CONTRATO DE PRESTAÇÃO DE SERVIÇOS MANAGED SECURITY ... · 1 CONTRATO DE PRESTAÇÃO DE SERVIÇOS - MANAGED SECURITY SERVICES Pelo presente instrumento particular, de um lado a

1

CONTRATO DE PRESTAÇÃO DE SERVIÇOS - MANAGED SECURITY SERVICES

Pelo presente instrumento particular, de um lado a TELEFONICA DATA S/A, inscrita no CNPJ/MF

sob o nº 04.027.547/0036-61, com sede na Cidade de Barueri, Estado de São Paulo, na Avenida

Tamboré, nº 341, parte, por sua filial de SÃO PAULO, inscrita no CNPJ/MF sob o nº

04.027.547/0032-38, estabelecida na Rua Uriel Gaspar, 206, parte, Tatuapé, São Paulo, SP, neste

ato devidamente representada em conformidade com seu Estatuto Social, doravante denominada

CONTRATADA e, de outro lado, a CONTRATANTE, devidamente qualificada nos Anexos

integrantes do presente contrato, têm ajustado entre si o que segue:

CLÁUSULA PRIMEIRA – OBJETO

1.1. O presente Contrato tem por objeto a prestação do serviço denominado “MANAGED

SECUITY SERVICES” pela CONTRATADA à CONTRATANTE, conforme detalhamento e

especificação técnica descritas nos documentos Anexos ao presente Contrato.

1.2. O serviço objeto deste Contrato é prestado pela CONTRATADA e a partir da solução

contratada e da infra-estrutura de segurança da CONTRATANTE.

1.3. Eventuais expansões, reconfigurações e alterações nas especificações técnicas solicitadas

pela CONTRATANTE poderão ser atendidas pela CONTRATADA, mediante envio de nova

Proposta Comercial por esta última.

1.4. O serviço objeto deste Contrato é prestado pela CONTRATADA a partir da filial localizada na

Cidade de Barueri.

CLÁUSULA SEGUNDA – DOCUMENTOS INTEGRANTES DO CONTRATO

2.1. Integram o presente Contrato, para todos os fins e efeitos de direito, como se nele

estivessem transcritos, os documentos abaixo mencionados, devidamente rubricados pelas

partes CONTRATANTES:

2.1.1. Anexo A - Proposta Técnica e Comercial de Prestação de Serviços de Managed

Security Services;

2.1.2. Anexo B – Solicitação de serviço;

2.1.3 Anexo C– Descritivo do Serviço contratado; e

2.1.4 Anexo D– Acordo de Níveis de Serviço (SLA).

2

2.2. Em caso de divergência entre o presente instrumento e os documentos relacionados na

cláusula acima, prevalecerá, onde couber, o presente instrumento.

CLÁUSULA TERCEIRA – VIGÊNCIA

3.1. O presente Contrato entrará em vigor na data de assinatura da Solicitação de Serviço

podendo ser prorrogado automaticamente por iguais e sucessivos períodos, desde que não

haja manifestação contrária de qualquer das Partes até 30 (trinta) dias antes de seu termo

final.

CLÁUSULA QUARTA – OBRIGAÇÕES E DEVERES DA CONTRATADA

4.1. Garantir à CONTRATANTE as condições de prestação dos serviços contratados, conforme

especificações constantes dos Descritivos e/ou da Proposta, durante toda a vigência do

presente Contrato.

4.2. Efetuar, sempre que necessário, a devida manutenção preventiva e/ou corretiva nos

equipamentos de sua propriedade, ou sob sua responsabilidade nos termos do presente

Contrato, necessários ao regular funcionamento dos serviços prestados à CONTRATANTE.

4.2.1. A CONTRATADA deverá comunicar à CONTRATANTE, com 01 (uma) semana de

antecedência, quando as manutenções efetuadas ocasionarem interrupção ou

degradação dos serviços prestados;

4.3. Atender às reclamações da CONTRATANTE, relativas a falhas ou degradações dos serviços.

Para efeitos do presente Contrato, será considerada indisponibilidade (“Indisponibilidade”) a

paralisação ou degradação do serviço que impossibilite seu uso pela CONTRATANTE,

conforme os parâmetros de disponibilidade estabelecidos no(s) Descritivo(s) e/ou Proposta.

Não serão objeto de desconto, e, portanto, serão expurgados do cálculo da Indisponibilidade,

os seguintes eventos:

4.3.1. Interrupções em que a CONTRATADA não tenha sido acionada pela CONTRATANTE

para reparar os serviços afetados, salvo se disposto de forma diversa no Descritivo

e/ou Proposta (contratação dos serviços de pró-atividade);

4.3.2. Interrupções dos serviços provocadas por causas imputáveis à CONTRATANTE;

4.3.3. Interrupções programadas para manutenção preventiva, desde que previamente

informada à CONTRATANTE, conforme item 4.2.1 do presente Contrato;

3

4.3.4. Interrupções mutuamente definidas pelas Partes;

4.3.5. Interrupções decorrentes de caso fortuito ou força maior.

4.4. A contagem do período de Indisponibilidade terá início com a abertura de um bilhete de

defeito, sendo encerrada por ocasião da baixa de referido bilhete quando da conclusão do

reparo.

CLÁUSULA QUINTA – OBRIGAÇÕES DA CONTRATANTE

5.1. Utilizar o(s) serviço(s) objeto do presente Contrato exclusivamente para os fins a que se

destinam, não lhe sendo permitido sublocá-los ou cedê-los a terceiros, a qualquer título,

sem prévia e expressa autorização da CONTRATADA. Para os fins da presente cláusula,

não será considerada transferência ou cessão a utilização por qualquer terceiro que, sob a

responsabilidade da CONTRATANTE e em conexão com sua atividade-fim, utilize-se do(s)

serviço(s) disponibilizado(s).

