos operacionais usando configurações seguras comuns definidas pela organização. B. Implemente as configurações. C. Identifique, documente e aprove qualquer desvio das configurações estabelecidas para componentes do sistema definidos pela organização com base nos requisitos operacionais definidos pela organização. D. Monitore e controle as mudanças nas configurações de acordo com as políticas e os procedimentos organizacionais.

nist-r5-cm-07

Configure o sistema para fornecer apenas recursos essenciais para a missão definidos pela organização. Proibir ou restringir o uso de funções, portas, protocolos, software ou serviços definidos pela organização.

nist-r5-cm-09

Desenvolva, documente e implemente um plano de gerenciamento de configuração para o sistema que: A. Aborda funções, responsabilidades e processos e procedimentos de gerenciamento de configuração. B. Estabelece um processo para identificar itens de configuração ao longo do ciclo de vida de desenvolvimento do sistema e para gerenciar a configuração desses itens. C. Define os itens de configuração do sistema e os coloca sob gerenciamento de configuração. D. É revisado e aprovado por pessoas ou funções definidas pela organização. E. Protege o plano de gerenciamento de configuração contra divulgação e modificação não autorizadas.

nist-r5-cp-06

Estabeleça um local de armazenamento alternativo, incluindo os contratos necessários para permitir o armazenamento e a recuperação de informações de backup do sistema. Verifique se o local de armazenamento alternativo oferece controles equivalentes aos do local principal.

nist-r5-cp-07

A. Estabeleça um site de processamento alternativo, incluindo os contratos necessários para permitir a transferência e a retomada das operações do sistema definidas pela organização para funções essenciais de missão e negócios dentro do período definido pela organização, de acordo com os objetivos de tempo e ponto de recuperação, quando os recursos de processamento principais não estiverem disponíveis. B. Disponibilize no site de processamento alternativo os equipamentos e suprimentos necessários para transferir e retomar as operações ou estabeleça contratos para apoiar a entrega no site dentro do período definido pela organização para transferência e retomada. C. Forneça controles no site de processamento alternativo que sejam equivalentes aos do site principal.

nist-r5-ia-04

Para gerenciar identificadores de sistema, faça o seguinte: A. Receber autorização de pessoal ou funções definidas pela organização para atribuir um identificador individual, de grupo, de função, de serviço ou de dispositivo. B. Selecionar um identificador que identifique um indivíduo, grupo, função, serviço ou dispositivo. C. Atribuir o identificador ao indivíduo, grupo, função, serviço ou dispositivo pretendido. D. Impedir a reutilização de identificadores por um período definido pela organização.

nist-r5-ia-05

Gerencie os autenticadores do sistema: a. Verificar, como parte da distribuição inicial do autenticador, a identidade do indivíduo, grupo, função, serviço ou dispositivo que recebe o autenticador. b. Estabelecer o conteúdo inicial do autenticador para todos os autenticadores emitidos pela organização. c. Garantir que os autenticadores tenham força suficiente de mecanismo para o uso pretendido. d. Estabelecer e implementar procedimentos administrativos para a distribuição inicial de autenticadores, para autenticadores perdidos, comprometidos ou danificados e para revogar autenticadores. Mudar os autenticadores padrão antes do primeiro uso. f. Mudar ou atualizar autenticadores de acordo com o período definido pela organização por tipo de autenticador ou quando ocorrem eventos definidos pela organização. Por exemplo, Proteger o conteúdo do autenticador contra divulgação e modificação não autorizadas. h. Exigir que as pessoas tomem e que os dispositivos implementem controles específicos para proteger os autenticadores. i. Mudar autenticadores para contas de grupo ou função quando a associação a essas contas muda.

nist-r5-ia-08

Identificar e autenticar de forma exclusiva usuários ou processos não organizacionais que agem em nome de usuários não organizacionais.

nist-r5-ma-04

A. Aprovar e monitorar atividades de manutenção e diagnóstico não locais. B. Permita o uso de ferramentas de diagnóstico e manutenção não locais apenas de acordo com a política organizacional e documentadas no plano de segurança do sistema. C. Use autenticação forte no estabelecimento de sessões de manutenção e diagnóstico não locais. D. Manter registros de atividades de manutenção e diagnóstico não locais. E. Encerre a sessão e as conexões de rede quando a manutenção não local for concluída.

nist-r5-mp-02

Restrinja o acesso a tipos de mídia digital ou não digital definidos pela organização a pessoal ou funções definidos pela organização.

nist-r5-pe-01

A. Desenvolver, documentar e disseminar para pessoal ou funções definidos pela organização: a. Uma política de proteção física e ambiental definida no nível da organização, da missão ou do processo de negócios ou no nível do sistema. A política precisa abordar propósito, escopo, funções, responsabilidades, compromisso da gestão, coordenação entre entidades organizacionais e conformidade. A política precisa estar de acordo com as leis, ordens executivas, diretrizes, regulamentos, políticas, padrões e orientações aplicáveis. b. Procedimentos para facilitar a implementação da política de proteção física e ambiental e os controles associados. B. Designe um funcionário oficial definido pela organização para gerenciar o desenvolvimento, a documentação e a disseminação da política e dos procedimentos de proteção física e ambiental. C. Revise e atualize as políticas e os procedimentos atuais de proteção física e ambiental de acordo com as frequências e os eventos definidos pela organização.

nist-r5-pl-08

A. Desenvolva arquiteturas de segurança e privacidade para o sistema: a. Descreva os requisitos e a abordagem a serem adotados para proteger a confidencialidade, a integridade e a disponibilidade das informações organizacionais. b. Descreva os requisitos e a abordagem a serem adotados para processar informações de identificação pessoal e minimizar o risco à privacidade das pessoas. c. Descreva como as arquiteturas são integradas e oferecem suporte à arquitetura empresarial. d. Descreva todas as proposições e dependências de sistemas e serviços externos. B. Revise e atualize as arquiteturas com uma frequência definida pela organização para refletir as mudanças na arquitetura empresarial. C. Refletir as mudanças planejadas na arquitetura em planos de segurança e privacidade, conceito de operações (CONOPS, na sigla em inglês), análise de criticidade, procedimentos organizacionais, compras e aquisições.

nist-r5-ra-03

A. Realizar uma avaliação de risco, incluindo: a. Identificar ameaças e vulnerabilidades no sistema. b. Determinar a probabilidade e a magnitude de danos causados por acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados do sistema, das informações que ele processa, armazena ou transmite e de qualquer informação relacionada. c. Determinar a probabilidade e o impacto de efeitos adversos nas pessoas decorrentes do tratamento de informações de identificação pessoal. B. Integrar os resultados da avaliação de risco e as decisões de gerenciamento de risco das perspectivas da organização e da missão ou do processo de negócios com as avaliações de risco no nível do sistema; C. Documente os resultados da avaliação de risco em planos de segurança e privacidade, relatório de avaliação de risco e documento definido pela organização. D. Analise os resultados da avaliação de risco em uma frequência definida pela organização. E. Divulgue os resultados da avaliação de risco para o pessoal ou as funções definidas pela organização. F Atualize a avaliação de risco em uma frequência definida pela organização ou quando houver mudanças significativas no sistema, no ambiente de operação ou em outras condições que possam afetar a segurança ou a privacidade do sistema.

nist-r5-ra-05

A. Monitorar e verificar vulnerabilidades no sistema e nos aplicativos hospedados na frequência definida pela organização ou aleatoriamente, de acordo com o processo definido pela organização e quando novas vulnerabilidades que podem afetar o sistema são identificadas e informadas; B. Use ferramentas e técnicas de monitoramento de vulnerabilidades que facilitem a interoperabilidade entre ferramentas e automatizem partes do processo de gerenciamento de vulnerabilidades usando padrões para: a. Enumerar plataformas, falhas de software e configurações inadequadas. b. Listas de verificação de formatação e procedimentos de teste. c. Medir o impacto da vulnerabilidade. C. Analisar relatórios e resultados de verificações e monitoramento de vulnerabilidades. D. Corrija vulnerabilidades legítimas nos tempos de resposta definidos pela organização de acordo com uma avaliação organizacional de risco. E. Compartilhe as informações obtidas no processo de monitoramento de vulnerabilidades e as avaliações de controle com pessoas ou funções definidas pela organização para ajudar a eliminar vulnerabilidades semelhantes em outros sistemas. F. Use ferramentas de monitoramento de vulnerabilidades que incluem a capacidade de atualizar facilmente as vulnerabilidades a serem verificadas.

