Serviços de Segurança Gerenciados pela IBM (Computação em ... · 3.6 Coleta e Arquivamento ......

INTC-8568-00 07-2010 Página 1 de 26

Serviços de Segurança Gerenciados pela IBM

(Computação em Nuvem)

–

Hosted Vulnerability Management

INTC-8568-00 07-2010 Página 2 de 26

4

4

5

5

6

6

6

6

7

8

8

9

9

9

9

12

13

14

14

14

15

15

16

16

16

Índice

1. Escopo do Trabalho................................................................................................................................................

2. Definições...............................................................................................................................................................

3. Serviços...................................................................................................................................................................

3.1 Centros de Operações de Segurança.........................................................................................

3.2 Portal..........................................................................................................................................

3.2.1 Responsabilidades da IBM em Relação ao Portal......................................................................

3.2.2 Responsabilidades do Cliente em Relação ao Portal.................................................................

3.3 Contatos dos Serviços................................................................................................................

3.3.1 Responsabilidades da IBM em Relação aos Contatos dos Serviços...........................................

3.3.2 Responsabilidades do Cliente em Relação aos Contatos dos Serviços......................................

3.4 Inteligência de Segurança..........................................................................................................

3.4.1 Responsabilidades da IBM em Relação à Inteligência de Segurança ........................................

3.4.2 Responsabilidades do Cliente em Relação à Inteligência de Segurança ...................................

3.5 Implantação e Ativação .............................................................................................................

3.5.1 Responsabilidades da IBM em Relação à Implantação e à Ativação.........................................

3.5.2 Responsabilidades do Cliente em Relação à Implantação e à Ativação..................................

3.6 Coleta e Arquivamento............................................................................................................

3.6.1 Responsabilidades da IBM em Relação à Coleta e ao Arquivamento .....................................

3.6.2 Responsabilidades do Cliente em Relação à Coleta e ao Arquivamento ................................

3.7 Monitoramento de Disponibilidade e Funcionamento do Agente Gerenciado..............

3.7.1 Responsabilidades de Monitoramento de Disponibilidade e Funcionamento do Agente Gerenciado da IBM..............................................................................................................................

3.7.2 Suas Responsabilidades de Monitoramento de Disponibilidade e Funcionamento do Agente Gerenciado ...........................................................................................................................................

3.8 Gerenciamento do Agente ...................................................................................................

3.8.1 Responsabilidades do Gerenciamento do Agente da IBM.............................................

3.8.2 Suas Responsabilidades do Gerenciamento do Agente ................................................

INTC-8568-00 07-2010 Página 3 de 26

17

17

17

17

17

17

17

18

18

19

20

20

20

22

22

22

22

23

23

3.9 Relatório de Serviços ............................................................................................................

3.9.1 Responsabilidades de Relatório de Serviços da IBM .....................................................

3.9.2 Suas Responsabilidades de Relatório de Serviços .........................................................

4. Serviços Opcionais................................................................................................................................................

4.1 Acesso Out-of-Band..............................................................................................................

4.1.1 Responsabilidades da IBM em relação ao Acesso Out-of-Band ..................................

4.1.2 Responsabilidades do Cliente em Relação ao Acesso Out-of-Band............................

4.2 Serviços do Fornecedor de Varredura Aprovado do PCI .................................................

4.2.1 Responsabilidades do Fornecedor de Varredura Aprovado do PCI da IBM ...............

4.2.2 Responsabilidades do cliente quanto ao Fornecedor de Varredura Aprovado do PCI

5. Acordos de Nível de Serviço (SLAs) ......................................................................................................................

5.1 Disponibilidade dos SLAs .........................................................................................................

5.2 Compensações de SLA .............................................................................................................

6. Outros Termos e Condições ............................................................................................................................

6.1 Geral .......................................................................................................................................

6.2 Permissão para Realizar Teste ...........................................................................................

6.3 Sistemas Pertencentes a Terceiros....................................................................................

6.4 Renúncia de Responsabilidade ..........................................................................................

6.5 Convênios do Setor de Cartões de Pagamento ................................................................

Descrição do Trabalho

Serviços de Segurança Gerenciados pela IBM (Computação em Nuvem) - Hosted Vulnerability Management

ALÉM DOS TERMOS E CONDIÇÕES ESPECIFICADOS ABAIXO, ESTA DESCRIÇÃO DO TRABALHO INCLUI AS “DISPOSIÇÕES GERAIS DOS SERVIÇOS DE SEGURANÇA GERENCIADOS PELA IBM” (“DISPOSIÇÕES GERAIS”) DISPONÍVEIS EM http://www.ibm.com/br/services/sps/iss/contracts_landing.phtml E INCORPORADAS AO PRESENTE INSTRUMENTO POR REFERÊNCIA.

1. Escopo do Trabalho Os Serviços de Segurança Gerenciados pela IBM (Computação em Nuvem) - Hosted Vulnerability Management (denominados "VMS" ou "Serviços") são serviços de varredura de vulnerabilidade concebidos a fim de oferecer ao Cliente as ferramentas necessárias para atender a um conjunto de necessidades (como suporte para auditoria interna e avaliação de riscos, conformidade regulamentar e requisitos de conformidade com os segmentos de mercado). O VMS inclui um conjunto abrangente de funcionalidades, embora o Cliente deva solicitar especificamente a configuração de um ambiente exclusivo, se desejar relatórios certificados do Fornecedor Aprovado de Varreduras (“Approved Scanning Vendor”) do Segmento de Mercado de Cartões de Pagamento ("PCI").

A IBM oferece o VMS como uma solução a ser operada pelo Cliente. A IBM fornece o aplicativo de varredura e o suporte técnico para o aplicativo; no entanto, o Cliente é responsável por operar os Serviços e pelos resultados alcançados pelos Serviços.

As decisões em relação a quais vulnerabilidades serão detectáveis pelo VMS são de critério exclusivo da IBM. Tais decisões serão baseadas na gravidade, na preponderância e na habilidade do VMS para detectar com segurança a vulnerabilidade, e a prioridade da vulnerabilidade em relação a outras ameaças sendo cobertas.

O VMS é fornecido em dois tipos distintos de varredura, os quais podem ser empregados juntos ou separadamente;

Externo – a IBM hospeda e gerencia scanners de vulnerabilidade na Internet. Tais scanners podem ser utilizados para fazer a varredura dos endereços IP de exposição pública e dos aplicativos da Web, e são concebidos para fornecer detecção de vulnerabilidades das exposições de risco de segurança abertas para a Internet.

Interno – permite que o Cliente avalie o estado das vulnerabilidades de segurança dentro da rede da sua corporação, utilizando um dispositivo de varredura no local gerenciado pela IBM (denominado "Agente"). Tais Agentes não devem ser usados para outros fins enquanto forem gerenciados pela IBM.

As características dos Serviços descritas no presente instrumento dependem da disponibilidade e da suportabilidade dos produtos em uso e suas respectivas características. É possível que nem todas as características do produto sejam suportadas – inclusive no caso de produtos suportados. A IBM disponibiliza informações acerca das características suportadas mediante solicitação. Isso inclui hardware, software e firmware da IBM e de terceiros.

2. Definições Condição de Alerta ("AlertCon") – uma métrica de risco global desenvolvida pela IBM por meio do uso de métodos exclusivos. A AlertCon se baseia em diversos fatores, incluindo a quantidade e a severidade das vulnerabilidades conhecidas, a exploração das referidas vulnerabilidades, a disponibilidade de tais explorações para o público, atividade de worm com propagação em massa e atividades de ameaça global. Os quatro níveis de AlertCon são descritos no portal de Serviços de Segurança Gerenciados pela IBM ("MSS IBM") (denominado "Portal").

Fornecedor Aprovado de Varreduras (“ASV”) – um provedor de solução de varredura de vulnerabilidade, aprovado pelo PCI SSC. Os ASVs prestam serviços para organizações que estão sujeitas aos padrões de segurança de dados do Segmento de Mercado de Cartões de Pagamento ("PCI").

Materiais de Apoio – incluem, entre outros, manuais de laboratório, anotações de instrução, bibliografia, metodologias, cursos eletrônicos e imagens, políticas e procedimentos de estudo de caso, bem como os demais materiais exclusivos de treinamento criados pela IBM ou em seu nome. Conforme o caso, os

INTC-8568-00 07-2010 Página 4 de 26

INTC-8568-00 07-2010 Página 5 de 26

Materiais de Apoio podem incluir manuais do participante, documentos com exercícios, documentos de laboratório e slides de apresentação fornecidos pela IBM.

Varredura de Vulnerabilidade Externa – varreduras de vulnerabilidade originadas a partir de um scanner da IBM localizado fora do seu ambiente físico. A s varreduras externas simulam o ponto de vista de uma ameaça externa (por exemplo, um hacker atingindo seu ambiente a partir da Internet pública).

Varredura de Vulnerabilidade Interna – varreduras de vulnerabilidade originadas a partir de um dispositivo de varredura localizado nas suas instalações. As varreduras internas poderão fornecer uma análise mais completa das máquinas-alvo ao evitar a interferência de firewalls e outros dispositivos de segurança.

Payment Card Industry Security Standards Council (“PCI SSC”) – a organização responsável por definir os padrões de segurança de dados para organizações que lidam com dados de cartão de crédito.