5.2. Não se utilizar de qualquer material cujos direitos autorais e/ou propriedade intelectual

estejam protegidos por lei ou sejam considerados, de alguma forma, nocivos.

5.3. Não se utilizar de programas de computador ou qualquer outro tipo de sistema que não

tenha sido adquirido de maneira formal e cuja autorização de uso não esteja válida.

5.4. Assumir integralmente, a qualquer título, toda responsabilidade decorrente de danos ou

prejuízos havidos e/ou originados do uso indevido da solução CONTRATADA por força do

presente Contrato, sem solidariedade da CONTRATADA.

5.5. Manter os seus dados cadastrais devidamente atualizados e comunicar qualquer alteração à

CONTRATADA.

5.6. Cumprir pontualmente com todas as obrigações financeiras previstas neste contrato e na

Proposta Comercial.

5.7. Assumir integralmente, sem solidariedade da CONTRATADA, seja a que título for, toda a

responsabilidade pelos serviços e/ou informações e dados que prestar e/ou que trafegar no

ambiente monitorado nos termos deste Contrato.

4

5.8. Providenciar a aceitação ou rejeição dos serviços entregues pela CONTRATADA em um

prazo máximo de 10 (dez) dias úteis a contar da data de ativação. Ultrapassado este prazo

sem que haja qualquer manifestação da CONTRATANTE, os serviços serão considerados

tacitamente aceitos.

5.9. Reconhecer o direito da CONTRATADA a efetuar interrupções no fornecimento do serviço,

mediante comunicação prévia à CONTRATANTE conforme item 4.2.1 deste instrumento,

reconhecendo, do mesmo modo, que tem conhecimento pleno de que os serviços poderão,

eventualmente, ser afetados, ou temporariamente interrompidos por motivos técnicos.

5.10. A CONTRATADA declara que os prepostos constantes na Solicitação de Serviços possuem

procuração para assumirem obrigações pela CONTRATADA.

CLÁUSULA SEXTA – DOS PREÇOS E DAS CONDIÇÕES DE PAGAMENTO

6.1. Pela prestação dos serviços objeto do presente Contrato, a CONTRATANTE deverá pagar

mensalmente à CONTRATADA os valores especificados na Proposta Comercial e na

solicitação de serviço que será devida a partir da ativação dos serviços e será cobrada por

meio do correspondente documento fiscal-fatura e/ou mediante a apresentação do

documento competente (“Documentos de Cobrança”).

6.2. O não-pagamento do valor na data de seu vencimento sujeitará a CONTRATANTE,

independentemente de qualquer aviso, às seguintes sanções moratórias:

6.2.1 Pagamento de multa moratória de 2% (dois por cento) aplicada sobre o valor total

do débito;

6.2.2 Juros de mora de 1% (um por cento) a.m. calculados, pro rata die, devidos a partir

do dia seguinte ao vencimento do débito até a data de sua efetiva liquidação; e

6.2.3 Atualização monetária calculada pela variação do IGP-DI (Índice Geral de Preços –

Disponibilidade Interna, publicado pela Fundação Getúlio Vargas) desde a data

seguinte ao vencimento do débito até o dia de sua efetiva liquidação.

6.3. Após 30 (trinta) dias de não-pagamento, contados da data de vencimento da fatura, de

quaisquer valores devidos, e sem prejuízo do disposto no item 6.2 acima, a CONTRATANTE

estará sujeita ao seguinte:

5

6.3.1 Suspensão da prestação do serviço, ficando o restabelecimento destes condicionado

à liquidação total dos débitos vencidos; e

6.3.2 Inclusão do débito no cadastro de empresas de proteção ao crédito, conforme

previsto na legislação aplicável.

6.4. A CONTRATANTE poderá contestar os valores constantes dos Documentos de Cobrança,

observando-se, para tanto, o seguinte:

6.4.1. A parcela incontroversa dos valores deverá ser paga na data do vencimento,

recaindo a contestação apenas sobre a parcela reputada indevida pela

CONTRATANTE;

6.4.2. A contestação deverá ser formulada em até 5 (cinco) dias contados da data de

vencimento do débito, por escrito ou através do meio indicado pela CONTRATADA,

acompanhada das respectivas fundamentações;

6.4.2.1. O prazo previsto no item 6.3 (e subitens) será suspenso na data de

formulação da contestação e apenas na hipótese da CONTRATADA

ter recebido dita contestação em até 5 (cinco) dias contados do

vencimento do débito. Contestações posteriores a este prazo não

implicarão na suspensão do prazo previsto no item 6.3.

6.4.3. A CONTRATADA apreciará e decidirá o pedido no prazo de 30 (trinta) dias contados

da data de apresentação da contestação, manifestando-se pela sua procedência ou

improcedência.

6.4.3.1. Em caso de procedência, a CONTRATADA emitirá, se necessário,

novo Documento de Cobrança, o qual deverá ser pago pela

CONTRATANTE no prazo nele indicado.

6.4.3.2. Em caso de improcedência, os valores constantes do Documento de

Cobrança contestado deverão ser pagos tão logo a CONTRATANTE

seja informada da decisão, acrescidos dos encargos previstos nos

item 6.2 incidentes desde a data de vencimento original do débito.