nist-r5-sa-03

Adquira, desenvolva e gerencie o sistema usando um ciclo de vida de desenvolvimento de sistemas definido pela organização que incorpore considerações de segurança e privacidade das informações. Defina e documente as funções e responsabilidades de segurança e privacidade das informações em todo o ciclo de vida de desenvolvimento do sistema. Identificar pessoas com funções e responsabilidades de segurança da informação e privacidade. Integre o processo organizacional de gerenciamento de riscos de privacidade e segurança das informações às atividades do ciclo de vida de desenvolvimento de sistemas.

nist-r5-sa-08

Aplicar os princípios de engenharia de segurança e privacidade definidos pela organização na especificação, no design, no desenvolvimento, na implementação e na modificação do sistema e dos componentes dele.

nist-r5-sa-10

Exigir que o desenvolvedor do sistema, componente ou serviço do sistema: A. Realizar o gerenciamento de configuração durante o sistema, componente ou serviço; design, desenvolvimento, implementação, operação ou descarte. B. Documente, gerencie e controle a integridade das mudanças nos itens de configuração definidos pela organização no gerenciamento de configuração. C. Implemente apenas as mudanças aprovadas pela organização no sistema, componente ou serviço. D. Documente as mudanças aprovadas no sistema, componente ou serviço e os possíveis impactos de segurança e privacidade dessas mudanças. E. Rastreie falhas de segurança e a resolução delas no sistema, componente ou serviço e informe as descobertas ao pessoal definido pela organização.

nist-r5-sa-11

Exigir que o desenvolvedor do sistema, componente ou serviço do sistema, em todas as etapas pós-projeto do ciclo de vida de desenvolvimento do sistema, faça o seguinte: A. Desenvolver e implementar um plano para avaliações contínuas de segurança e privacidade; B. Realizar testes de unidade, integração, sistema e regressão de acordo com a frequência, a profundidade e a cobertura definidas pela organização. C. Produza evidências da execução do plano de avaliação e dos resultados dos testes e da avaliação. D. Implemente um processo verificável de correção de falhas. E. Corrija as falhas identificadas durante o teste e a avaliação.

nist-r5-sa-15

Exigir que o desenvolvedor do sistema, componente ou serviço siga um processo de desenvolvimento documentado que: aborde explicitamente os requisitos de segurança e privacidade, identifique os padrões e ferramentas usados no processo de desenvolvimento, documente as opções e configurações específicas de ferramentas usadas no processo de desenvolvimento e documente, gerencie e garanta a integridade das mudanças no processo e nas ferramentas usadas no desenvolvimento. Revise o processo de desenvolvimento, os padrões, as ferramentas, as opções e as configurações de ferramentas de acordo com a frequência definida pela organização para determinar se o processo, os padrões, as ferramentas, as opções e as configurações de ferramentas selecionados e usados podem atender aos requisitos de segurança e privacidade definidos pela organização.

nist-r5-sa-21

Exigir que o desenvolvedor de um sistema, componente ou serviço de sistema definido pela organização tenha as autorizações de acesso adequadas, conforme determinado pelas funções oficiais do governo atribuídas e definidas pela organização. O desenvolvedor precisa atender aos critérios adicionais de triagem de pessoal definidos pela organização.

nist-r5-sc-03

Isole as funções de segurança das que não são de segurança.

nist-r5-sc-05

Proteção contra os efeitos de eventos de negação de serviço definidos pela organização. Use controles definidos pela organização por tipo de evento de negação de serviço.

nist-r5-sc-07

Monitore e controle as comunicações nas interfaces gerenciadas externas e internas importantes do sistema. Implemente sub-redes para componentes do sistema acessíveis publicamente que sejam separados física e logicamente das redes organizacionais internas. Conecte-se a redes ou sistemas externos apenas por interfaces gerenciadas que consistem em dispositivos de proteção de perímetro organizados de acordo com uma arquitetura organizacional de segurança e privacidade.

nist-r5-sc-07-05

Negar o tráfego de comunicações de rede por padrão e permitir por exceção em interfaces gerenciadas para sistemas definidos pela organização.

nist-r5-sc-08

Proteja a confidencialidade e a integridade das informações transmitidas.

nist-r5-sc-10

Encerrar a conexão de rede associada a uma sessão de comunicação no final dela ou após um período de inatividade definido pela organização.

nist-r5-sc-12

Estabeleça e gerencie chaves criptográficas quando a criptografia for usada no sistema de acordo com os requisitos de gerenciamento de chaves, como os definidos pela organização para geração, distribuição, armazenamento, acesso e destruição de chaves.

nist-r5-sc-13

Determine os usos necessários para a criptografia e implemente os tipos específicos de criptografia necessários para cada um desses usos definidos.

nist-r5-sc-23

Proteja a autenticidade das sessões de comunicação.

nist-r5-sc-28

Proteja a confidencialidade e a integridade das informações em repouso definidas pela organização.

nist-r5-sc-28-01

Implemente mecanismos criptográficos para impedir a divulgação e modificação não autorizadas das informações definidas pela organização em repouso nos componentes do sistema definidos pela organização.

nist-r5-si-01

A. Desenvolver, documentar e disseminar para pessoal ou funções definidos pela organização: a. Uma política de integridade de sistema e informações definida no nível da organização, da missão ou do processo de negócios ou no nível do sistema. A política precisa abordar propósito, escopo, funções, responsabilidades, compromisso da gestão, coordenação entre entidades organizacionais e conformidade. A política precisa estar de acordo com as leis, ordens executivas, diretrizes, regulamentos, políticas, padrões e orientações aplicáveis. b. Procedimentos para facilitar a implementação da política de integridade de sistemas e informações e os controles associados. B. Designar um funcionário oficial definido pela organização para gerenciar o desenvolvimento, a documentação e a disseminação da política e dos procedimentos de integridade de sistemas e informações. C. Analise e atualize as políticas e os procedimentos atuais de integridade de sistemas e informações de acordo com as frequências e os eventos definidos pela organização.

nist-r5-si-02

Identificar, relatar e corrigir falhas no sistema. Teste a eficácia e os possíveis efeitos colaterais de atualizações de software e firmware relacionadas à correção de falhas antes da instalação. Instale atualizações de software e firmware relevantes para a segurança dentro de um período definido pela organização após o lançamento das atualizações. Incorpore a correção de falhas ao processo de gerenciamento de configuração organizacional.

nist-r5-si-02-02

Determine se os componentes do sistema têm atualizações de software e firmware relevantes para a segurança instaladas usando mecanismos automatizados definidos pela organização em uma frequência definida por ela.

nist-r5-si-03

A. Implemente mecanismos de proteção contra código malicioso com ou sem assinatura nos pontos de entrada e saída do sistema para detectar e erradicar o código malicioso. B. Atualize automaticamente os mecanismos de proteção contra códigos maliciosos à medida que novas versões forem disponibilizadas, de acordo com a política e os procedimentos de gerenciamento de configuração organizacional. C. Configure mecanismos de proteção contra código malicioso para: a. Realize verificações periódicas do sistema na frequência definida pela organização e verificações em tempo real de arquivos de fontes externas no endpoint, nos pontos de entrada e saída da rede à medida que os arquivos são baixados, abertos ou executados de acordo com a política organizacional. b. Bloquear e isolar código malicioso, realizar ações definidas pela organização e enviar alertas para pessoas ou funções definidas pela organização em resposta à detecção de código malicioso. D. Aborde o recebimento de falsos positivos durante a detecção e erradicação de códigos maliciosos e o possível impacto resultante na disponibilidade do sistema.