3. Serviços A tabela a seguir destaca as características mensuráveis dos Serviços. As seções posteriores contêm descrições que explicam cada característica.

Resumo das Características dos Serviços

Característica do Serviço

Métrica ou Qtd.

Acordos de Nível de Serviço

Disponibilidade dos Serviços

100%

SLA de disponibilidade dos Serviços

Disponibilidade do Portal MSS IBM

99,9%

SLA de disponibilidade do Portal do MSSI BM

Contatos de Segurança Autorizados

3 usuários

N/D

Alerta do funcionamento do agente

15 minutos

SLA de monitoramento pró-ativo do sistema

Quantidade/frequência da varredura externa/interna

Ilimitada

N/D

Implementação de varredura de vulnerabilidade

+/- 1 hora

SLA de implementação da varredura

Características dos Serviços do ASV do PCI

Métrica ou Qtd.


Solicitação de alteração do escopo do PCI

Ilimitada

N/D

Confirmação da solicitação de alteração do escopo do PCI

2 horas

SLA de confirmação da solicitação de alteração do escopo do PCI

Implementação da solicitação de alteração do escopo do PCI

72 horas

SLA de implementação da solicitação de alteraçãodo escopo do PCI

Solicitação de revisão da exceção de vulnerabilidade do PCI

Ilimitada

N/D

Resposta da solicitação de revisão da exceção de vulnerabilidade do PCI

72 horas

SLA de solicitação de revisão da exceção do PCI

Atestado de ASV do PCI

Um por trimestre

Indisponível

3.1 Centros de Operações de Segurança

Os Serviços de Segurança Gerenciados pela IBM são prestados por uma rede de Centros de Operações

INTC-8568-00 07-2010 Página 6 de 26

de Segurança IBM (“SOCs”). A IBM oferece acesso 24h aos SOCs.

3.2 Portal

Com o Portal, o Cliente tem acesso a um ambiente (e ferramentas associadas) criado para monitorar e gerenciar suas condições de segurança por meio da fusão de dados tecnológicos e de serviço oriundos de vários fornecedores e regiões em uma interface comum com base na Web.

Também é possível usar o Portal para fornecer Materiais de Apoio. Os referidos Materiais de Apoio não são vendidos, mas licenciados, e pertencem exclusivamente à IBM. A IBM concede uma licença ao Cliente de acordo com os termos e condições expostos no Portal. OS MATERIAIS DE APOIO SÃO FORNECIDOS "NO ESTADO EM QUE SE ENCONTRAM" E SEM NENHUMA ESPÉCIE DE GARANTIA OU INDENIZAÇÃO, SEJA EXPRESSA OU IMPLÍCITA, POR PARTE DA IBM, INCLUINDO, ENTRE OUTROS, GARANTIAS DE COMERCIABILIDADE, ADEQUAÇÃO PARA FINS ESPECÍFICOS E NÃO INFRAÇÃO DE DIREITOS DE EXCLUSIVIDADE E PROPRIEDADE INTELECTUAL.

3.2.1 Responsabilidades da IBM em Relação ao Portal

A IBM irá:

a. fornecer acesso 24h ao Portal. O Portal fornecerá:

(1) modelos de relatório e modelos de varredura padrão;

(2) alerta e reconhecimento de inteligência de segurança;

(3) informações de chamado de serviço;

(4) início e atualizações de chamados e fluxo de trabalho atualizações;

(5) bate-papo ao vivo e colaboração com analistas do SOC;

(6) um painel de relatórios com base em modelos;

(7) acesso aos resultados de varreduras;

(8) autorização para fazer o download de dados; e

(9) acesso a Materiais de Apoio de acordo com os termos e condições expostos no Portal; e

b. manter a disponibilidade do Portal de acordo com as métricas fornecidas na seção da presente

Descrição do Trabalho intitulada “Acordos de Nível de Serviço (SLA)”, “Disponibilidade do Portal”.

3.2.2 Responsabilidades do Cliente em Relação ao Portal

O Cliente concorda em:

a. utilizar o Portal para realizar as atividades diárias dos Serviços operacionais;

b. garantir que os funcionários com acesso ao Portal cumpram com os Termos e Condições de Uso expostos no mesmo, incluindo, entre outros, os termos associados aos Materiais de Apoio e outros itens passíveis de entrega, como relatórios sumários e relatórios de varreduras;

c. proteger apropriadamente as credenciais de acesso ao Portal (o que inclui não divulgá-las para pessoas não autorizadas);

d. notificar a IBM imediatamente em caso de suspeita de comprometimento das credenciais de acesso; e

e. indenizar e não responsabilizar a IBM por quaisquer perdas incorridas pelo Cliente ou outras partes resultando da não proteção das credenciais de acesso.

3.3 Contatos dos Serviços

O Cliente pode escolher entre múltiplos níveis de acesso ao SOC e ao Portal para acomodar as diferentes funções dentro de sua organização.


O Contato de Segurança Autorizado é responsável por tomar decisões quanto a todas as questões operacionais relacionadas aos Serviços de Segurança Gerenciados pela IBM.

Contatos Designados para os Serviços

O Contato Designado para o Serviço é responsável por tomar decisões quanto a um subconjunto de questões operacionais relacionadas aos Serviços de Segurança Gerenciados pela IBM, um Agente ou um grupo de Agentes. A IBM interagirá com o Contato Designado do Serviço somente quando as atividades

INTC-8568-00 07-2010 Página 7 de 26

operacionais fizerem parte do subconjunto pelo qual tal contato é responsável (ex., contato designado para falha no Agente).

Usuários do Portal

A IBM oferece múltiplos níveis de acesso aos usuários do Portal. Esses níveis de acesso podem ser aplicados a um Serviço de Segurança Gerenciado pela IBM, um Agente ou um grupo de Agentes. Os usuários do Portal serão autenticados por senha estática ou tecnologia de criptografia com chave pública fornecida pelo Cliente (ex., token RSA SecureID) e baseada em suas exigências.

3.3.1 Responsabilidades da IBM em Relação aos Contatos dos Serviços


A IBM irá:

a. autorizar o Cliente a criar até três Contatos de Segurança Autorizados;

b. fornecer a cada Contato de Segurança Autorizado:

(1) permissões administrativas do Portal para acessar os Agentes do Cliente;

(2) a autorização necessária para criar um número ilimitado de Contatos Designados para os Serviços e usuários do Portal;

(3) a autorização necessária para delegar a responsabilidade aos Contatos Designados para os Serviços;

c. estabelecer uma interface com os Contatos de Segurança Autorizados com relação a questões de suporte e notificação referentes aos Serviços; e

d. verificar a identidade dos Contatos de Segurança Autorizados usando um método de autenticação que utiliza passphrases pré-compartilhadas.


A IBM irá:

a. verificar a identidade dos Contatos Designados para os Serviços usando um método de autenticação que utiliza passphrases pré-compartilhadas; e

b. estabelecer uma interface apenas com Contatos Designados para Serviços em relação ao subconjunto de questões operacionais pelo qual tal contato é responsável.

Usuários do Portal

A IBM irá:

a. fornecer acesso ao Portal com capacidades que poderão incluir (conforme o caso): (1) o envio de solicitações de Serviços aos SOCs;

(2) bate-papo ao vivo com os analistas dos SOCs em relação a chamados ou incidentes específicos, gerados como parte dos Serviços;

(3) a criação de chamados internos relacionados aos Serviços e a atribuição de tais chamados

aos usuários do Portal;

(4) a consulta, a visualização e a atualização de chamados relacionados aos Serviços;

(5) a criação e a modificação de modelos de varreduras customizados (exceto modelos de PCI); (6) a criação e a modificação de modelos de relatórios customizados (exceto relatórios de PCI); (7) o envio de solicitações de exceção de vulnerabilidade;

(8) a revisão e a aprovação de exceções de vulnerabilidade (exceto exceções de PCI);

(9) a definição de locais de varredura (os endereços IP e os domínios da Web a serem incluídos no escopo da varredura) e os usuários e as políticas associados ao local (exceto escopos de PCI);

(10) o planejamento e a execução de varreduras; (11) o planejamento e a execução de relatórios;

b. autenticar os usuários do Portal utilizando uma senha estática; e

c. autenticar os usuários do Portal utilizando uma tecnologia de criptografia com chave pública fornecida pelo Cliente (ex., token RSA SecureID) e com base nas suas exigências.

INTC-8568-00 07-2010 Página 8 de 26

3.3.2 Responsabilidades do Cliente em Relação aos Contatos dos Serviços



a. fornecer à IBM informações de contato referentes a cada Contato de Segurança Autorizado. Tais Contatos de Segurança Autorizados serão responsáveis por:

(1) criar Contatos Designados para Serviços e delegar-lhes responsabilidades e permissões, conforme o caso;

(2) criar usuários do Portal;

(3) autenticar junto aos SOCs usando uma passphrase pré-compartilhada; e

(4) manter rotas de notificação e informações para contato, fornecendo tais informações à IBM;

b. assegurar-se de que haja ao menos um Contato de Segurança Autorizado disponível 24h;

c. informar a IBM, com três dias úteis de antecedência, em caso de alteração nas informações de contato; e

d. reconhecer que não pode ter mais do que três Contatos de Segurança Autorizados independentemente do número de serviços IBM ou subscrições de Agentes contratados.



a. fornecer à IBM as informações de contato e as responsabilidades de cada Contato Designado para os Serviços. Esses Contatos Designados para Serviços serão responsáveis por autenticar junto aos SOCs usando uma passphrase; e

b. reconhecer que um Contato Designado para Serviços talvez tenha de estar disponível 24h com base no subconjunto de responsabilidades pelo qual é responsável (isto é, falha no Agente).