6.5. O não pagamento de qualquer valor devido por força do presente Contrato, após 90

(noventa) dias a contar do respectivo vencimento, dará direito à CONTRATADA de cancelar

6

o presente Contrato, sem prejuízo do recebimento dos valores até então não pagos, bem

como de aplicar as penalidades cabíveis.

6.6. As Partes elegem o Índice Geral de Preços – Disponibilidade Interna (“IGP-DI”) como fator

de correção monetária para o reajuste dos preços referidos no presente Contrato, o qual será

aplicado na menor periodicidade admitida pela legislação, que atualmente é de 12 (doze)

meses, a contar da data de assinatura da Solicitação. Na falta deste índice, será aplicado,

pro rata tempori, o índice oficial que vier a substituí-lo, ou, na ausência deste, o índice que

refletir mais eficientemente os efeitos inflacionários da moeda corrente nacional.

6.7. Caso a legislação venha a permitir reajustes em períodos inferiores, estes serão aplicados

automaticamente aos valores contratados.

6.8. Estão inclusos nos preços referidos neste Contrato todos os tributos (impostos, taxas e

contribuições) e demais encargos incidentes na prestação de serviços. Fica desde já

acordado entre as Partes que se houver a criação de novos tributos ou encargos incidentes

sobre os serviços objeto deste Contrato, ou se houver alteração nas alíquotas vigentes,

bases de cálculo, hipóteses de incidência, prazos ou condições de pagamento de tributos ou

encargos (“Alteração Tributária”) que afetem os custos da prestação dos serviços, para mais

ou para menos, os preços e valores afetados serão automaticamente alterados, de forma a

refletir o impacto relativo à Alteração Tributária, cumprindo à CONTRATANTE a absorção de

eventuais ônus ou benefícios decorrentes desta alteração.

6.9. O valor referente à instalação e/ou ativação dos serviços é devido no ato da solicitação e

cobrado na instalação/ativação do mesmo. Caso a CONTRATANTE venha a requerer o

cancelamento do serviço antes da instalação/ativação, o respectivo valor será cobrado no ato

do cancelamento para indenização dos custos operacionais.

6.10. Caso a CONTRATANTE solicite serviços de manutenção e suporte da CONTRATADA que

não estejam compreendidos no objeto do presente Contrato, esta solicitação deverá

sempre ser formalizada mediante Proposta Comercial, o qual terá caráter de aditamento

contratual.

CLÁUSULA SÉTIMA – PENALIDADES POR DESCUMPRIMENTO DE SLA

7.1. O Acordo de Níveis de Serviço (SLA) e suas penalidades aplicáveis encontram-se

detalhadas no Anexo D ao presente Contrato.

7

CLÁUSULA OITAVA – RESCISÃO

8.1. As Partes poderão denunciar antecipadamente o presente Contrato, mediante entrega de

notificação prévia, com antecedência mínima de 30 (trinta) dias à outra Parte, observado o

disposto no item 8.1.1 infra.

8.1.1. Caso a CONTRATANTE denuncie o Contrato nos termos do item 8.1 supra, deverá

pagar à CONTRATADA valor correspondente a 30% (trinta por cento) da soma das parcelas

vincendas do serviço contratado.

8.2. O presente Contrato poderá ser rescindido por qualquer das Partes, motivadamente, nas

seguintes hipóteses:

8.2.1. Qualquer das Partes deixar de cumprir as obrigações estipuladas no presente

Contrato, sem que sane a irregularidade em até 10 (dez) dias após recebida

notificação da outra Parte para que o faça, hipótese em que a parte infratora ficará

obrigada ao pagamento à outra Parte, no ato da rescisão, da quantia correspondente

a 30% (trinta por cento) do saldo remanescente do valor total atualizado do

Contrato, sem prejuízo de indenização por eventuais perdas e danos havidos.

8.2.2. Decretação de falência, requerida a recuperação judicial ou extrajudicial, ou

dissolução de qualquer das Partes;

8.2.3. Transferência ou cessão de direitos e/ou obrigações relacionadas ao presente

Contrato, sem prévia anuência da outra Parte;

8.2.4. Suspensão ou cassação da autorização concedida pelo Poder Público competente, ou

por imposição de disposições legais ou normativas.

8.3. Em qualquer hipótese de extinção do presente Contrato, ficará a CONTRATANTE obrigada

ao pagamento de eventuais débitos vencidos e não-pagos decorrentes da presente

contratação, até a data de extinção do Contrato.

8.4. A rescisão do Contrato será formalizada pelo competente Termo de Rescisão Contratual.

CLÁUSULA NONA- DAS COMUNICAÇÕES E REPRESENTANTES DAS PARTES

9.1 As comunicações e/ou notificações entre as Partes decorrentes do presente Contrato serão

feitas por carta registrada, fax ou e-mail, sendo consideradas como validamente recebidas

8

mediante a confirmação de recebimento pela outra Parte. Qualquer das Partes poderá

alterar o endereço para o qual as comunicações/notificações devem ser remetidas, devendo

informar à outra Parte acerca do novo endereço, dentro de um prazo de 05 (cinco) dias

contados a partir do evento que houver causado a alteração no endereço informado na

Proposta Técnica.