nist-r5-si-04

A. Monitore o sistema para detectar: a. Ataques e indicadores de possíveis ataques de acordo com os objetivos de monitoramento definidos pela organização. b. Conexões locais, de rede e remotas não autorizadas. B. Identificar o uso não autorizado do sistema com técnicas e métodos definidos pela organização. C. Invoque recursos de monitoramento interno ou implante dispositivos de monitoramento: a. Estrategicamente dentro do sistema para coletar informações essenciais determinadas pela organização. b. Em locais ad hoc no sistema para rastrear tipos específicos de transações de interesse para a organização. D. Analise os eventos e as anomalias detectados. E. Ajuste o nível de atividade de monitoramento do sistema quando houver uma mudança no risco para operações e recursos organizacionais, indivíduos, outras organizações ou o país. F. Receba uma opinião jurídica sobre as atividades de monitoramento do sistema. G. Forneça informações de monitoramento do sistema definidas pela organização para pessoal ou funções definidas pela organização conforme necessário ou de acordo com a frequência definida pela organização.

nist-r5-si-04-02

Use ferramentas e mecanismos automatizados para oferecer suporte à análise de eventos quase em tempo real.

nist-r5-si-04-04

Determine critérios para atividades ou condições incomuns ou não autorizadas para tráfego de comunicações de entrada e saída. Monitore o tráfego de comunicações de entrada e saída em uma frequência definida pela organização para atividades ou condições incomuns ou não autorizadas definidas pela organização.

nist-r5-si-07

a. Use ferramentas de verificação de integridade para detectar mudanças não autorizadas em software, firmware e informações definidos pela organização. b. Realizar ações definidas pela organização quando forem detectadas mudanças não autorizadas no software, firmware e informações.

nist-r5-si-07-01

Realize uma verificação de integridade do software, firmware e informações definidos pela organização na inicialização e em estados de transição ou eventos relevantes para a segurança definidos pela organização, em uma frequência definida pela organização.

nist-r5-si-07-02

Use ferramentas automatizadas que notificam pessoas ou funções definidas pela organização ao descobrirem discrepâncias durante a verificação de integridade.

nist-r5-si-12

Gerenciar e reter informações no sistema e a saída de informações dele de acordo com as leis, ordens executivas, diretrizes, regulamentações, políticas, padrões, orientações e requisitos operacionais aplicáveis.

NIST AI 600-1 Privacy Controls

Provedor de nuvem compatível: Google Cloud

Controles de privacidade baseados no NIST AI 600-1 para adoção da IA generativa

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

nist-600-1-gv-6.1-001

Categorizar diferentes tipos de conteúdo de IA generativa (IAG) com direitos de terceiros associados. Por exemplo, direitos autorais de categoria, propriedades intelectuais e privacidade de dados.

nist-600-1-mg-2.2-002

Documente as fontes de dados de treinamento para rastrear a origem e a procedência do conteúdo gerado com IA.

nist-600-1-mg-2.2-007

Use ferramentas de auditoria em tempo real para ajudar no rastreamento e na validação da linhagem e da autenticidade dos dados gerados por IA.

nist-600-1-mg-2.2-009

Considere oportunidades de usar dados sintéticos e outras técnicas de melhoria da privacidade de forma responsável no desenvolvimento de GAI, quando apropriado e aplicável, combinando as propriedades estatísticas dos dados do mundo real sem divulgar informações de identificação pessoal ou contribuir para a homogeneização.

nist-600-1-mg-3.2-003

Documente as fontes e os tipos de dados de treinamento e suas origens, os possíveis vieses presentes nos dados relacionados ao aplicativo de IA generativa e sua procedência, arquitetura, processo de treinamento do modelo pré-treinado, incluindo informações sobre hiperparâmetros, duração do treinamento e processos de ajuste fino aplicados.

nist-600-1-mp-2.1-002

Instituir testes e avaliações para fluxos de dados e conteúdo no sistema de GAI, incluindo, entre outros, fontes de dados originais, transformações de dados e critérios de tomada de decisão.

nist-600-1-mp-4.1-001

Faça um monitoramento periódico do conteúdo gerado por IA para identificar riscos à privacidade e resolva possíveis casos de exposição de PII ou dados sensíveis.

nist-600-1-mp-4.1-004

Documente as políticas de curadoria de dados de treinamento, na medida do possível e de acordo com as leis e políticas aplicáveis.

nist-600-1-mp-4.1-005

Estabelecer políticas para coleta, retenção e qualidade mínima de dados, considerando os seguintes riscos: divulgação de informações inadequadas sobre CBRN; uso de conteúdo ilegal ou perigoso; recursos cibernéticos ofensivos; desequilíbrios nos dados de treinamento que podem gerar vieses prejudiciais; vazamento de informações de identificação pessoal, incluindo semelhanças faciais de indivíduos.

nist-600-1-mp-4.1-009

Use abordagens para detectar a presença de PII ou dados sensíveis em texto, imagem, vídeo ou áudio gerados.

nist-600-1-mp-4.1-010

Faça a diligência adequada sobre o uso de dados de treinamento para avaliar riscos de propriedade intelectual e privacidade, incluindo se o uso de dados de treinamento sensíveis ou proprietários está de acordo com as leis aplicáveis.

nist-600-1-ms-1.1-002

Integre ferramentas projetadas para analisar a origem do conteúdo e detectar anomalias de dados, verificar a autenticidade de assinaturas digitais e identificar padrões associados à desinformação ou manipulação.

nist-600-1-ms-2.2-004

Use técnicas como anonimização, privacidade diferencial ou outras tecnologias de melhoria da privacidade para minimizar os riscos associados à vinculação de conteúdo gerado por IA a indivíduos.

nist-600-1-ms-2.5-005

Verifique se a origem dos dados de treinamento e de teste, avaliação, verificação e validação (TEVV) do sistema de inteligência artificial generativa (GAI), bem como os dados de ajuste refinado ou de geração aumentada por recuperação, são fundamentados.

nist-600-1-ms-2.6-002

Avaliar a existência ou os níveis de viés prejudicial, violação de propriedade intelectual, violações de privacidade de dados, obscenidade, extremismo, violência ou informações de CBRN nos dados de treinamento do sistema.

nist-600-1-ms-2.9-002

Detalhes do modelo de GAI, incluindo: uso proposto e valor organizacional; pressupostos e limitações, metodologias de coleta de dados; origem dos dados; qualidade dos dados; arquitetura do modelo (por exemplo, rede neural convolucional e transformadores); objetivos de otimização; algoritmos de treinamento; abordagens de RLHF; abordagens de geração de ajuste fino ou aumentada por recuperação; dados de avaliação; considerações éticas; requisitos legais e regulamentares.

NIST Cybersecurity Framework 1.1

Provedor de nuvem compatível: Google Cloud

Uma estrutura estratégica para ajudar as organizações a gerenciar o risco de segurança cibernética. Ele organiza as atividades em cinco funções principais: identificar, proteger, detectar, responder e recuperar, oferecendo uma visão geral da sua postura de segurança.