Usuários do Portal


a. que os usuários do Portal utilizarão o Portal para realizar atividades diárias relativas aos Serviços operacionais;

b. responsabilizar-se por fornecer tokens RSA SecureID suportados pela IBM (conforme o caso); e

c. reconhecer que os SOCs interagirão somente com os Contatos de Segurança Autorizados e Contatos Designados para Serviços.

3.4 Inteligência de Segurança

A inteligência de segurança é fornecida pelo Centro de Análise de Ameaças IBM X-Force®. O Centro de Análise de Ameaças X-Force publica o nível de ameaça AlertCon na Internet. A AlertCon descreve posturas progressivas de alerta quanto às condições atuais de ameaças à segurança na Internet. Caso as condições de ameaças à segurança na Internet sejam elevadas à AlertCon 3, o que indica ataques direcionados que requerem ações defensivas imediatas, a IBM fornecerá ao Cliente acesso em tempo real ao seu resumo da situação global. Enquanto usuário do Portal, o Cliente tem acesso ao Serviço de Análise de Ameaças Hospedado no X-Force. O Serviço de Análise de Ameaças Hospedado no X-Force inclui acesso ao Insight Trimestral de Ameaças X-Force IBM (“IQ de Ameaças”).

Ao utilizar o Portal, o Cliente pode criar uma lista de acompanhamento de vulnerabilidade com informações personalizadas acerca das ameaças. Além disso, cada usuário do Portal pode optar por receber uma avaliação via e-mail a cada dia útil. Essa avaliação inclui uma análise das condições das ameaças atualmente conhecidas na Internet, dados de portas da Internet em tempo real e alertas, instruções e notícias de segurança personalizadas.

OBS.: O acesso e o uso, pelo Cliente, da inteligência de segurança fornecida por meio do Portal (incluindo o IQ de Ameaças e o e-mail diário com a avaliação da Internet) estão sujeitos aos Termos de Uso aqui contidos. Caso os Termos de Uso oponham-se aos termos e condições do presente Contrato, os Termos de Uso do Portal deverão prevalecer sobre o Contrato. Além dos Termos de Uso fornecidos no Portal, o uso, pelo Cliente, de quaisquer informações encontradas em links ou websites que não da IBM e recursos, está sujeito aos termos de uso postados nos referidos links, websites que não da IBM e recursos.

INTC-8568-00 07-2010 Página 9 de 26

3.4.1 Responsabilidades da IBM em Relação à Inteligência de Segurança

A IBM irá:

a. fornecer acesso ao Serviço de Análise de Ameaças Hospedado no X-Force;

b. fornecer nome de usuário, senha, URL e permissões apropriadas para acessar o Portal;

c. exibir informações de segurança no Portal conforme são disponibilizadas;

d. se configurado pelo Cliente, fornecer, via Portal, informações de segurança específicas para sua lista de acompanhamento de vulnerabilidade;

e. se configurado pelo Cliente, enviar diariamente um e-mail com a avaliação da segurança na Internet;

f. publicar uma AlertCon de Internet pelo Portal;

g. declarar emergência de Internet caso o nível diário da AlertCon chegue à AlertCon 3. Nesse caso, a IBM fornecerá acesso em tempo real ao resumo de sua situação global;

h. fornecer as funcionalidades das características do Portal para que o Cliente possa criar e manter uma lista de acompanhamento de vulnerabilidade;

i. fornecer informações adicionais sobre alertas, instruções ou outras questões de segurança significativas que a IBM considerar necessárias; e

j. fornecer acesso ao IQ de Ameaças por meio do Portal.

3.4.2 Responsabilidades do Cliente em Relação à Inteligência de Segurança

O Cliente concorda em usar o Portal para:

a. receber avaliações diárias por e-mail quanto à segurança da Internet, se desejado;

b. criar uma lista de acompanhamento de vulnerabilidade, se desejado; e

c. acessar o IQ de Ameaças.

d. fornecer o seu acordo para aderir ao contrato de licenciamento e não encaminhar informações de Serviços para indivíduos que não possuam uma licença própria.

3.5 Implantação e Ativação

No decorrer dos processos de implantação e ativação, a IBM trabalhará junto com o Cliente visando a implantar um novo Agente.

Obs.: As atividades de Implantação e Ativação são realizadas somente uma vez durante a prestação dos serviços. Se o Cliente optar por substituir ou transferir o Agente durante o contrato dos Serviços, a IBM pode solicitar que tal Agente seja reimplantado e reativado (processo denominado "Reimplantação"). Tais Reimplantações serão efetuadas mediante o pagamento de uma taxa adicional, conforme especificado no Programa. As taxas de reimplantação se aplicam apenas a substituições, atualizações ou transferências de hardware iniciadas pelo Cliente. Elas não são cobradas em caso de falhas no Agente resultantes de atividades de Autorização de Material de Devolução ("RMA") ao Agente.

3.5.1 Responsabilidades da IBM em Relação à Implantação e à Ativação

Atividade 1 - Início do Projeto

O objetivo desta atividade é conduzir a chamada de início do projeto. A IBM enviará um e-mail de boas-vindas e conduzirá uma chamada de início para um a três funcionários do Cliente, com até uma hora de duração, de modo a:

a. apresentar o Ponto de Contato do Cliente ao especialista em implantação designado pela IBM;

b. revisar as responsabilidades respectivas de cada parte;

c. estipular as expectativas do programa; e

d. começar a avaliar as exigências e o ambiente do Cliente.

Critérios de Conclusão:

Essa atividade será considerada concluída depois que a IBM efetuar a chamada de início do projeto.

Materiais Entregáveis:

● Nenhum

INTC-8568-00 07-2010 Página 10 de 26

Atividade 2 - Requisitos de Hardware de Agente de Varredura Interna

O objetivo desta atividade é estabelecer os requisitos de hardware para o(s) mecanismo(s) de varredura interna que será localizado nas suas instalações.

A IBM irá:

a. fornecer ao cliente um documento chamado "Instruções de Configuração do Scanner de Vulnerabilidade da Instalação do Cliente ("CPE"), que detalha:

(1) especificações de hardware que o cliente deve providenciar; e

(2) os passos que o cliente deve seguir para configurar e instalar os mecanismos de varredura interna para o uso com os Serviços;

b. fornecer ao cliente o acesso à imagem de software, incluindo o sistema operacional e o software de varredura para o hardware que o cliente fornecer.


Esta atividade estará completa quando a IBM tiver fornecido as Instruções de Configuração do Scanner de Vulnerabilidade da Instalação do Cliente ("CPE") ao seu Ponto de Contato.


● Instruções de Configuração do Scanner de Vulnerabilidade da Instalação do Cliente ("CPE")

Atividade 3 - Requisitos de Acesso de Rede para a Varredura Interna O objetivo desta atividade é estabelecer os requisitos de acesso à rede. A IBM irá:

a. fornecer ao Cliente um documento intitulado "Exigências de Acesso à Rede" que demonstre:

(1) como a IBM se conectará remotamente à rede do Cliente;

(2) as exigências técnicas específicas para habilitar tal conectividade remota;

Obs.: a IBM poderá alterar o documento intitulado "Exigências de Acesso à Rede", conforme o caso, ao longo da prestação dos Serviços.

b. como conectar-se à rede do Cliente pela Internet usando os métodos de acesso padrão da IBM; e

c. conforme o caso, como utilizar uma rede privada virtual ("VPN") site-to-site para conectar-se à rede do Cliente. A VPN será fornecida pela IBM mediante o pagamento de uma taxa adicional, conforme especificado no Programa.


Essa atividade será considerada concluída depois que a IBM entregar o documento intitulado "Exigências de Acesso à Rede" ao Ponto de Contato do Cliente.


● Documento com Exigências de Acesso à Rede

Atividade 4 - Avaliação

O objetivo desta atividade é realizar uma avaliação do seu ambiente atual, e dos seus objetivos de tecnologia e de negócios, e (se for aplicável) ajudar a desenvolver a estratégia de segurança exigida para a implementação e o uso de um Agente de varredura interna.

Tarefa 1 - Coletar Dados

A IBM irá:

a. fornecer ao Ponto de Contato do Cliente um formulário de coleta de dados no qual o Cliente deverá informar:

(1) nomes, informações de contato, funções e responsabilidades dos membros da equipe;

(2) exigências específicas do país e do local;

(3) número e tipo de usuários finais;

(4) motivadores-chave de negócios e/ou dependências que poderiam influenciar os prazos e as entregas dos Serviços; e

(5) domínios e endereços de IP do PCI sujeitos ao PCI (conforme for aplicável).

