Requisitos de Segurança da Informação
O desenvolvimento e implantação de produtos e serviços da Vivo deve sempre obedecer às diretrizes da empresa para que as entregas tenham todo controle de segurança do negócio, atendendo as legislações vigentes e protegendo os ambientes envolvidos.
Para isso é necessário que os aliados e fornecedores da Vivo sigam os requisitos de Segurança da Informação e possuam um Sistema de Gestão de Segurança que englobe Gestão de ativos, Gestão e Segurança em Recursos Humanos, Segurança Física e do Ambiente, Gerenciamento de Operações de Segurança e Comunicações, Gestão de Acessos, Gerenciamento de Controles Criptográficos, Gestão de Patches e Gestão de Incidentes de Segurança da Informação.
Nos documentos abaixo, você encontra as definições de Segurança Digital obrigatórias detalhadas para atendimento dos requisitos obrigatórios de Segurança Digital:
- Anexo a Contratos - Documento com detalhamento de cláusulas de Segurança Digital anexo a contratos.
- Requisitos de Segurança para Desenvolvimento - Documento para definição de requisitos de segurança para desenvolvimento de sistemas – aplicável quando o escopo envolve desenvolvimento de software.
- Requisitos de Segurança para Cloud - Documento para definição de requisitos de segurança projetos em cloud– aplicável quando o escopo envolve cloud.
- Requisitos de Segurança para RPA - Documento para definição de requisitos de segurança robôs e desenvolvimento RPA– aplicável quando o escopo envolve RPA.
- Requisitos de Segurança para Arquitetura de Sistemas - documento de padrões de segurança para cenários de consumo de APIs, autorização, autenticação e transferência de arquivos.
Demais requisitos de Segurança da Informação:
Gerenciamento das operações e comunicações
- Documentar os processos de operação, mantendo atualizados e disponíveis a todos os colaboradores.
- Procedimento formal de Gestão de Mudança e possuir de forma centralizada seus registros.
- Segregação de funções e áreas críticas para reduzir as oportunidades de acesso não autorizado, erros operacionais e vazamento de informação nos ativos da empresa.
- Diagramas e Topologia para obter uma melhor visualização e entendimento dos aspectos de segurança de rede (TI).
- Os ambientes de desenvolvimento, teste, homologação de sistemas devem ser segregados do ambiente de produção.
- Procedimentos de Segurança da Informação sobre eventual rede sem fio, incluindo responsabilidades operacionais sobre a rede, fluxo de solicitação, aprovação, implantação e revisão de regras de Firewall e roteadores.
- Controle formal para identificação de todas as mídias com informações sensíveis, conforme política de classificação da informação.
- Trocas de informações e software entre organizações devem ser realizadas de forma segura e criptografadas.
- Os registros dos logs devem ser armazenados de forma centralizada com proteções adequada em ambientes seguro e controlados.
- Data e Hora dos computadores, sistemas e dispositivos de controle de acesso físico devem estar sincronizadas com uma fonte confiável de tempo.
Segurança física e do ambiente
- Monitoramento por meio de CFTV dos locais críticos e restritos do ambiente da empresa.
- Controle de entrada física em áreas seguras, garantindo acesso somente às pessoas autorizadas.
- Controle de ameaças externas e do meio ambiente, por exemplo, existência de AVCB (Auto de Vistoria do Corpo de Bombeiros).
- Manutenção periódica nos ativos que suportam os processos da Telefônica Vivo, exemplo geradores.
- Processo de descarte e transporte seguro implantado e documentado para as mídias e equipamentos que manipulam informações da Telefônica Vivo.
- Procedimento formal para o controle da retirada e manutenção de equipamentos.