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

nist-csf-de-ae

Anomalias e eventos (DE.AE): a atividade anômala é detectada, e o possível impacto dos eventos é compreendido.

nist-csf-de-ae-1

Um valor de referência de operações de rede e fluxos de dados esperados para usuários e sistemas é estabelecido e gerenciado.

nist-csf-de-ae-2

Os eventos detectados são analisados para entender os alvos e métodos de ataque.

nist-csf-de-ae-3

Os dados de eventos são coletados e correlacionados de várias fontes e sensores.

nist-csf-de-ae-4

O impacto dos eventos é determinado.

nist-csf-de-ae-5

Os limites de alerta de incidente são estabelecidos.

nist-csf-de-cm

Monitoramento contínuo de segurança (DE.CM): o sistema de informações e os recursos são monitorados para identificar eventos de segurança cibernética e verificar a eficácia das medidas de proteção.

nist-csf-de-cm-1

A rede é monitorada para detectar possíveis eventos de segurança cibernética.

nist-csf-de-cm-2

O ambiente físico é monitorado para detectar possíveis eventos de segurança cibernética.

nist-csf-de-cm-3

A atividade do pessoal é monitorada para detectar possíveis eventos de segurança cibernética.

nist-csf-de-cm-4

Um código malicioso é detectado.

nist-csf-de-cm-5

Um código móvel não autorizado é detectado.

nist-csf-de-cm-6

A atividade de provedores de serviços externos é monitorada para detectar possíveis eventos de segurança cibernética.

nist-csf-de-cm-7

O monitoramento é feito para identificar pessoas, conexões, dispositivos e softwares não autorizados.

nist-csf-de-cm-8

As verificações de vulnerabilidades são realizadas.

nist-csf-de-dp-1

As funções e responsabilidades de detecção são bem definidas para garantir a responsabilização.

nist-csf-de-dp-4

As informações de detecção de eventos são comunicadas.

nist-csf-id-am

Gerenciamento de recursos: os dados, o pessoal, os dispositivos, os sistemas e as instalações que permitem que a organização alcance as metas de negócios são identificados e gerenciados de acordo com a importância relativa para os objetivos organizacionais e a estratégia de risco da organização.

nist-csf-id-am-1

Os dispositivos e sistemas físicos da organização são inventariados.

nist-csf-id-am-4

Os sistemas de informações externos são catalogados.

nist-csf-id-am-6

As funções e responsabilidades de segurança cibernética para toda a força de trabalho e partes interessadas terceirizadas (por exemplo, fornecedores, clientes, parceiros) são estabelecidas.

nist-csf-id-gv-1

A política organizacional de cibersegurança é estabelecida e comunicada.

nist-csf-id-gv-3

Os requisitos legais e regulamentares relacionados à segurança cibernética, incluindo obrigações de privacidade e liberdades civis, são compreendidos e gerenciados.

nist-csf-id-gv-4

Os processos de governança e gerenciamento de riscos abordam os riscos de segurança cibernética.

nist-csf-id-ra-1

As vulnerabilidades de recursos são identificadas e documentadas.

nist-csf-id-ra-2

A inteligência contra ameaças cibernéticas é recebida de fóruns e fontes de compartilhamento de informações.

nist-csf-id-ra-3

As ameaças, internas e externas, são identificadas e documentadas.

nist-csf-id-sc-3

Os contratos com fornecedores e parceiros terceirizados são usados para implementar medidas adequadas projetadas para atender aos objetivos do programa de cibersegurança e do plano de gestão de riscos da cadeia de suprimentos cibernéticos de uma organização.

nist-csf-pr-ac

Gerenciamento de identidade, autenticação e controle de acesso (PR.AC): o acesso a ativos físicos e lógicos e instalações associadas é limitado a usuários, processos e dispositivos autorizados e é gerenciado de acordo com o risco avaliado de acesso não autorizado a atividades e transações autorizadas.

nist-csf-pr-ac-1

As identidades e credenciais são emitidas, gerenciadas, verificadas, revogadas e auditadas para dispositivos, usuários e processos autorizados.

nist-csf-pr-ac-2

O acesso físico aos recursos é gerenciado e protegido.

nist-csf-pr-ac-3

O acesso remoto é gerenciado.

nist-csf-pr-ac-4

As permissões e autorizações de acesso são gerenciadas, incorporando os princípios de privilégio mínimo e separação de funções.

nist-csf-pr-ac-5

A integridade da rede é protegida (por exemplo, segregação e segmentação de rede).

nist-csf-pr-ac-6

As identidades são comprovadas e vinculadas a credenciais e declaradas em interações.

nist-csf-pr-ac-7

Usuários, dispositivos e outros recursos são autenticados (por exemplo, de fator único ou multifator) de acordo com o risco da transação (por exemplo, riscos de segurança e privacidade de indivíduos e outros riscos organizacionais).

nist-csf-pr-ds-1

Os dados em repouso são protegidos.

nist-csf-pr-ds-2

Os dados em trânsito são protegidos.

nist-csf-pr-ds-3

Os ativos são gerenciados formalmente durante a remoção, as transferências e a alienação.

nist-csf-pr-ds-4

Capacidade adequada para garantir a disponibilidade.

nist-csf-pr-ds-5

Proteções contra vazamentos de dados são implementadas.

nist-csf-pr-ip

Processos e procedimentos de proteção de informações (PR.IP): as políticas de segurança (que abordam finalidade, escopo, funções, responsabilidades, comprometimento da gestão e coordenação entre entidades organizacionais), os processos e os procedimentos são mantidos e usados para gerenciar a proteção de sistemas e recursos de informação.

nist-csf-pr-ip-1

Uma configuração de base de tecnologia da informação ou sistemas de controle industrial é criada e mantida incorporando princípios de segurança (por exemplo, conceito de funcionalidade mínima).

nist-csf-pr-ip-10

Os planos de resposta e recuperação são testados.

nist-csf-pr-ip-12

Um plano de gerenciamento de vulnerabilidades é desenvolvido e implementado.

nist-csf-pr-ip-2

Um ciclo de vida de desenvolvimento de sistemas para gerenciar sistemas é implementado.

nist-csf-pr-ip-3

Os processos de controle de mudança de configuração estão em vigor.

nist-csf-pr-ip-4

Os backups de informações são realizados, mantidos e testados.

nist-csf-pr-ip-6

Os dados são destruídos de acordo com a política.

nist-csf-pr-ip-9

Os planos de resposta (resposta a incidentes e continuidade de negócios) e de recuperação (recuperação de incidentes e recuperação de desastres) estão em vigor e são gerenciados.

nist-csf-pr-ma-1

A manutenção e o reparo dos ativos organizacionais são realizados e registrados com ferramentas aprovadas e controladas.

nist-csf-pr-pt

Tecnologia de proteção (PR.PT): as soluções técnicas de segurança são gerenciadas para garantir a segurança e a resiliência de sistemas e recursos, de acordo com políticas, procedimentos e contratos relacionados.

nist-csf-pr-pt-1

Os registros de auditoria e de registros são determinados, documentados, implementados e revisados de acordo com a política.

nist-csf-pr-pt-3

O princípio da funcionalidade mínima é incorporado ao configurar sistemas para fornecer apenas recursos essenciais.

nist-csf-pr-pt-4

As redes de comunicação e controle são protegidas.

nist-csf-pr-pt-5

Mecanismos (por exemplo, à prova de falhas, balanceamento de carga, troca a quente) são implementados para atender aos requisitos de resiliência em situações normais e adversas.

nist-csf-rc-im

Melhorias (RC.IM): o planejamento e os processos de recuperação são aprimorados incorporando as lições aprendidas em atividades futuras.

nist-csf-rc-rp-1

O plano de recuperação é executado durante ou após um incidente de segurança cibernética.

nist-csf-rs-an

Análise (RS.AN): a análise é realizada para garantir uma resposta eficaz e apoiar as atividades de recuperação.

nist-csf-rs-an-1

As notificações dos sistemas de detecção são investigadas.

nist-csf-rs-an-5

Os processos são estabelecidos para receber, analisar e responder a vulnerabilidades divulgadas à organização por fontes internas e externas (por exemplo, testes internos, boletins de segurança ou pesquisadores de segurança).

nist-csf-rs-co-1

A equipe conhece as funções e a ordem das operações quando uma resposta é necessária.

nist-csf-rs-co-4

A coordenação com as partes interessadas ocorre de acordo com os planos de resposta.

nist-csf-rs-im-2

As estratégias de resposta são atualizadas.

nist-csf-rs-mi-2

Os incidentes são atenuados.

nist-csf-rs-rp-1

O plano de resposta é executado durante ou após um incidente.