CLÁUSULA DEZ – DAS RESSALVAS

10.1 A CONTRATADA não é responsável pelo uso da CONTRATANTE do ambiente tecnológico

para o qual foram definidos os serviços prestados em razão deste Contrato, sendo, portanto,

de total responsabilidade da CONTRATANTE o uso do ambiente de acordo com as leis em

vigor e em estrita observância aos direitos de terceiros, comprometendo-se a não propagar

ou manter portal ou site na Internet com conteúdos que, mas não somente, (a) violem a lei,

a moral, a propriedade intelectual, os direitos à honra, à imagem, à intimidade pessoal e

familiar; (b) estimulem a prática de condutas ilícitas ou contrárias à moral; (c) incitem a

prática de atos discriminatórios, seja em razão de sexo, raça, religião, crenças, idade ou

qualquer outra condição; (d) coloquem à disposição ou possibilitem o acesso a mensagens,

produtos ou serviços ilícitos, violentos, pornográficos, degradantes; (e) induzam ou possam

induzir a um estado inaceitável de ansiedade ou temor; (f) induzam ou incitem práticas

perigosas, de risco ou nocivas para a saúde e para o equilíbrio psíquico; (g) sejam falsos,

ambíguos, inexatos, exagerados ou extemporâneos, de forma que possam induzir a erro

sobre seu objeto ou sobre as intenções ou propósitos do comunicador; (h) violem o sigilo das

comunicações; (i) constituam publicidade ilícita, enganosa ou desleal em geral, que

configurem concorrência desleal; (j) veiculem, incitem ou estimulem a pedofilia (k)

incorporem vírus ou outros elementos físicos ou eletrônicos que possam danificar ou impedir

o normal funcionamento da rede, do sistema ou dos equipamentos informáticos (hardware e

software) de terceiros ou que possam danificar os documentos eletrônicos e arquivos

armazenados nestes equipamentos informáticos.

10.2. É de inteira responsabilidade da CONTRATANTE a definição da Política de Segurança que

deve ser aplicada e/ou configurada pela CONTRATADA, devendo os dados necessários à

prestação do serviço contratado serem informados no prazo de 120 (cento e vinte) dias a

contar da assinatura deste Contrato, sendo que a CONTRATANTE garante e aceita, sem

restrições ou reservas, que a CONTRATADA será eximida de qualquer responsabilidade

pelos atos, danos e prejuízos sofridos pela CONTRATANTE e/ou por terceiros em

decorrência da utilização inadequada ou indevida dos serviços objeto do presente Contrato.

9

10.2.1 A responsabilidade da CONTRATADA quanto ao bloqueio/liberação de acessos

é exclusiva em relação à Política de Segurança da CONTRATANTE e futuros

documentos que reflitam a atualização dos parâmetros técnicos desta Política, onde a

inobservância do prazo acima estabelecido pela CONTRATANTE implicará na absoluta

isenção de responsabilidade da CONTRATADA na execução dos serviços contratados.

10.3. A CONTRATADA não garante que seus serviços ficarão sem interrupção ou que estarão

livres de erros.

CLÁUSULA ONZE – DA CONFIDENCIALIDADE

11.1. Cada uma das Partes, em virtude dos serviços contratados, poderão ter acesso a

informações privilegiadas ou confidenciais da outra Parte, assumindo reciprocamente o

compromisso de, salvo nas hipóteses previstas no item 11.2, a:

11.1.1 Não divulgar total ou parcialmente a existência, o objeto e/ou o conteúdo deste

Contrato a quaisquer terceiros, que não a seus respectivos administradores e

empregados, dos quais deverão exigir, sob sua exclusiva responsabilidade,

iguais obrigações de confidencialidade, sem prejuízo do disposto no item 12.16

infra;

11.1.2 Não permitir o acesso de terceiros às informações confidenciais da outra Parte,

que não seus respectivos administradores e empregados, e a estes apenas na

extensão necessária para permitir a concretização do objeto deste Contrato;

11.1.3 Não utilizar qualquer das informações, exceto para os fins previstos no

Contrato; e

11.1.4 Manter total confidencialidade em relação às informações recebidas, inclusive

zelando, com rigor, para que não haja circulação de cópias, e-mails, fax ou

outras formas de comunicação privada ou pública das informações, além da

estritamente necessária para o cumprimento deste Contrato.

11.2. As Partes declaram que não constituem infração ao disposto nesta Cláusula Décima

Primeira as hipóteses em que:

11.2.1 A informação torne-se disponível ao público em geral por meio que não resulte

de sua divulgação pelas Partes ou seus representantes, suas controladoras,

10

10

controladas ou empresas que, direta ou indiretamente, estão sujeitas ao mesmo

controle a que está sujeita a Parte;

11.2.2 A revelação seja exigida por autoridade governamental ou ordem de

juízo/tribunal competente sob pena de ser caracterizada desobediência ou outra

penalidade. Nessas hipóteses, o material a ser revelado deverá ser objeto de

toda a proteção governamental ou judicial aplicável, devendo a Parte que

estiver obrigada a revelar tais informações, notificar a outra Parte anteriormente

à sua divulgação; ou

11.2.3 A revelação seja previamente autorizada pela outra Parte, por escrito.

11.3. As Partes reconhecem que todas as informações confidenciais fornecidas constituem

propriedade exclusiva da Parte que as forneceu, e que sua revelação ou a celebração do

presente Contrato não implicam, de forma alguma, licença, autorização, concessão, cessão,

transferência, expressa, tácita ou implícita, de qualquer direito autoral, de propriedade

intelectual, idéia, conceito, marca, patente, ou outro direito de titularidade das Partes.

11.4. Para fins do presente Contrato, entende-se por informações confidenciais ou privilegiadas

toda e qualquer informação, e documentos de qualquer espécie que sejam entregues a

uma das Partes pela outra Parte, ou por seus consultores, auditores, contadores,

advogados, representantes e empregados, que sejam relativos aos negócios das Partes ou

aos negócios de seus clientes, fornecedores e associados, incluindo, mas sem qualquer

limitação, dados de gestão, dados financeiros e estratégias de mercado. As Partes deverão

instruir todos aqueles a quem fornecerem acesso a informações confidenciais da outra

Parte sobre a obrigação de sigilo e de não divulgação ora assumidas.