INTC-8568-00 07-2010 Página 11 de 26

Tarefa 2 - Avaliar o Ambiente para Varredura Interna

A IBM irá:

a. utilizar as informações fornecidas no formulário de coleta de dados para avaliar o seu ambiente existente;

b. determinar a colocação ideal do Agente; e

c. se for aplicável, fornecer recomendações para ajustar o layout da rede e das políticas de segurança a fim de permitir a varredura dos alvos desejados.


Essa atividade será considerada concluída depois que a IBM avaliar o ambiente do Cliente (se aplicável).


● Nenhum

Atividade 5 - Implementação para Varredura Interna

O objetivo desta atividade é implementar o(s) Agente(s).

Tarefa 1 - Configurar o Agente

A IBM irá:

a. avaliar remotamente o(s) Agente(s) para verificar que ele está de acordo com as especificações da IBM;

b. identificar o hardware do Agente que não esteja de acordo com os padrões suportados pela IBM; e

c. fornecer suporte telefônico ao vivo para ajudar o cliente a carregar a imagem de software e configurar o Agente com um endereço de IP público e configurações associadas. O suporte deve ser agendado com antecedência para assegurar a disponibilidade de um especialista de implementação da IBM.

Tarefa 2 - Instalar o Agente

A IBM irá:

a. fornecer suporte ao vivo, via telefone e/ou e-mail, para ajudar o cliente na localização dos documentos aplicáveis de fornecedor que detalhem os procedimentos da instalação física e o cabeamento. O suporte deve ser agendado com adiantamento para assegurar a disponibilidade de um especialista de implementação da IBM;

b. fornecer recomendações para ajustar o layout da rede para ajudar aprimorar a segurança (conforme for aplicável); e

c. configurar remotamente o Agente, incluindo o registro do Agente nainfraestruturado MSS da IBM.

Nota: O Cliente poderá contratar a IBM separadamente para fornecer serviços de instalação físicos.


Esta atividade estará completa quando o Agente tiver sido registrado nainfraestruturado MSS da IBM.


● Nenhum

Atividade 6 - Teste e Verificação

O objetivo desta atividade é testar e verificar os Serviços.

A IBM irá:

a. para cada Agente

(1) verificar a conectividade do Agente com a infraestrutura de MSS IBM;

(2) verificar a entrega de dados de varredura do Agente para ainfraestruturado MSS da IBM;

(3) verificar a disponibilidade e a funcionalidade do Agente no Portal;

(4) executar testes que garantam a qualidade do Agente;

b. realizar teste de aceitação de Serviços;

c. demonstrar remotamente as principais características do Portal para até dez funcionários do Cliente e por até uma hora.

INTC-8568-00 07-2010 Página 12 de 26


Essa atividade será considerada concluída depois que a IBM verificar a disponibilidade e a funcionalidade do Agente no Portal.


● Nenhum

Atividade 7 - Ativação dos Serviços

O objetivo desta atividade é ativar os Serviços. A IBM irá:

a. assumir o gerenciamento e o suporte dos Agentes;

b. colocar os Agentes no modo “ativo”;

c. transitar os Agentes para os SOCs para gerenciamento e suporte contínuos.


Esta atividade estará completa quando os Serviços estiverem ativados e os Agentes colocados no modo "ativo".


● Nenhum

3.5.2 Responsabilidades do Cliente em Relação à Implantação e à Ativação

Atividade 1 - Início do Projeto


a. participar da chamada de início do projeto; e

b. revisar as responsabilidades respectivas de cada parte.

Atividade 2 - Requisitos de Hardware do Agente de Scanner Interno

O Cliente concorda:

a. em fornecer hardwares compatíveis para o servidor com os requisitos do sistema contidos nas Instruções de Configuração do Scanner de Vulnerabilidade da Instalação do Cliente ("CPE") para quaisquer localizações para as quais o cliente solicite uma varredura interna;

b. em reconhecer que qualquer hardware que o cliente forneça que não seja compatível com os requisitos do sistema fornecidos pela IBM, poderá resultar em uma falha de operação ou instalação do pacote de software;

c. em seguir as instruções de configuração fornecidas para o carregamento e a configuração da imagem de software do mecanismo de varredura interna; e

d. em assegurar que qualquer hardware fornecido seja coberto por um contrato de serviço ativo durante toda a duração dos Serviços.

Atividade 3 - Requisitos de Acesso de Rede para a Varredura Interna


a. revisar e cumprir com o documento intitulado "Exigências de Acesso à Rede" da IBM durante a implantação e ao longo do contrato; e

b. ser o único responsável por quaisquer cobranças resultantes do uso de uma VPN site-to-site para a IBM conectar-se à sua rede.

Atividade 4 - Avaliação Tarefa 1 – Coletar Dados O Cliente concorda em:

a. preencher todos os questionários e/ou formulários de coleta de dados e devolvê-los à IBM dentro de cinco dias a contar do recebimento;

b. obter e fornecer as informações, dados, autorizações, decisões e aprovações aplicáveis exigidas pela IBM para executar a implantação dos Serviços, dentro de dois dias úteis a contar da data da solicitação;

c. trabalhar junto com a IBM, de boa fé, para avaliar seu ambiente de rede com precisão;

INTC-8568-00 07-2010 Página 13 de 26

d. indicar contatos dentro de sua organização, e especificar uma rota de notificação através da organização, para o caso de a IBM precisar fazer contato; e

e. informar a IBM, com três dias úteis de antecedência, em caso de alteração nas informações de contato.

Tarefa 2 - Avaliar o Ambiente para Varredura Interna

O Cliente concorda:

a. em implementar as mudanças necessárias no seu layout de rede e nas suas políticas de segurança para permitir a varredura dos alvos de varredura desejados; e

b. em situar Agentes de varredura em sua rede de modo que eles possam atingir os dispositivos de destino e de modo que firewalls e outros dispositivos de segurança não interfiram nas varreduras.

Atividade 5 - Implementação para Varredura Interna

Tarefa 1 - Configurar o Agente


a. fazer a atualização do seu hardware para estar de acordo com as especificações da IBM;

b. fazer o download e instalar a imagem de software do Agente fornecida pela IBM (isto é, carregar fisicamente a mídia conforme aplicável);

c. configurar o Agente com um endereço de IP público e outras configurações relacionadas; e

d. ajudar a IBM a preparar a política e a configuração do Agente existentes (se for aplicável).

Tarefa 2 - Instalar o Agente


a. trabalhar com a IBM na localização de documentos do fornecedor que detalhem os procedimentos da instalação física e o cabeamento.

O Cliente agendará tal suporte com antecedência, a fim de assegurar a disponibilidade de um especialista em implementação da IBM;

b. ser responsável pelo cabeamento físico e pela instalação física do(s) Agente(s);

c. realizar quaisquer ajustes especificados pela IBM no layout da sua rede e das suas políticas de segurança para permitir a varredura dos alvos de varredura desejados; e

d. situar Agentes de varredura na sua rede, de modo que eles possam atingir os dispositivos de destino, não permitindo que firewalls e outros dispositivos de segurança interfiram nas varreduras.

Atividade 6 - Teste e Verificação


a. responsabilizar-se pelo desenvolvimento de todos os planos específicos de teste de aceitação;

b. responsabilizar-se pela execução dos testes de aceitação dos aplicativos e da conectividade de rede; e

c. reconhecer que os testes de aceitação adicionais realizados pelo Cliente, bem como a ausência dos mesmos, não impedem a IBM de mudar o status do Agente para “ativo” nos SOCs para fins de suporte e gerenciamento contínuos.

Atividade 7 - Ativação dos Serviços

O Cliente reconhece que:

a. utilizará os Serviços para fazer a varredura apenas de endereços de IP e/ou domínios da Web que ele próprio possua ou tenha autoridade legal para realizar a varredura; e

b. para obter resultados de varredura precisos e completos, o cliente deve configurar e manter a sua topologia de rede e os seus dispositivos de segurança de modo a permitir o tráfego de varredura não-filtrado dos seus mecanismos de varredura para os seus alvos de varredura selecionados.

3.6 Coleta e Arquivamento

A IBM utiliza o Sistema de Proteção do X-Force para coletar, organizar, arquivar e recuperar relatórios e dados de varredura dos Serviços. O Portal fornece ao cliente uma visualização de 24 horas/dia, 7 dias/semana, nos Serviços, incluindo o acesso on-line ao histórico de varreduras e aos relatórios

INTC-8568-00 07-2010 Página 14 de 26

armazenados dentro da infraestrutura do Sistema de Proteção do X-Force.

3.6.1 Responsabilidades da IBM em Relação à Coleta e ao Arquivamento

A IBM irá:

a. coletar os dados de varredura gerados pelo(s) Agente(s) conforme esses dados atinjam a infraestrutura do MSS da IBM;

b. coletar os dados de varredura gerados pela infraestrutura de varredura externa da IBM;

c. limpar os logs de varredura temporários gerados por Agentes e scanners externos após importar os resultados de varredura para o banco de dados do Sistema de Proteção do X-Force;

d. se aplicável, tornar os resultados das varreduras individuais do PCI disponíveis para revisão no Portal por dois anos;

e. tornar os resultados das varreduras individuais que não sejam do PCI disponíveis para revisão no Portal por seis meses;

f. para as varreduras individuais que não forem do PCI, uma vez que o período inicial de seis meses tenha expirado, tornar os resultados resumidos das varreduras disponíveis por 18 meses; e

g. limpar os dados baseados nos períodos de retenção descritos acima.