PCI DSS v4.0.1

Provedor de nuvem compatível: Google Cloud

Uma estrutura regulatória que define o padrão de segurança de dados (DSS) PCI obrigatório para empresas que processam, armazenam ou transmitem dados de titulares de cartões. O PCI DSS define requisitos técnicos e operacionais específicos para ajudar a proteger os dados do titular do cartão onde quer que sejam processados, armazenados ou transmitidos. O PCI DSS oferece um conjunto de requisitos técnicos e operacionais prescritivos para ajudar a evitar fraudes. O framework está alinhado com o PCI DSS v4.0.1.

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

pci-dss-v4-1-2-1

Os padrões de configuração para conjuntos de regras da NSC precisam ser definidos, implementados e mantidos.

pci-dss-v4-1-2-6

Os recursos de segurança precisam ser definidos e implementados para todos os serviços, protocolos e portas em uso e considerados não seguros, de modo que o risco seja reduzido.

pci-dss-v4-1-3-1

O tráfego de entrada para o CDE precisa ser restrito apenas ao tráfego necessário, e todos os outros tipos de tráfego precisam ser especificamente negados.

pci-dss-v4-1-3-2

O tráfego de saída do CDE precisa ser restrito apenas ao tráfego necessário, e todos os outros tipos de tráfego precisam ser especificamente negados.

pci-dss-v4-1-4-1

As NSCs são implementadas entre redes confiáveis e não confiáveis.

pci-dss-v4-1-4-2

O tráfego de entrada de redes não confiáveis para redes confiáveis precisa ser restrito ao seguinte: comunicações com componentes do sistema autorizados a fornecer serviços, protocolos e portas acessíveis publicamente; respostas com estado para comunicações iniciadas por componentes do sistema em uma rede confiável; e todo o restante do tráfego precisa ser negado.

pci-dss-v4-1-4-3

As medidas anti-spoofing precisam ser implementadas para detectar e impedir que endereços IP de origem forjados entrem na rede confiável.

pci-dss-v4-1-4-4

Os componentes do sistema que armazenam dados do titular do cartão não podem ser acessados diretamente de redes não confiáveis.

pci-dss-v4-10-1-1

Todas as políticas de segurança e os procedimentos operacionais identificados no requisito 10 são documentados, mantidos atualizados, em uso e conhecidos por todas as partes afetadas.

pci-dss-v4-10-2-1

Os registros de auditoria estão ativados e ativos para todos os componentes do sistema e dados do titular do cartão.

pci-dss-v4-10-2-1-1

Os registros de auditoria capturam todo o acesso individual do usuário aos dados do titular do cartão.

pci-dss-v4-10-2-1-2

Os registros de auditoria capturam todas as ações realizadas por qualquer pessoa com acesso administrativo, incluindo o uso interativo de contas de aplicativos ou sistemas.

pci-dss-v4-10-2-1-4

Os registros de auditoria capturam todas as tentativas de acesso lógico inválidas.

pci-dss-v4-10-3-3

Os arquivos de registros de auditoria, incluindo os de tecnologias voltadas para o público externo, são armazenados em backup imediatamente em um servidor de registros interno, central e seguro ou em outras mídias difíceis de modificar.

pci-dss-v4-10-4-1-1

Mecanismos automatizados são usados para realizar análises de registro de auditoria.

pci-dss-v4-10-5-1

Reter o histórico registro de auditoria por pelo menos 12 meses, com pelo menos os três meses mais recentes disponíveis imediatamente para análise.

pci-dss-v4-11-5-1

As técnicas de detecção e prevenção de intrusões são usadas para detectar e/ou evitar intrusões na rede da seguinte maneira: todo o tráfego é monitorado no perímetro do CDE e em pontos críticos do CDE; a equipe é alertada sobre suspeitas de comprometimento; todos os mecanismos de detecção e prevenção de intrusões, valores de referência e assinaturas são mantidos atualizados.

pci-dss-v4-12-10-5

O plano de resposta a incidentes de segurança inclui o monitoramento e a resposta a alertas de sistemas de monitoramento de segurança, incluindo, entre outros, sistemas de detecção e prevenção de intrusões, controles de segurança de rede, mecanismos de detecção de mudanças em arquivos críticos, mecanismos de detecção de mudanças e violações em páginas de pagamento e detecção de pontos de acesso sem fio não autorizados.

pci-dss-v4-12-5-1

Um inventário dos componentes do sistema que estão no escopo do PCI DSS, incluindo uma descrição da função e do uso, é mantido e atualizado.

pci-dss-v4-2-2-1

Os padrões de configuração precisam ser desenvolvidos, implementados e mantidos para garantir que cubram todos os componentes do sistema, abordem todas as vulnerabilidades de segurança conhecidas, sejam consistentes com os padrões de proteção de sistema aceitos pelo setor ou com as recomendações de proteção do fornecedor, sejam atualizados à medida que novos problemas de vulnerabilidade são identificados, conforme definido no requisito 6.3.1, e sejam aplicados quando novos sistemas são configurados e verificados antes ou imediatamente após a conexão de um componente do sistema a um ambiente de produção.

pci-dss-v4-2-2-3

As funções principais que exigem diferentes níveis de segurança precisam ser gerenciadas para garantir o seguinte: apenas uma função principal existe em um componente do sistema, ou funções principais com diferentes níveis de segurança que existem no mesmo componente do sistema são isoladas umas das outras, ou funções principais com diferentes níveis de segurança no mesmo componente do sistema são protegidas no nível exigido pela função com a maior necessidade de segurança.

pci-dss-v4-2-2-4

Apenas os serviços, protocolos, daemons e funções necessários devem ser ativados, e todas as funcionalidades desnecessárias precisam ser removidas ou desativadas.

pci-dss-v4-2-2-5

Se houver serviços, protocolos ou daemons não seguros, verifique se a justificativa comercial está documentada e se recursos de segurança adicionais estão documentados e implementados para reduzir o risco de usar serviços, protocolos ou daemons não seguros.

pci-dss-v4-2-2-6

Os parâmetros de segurança do sistema precisam ser configurados para evitar o uso indevido.

pci-dss-v4-2-2-7

Todo acesso administrativo que não seja por console precisa ser criptografado com criptografia forte.

pci-dss-v4-3-2-1

O armazenamento de dados da conta precisa ser mantido no mínimo possível com a implementação de políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte: cobertura para todos os locais de dados da conta armazenados; cobertura para dados sensíveis de autenticação (SAD, na sigla em inglês) armazenados antes da conclusão da autorização; limitação da quantidade de armazenamento de dados e do tempo de retenção ao que é exigido por requisitos legais, regulatórios e comerciais; requisitos específicos de retenção para dados da conta armazenados que definem a duração do período de retenção e incluem uma justificativa comercial documentada; processos para exclusão segura ou tornar os dados da conta irrecuperáveis quando não forem mais necessários de acordo com a política de retenção; e um processo para verificar, pelo menos uma vez a cada três meses, se os dados da conta armazenados que excedem o período de retenção definido foram excluídos de forma segura ou tornados irrecuperáveis.

pci-dss-v4-3-3-2

Os dados sensíveis ao abuso (SAD, na sigla em inglês) armazenados eletronicamente antes da conclusão da autorização precisam ser criptografados com uma criptografia forte.

pci-dss-v4-3-3-3

Os emissores e as empresas que oferecem suporte a serviços de emissão e armazenam dados de autenticação sensíveis precisam garantir que o armazenamento desses dados seja limitado ao que é necessário para uma necessidade comercial legítima de emissão e que seja protegido e criptografado com criptografia forte.

pci-dss-v4-3-5-1

O PAN é tornado ilegível em qualquer lugar em que esteja armazenado usando qualquer uma das seguintes abordagens: hashes unidirecionais com base em criptografia forte de todo o PAN; truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN); se versões com hash e truncadas do mesmo PAN ou diferentes formatos de truncamento do mesmo PAN estiverem presentes em um ambiente, controles adicionais serão implementados para que as diferentes versões não possam ser correlacionadas para reconstruir o PAN original; tokens de índice; e criptografia forte com processos e procedimentos associados de gerenciamento de chaves.