11.5. As Partes continuarão obrigadas a conservar e manter o mais estrito sigilo em relação às

informações confidenciais ou privilegiadas, obtidas em virtude da execução do Contrato,

por um prazo de 5 (cinco) anos contados de seu término.

11.6. A violação dos deveres estabelecidos nesta Cláusula Décima Primeira ou o descumprimento

dos deveres de confidencialidade estabelecidos neste instrumento, sujeitará a Parte

infratora ao ressarcimento de todos os prejuízos, incorridos pela Parte prejudicada por tal

violação, limitada esta obrigação de indenização exclusivamente aos danos diretos

devidamente comprovados que tal Parte prejudicada venha a sofrer em razão do

descumprimento dos deveres de confidencialidade aqui pactuados.

CLÁUSULA DOZE – DAS DISPOSIÇÕES GERAIS

11

11

12.1. Nenhuma das Partes responderá por insucessos comerciais, danos emergentes ou lucros

cessantes da outra Parte em decorrência da imperfeita execução do presente Contrato.

12.1.1.Sem prejuízo do disposto no item 12.1 acima, a responsabilidade das Partes

decorrente do descumprimento de quaisquer obrigações previstas no presente

Contrato será limitada, para efeitos de apuração de indenização, às perdas diretas

havidas pela parte prejudicada, não ultrapassando dito valor, em qualquer hipótese,

o montante equivalente a 30% (trinta por cento) do valor total deste Contrato.

12.2. Eventuais solicitações de ampliação, redução, reprogramação e/ou alteração feitas pela

CONTRATANTE, poderão ser objeto de estudo de viabilidade e de novo projeto técnico,

sendo a CONTRATANTE responsável por todos os custos adicionais decorrentes destas

solicitações, as quais serão formalizadas através de aditivo contratual.

12.3. A CONTRATANTE, para obter quaisquer esclarecimentos, terá à sua disposição a Central de

Relacionamento da CONTRATADA, pelo telefone nº 0800.0151.551. Poderá, ainda,

encontrar informações sobre os serviços ora contratados, no endereço eletrôni

www.vivo.com.br/empresas

12.4. As relações entre a CONTRATADA e a CONTRATANTE deverão ser sempre por escrito,

ressalvando os entendimentos verbais motivados pela urgência, que deverão ser

confirmados expressamente no prazo de até 5 (cinco) dias úteis.

12.5. Não constitui novação nem implica aceitação, renúncia ou consentimento qualquer tolerância

por uma das Partes quanto à inobservância, pela outra, de quaisquer cláusulas ou

disposições previstas no presente Contrato ou nos documentos que lhe são parte integrante.

12.6. A CONTRATADA não se responsabiliza por serviços prestados pela CONTRATANTE a

terceiros e, tampouco, por quaisquer dados trafegados no ambiente de Internet da

CONTRATANTE.

12.7. É de inteira e total responsabilidade da CONTRATANTE qualquer informação ou uso

inadequado que venha a prejudicar terceiros, inclusive por direitos que dizem respeito à

propriedade intelectual, respondendo pelo dano a que der causa, sem solidariedade da

CONTRATADA.

12.8. A titularidade de qualquer produto desenvolvido, seja programa, sistema, material escrito,

ou qualquer outro, pela CONTRATADA, no âmbito dos serviços aqui contratados, caberá

12

12

sempre à CONTRATADA não gerando qualquer direito à CONTRATANTE, salvo nos casos

em que tal desenvolvimento faça parte do projeto inicial e assim esteja expresso na

proposta.

12.9. Durante eventuais visitas de empregados, representantes e/ou terceiros designados pela

CONTRATANTE ao ambiente de prestação dos serviços contratados da CONTRATADA,

não será permitido àqueles tirar fotos e/ou filmar quaisquer partes das instalações desta

empresa. A CONTRATANTE será responsabilizada caso tal norma de segurança não seja

observada pelos agentes supracitados, podendo incorrer em penalidades por

inadimplemento, acordadas entre as Partes neste Contrato, sem prejuízo da indenização

por perdas e danos.

12.10. O presente Contrato não confere a qualquer das Partes poderes para assumir ou criar

qualquer obrigação, expressa ou implícita, em nome da outra Parte, nem representar a outra

como agente, funcionário, representante ou qualquer outra função, permanecendo cada qual

como inteiramente independente da outra.

12.11. Sendo uma das Partes compelida a participar de qualquer procedimento judicial ou

extrajudicial ou reclamação administrativa fundado em culpa da outra Parte, obriga-se esta

última a requerer a exclusão da Parte inocente da lide, na primeira oportunidade processual,

sem prejuízo de ressarcir a Parte inocente dos ônus legais e financeiros em que esta vier a

incorrer.

12.12. A CONTRATADA não se responsabiliza por eventuais falhas, atrasos ou interrupções na

prestação de serviço decorrentes de caso fortuito ou motivos de força maior, sendo estes

excludentes de responsabilidade nos termos do art. 393 do Código Civil Brasileiro, bem como

por limitações impostas por parte do Poder Público ou da atuação de operadoras de serviço

de telecomunicações interconectadas à rede da CONTRATANTE, ou, ainda, por má

utilização do serviço pela CONTRATANTE ou por qualquer outro fato alheio à

CONTRATADA.

12.13. É expressamente vedado à CONTRATANTE transferir, no todo ou em parte, os direitos,

obrigações e garantias decorrentes do presente instrumento, sem a prévia e expressa

anuência da CONTRATADA.