3.6.2 Responsabilidades do Cliente em Relação à Coleta e ao Arquivamento

O Cliente concorda:

a. e reconhece que:

(1) a IBM limpará os logs de varredura temporários e os resultados de varredura individuais de acordo com os intervalos de tempo atestados na seção "Responsabilidades de Arquivamento e Coleta da IBM" acima;

(2) não obstante quaisquer períodos de retenção especificados na seção "Responsabilidades de Arquivamento e Coleta da IBM" acima, se os Serviços forem encerrados ou cancelados por qualquer razão que seja, a IBM estará livre da sua obrigação de armazenar os seus dados de Serviços;.

(3) todos os dados de varredura serão transmitidos para os SOCs pela Internet;

(4) a IBM apenas pode coletar e fazer a varredura de dados que atinjam com sucesso a infraestrutura do MSS da IBM; e

(5) a IBM não garante a submissão legal de quaisquer dados dos Serviços em qualquer sistema jurídico internacional ou nacional. A admissibilidade da prova é baseada nas tecnologias envolvidas e na sua capacidade de demonstrar o manuseamento apropriado de dados e a cadeia de custódia para cada conjunto de dados apresentados; e

b. em utilizar o Portal para rever os resultados de varredura.

3.7 Monitoramento de Disponibilidade e Funcionamento do Agente Gerenciado

A IBM monitorará o status de funcionamento e disponibilidade dos scanners internos. Esse monitoramento é projetado para auxiliar no tempo de atividade e disponibilidade crescente dos Agentes.

Dependendo do número de endereços de IP sob o contrato de Serviços do VMS ativo, a IBM monitorará um número específico de Agentes de acordo com a tabela abaixo.

Endereços de IP De Até

Número de Dispositivos Permitidos

1 199 2 200 999 6

1.000 2.999 12 3.000 29.999 16

Mais de 30.000 IPs um por 2.000 IPs

O cliente reconhece que, se solicitar Agentes adicionais, serão aplicados encargos adicionais de monitoramento de Agente.

INTC-8568-00 07-2010 Página 15 de 26

3.7.1 Responsabilidades de Monitoramento de Disponibilidade e Funcionamento do Agente Gerenciado da IBM

Atividade 1 - Monitoramento

O objetivo desta atividade é monitorar o funcionamento e o desempenho dos Agentes.

Monitoramento Baseado em Agente

A IBM instalará softwares nos Agentes para monitorar o desempenho e o funcionamento do sistema, e relatar as métricas de volta para os SOCs.

A IBM irá:

a. para as plataformas elegíveis, instalar softwares de monitoramento nos Agentes;

b. analisar e responder a métricas-chave, que poderão incluir: (1) capacidade do disco rígido;

(2) utilização da CPU;

(3) utilização da memória; e

(4) disponibilidade de processo; e

c. responder a alertas gerados pelo software de monitoramento.

Atividade 2 - Resolução de Problemas

O objetivo desta atividade é realizar uma pesquisa e uma investigação caso os Agentes não funcionem conforme o esperado ou se um problema em potencial de funcionamento do Agente for identificado.

A IBM irá:

a. criar um chamado de problema caso haja um problema de desempenho do Agente ou um problema em potencial de funcionamento do Agente;

b. iniciar uma pesquisa e uma investigação do problema documentado;

c. se o Agente for identificado como a fonte potencial de um problema relacionado à rede, examinar a funcionalidade e a configuração do Agente em busca de problemas em potencial; e

d. exibir o funcionamento do Agente e o chamado de interrupção no Portal.

Atividade 3 - Notificação

O objetivo desta atividade é notificar o cliente caso o Agente se torne inatingível através dos meios in-band padrão.

A IBM irá:

a. notificar o cliente se o Agente se tornar inatingível através dos meios in-band padrão. Tal notificação será por telefone utilizando um procedimento de notificação pré-determinado dentro do intervalo de tempo estabelecido na seção desta Descrição de Serviços intitulada de “Acordos de Nível de Serviço”, “Monitoramento de sistema proativo”;

b. iniciar a investigação de problemas relacionados à configuração ou à funcionalidade do Agente, após a iniciação da notificação por telefone; e

c. exibir o funcionamento do Agente e os chamados de interrupção no Portal.

3.7.2 Suas Responsabilidades de Monitoramento de Disponibilidade e Funcionamento do Agente Gerenciado

Atividade 1 - Monitoramento

Não são solicitadas responsabilidades adicionais do cliente para esta atividade.

Atividade 2 - Resolução de Problemas

O Cliente concorda:

a. em participar das sessões de resolução de problemas junto com a IBM (conforme for solicitado);

b. em ser responsável pelo fornecimento de toda a resolução de problemas e configuração remota, se

INTC-8568-00 07-2010 Página 16 de 26

tiver eleito não implementar uma solução out-of-band ("OOB"), ou se a solução OOB estiver indisponível por qualquer razão; e

c. em reconhecer que se o Agente gerenciado for eliminado como a fonte de um dado problema, nenhuma resolução de problemas adicional será realizada pela IBM.

Atividade 3 - Notificação


a. fornecer os seus caminhos de notificação e as suas informações de contato;

b. informar a IBM dentro de três dias corridos, quando as suas informações de contato mudarem; e

c. assegurar que um Contato de Segurança Autorizado ou um Contato de Serviços Designado para a interrupção do Agente esteja disponível 24 horas/dia, 7 dias/semana.

3.8 Gerenciamento do Agente As atualizações de segurança e de aplicativo de um Agente são componentes cruciais de uma corporação.

3.8.1 Responsabilidades do Gerenciamento do Agente da IBM

A IBM irá:

a. ser a fornecedora exclusiva do gerenciamento a nível de software para os Agentes;

b. manter o reconhecimento do status do sistema;

c. instalar atualizações de software e reparações a fim de melhorar o desempenho, ativar funcionalidades adicionais ou resolver um problema de aplicativo. A IBM não assume nenhuma responsabilidade por, e não faz nenhuma garantia em relação a, conteúdos de segurança, atualizações ou reparações provisionados por fornecedores.

d. declarar uma janela de manutenção em adiantamento a atualizações de Agente que possam exigir um tempo de inatividade ou a sua assistência para completarem; e

e. atesta claramente, dentro da notificação da janela de manutenção, os impactos esperados de uma manutenção planejada e os seus requisitos específicos.

3.8.2 Suas Responsabilidades do Gerenciamento do Agente

O Cliente concorda:

a. em realizar upgrades de hardware especificados pela IBM para suportar o firmware e o software atuais;

b. em trabalhar junto com a IBM para realizar atualizações do Agente (conforme for necessário);

c. em ser responsável por todos os encargos associados as atualizações de hardware;

d. em manter o licenciamento atual, e os contratos de manutenção e suporte também;

e. em assegurar que consentimentos apropriados estejam em ordem junto aos seus fornecedores para permitir que a IBM aproveite os contratos existentes de manutenção e suporte em seu nome. Se tais acordos não estiverem em ordem, a IBM não será capaz de contatar o fornecedor diretamente para resolver os problemas de suporte; e

f. e reconhece que:

(1) todas as atualizações são transmitidas e aplicadas pela Internet;

(2) a transmissão de dados pela Internet é criptografada utilizando-se, sempre que possível, algoritmos de criptografia avançada que são padrão neste segmento de mercado;

(3) se os consentimentos do fornecedor não forem obtidos ou forem revogados a qualquer momento durante o período do contrato, os Serviços e/ou os SLAs poderão ser suspensos pela IBM;

(4) a não-conformidade com os upgrades de software requisitados pela IBM poderá resultar na suspensão da entrega dos Serviços e/ou dos SLAs; e

(5) a não-conformidade com os upgrades de hardware requisitados pela IBM poderá resultar na suspensão da entrega dos Serviços e/ou dos SLAs.

INTC-8568-00 07-2010 Página 17 de 26

3.9 Relatório de Serviços Ao utilizar o Portal, o cliente terá acesso a informações de Serviços e relatórios com visualizações personalizáveis dos resultados de varredura e ativos.

3.9.1 Responsabilidades de Relatório de Serviços da IBM

A IBM fornecerá ao cliente acesso às possibilidades de relatório no Portal, que incluem:

a. o número de SLAs invocados e cumpridos;

b. os números, tipos e resumos dos chamados/solicitações de Serviços;

c. os detalhes das varreduras realizadas em uma variedade de formatos customizáveis e pré-definidos;e

d. tornar os relatórios gerados (PDF, CSV, XML, etc.) disponíveis para que o cliente faça o download a partir do Portal, durante um ano a partir da data de criação (dois anos para relatórios do PCI).

3.9.2 Suas Responsabilidades de Relatório de Serviços


a. gerar relatórios relacionados aos Serviços utilizando o Portal; e

b. ser responsável pelo agendamento de relatórios (conforme for aplicável).

4. Serviços Opcionais Os serviços opcionais selecionados pelo Cliente, assim como as cobranças adicionais por tais serviços, serão especificados na Programação.