pci-dss-v4-3-5-1-3

Se a criptografia no nível do disco ou da partição for usada (em vez da criptografia de banco de dados no nível do arquivo, da coluna ou do campo) para tornar o PAN ilegível, verifique o seguinte: o acesso lógico é gerenciado separadamente e de forma independente dos mecanismos nativos de autenticação e controle de acesso do sistema operacional; as chaves de descriptografia não estão associadas a contas de usuário; e os fatores de autenticação (como senhas, frases secretas ou chaves criptográficas) que permitem o acesso a dados não criptografados são armazenados com segurança.

pci-dss-v4-3-6-1

É preciso definir e implementar procedimentos para proteger as chaves criptográficas usadas para proteger os dados da conta armazenados contra divulgação e uso indevido, incluindo a restrição do acesso às chaves ao menor número possível de administradores necessários.

pci-dss-v4-3-6-1-2

As chaves secretas e privadas usadas para proteger os dados da conta armazenados precisam ser armazenadas de uma (ou mais) das seguintes formas em todos os momentos: criptografadas com uma chave de criptografia de chaves que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente dela; em um dispositivo criptográfico seguro (SCD, na sigla em inglês), por exemplo, um módulo de segurança de hardware (HSM) ou um dispositivo de ponto de interação aprovado pelo PTS; e como pelo menos dois componentes de chave ou compartilhamentos de chave de comprimento total, de acordo com um método aceito pelo setor.

pci-dss-v4-3-7-1

As políticas e os procedimentos de gerenciamento de chaves precisam ser implementados para incluir a geração de chaves criptográficas robustas usadas para proteger os dados da conta armazenados.

pci-dss-v4-3-7-2

As políticas e os procedimentos de gerenciamento de chaves precisam ser implementados para incluir a distribuição segura de chaves criptográficas usadas na proteção dos dados da conta armazenados.

pci-dss-v4-3-7-3

As políticas e os procedimentos de gerenciamento de chaves precisam ser implementados para incluir o armazenamento seguro de chaves criptográficas usadas na proteção dos dados da conta armazenados.

pci-dss-v4-3-7-5

Políticas e procedimentos de gerenciamento de chaves precisam ser implementados para incluir a desativação, substituição ou destruição de chaves usadas para proteger dados de contas armazenados, conforme necessário quando: a chave atingiu o fim do criptoperíodo definido; a integridade da chave foi enfraquecida (incluindo quando funcionários com conhecimento de um componente de chave de texto simples saem da empresa ou da função para a qual o componente de chave era conhecido); há suspeita ou confirmação de que a chave foi comprometida; e chaves desativadas ou substituídas não são usadas para operações de criptografia.

pci-dss-v4-4-2-1

É necessário implementar criptografia forte e protocolos de segurança para proteger o PAN durante a transmissão por redes públicas abertas e garantir o seguinte: somente chaves e certificados confiáveis são aceitos; os certificados usados para proteger o PAN durante a transmissão por redes públicas abertas são confirmados como válidos e não estão expirados ou revogados; o protocolo em uso oferece suporte apenas a versões ou configurações seguras e não oferece suporte a fallback ou uso de versões, algoritmos, tamanhos de chave ou implementações não seguras; e a intensidade da criptografia é adequada para a metodologia de criptografia em uso.

pci-dss-v4-5-2-1

Uma ou mais soluções antimalware precisam ser implantadas em todos os componentes do sistema, exceto aqueles identificados em avaliações periódicas de acordo com o requisito 5.2.3, que conclui que os componentes do sistema não estão em risco de malware.

pci-dss-v4-5-2-2

As soluções antimalware implantadas precisam detectar e remover, bloquear ou conter todos os tipos conhecidos de malware.

pci-dss-v4-6-2-3

Os softwares sob medida e personalizados precisam ser revisados antes do lançamento em produção ou para os clientes para identificar e corrigir possíveis vulnerabilidades de programação. As revisões de código garantem que o código seja desenvolvido de acordo com as diretrizes de programação segura, procuram vulnerabilidades de software atuais e emergentes e implementam as correções adequadas antes do lançamento.

pci-dss-v4-6-3-1

As vulnerabilidades de segurança precisam ser identificadas e gerenciadas para garantir o seguinte: novas vulnerabilidades de segurança são identificadas usando fontes reconhecidas pelo setor para informações sobre vulnerabilidades de segurança, incluindo alertas de equipes de emergência de computadores (CERTs, na sigla em inglês) internacionais e nacionais; as vulnerabilidades recebem uma classificação de risco com base nas práticas recomendadas do setor e na consideração do impacto potencial; as classificações de risco identificam, no mínimo, todas as vulnerabilidades consideradas de alto risco ou críticas para o ambiente; e as vulnerabilidades de software personalizado e de terceiros (por exemplo, sistemas operacionais e bancos de dados) são cobertas.

pci-dss-v4-6-3-3

Todos os componentes do sistema precisam ser protegidos contra vulnerabilidades conhecidas com a instalação de patches ou atualizações de segurança aplicáveis para garantir o seguinte: patches ou atualizações para vulnerabilidades críticas (identificadas de acordo com o processo de classificação de risco no requisito 6.3.1) são instalados em até um mês após o lançamento; e todos os outros patches ou atualizações de segurança aplicáveis são instalados em um prazo adequado, conforme determinado pela avaliação da entidade sobre a gravidade do risco para o ambiente, identificado de acordo com o processo de classificação de risco no requisito 6.3.1.

pci-dss-v4-6-4-1

Para aplicativos da Web voltados ao público, novas ameaças e vulnerabilidades precisam ser abordadas continuamente, e esses aplicativos precisam ser protegidos contra ataques conhecidos usando um dos dois métodos a seguir: Revisar aplicativos da Web voltados ao público usando ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidade de aplicativos da seguinte forma: pelo menos uma vez a cada 12 meses e após mudanças significativas; por uma entidade especializada em segurança de aplicativos; incluindo, no mínimo, todos os ataques de software comuns no Requisito 6.2.4; todas as vulnerabilidades são classificadas de acordo com o Requisito 6.3.1; todas as vulnerabilidades são corrigidas; e o aplicativo é reavaliado após as correções. Ou instalar uma ou mais soluções técnicas automatizadas que detectam e evitam continuamente ataques baseados na Web da seguinte forma: instaladas na frente de aplicativos da Web voltados ao público para detectar e evitar ataques baseados na Web; em execução ativa e atualizadas, conforme aplicável; gerando registros de auditoria; e configuradas para bloquear ataques baseados na Web ou gerar um alerta que seja investigado imediatamente.

pci-dss-v4-6-4-2

Para aplicativos da Web voltados ao público, é necessário implantar uma solução técnica automatizada que detecte e evite continuamente ataques baseados na Web, com estas verificações mínimas: instalada na frente de aplicativos da Web voltados ao público e configurada para detectar e evitar ataques baseados na Web; em execução ativa e atualizada, conforme aplicável; gerando registros de auditoria; e configurada para bloquear ataques baseados na Web ou gerar um alerta que seja investigado imediatamente.

pci-dss-v4-7-2-1

Um modelo de controle de acesso precisa ser definido e incluir a concessão de acesso da seguinte forma: acesso adequado, dependendo dos negócios e das necessidades de acesso da entidade; acesso a componentes do sistema e recursos de dados com base na classificação e nas funções do trabalho dos usuários; e os privilégios mínimos necessários (por exemplo, usuário, administrador) para realizar uma função de trabalho.

pci-dss-v4-7-2-2

O acesso precisa ser atribuído a usuários (incluindo usuários privilegiados) com base na classificação e função do trabalho, além dos privilégios mínimos necessários para executar as responsabilidades do trabalho.