12.14. A CONTRATADA reserva-se ao direito de suspender a prestação dos serviços objetos do

presente Contrato, sem notificação prévia a CONTRATANTE, quando for constatada

qualquer infração ou violação ao disposto neste instrumento ou na Lei.

13

13

12.15. Caso o órgão regulador competente entenda e decida, em qualquer momento da presente

contratação, que a execução de todas ou quaisquer das disposições do presente

Instrumento violam qualquer dispositivo legal aplicável, as Partes desde já concordam que

a inexecução de todo ou em parte no presente Instrumento por esta justificativa não dará

direito à outra Parte a qualquer valor ou indenização.

12.16. Desde já a CONTRATANTE aceita e concorda que a CONTRATADA poderá dar publicidade

da presente contratação, a qualquer tempo, em mídia impressa e eletrônica, no território

brasileiro ou fora dele, exclusivamente para divulgação de case, sem que se caracterize uso

indevido de marca, nome comercial, imagem e/ou de quaisquer direitos do cliente.

CLÁUSULA TREZE – DO FORO

13.1. Fica eleito o foro da Comarca da Capital do Estado de São Paulo para dirimir quaisquer

questões relativas ao presente Contrato, com renúncia expressa de qualquer outro, por

mais privilegiado que seja.

Este documento encontra-se registrado no 10º Ofício de Registro de Títulos e Documentos de São

Paulo/SP sob o Nº 2078907, em 19/06/2015.

1

Anexo C

MANAGED SECURITY SERVICES

Descritivo do Serviço

Família de Serviços MSS

O MSS permite aos clientes delegar a gestão de dispositivos de segurança e o gerenciamento de incidentes de segurança das organizações a uma equipe técnica especializada, permitindo que os mesmos se concentrem em tarefas de maior valor para seus negócios.

O MSS tem como objetivo fornecer uma solução abrangente de segurança que proteja e possibilite a evolução dos negócios atuais e futuros dos clientes, baseando-se nos processos, pessoas e tecnologias do SOC da Telefônica | Vivo.

Este objetivo é atingido através de uma família de serviços projetados para fornecer segurança de perímetro ao cliente em diferentes aspectos, divida em dois grandes grupos: Gestão de Dispositivos de Segurança e Gestão de Incidentes de Segurança.

Gestão de Dispositivos de Segurança

Este grupo engloba os serviços prestados pela equipe técnica do SOC que possuem interação e integração com a infraestrutura de segurança do cliente, em maior ou menor escala, conforme o serviço contratado.

Manutenção

Este serviço fornece ao cliente o apoio técnico necessário para realizar o diagnóstico de eventos de falha em seus ativos de segurança. Através da análise dos logs do equipamento, o SOC determina se houve alguma avaria em um dos componentes de hardware dos ativos e identifica a necessidade ou não de sua substituição.

Este serviço funciona como uma camada de gestão do processo conhecido como RMA (sigla em inglês de return merchandise authorization). O SOC faz toda a interface entre o fabricante e o cliente, para a abertura do RMA e substituição do componente danificado. Sendo assim, para que este serviço seja ofertado, é necessário que o dispositivo do cliente possua um contrato de manutenção ativo com o fabricante ou que ainda esteja em garantia.

Uma vez que o cliente suspeita do mau funcionamento de um dos componentes de seus dispositivos de segurança, abre-se um chamado no SOC para o diagnóstico da situação. O SOC, como parte do processo de análise, solicita ao cliente o envio de determinados logs do equipamento. Com posse destas informações, o SOC avalia junto com o fabricante a questão. Uma vez identificada uma falha de hardware, o SOC inicia o processo de RMA do mesmo, tornando-se a interface do cliente de todo o processo perante o fabricante. Os possíveis custos de logística e emissão de notas fiscais para o envio do componente

2

defeituoso não estão inclusos na prestação do serviço, assim como os custos para desinstalação e preparo do equipamento defeituoso e instalação do novo equipamento.

Este serviço também possibilita a gestão dos contratos de manutenção do cliente com os fabricantes de seus dispositivos, auxiliando-o no processo de renovação destes contratos de manutenção (o custo dessas renovações não está incluído na prestação do serviço e deverá ser faturado independentemente).

Itens Opcionais

Adicionalmente às funcionalidades indicadas na prestação básica do serviço, pode se contratado o seguinte item opcional:

Atividade Preventiva: este serviço adicional contempla a revisão semestral dos registros e logs de

sistema dos dispositivos cobertos em busca de avisos e indícios de prováveis sintomas que

antecedem uma falha ou avaria..

Atendimento

O atendimento aos incidentes nos equipamentos mantidos ocorre em 24x7. O atendimento a consultas e a solicitações ocorre na modalidade 8x5.

Serviço

Atendimento a

Incidentes Solicitações Consultas

Manutenção 24x7 8x5 8x5

Manutenção - Atendimento

Consultas

São previstas as seguintes consultas para este serviço:

Lista de equipamentos incluídos no serviço de Manutenção;

Mapa de rede e de serviços;

Lista de contatos autorizados pelo cliente.

Solicitações

São previstas as seguintes solicitações para este serviço:

Manutenção em um equipamento individual;

Manutenção massiva em uma lista de equipamentos;

Modificação na lista de contatos autorizados do cliente;

3

Modificação no mapa de rede ou no mapa de serviços do cliente;

Modificação de endereço ou contato de acesso a um endereço (o novo endereço será avaliado pelo

SOC em relação à área geográfica contratada).