4.1 Acesso Out-of-Band O acesso OOB é uma característica muito recomendada que ajuda os SOCs quando não há conectividade com o OA. Quando ocorrem tais problemas com a conectividade, os analistas do SOC podem acessar o modem para verificar se o OA está funcionando adequadamente e ajudar a determinar a fonte da interrupção antes de escalar.

4.1.1 Responsabilidades da IBM em relação ao Acesso Out-of-Band

Mediante solicitação do Cliente e sem cobranças adicionais, a IBM irá:

a. oferecer suporte ao vivo, via telefone e e-mail, para ajudar o cliente a localizar os documentos aplicáveis do fornecedor que detalham os procedimentos e o cabeamento de instalação física;

b. configurar o dispositivo OOB para acessar o OA; ou

c. trabalhar junto com o Cliente, de boa fé, para utilizar uma solução OOB pré-existente aprovada pela IBM.

4.1.2 Responsabilidades do Cliente em Relação ao Acesso Out-of-Band


a) no caso de novas soluções OOB:

1) adquirir um dispositivo OOB suportado pela IBM;

2) instalar e conectar fisicamente o dispositivo OOB ao OA;

3) providenciar uma linha telefônica analógica exclusiva para acesso;

4) conectar fisicamente o dispositivo OOB à linha telefônica exclusiva e manter a conexão;

5) responsabilizar-se por todas as despesas associadas ao dispositivo OOB e à linha telefônica; e

6) responsabilizar-se por todas as cobranças associadas ao gerenciamento contínuo da solução OOB;

b) no caso de soluções OOB pré-existentes:

1) assegurar-se de que a solução não permita que a IBM acesse dispositivos não gerenciados;

INTC-8568-00 07-2010 Página 18 de 26

2) assegurar-se de que a solução não exija a instalação de software especializado;

3) fornecer à IBM instruções detalhadas para acessar o OA gerenciado; e

4) responsabilizar-se por todos os aspectos do gerenciamento da solução OOB;

c) reconhecer que as soluções OOB pré-existentes devem ser aprovadas pela IBM;

d) manter atualizados os contratos de suporte e manutenção para o OOB (se necessário); e

e) responsabilizar-se por fornecer toda a configuração e troubleshooting remotos caso opte por não implementar uma solução OOB ou se, por algum motivo, a solução OOB estiver indisponível.

4.2 Serviços do Fornecedor de Varredura Aprovado do PCI O Cliente poderá solicitar que a IBM aja como um ASV para permitir o envio de relatórios de varredura certificados pelo ASV para os seus “Acquiring Banks” ou seus “Payment Brands”.

4.2.1 Responsabilidades do Fornecedor de Varredura Aprovado do PCI da IBM

Ao seu pedido, sem encargos adicionais, a IBM irá:

a. estabelecer um ambiente separado dentro do VMS para a realização de varreduras do PCI;

b. com a sua entrada, estabelecer sites dentro do VMS definindo os componentes de varredura (domínios e/ou endereços de IP) que estarão sujeitos à varredura do PCI;

c. conforme planejado pelo cliente, realizar varreduras de vulnerabilidades de acordo com o requisito 11.2 do Padrão de Segurança de Dados ("DSS") do PCI;

d. responder às solicitações de mudança de escopo do PCI (adições ou exclusões para o escopo do

PCI fornecido anteriormente) ao: (1) aceitar um número ilimitado de solicitações de mudança de escopo do PCI, por meio do

Portal;

(2) reconhecer as solicitações de mudança de escopo do PCI por meio do Portal dentro dos intervalos de tempo estabelecidos na seção desta Descrição de Serviços intitulada de “Acordos de Nível de Serviço”, “Reconhecimento de solicitação de alteração de escopo do PCI”;

(3) revisar as solicitações de mudança de escopo do PCI para verificar se o cliente forneceu a documentação adequada para justificar a mudança de escopo;

(4) implementar as mudanças de escopo do PCI dentro dos intervalos de tempo estabelecidos na seção desta Descrição de Serviços intitulada de “Acordos de Nível de Serviço”, “Implementação de Solicitação de alteração de Escopo do PCI”;

e. responder às solicitações de exceção de vulnerabilidade (por exemplo, falso-positivos suspeitos) ao:

(1) aceitar um número ilimitado de solicitações de exceção de vulnerabilidade enviados pelo cliente através do Portal;

(2) revisar as solicitações de exceção de vulnerabilidade para verificar se o cliente forneceu a documentação adequada para justificar a exceção solicitada;

(3) aprovar ou negar as solicitações de exceção de vulnerabilidade, ao exclusivo critério da IBM, dentro dos intervalos de tempo estabelecidos na seção desta Descrição de Serviços intitulada de “Acordos de Nível de Serviço”, “Resposta da solicitação de exceção de vulnerabilidade do PCI”;

f. produzir a ”cover sheet” do Atestado de Relatório de Varredura do ASV de Conformidade de Varredura e os relatórios de varredura, conforme solicitados pelo cliente para submissão aos “acquired Banks” e “payment brands”; e

g. reter relatórios de varredura e produtos de trabalho relacionados por dois anos, conforme solicitado pelos Requisitos de Validação para Fornecedores de Varredura Aprovados.

Nota: O seu acesso e o seu uso dos relatórios fornecidos pelo Portal também estão sujeitos aos Termos de Uso fornecidos no Portal. Quando tais Termos de Uso entrarem em conflito com os termos desta Descrição de Serviços ou quaisquer documentos de contrato associados, os Termos de Uso do Portal deverão prevalecer sobre esta Descrição de Serviços. Além dos Termos de Uso fornecidos no Portal, o seu uso de quaisquer informações em quaisquer links, ou sites da Web que não sejam da IBM, e recursos

INTC-8568-00 07-2010 Página 19 de 26

estão sujeitos aos termos de uso postados em tais links, sites da web que não são da IBM, e recursos.

4.2.2 Responsabilidades do cliente quanto ao Fornecedor de Varredura Aprovado do PCI

O Cliente concorda:

a. em identificar os usuários do Portal que estão autorizados a utilizar o ambiente do PCI dentro do VMS;

b. em definir o escopo da varredura de vulnerabilidade externa, o que inclui:

(1) fornecer para a IBM os nomes de domínio e/ou endereços de IP de todos os sistemas acessíveis via Internet;

(2) solicitar quaisquer mudanças de escopo do PCI por meio do Portal e fornecer uma justificativa precisa e completa para tais mudanças de escopo;

(3) implementar uma segmentação de rede apropriada para quaisquer endereços de IP externos excluídos;

c. em ser responsável por assegurar que o cliente possua a autoridade legal para fazer a varredura de endereços de IP e/ou domínios da Web no escopo do PCI solicitado;

d. e reconhece que o cliente é exclusivamente responsável pela exatidão e completude do escopo para varreduras do PCI (isto é, os domínios da Web e/ou os endereços de IP);

e. em assegurar que dispositivos não interfiram com a varredura do ASV, incluindo:

(1) configurar sistemas de detecção de intrusão (IDSs), sistemas de prevenção de intrusão (IPSs) e outros dispositivos, de modo que eles não interfiram com a varredura (por exemplo, permitir o acesso de rede não-filtrado temporário para os sistemas de destino dos sistemas de varredura externa da IBM);

(2) coordenar com a IBM se o cliente tiver balanceadores de carga em uso;

f. se balanceadores de carga estiverem em uso, em fornecer:

(1) garantia documentada de que a infraestrutura por trás do(s) balanceador(es) de carga está sincronizada em termos de configuração, ou

(2) garantia documentada de que o escopo do PCI fornecido para a IBM identifica unicamente todos os dispositivos balanceados de carga de modo que uma varredura completa possa ser realizada;

g. em ser responsável pela coordenação com o seu provedor de serviço de Internet ("ISP") e/ou provedores de hospedagem para permitir o tráfego de rede completamente não-filtrado entre os sistemas de varredura externa da IBM e a(s) sua(s) rede(s) de destino;

h. se o cliente contestar resultados de varredura para uma vulnerabilidade particular, o cliente irá:

(1) utilizar o Portal para solicitar um exceção e fornecer documentação suficiente a IBM para auxiliar a resolução e a investigação da IBM das provas contestadas (por exemplo falsos-positivos), e fornecer um atestado relacionado dentro do VMS;

(2) enviar provas geradas pelo sistema, como dumps de tela, arquivos de configuração, versões de sistemas, versões de arquivos, e uma lista de reparações instaladas. Tais provas geradas pelo sistema devem ser acompanhadas por uma descrição de quando, onde e como elas foram obtidas; e

(3) reconhecer que a IBM poderá solicitar que o cliente encomende (às suas custas) um Assessor de Segurança Qualificado ("QSA") do PCI antes de aprovar certas contestações (como controles de compensação propostos);

i. em utilizar o Portal para iniciar varredura;

j. em revisar o relatório de varredura e corrigir quaisquer vulnerabilidades notadas que resultem em uma varredura de não-conformidade;

k. em utilizar o Portal para iniciar uma nova varredura de quaisquer endereços de IP de não conformidade para obter uma varredura trimestral de passagem;

l. em utilizar o Portal para solicitar que a IBM produza o seu Atestado do ASV do PCI trimestral de Conformidade de Varredura;

m. em fazer o download dos relatórios de varredura do ASV completos e enviá-los para o seu adquirente ou para as suas marcas de pagamento, conforme direcionado pelas marcas de

INTC-8568-00 07-2010 Página 20 de 26

pagamento;

n. que ao fazer o download e enviar os relatórios do ASV para adquirentes ou marcas de pagamento, o cliente atesta e reconhece que:

(1) não mudou nem mudará ou alterará os relatórios do ASV gerados pelo sistema de qualquer maneira antes de enviá-los para os seus adquirentes ou marcas de pagamento;

(2) é responsável pelo escopo apropriado das varreduras e inclui todos os componentes na varredura que deveriam ser incluídos no escopo do DSS do PCI;

(3) implementou a segmentação de rede, caso quaisquer componentes sejam excluídos do escopo do DSS do PCI;

(4) forneceu provas completas e exatas para suportar quaisquer contestações sobre os resultados de varredura; e

(5) os resultados de varredura apenas indicam se os sistemas varridos estão em conformidade com o requisito (11.2 do DSS do PCI) de varredura de vulnerabilidade externa e não são uma indicação da conformidade global com quaisquer outros requisitos do DSS do PCI.