pci-dss-v4-7-2-5

Todas as contas de aplicativos e sistemas e os privilégios de acesso relacionados precisam ser atribuídos e gerenciados com base nos privilégios mínimos necessários para a operabilidade do sistema ou aplicativo. Além disso, o acesso precisa ser limitado aos sistemas, aplicativos ou processos que exigem especificamente o uso deles.

pci-dss-v4-7-3-1

É preciso ter um sistema de controle de acesso que restrinja o acesso com base na necessidade de saber de um usuário e abranja todos os componentes do sistema.

pci-dss-v4-7-3-2

Os sistemas de controle de acesso precisam ser configurados para aplicar as permissões atribuídas a pessoas, aplicativos e sistemas com base na classificação e função do trabalho.

pci-dss-v4-7-3-3

Os sistemas de controle de acesso precisam ser definidos para negar tudo por padrão.

pci-dss-v4-8-2-1

Todos os usuários precisam receber um ID exclusivo antes de ter acesso aos componentes do sistema ou aos dados do titular do cartão.

pci-dss-v4-8-2-3

Os provedores de serviços com acesso remoto às instalações do cliente precisam usar fatores de autenticação exclusivos para cada local.

pci-dss-v4-8-2-5

O acesso para usuários encerrados precisa ser revogado imediatamente.

pci-dss-v4-8-2-8

Se uma sessão de usuário ficar inativa por mais de 15 minutos, o usuário precisará fazer uma nova autenticação para reativar o terminal ou a sessão.

pci-dss-v4-8-3-1

Todo o acesso de usuários e administradores a componentes do sistema precisa ser autenticado usando pelo menos um dos seguintes fatores: algo que você sabe (por exemplo, uma senha ou frase secreta), algo que você tem (por exemplo, um dispositivo de token ou cartão inteligente) e algo que você é (por exemplo, um elemento biométrico).

pci-dss-v4-8-3-2

É necessário usar criptografia forte para tornar todos os fatores de autenticação ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

pci-dss-v4-8-3-9

Se senhas ou frases secretas forem usadas como o único fator de autenticação para acesso do usuário (em qualquer implementação de autenticação de fator único), elas precisarão ser alteradas pelo menos uma vez a cada 90 dias. Caso contrário, a postura de segurança das contas precisará ser analisada dinamicamente, e o acesso em tempo real aos recursos precisará ser determinado automaticamente de acordo com essa análise.

pci-dss-v4-8-6-2

As senhas ou frases secretas de qualquer aplicativo e contas de sistema que possam ser usadas para login interativo não podem ser codificadas em scripts, arquivos de configuração ou de propriedades, nem em código-fonte personalizado.

pci-dss-v4-8-6-3

As senhas ou frases secretas de qualquer aplicativo e conta de sistema precisam ser protegidas contra uso indevido. Para isso, é necessário garantir que elas sejam alteradas periodicamente (na frequência definida na análise de risco direcionada da entidade, que é realizada de acordo com todos os elementos especificados no requisito 12.3.1) e quando houver suspeita ou confirmação de comprometimento. Além disso, as senhas ou frases secretas precisam ser criadas com complexidade suficiente, adequada à frequência com que a entidade as muda.

Security Essentials

Provedor de nuvem compatível: Google Cloud

O Google Cloud Security Essentials oferece uma base de segurança e conformidade para clientes do Google Cloud.O framework é criado com base na ampla inteligência de ameaças e nas práticas recomendadas do Google,oferecendo visibilidade da sua postura de segurança e ajudando você a atender aos requisitos comuns de compliance desde o início.

Essa estrutura inclui os seguintes controles de nuvem:

SOC2 2017

Provedor de nuvem compatível: Google Cloud

Uma estrutura regulatória que um auditor independente pode usar para avaliar e gerar relatórios sobre os controles da sua organização relevantes para os Critérios de Serviços de Confiança do AICPA, como segurança e disponibilidade. O relatório de auditoria resultante fornece uma avaliação dos sistemas da sua organização e dos dados que eles processam.O framework está alinhado com o SOC 2 2017 (com pontos de foco revisados – 2022).

Esse framework inclui os grupos de controle e os controles de nuvem nas seções a seguir.

soc2-2017-a-1-2-11

A gerência identifica ameaças à capacidade de recuperação de dados (como ataques de ransomware) que podem prejudicar a disponibilidade do sistema e dos dados relacionados e implementa procedimentos de mitigação.

soc2-2017-a-1-2-8

Existem procedimentos para fazer backup de dados, monitorar para detectar falhas de backup e iniciar ações corretivas quando essas falhas ocorrem.

soc2-2017-c-1-1-2

As informações confidenciais são retidas pelo tempo necessário para cumprir a finalidade identificada, a menos que uma lei ou regulamentação exija especificamente o contrário.

soc2-2017-c-1-1-3

Há políticas e procedimentos para proteger informações confidenciais contra exclusão ou destruição durante o período de armazenamento especificado.

soc2-2017-c-1-2-2

Existem políticas e procedimentos para apagar ou destruir automaticamente ou manualmente informações confidenciais que foram identificadas para destruição.

soc2-2017-cc-1-3-3

A administração e o conselho de administração delegam autoridade, definem responsabilidades e usam processos e tecnologia adequados para atribuir responsabilidade e separar funções conforme necessário nos vários níveis da organização.

soc2-2017-cc-2-1-2

Os sistemas de informação capturam fontes de dados internas e externas.

soc2-2017-cc-2-1-6

A entidade identifica, documenta e mantém registros de componentes do sistema, como infraestrutura, software e outros recursos de informação. Os ativos de informação incluem dispositivos e sistemas de endpoint físicos, sistemas virtuais, dados e fluxos de dados, sistemas de informação externos e funções organizacionais.

soc2-2017-cc-2-2-1

Há um processo para comunicar as informações necessárias para que todos os funcionários entendam e cumpram as responsabilidades de controle interno.

soc2-2017-cc-3-2-5

A avaliação de risco inclui considerar como o risco deve ser gerenciado e se é melhor aceitar, evitar, reduzir ou compartilhar o risco.

soc2-2017-cc-3-2-7

A entidade identifica as vulnerabilidades dos componentes do sistema, incluindo processos, infraestrutura, software,

soc2-2017-cc-4-1-1

O gerenciamento inclui um equilíbrio entre avaliações contínuas e separadas.

soc2-2017-cc-4-1-5

As avaliações contínuas são incorporadas aos processos de negócios e se ajustam às mudanças nas condições.

soc2-2017-cc-4-1-8

A administração usa várias avaliações de risco e controle contínuas e separadas para determinar se os controles internos estão presentes e funcionando. Dependendo dos objetivos da entidade, essas avaliações de risco e controle podem incluir testes de monitoramento e controle de primeira e segunda linha, avaliações de auditoria interna, avaliações de conformidade, avaliações de resiliência, verificações de vulnerabilidade, avaliações de segurança, testes de penetração e avaliações de terceiros.

soc2-2017-cc-4-2-2

As deficiências são comunicadas às partes responsáveis por tomar medidas corretivas, à alta gerência e ao conselho de administração, conforme apropriado.

soc2-2017-cc-5-2-2

A administração seleciona e desenvolve atividades de controle na infraestrutura de tecnologia, que são projetadas e implementadas para ajudar a garantir a integridade, a precisão e a disponibilidade do processamento de tecnologia.

soc2-2017-cc-5-2-3

A administração seleciona e desenvolve atividades de controle projetadas e implementadas para restringir os direitos de acesso à tecnologia a usuários autorizados, de acordo com as responsabilidades do trabalho, e para proteger os ativos da entidade contra ameaças externas.

soc2-2017-cc-5-3-1

A gestão estabelece atividades de controle integradas aos processos de negócios e às atividades diárias dos funcionários por meio de políticas que estabelecem o que é esperado e procedimentos relevantes que especificam ações.