Supervisão

Este serviço possibilita a monitoração constante da capacidade e da disponibilidade da infraestrutura de segurança do cliente. Este tipo de monitoração é ponto chave para os processos de gestão de capacidade e disponibilidade do ambiente, permitindo aos administradores:

Compreender as atuais demandas sobre os recursos de segurança e criar previsões para futuras

solicitações;

Produzir um plano de capacidade que permitirá oferecer serviços na qualidade definida nos acordos

de nível de serviço da organização;

Avaliar se o nível de disponibilidade é sustentável e se possui um custo efetivo, permitindo o negócio

atingir seus objetivos de forma consistente.

A arquitetura de monitoração do SOC, , utiliza o protocolo SNMP para realizar os healthchecks nos componentes da infraestrutura do cliente. Os dados coletados são processados e disponibilizados em relatórios mensais. Se for identificado que algum componente atingiu certo nível de utilização (threshold), um alerta será gerado e será encaminhado para os técnicos responsáveis pela administração do ativo em questão.

As seguintes atividades serão executadas através do serviço de Supervisão:

Acompanhamento da saúde dos dispositivos supervisionados 24x7;

Comunicação de anomalias ao cliente, quando um componente monitorado apresentar índices não

usuais.

O serviço não inclui o desenvolvimento ou a implantação de agentes personalizados de monitoração, oferecendo a monitorização da saúde dos dispositivos através de um número predefinido de itens, conforme lista abaixo. Entretanto, estes itens nem sempre são suportados por todas as tecnologias, neste caso a informação não estará disponível.

Utilização da CPU;

Utilização de memória;

4

Utilização do disco;

Estado das interfaces de rede;

Temperatura;

Número de sessões de VPN;

Número de pacotes perdidos;

Número de pacotes negado;

Número de conexões;

Estado do cluster;

Estado de serviços.

Estas verificações são ativadas no momento de implantação do serviço, utilizando definições padrão de thresholds. Estes valores poderão ser ajustados com o apoio do cliente a fim de identificar quais situações normalmente não correspondem à normalidade dos serviços.

Relatórios Mensais

Serão apresentados mensalmente ao cliente, através de e-mail, um conjunto de com as seguintes informações:

Número de solicitações, incidentes e consultas efetuadas;

Tempo médio de resolução das solicitações, incidentes e consultas efetuadas;

Cumprimento de SLA;

Número de notificações enviadas ao cliente devido a alertas detectados;

Disponibilidade dos ativos monitorados;

Número de alertas detectados nos ativos monitorados;

Tempo sem serviço devido à manutenção programada nos ativos.

Itens Opcionais

Adicionalmente às funcionalidades indicadas na prestação básica do serviço, podem ser contratados os seguintes itens opcionais:

Sonda dedicada: trata-se de uma sonda que será instalada no site do cliente para a coleta dos dados

dos dispositivos monitorados. Utiliza-se a sonda dedicada em projetos em que o número de

5

dispositivos gerenciados é grande o suficiente ou em casos em que os equipamentos monitorados

estão em um local de rede que não é acessível facilmente por uma VPN ou conexão dedicada.

Requisitos Técnicos

Para que este serviço seja disponibilizado para o cliente é necessário que os ativos que serão monitorados suportem os protocolos SNMPv3 (preferencialmente) ou SNMPv2c. Também é necessário que tais ativos sejam configurados para permitirem o acesso SNMP de leitura a partir da arquitetura de monitoração do SOC.

Requisitos Comerciais

O serviço de Supervisão requer a contratação de, pelo menos, um dos seguintes serviços:

Administração;

Notificação de Incidentes;

Requisitos de Conectividade

Este serviço necessita conectividade 24x7 entre o SOC e os equipamentos do cliente.

Atendimento

A prestação do serviço para atendimento aos incidentes dos equipamentos supervisionados ocorre 24x7. O atendimento a consultas e modificações dos parâmetros de monitoração ocorre na modalidade 8x5.

Serviço

Atendimento a


Supervisão 24x7 8x5 8x5

Supervisão - Atendimento

Incidentes

Os seguintes tipos de incidentes podem ocorrer para este serviço:

Incidente num equipamento: indisponibilidade ou degradação da sonda de monitoração utilizada

para o serviço;

Notificação de alertas ao cliente que foram gerados pela ferramenta de monitoração.

6

Consultas


Lista de equipamentos supervisionados;

Variáveis e limites de supervisão aplicados;



Solicitações


Modificação nos parâmetros de supervisão de um equipamento;

Modificação massiva dos parâmetros de supervisão em uma lista de equipamentos;


Modificação no mapa de rede ou no mapa de serviços do cliente.

Administração

O objetivo do serviço de Administração é realizar a operação remota, gestão de mudança e gestão de configuração dos diferentes dispositivos de segurança do cliente, realizados remotamente pela equipe técnica do SOC.