5. Acordos de Nível de Serviço (SLAs) Os SLAs IBM estabelecem objetivos de tempo de resposta e contramedidas para eventos específicos resultantes dos Serviços. Os SLAs entram em vigor quando o processo de implantação é concluído, o Agente é colocado no modo “ativo”, e o suporte e gerenciamento do Agente são colocados no modo “ativo” nos SOCs. Soluções para o SLA são disponibilizadas contanto que o Cliente cumpra com as obrigações definidas na presente Descrição do Trabalho e em todos os documentos associados do contrato.

5.1 Disponibilidade dos SLAs

Os padrões de SLA descritos abaixo incluem as métricas avaliadas quando da prestação dos Serviços. Salvo declaração explícita abaixo, nenhuma espécie de garantia se aplicará aos Serviços prestados sob a presente Descrição do Trabalho. As únicas compensações para o não cumprimento dos padrões de SLA são especificadas na seção da presente Descrição do Trabalho intitulada “Compensações de SLA”.

a. Disponibilidade de Serviços – A IBM fornecerá 100% de disponibilidade de serviço para os SOCs.

b. Disponibilidade do Portal – A IBM fornecerá 99,9% de acessibilidade para o Portal fora dos períodos de tempo especificados na seção desta Descrição de Serviços intitulada “Manutenção Planejada e de Emergência do Portal”.

c. Monitoramento do sistema proativo – A IBM notificará o cliente dentro de 15 minutos após a IBM determinar que o seu Agente está inacessível por meio de uma conectividade in-band padrão.

d. Implementação de varredura – A IBM começará a implementação de uma avaliação de vulnerabilidade planejada dentro de uma hora (mais ou menos uma hora) do período de tempo planejado pelo cliente (ou pela IBM em seu nome) e todas as varreduras serão completadas. Esse SLA se aplica apenas a solicitações de varredura configuradas corretamente, a Agentes das instalações do cliente que estejam on-line e acessíveis pela infraestrutura do SOC e a alvos de varredura que estejam completamente acessíveis do mecanismo de varredura designado.

e. Reconhecimento da solicitação de alteração de escopo do PCI – A IBM reconhecerá solicitações de mudança de escopo do PCI dentro de duas horas após tais solicitações tiverem sido enviadas por meio do Portal.

f. Implementação de mudança de escopo do PCI – A IBM implementará mudanças de escopo do PCI até 72 horas do recebimento de documentação aceitável e suficiente do cliente para justificar a mudança de escopo do PCI.

g. Resposta da solicitação de exceção de vulnerabilidade do PCI – A IBM responderá ou com uma aprovação ou uma negação da solicitação de exceção dentro até 72 horas do recebimento de documentação aceitável e suficiente do cliente para justificar a solicitação de exceção de vulnerabilidade do PCI.

Nota: O Cliente poderá enviar um número ilimitado de solicitações de exceção de vulnerabilidade do PCI; no entanto, apenas as primeiras 15 solicitações enviadas em um dado dia estarão sujeitas a esse SLA. Solicitações subsequentes (além das primeiras 15 recebidas em um dado dia) serão aceitas mas não serão tratadas como prioridade, e não serão ligadas a esse SLA.

5.2 Compensações de SLA

Disponibilidade de Serviços, disponibilidade do Portal, monitoramento do sistema proativo, implementação

INTC-8568-00 07-2010 Página 21 de 26

de varredura, reconhecimento da solicitação de alteração de escopo do PCI, implementação da solicitação de alteração de escopo do PCI, resposta da solicitação de exceção de vulnerabilidade do PCI – Se a IBM falhar em cumprir quaisquer desses SLAs, será emitido um crédito para os encargos aplicáveis para um dia dos encargos de serviço do VMS mensais.

Resumo dos SLAs e Compensações


Compensações de Disponibilidade

Disponibilidade dos serviços

Disponibilidade do portal

Monitoramento pró-ativo do sistema

Implementação da varredura Reconhecimento da solicitação de alteração de escopo Implementação da solicitação de alteração de escopo do PCI

Resposta da solicitação de exceção de vulnerabilidade do PC

Crédito para um 1 dia dos encargos de Serviços mensais

INTC-8568-00 07-2010 Página 22 de 26

6. Outros Termos e Condições

6.1 Geral O Cliente reconhece e concorda:

a. que todo software fornecido pela IBM como parte desses Serviços é licenciado, não vendido. Exceto para as licenças especificamente concedidas no presente documento, todos os direitos, títulos e interesses no e para o software deverão permanecer empossados na IBM ou em seus concessores de licença;

b. que informará a IBM por escrito, pelo menos 30 dias antes do cancelamento ou da rescisão dos Serviços, ou prontamente se a licença para o software de varredura for rescindida pela IBM por qualquer razão, ou se o cliente decidir:

(1) pedir para a IBM remover o software de varredura remotamente ou assistir o cliente na remoção do software de varredura; ou

(2) reter o software de varredura.

Se o cliente optar pela remoção do software de varredura, o cliente concorda em cooperar com a IBM fornecendo o acesso remoto necessário para que a IBM remova o software de varredura, ou ajudando a IBM na remoção do software de varredura

c. além dos termos e condições listados acima, termos específicos de licenciamento serão apresentados para a sua revisão e aceitação quando o cliente fizer o download e quando o cliente instalar o software.

6.2 Permissão para Realizar Teste Certas leis proíbem qualquer tentativa não autorizada de penetrar ou acessar sistemas de computador. O Cliente autoriza a IBM a realizar os Serviços conforme descritos no presente documento e reconhece que os Serviços constituem um acesso autorizado aos seus sistemas de computador. A IBM poderá divulgar essa concessão de autoridade para terceiros caso julgue necessário para a realização dos Serviços.

Os Serviços que a IBM realiza acarretam certos riscos e o cliente concorda em aceitar todos os riscos associados a tais Serviços; estipulado, no entanto, que isso não limita a obrigação da IBM em realizar os Serviços de acordo com os termos deste SOW. O Cliente reconhece e concorda o seguinte:

a. quantias excessivas de mensagens de log poderão ser geradas, resultando em um consumo excessivo de espaço em disco por arquivos de log;

b. o desempenho e o rendimento dos seus sistemas, assim como o desempenho e o rendimento de firewalls e roteadores associados, poderão ser temporariamente degradados;

c. alguns dados poderão ser temporariamente mudados como um resultado da análise de vulnerabilidades;

d. os seus sistemas de computador poderão sofrer interrupções e paralisações, resultando em uma falha de sistema ou em uma indisponibilidade temporária de sistema;

e. quaisquer soluções ou direitos do acordo de nível de serviço serão renunciadas durante qualquer atividade de teste;

f. uma varredura poderá disparar alarmes junto aos sistemas de detecção de intrusão;

g. alguns aspectos dos Serviços poderão envolver a interceptação do tráfego da rede monitorada com o objetivo de procurar por eventos; e

h. novas ameaças de segurança estão evoluindo de forma constante e nenhum serviço designado para fornecer proteção contra ameaças de segurança será capaz de tornar os recursos de rede invulneráveis contra tais ameaças de segurança ou assegurar que o serviço em questão tenha identificado todas as vulnerabilidades, exposições e riscos.

6.3 Sistemas Pertencentes a Terceiros Para sistemas (que aos propósitos desta provisão incluem, mas não estão limitados a, endereços de IP e aplicativos) pertencentes a terceiros que estarão sujeitos ao teste de acordo com o presente documento, o cliente concorda:

INTC-8568-00 07-2010 Página 23 de 26

a. que, antes de a IBM iniciar o teste no sistema de um terceiro, o cliente obterá uma carta assinada do proprietário de cada sistema autorizando a IBM a fornecer os Serviços naquele sistema, e indicando a aceitação, por parte do proprietário, das condições previstas na seção intitulada "Permissão para Realizar Teste" e fornecer para a IBM uma cópia de tal autorização;

b. em ser o único responsável pela comunicação de vulnerabilidades, exposições e riscos identificados nesses sistemas, pelo teste remoto da IBM, para o proprietário do sistema, e

c. em preparar e facilitar a troca de informações entre o proprietário do sistema e a IBM conforme a IBM julgar necessário.