soc2-2017-cc-6-1-10

A entidade usa criptografia para proteger dados em repouso, durante o processamento ou em transmissão, quando essas proteções são consideradas adequadas com base na estratégia de mitigação de riscos da entidade.

soc2-2017-cc-6-1-11

A entidade protege as chaves criptográficas durante a geração, o armazenamento, o uso e a destruição. Os módulos, algoritmos, tamanhos de chave e arquiteturas criptográficos são adequados com base na estratégia de mitigação de riscos da entidade.

soc2-2017-cc-6-1-12

O acesso lógico e o uso de informações confidenciais são restritos a fins identificados.

soc2-2017-cc-6-1-3

A entidade restringe o acesso lógico a recursos de informação, incluindo: infraestrutura, por exemplo, servidor, armazenamento, elementos de rede, APIs e dispositivos de endpoint; software; e dados em repouso, durante o processamento ou em transmissão, usando software de controle de acesso, conjuntos de regras e processos padrão de proteção de configuração.

soc2-2017-cc-6-1-4

A entidade identifica e autentica pessoas, infraestrutura e software antes de acessar ativos de informação, seja localmente ou remotamente. A entidade usa técnicas de autenticação de usuário mais complexas ou avançadas, como a autenticação multifator, quando essas proteções são consideradas adequadas com base na estratégia de mitigação de riscos.

soc2-2017-cc-6-1-5

A entidade usa segmentação de rede, arquiteturas de confiança zero e outras técnicas para isolar partes não relacionadas da tecnologia da informação da entidade umas das outras com base na estratégia de mitigação de riscos da entidade.

soc2-2017-cc-6-1-7

Combinações de classificação de dados, estruturas de dados separadas, restrições de porta, restrições de protocolo de acesso, identificação de usuário e certificados digitais são usadas para estabelecer regras de controle de acesso e padrões de configuração para ativos de informação.

soc2-2017-cc-6-1-9

Novas infraestruturas e softwares internos e externos são registrados, autorizados e documentados antes de receberem credenciais de acesso e serem implementados na rede ou no ponto de acesso. As credenciais são removidas e o acesso é desativado quando não é mais necessário ou quando a infraestrutura e o software não estão mais em uso.

soc2-2017-cc-6-2-3

Existem processos para desativar, destruir ou impedir o uso de credenciais de acesso quando elas não são mais válidas.

soc2-2017-cc-6-3-2

Há processos para remover o acesso a recursos de informações protegidas quando não são mais necessários.

soc2-2017-cc-6-3-3

A entidade usa estruturas de controle de acesso, como controles de acesso baseados em papéis, para restringir o acesso a ativos de informações protegidas, limitar privilégios e apoiar a segregação de funções incompatíveis.

soc2-2017-cc-6-5-1

Existem procedimentos para remover, excluir ou tornar inacessíveis dados e software de ativos físicos e outros dispositivos pertencentes à entidade, aos fornecedores e aos funcionários quando os dados e o software não são mais necessários no ativo ou quando o ativo não está mais sob o controle da entidade.

soc2-2017-cc-6-6

A entidade implementa medidas de segurança de acesso lógico para proteção contra ameaças de fontes fora dos limites do sistema.

soc2-2017-cc-6-6-1

Os tipos de atividades que podem ocorrer em um canal de comunicação, por exemplo, site FTP, porta do roteador, são restritos.

soc2-2017-cc-6-6-4

Os sistemas de proteção de perímetro, como firewalls, zonas desmilitarizadas, sistemas de detecção ou prevenção de intrusão e sistemas de detecção e resposta de endpoints, são configurados, implementados e mantidos para proteger pontos de acesso externos.

soc2-2017-cc-6-7-1

Processos e tecnologias de prevenção contra perda de dados são usados para restringir a capacidade de autorizar e executar a transmissão, a movimentação e a remoção de informações.

soc2-2017-cc-6-7-2

Tecnologias de criptografia ou canais de comunicação seguros são usados para proteger a transmissão de dados e outras comunicações além dos pontos de acesso à conectividade.

soc2-2017-cc-6-8-1

A capacidade de instalar e modificar aplicativos e softwares é restrita a pessoas autorizadas. O software utilitário capaz de ignorar procedimentos normais de operação ou segurança é limitado ao uso por pessoas autorizadas e é monitorado regularmente.

soc2-2017-cc-6-8-2

Existem processos para detectar mudanças em parâmetros de software e configuração que podem indicar software não autorizado ou malicioso.

soc2-2017-cc-7-1-1

A entidade definiu padrões de configuração a serem usados para proteger sistemas.

soc2-2017-cc-7-1-3

O sistema de TI inclui um mecanismo de detecção de mudanças, por exemplo, ferramentas de monitoramento de integridade de arquivos, para alertar os funcionários sobre modificações não autorizadas de arquivos críticos do sistema, arquivos de configuração ou arquivos de conteúdo.

soc2-2017-cc-7-1-5

A entidade realiza verificações periódicas de vulnerabilidade de infraestrutura e software, além de verificações após mudanças significativas no ambiente, para identificar possíveis vulnerabilidades ou configurações incorretas. As ações são tomadas para corrigir as deficiências identificadas de maneira oportuna e apoiar a conquista dos objetivos da entidade.

soc2-2017-cc-7-2-1

Políticas, procedimentos e ferramentas de detecção são definidos e implementados na infraestrutura e no software para identificar possíveis intrusões, acesso inadequado e anomalias na operação ou atividades incomuns nos sistemas. Os procedimentos podem incluir um processo de governança definido para detecção e gerenciamento de ocorrência de segurança, uso de fontes de inteligência para identificar ameaças e vulnerabilidades recém-descobertas e registro de atividades incomuns do sistema.

soc2-2017-cc-7-2-2

As medidas de detecção são projetadas para identificar anomalias que podem resultar de comprometimento real ou tentativa de comprometimento de barreiras físicas, ações não autorizadas de pessoal autorizado, uso de credenciais de identificação e autenticação comprometidas, acesso não autorizado de fora dos limites do sistema, comprometimento de terceiros externos autorizados e implementação ou conexão de hardware e software não autorizados.

soc2-2017-cc-7-3-2

Os eventos de segurança detectados são comunicados e analisados pelas pessoas responsáveis pelo gerenciamento do programa de segurança, e as ações necessárias são tomadas.

soc2-2017-cc-8-1-1

Um processo para gerenciar mudanças no sistema durante todo o ciclo de vida dele e dos componentes (infraestrutura, dados, software e procedimentos manuais e automatizados) é usado para apoiar a conquista dos objetivos da entidade.

soc2-2017-cc-8-1-14

Há um processo para identificar, avaliar, testar, aprovar e implementar patches de maneira oportuna na infraestrutura e no software.

soc2-2017-cc-8-1-5

Há um processo para rastrear as mudanças no sistema antes da implementação.

soc2-2017-p-4-2-1

As informações pessoais são retidas pelo tempo necessário para cumprir as finalidades declaradas, a menos que uma lei ou regulamentação exija especificamente o contrário.

soc2-2017-p-4-2-2

Implementamos políticas e procedimentos para proteger as informações pessoais contra exclusão ou destruição durante o período de armazenamento especificado.

soc2-2017-pi-1-2-3

Os registros de atividades de entrada do sistema são criados e mantidos de forma completa e precisa em tempo hábil.

soc2-2017-pi-1-3-4

As atividades de processamento do sistema são registradas de forma completa e precisa em tempo hábil.

soc2-2017-pi-1-5

A entidade implementa políticas e procedimentos para armazenar entradas, itens em processamento e saídas de forma completa, precisa e oportuna, de acordo com as especificações do sistema, para atender aos objetivos da entidade.

soc2-2017-pi-1-5-1

Os itens armazenados são protegidos para evitar roubo, corrupção, destruição ou deterioração que impeçam a saída de atender às especificações.

soc2-2017-pi-1-5-2

Os registros do sistema são arquivados e protegidos contra roubo, corrupção, destruição ou deterioração que impeçam o uso deles.

A seguir