O Cliente concorda:

d. em informar imediatamente a IBM sempre que houver uma mudança na propriedade de qualquer sistema que esteja sujeito ao teste de acordo com o presente documento;

e. em não divulgar os Materiais entregáveis, ou o fato de a IBM ter realizado os Serviços, fora da sua Corporação sem o prévio consentimento por escrito da IBM; e

f. em indenizar a IBM completamente por quaisquer perdas ou responsabilidades acarretadas à IBM em virtude de reclamações de terceiros oriundas da sua falha em cumprir com os requisitos desta seção intitulada "Sistemas Pertencentes a Terceiros", e por quaisquer intimações ou reclamações trazidas contra a IBM, ou contra os agentes e as subcontratadas da IBM, oriundas do (a) teste das vulnerabilidades, exposições e riscos de segurança dos sistemas que estão sujeitos ao teste de acordo com o presente documento, (b) fornecimento dos resultados do teste ao cliente, ou do (c) seu uso ou divulgação de tais resultados.

6.4 Renúncia de Responsabilidade O Cliente compreende e concorda que:

a. está unicamente a seu critério utilizar ou não utilizar qualquer uma das informações fornecidas correspondentes aos Serviços de acordo com o presente documento. Por conseguinte, a IBM não será responsável por quaisquer ações que o cliente realize ou escolha não realizar baseado nos serviços realizados e/ou nas entregas fornecidas de acordo com o presente documento;

b. a IBM não fornece serviços jurídicos ou representa ou garante que os serviços ou produtos que a IBM fornece ou obtém em seu nome assegurarão a sua conformidade com qualquer lei em particular, incluindo, mas não limitada a, qualquer lei relacionada à privacidade, segurança ou seguridade; e

c. é sua responsabilidade encarregar uma assessoria jurídica competente para advertê-lo quanto à identificação e à interpretação de quaisquer leis relevantes que possam afetar o seu negócio e quaisquer ações necessárias para a conformidade com tais leis.

6.5 Convênios do Setor de Cartões de Pagamento O Cliente reconhece que a IBM é um ASV e está operando sob um acordo atual com o SSC do PCI. De acordo com os termos de tal acordo, as seguintes provisões de fluxo passante são incorporadas nesta Declaração de Trabalho.

a. O Cliente reconhece e concorda que poderá fazer encomendas dos Serviços da IBM em relação à obrigação do Cliente de cumprir com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (“PCI-DSS”). O Cliente compreende que a administração do PCI-DSS em relação às avaliações de segurança é conduzida por grandes marcas de cartões de pagamento ("Marcas"), e tal administração é estabelecida com o SSC do PCI. O Cliente reconhece e concorda que escolheu a IBM para fornecer os Serviços a partir de uma lista de fornecedores aprovados publicada pelo SSC do PCI (a "Lista do ASV"). Além disso, o Cliente reconhece que, com o intuito de a IBM ser incluída na Lista do ASV, a IBM é requisita para assinar um acordo com o SSC do PCI (o “Acordo do ASV”), cujo formulário está localizado em www.pcisecuritystandards.org, “Validation Requirements for Approved Scanning Vendors (“ASVs”) Version1.2”, Appendix A “PCI ASV Compliance Test Agreement” . O Cliente também concorda que partes daquele acordo requerem que a IBM inclua certas provisões em seus acordos com os clientes.

(1) O Cliente compreende e concorda que a inclusão da IBM na Lista do ASV não é nem uma recomendação, endossamento ou garantia expressa ou implícita do SSC do PCI, ou de

http://www.pcisecuritystandards.org/

INTC-8568-00 07-2010 Página 24 de 26

qualquer um de seus membros, em relação à IBM, aos produtos e serviços da IBM, ou à funcionalidade, qualidade ou desempenho de qualquer aspecto de qualquer um dos precedentes. Além disso, o Cliente compreende e concorda que o SSC do PCI não requer que o Cliente utilize os serviços ou produtos da IBM. O Cliente também concorda que, para os objetivos desta seção de “Convênios do Setor de Cartões de Pagamento”, os termos em letras maiúsculas nos itens a. 2, 3, 4 e 5 abaixo deverão ter os significados atribuídos a eles no Acordo do ASV.

(2) O Cliente compreende e concorda que (i) a IBM poderá divulgar os resultados de avaliações e testes (incluindo relatórios de varredura) e informações relacionadas conforme solicitado pelo SSC do PCI e/ou seus Membros, conforme requisitado pelo Cliente, (ii) no caso amplo de que qualquer Membro obtenha tais informações de acordo com a cláusula precedente, tal Membro poderá divulgar tais informações para frente em uma base necessária para os respectivos Emissores Financeiros e Instituições Financeiras de tal Membro, e para relevantes órgãos, reguladores e inspetores jurídicos, regulatórios e governamentais, e (iii) a IBM poderá divulgar tais informações conforme necessário para cumprir com as suas obrigações e requisitos em relação ao Acordo do ASV, conforme especificado mais adiante na cláusula (4) abaixo. O Cliente concorda que o SSC do PCI ou o seu Adquirente poderá divulgar Informações Confidencias obtidas pelo SSC do PCI em conjunto com o Acordo do ASV para Membros de acordo com este item a.2, que poderão, em troca, divulgar tais informações para os seus respectivos membros de Instituições Financeiras e outros Membros. O Cliente consente em (i) tal divulgação por parte do SSC do PCI e seus membros e (ii) qualquer divulgação de Informações Confidencias, incluindo, sem limitação, os resultados de avaliação e teste (incluindo relatórios de varredura), e informações relacionadas, permitido por este item a.2. No caso amplo de o Cliente tiver qualquer acordo de confidencialidade com a IBM; os termos deste item a.2 são incorporados em tal acordo por esta referência.

(3) O Cliente compreende que a IBM concordou, no Acordo do ASV, em manter certa práticas de manipulação de proteção de dados em relação a Informações Pessoais, se houver alguma, recebidas pela IBM a partir do SSC do PCI ou qualquer Membro ou Cliente, e a IBM também concordou em tornar disponíveis para o PCI do SSC e seus Membros e/ou Adquirentes/Emissores tais relatórios e revisões apropriados para monitorar a conformidade da IBM com aqueles requisitos das práticas de manipulação de proteção de dados. O Cliente consente que a IBM faça o fornecimento de tais relatórios e revisões para o PCI do SSC e seus Membros e/ou Adquirentes/Emissores, e também concorda que deverá fornecer para o SSC do PCI ou qualquer Membro e/ou Adquirentes/Emissores tais relatórios e revisões apropriados para monitorar a conformidade da IBM com aqueles requisitos das práticas de manipulação de proteção de dados, conforme o SSC do PCI ou seus Membros e/ou Adquirentes/Emissores poderão razoavelmente solicitar de tempos em tempos.

(4) O Cliente também compreende que a IBM concordou, no Acordo do ASV, conforme solicitação por escrito do SSC do PCI ou qualquer Membro (cada um sendo uma “Organização Solicitante”), em fornecer para tal Organização Solicitante tais resultados de avaliação e teste (incluindo relatórios de varredura), conforme tal Organização Solicitante possa razoavelmente solicitar, no que concerne a (i) se a Organização Solicitante for um Membro, qualquer Cliente de Fornecedor para o qual a IBM tenha realizado uma avaliação e que seja uma Instituição Financeira do Membro, um Emissor do Membro, um Comerciante autorizado a aceitar os cartões de pagamento de tal Membro, um Adquirente de contas de Comerciantes autorizados a aceitar os cartões de pagamento de tal Membro ou um Processador realizando serviços para os Adquirentes, Comerciantes, Emissores ou Instituições Financeiras de tal Membro ou (ii) se a Organização Solicitante for o SSC do PCI, qualquer Cliente de Fornecedor para o qual o ASV tenha realizado uma avaliação ou teste. O Cliente consente a qualquer um tal divulgação de quaisquer resultados de avaliação e teste (incluindo relatório de varredura) em relação a ele e concede à IBM todas as licenças e direitos necessários, e outras permissões necessárias para que a IBM cumpra as suas obrigações e requisitos em conformidade com o Acordo do ASV.

b. Indenização do Cliente em relação aos Serviços do Setor de Cartões de Pagamento

Na medida em que a IBM fornece Serviços como um ASV, o Cliente deverá defender, indenizar e isentar a IBM de e contra todas as reclamações, perdas, responsabilidades, danos, reivindicações, processos, ações, procedimentos governamentais, impostos, penalidades ou juros, auditoria associada e despesas legais e outros custos (incluindo, entre outros, tarifas razoáveis com

INTC-8568-00 07-2010 Página 25 de 26

advogado e custos relacionados) oriundos de reclamações do PCI Security Standards Council LLC, seus Membros e seus respectivos subsidiários, e todos os afiliados, subsidiários, diretores, oficiais, funcionários, agentes, representantes, contratadas independentes, advogados, sucessores e designados de quaisquer um dos precedentes contra a IBM ou Afiliados da IBM em relação aos Serviços de acordo com este documento.

Serviços de Segurança Gerenciados pela IBM (Computação em ... · 3.6 Coleta e Arquivamento ......

Documents

Transcript of Serviços de Segurança Gerenciados pela IBM (Computação em ... · 3.6 Coleta e Arquivamento ......