Através desta modalidade, o cliente não necessita manter recursos qualificados e prover capacitação constante aos mesmos para operar sua infraestrutura de segurança, pois esta responsabilidade passa a ser do SOC, que realizará as seguintes atividades:

Participação na resolução de incidentes de segurança: os operadores de segurança passam a resolver

incidentes de segurança que ocorrem nos elementos administradas, detectados pelo monitoramento

ou informados pelos clientes;

Planejamento e implementação de mudanças: contempla a avaliação e implementação de mudanças

nos dispositivos por meio de solicitações do cliente ou por recomendação do SOC, baseados nas

melhores práticas de gestão. Esta atividade não contempla mudanças na arquitetura ou

funcionalidade dos elementos gerenciados, atividades cobertas através de um projeto especial ou de

consultoria;

Resolução de solicitações feitas pelos clientes: contempla a realização das tarefas operacionais

solicitadas pelo cliente, tais como executar backup de configurações, gerenciamento de usuários,

entre outros;

7

Gestão de suporte do fabricante: o SOC será responsável por acionar o suporte do fabricante

(considerando que o ativo tenha tal suporte) em casos em que tal apoio seja necessário;

Garantir o correto funcionamento dos dispositivos administrados: o SOC irá monitorar

funcionamento dos dispositivos de forma proativa, visando garantir o bom funcionamento e a

disponibilidade dos serviços;

Manter e atualizar o software do dispositivo: o SOC irá atualizar o software sempre que

recomendado pelo fabricante ou quando solicitado pelo cliente. Toda atualização será feita somente

se autorizada pelo cliente, através do processo de gestão da mudança. Esta atividade está incluída na

aplicação de patches para a resolução de incidentes, correção de vulnerabilidades e prevenção de

incidentes de segurança;

Desenvolvimento de scripts para uso interno e procedimentos necessários para o bom

funcionamento da infraestrutura de segurança gerenciada;

Identificação de riscos: o SOC informará o cliente dos possíveis riscos de segurança identificados

através da administração da infraestrutura ou através das ferramentas de administração;

Gestão do processo de correção de vulnerabilidades: uma vez identificada uma vulnerabilidade, o

SOC torna-se responsável por executar a correção da mesma, tomando as devidas ações sobre itens

gerenciados.

Relatórios Mensais

Serão apresentados mensalmente ao cliente, através de e-mail, um conjunto de informes com as seguintes informações:

Número total de dispositivos administrados;

Número de incidentes, solicitações e consultas efetuadas;

Número de incidentes, solicitações e consultas solucionadas;

Tempo médio de resolução dos incidentes, solicitações e consultas efetuadas;

Cumprimento de SLA;

Itens Opcionais


Horário estendido para solicitações: caso o cliente necessite de uma maior dedicação à resolução de

solicitações de alteração nos equipamentos, diferente do horário de 8x5 padrão para o serviço, ele

pode optar por um dos seguintes regimes de atendimento adicionais:

8

12x5: doze horas por dia, durante os dias úteis;

24x7: a qualquer hora, de qualquer dia, inclusive fins-de-semana e feriados.

Informes personalizados: o cliente pode optar pela adição de novos relatórios, aumento na

frequência de emissão dos mesmos e/ou pela personalização dos relatórios emitidos, permitindo o

agrupamento ou a geração de informações diferentes dos relatórios padrão. Neste caso é necessária

a validação do SOC quanto a disponibilidade dos dados desejados.

Requisitos Gerais

Os seguintes devem ser observados para a prestação de serviço:

A gestão dos usuários das ferramentas que compõem a solução de gestão será para uso exclusivo da

Telefônica | Vivo;

O cliente não poderá gerenciar os dispositivos em que este serviço é prestado;

A autenticação para acesso administrativo aos dispositivos ser dará através do serviço de

autenticação da Telefônica | Vivo;

Os dispositivos gerenciados devem ser sincronizados com servidor de tempo (NTP) da Telefônica |

Vivo.


O serviço de Administração requer a contratação do serviço de Supervisão, para que o SOC possa acompanhar o comportamento dos dispositivos administrados e agir, pró-ativamente ou reativamente, quando necessário.



Atendimento

A prestação do serviço para atendimento aos incidentes dos equipamentos supervisionados ocorre 24x7. O atendimento a consultas e solicitações do cliente ocorre, na modalidade básica, em 8x5, podendo ser modificada para 12x5 ou 24x7 se o cliente adquirir a opção de horário estendido correspondente.

Serviço Atendimento a

9


Administração (padrão) 24x7 8x5 8x5

Administração com horário estendido

12x5 24x7 12x5 12x5

Administração com horário estendido

24x7 24x7 24x7 24x7

Administração - Atendimento

Incidentes


Incidente num equipamento: indisponibilidade ou degradação do serviço de um equipamento

administrado.

Consultas


Lista de equipamentos supervisionados;

Lista de alterações pré-autorizadas pelo cliente;


Lista de contatos autorizados pelo cliente;

Solicitações


Alteração na política (regra em firewall, alerta IPS, etc) de um equipamento;

Modificação nos parâmetros de configuração de um equipamento;

Modificação na lista de alterações pré-autorizadas pelo cliente;



Gestão de Incidentes de Segurança

Este grupo engloba os serviços prestados pela equipe técnica do SOC que monitoram a infraestrutura de segurança do cliente visando identificar comportamentos que possam se transformar em ameaças e, se concretizadas, impactar o negócio do mesmo.

10

Os serviços são complementares entre si e o cliente pode contratar um ou mais módulos para um mesmo conjunto de equipamentos.

Alertas Online

Este é um serviço de assinatura que permite aos clientes receber notificações de segurança relacionadas ao seu parque tecnológico. O cliente irá receber, por e-mail, notificações sobre qualquer vulnerabilidade que surja em relação às tecnologias subscritas. Estas notificações contêm informações disponíveis sobre a vulnerabilidade conhecidas, incluindo software e versões afetadas, os sintomas, medidas preventivas sugeridas, entre outros. O serviço se baseia em fontes de informações externas e nas notificações dos próprios fabricantes. Uma vez que a informação é tornada pública, o serviço garante a notificação imediata para os clientes.

Os alertas são enviados, por padrão, no idioma inglês. O cliente, se desejar, pode optar por receber os alertas no idioma espanhol.

A assinatura básica do serviço permite que o cliente escolha até vinte tecnologias diferentes para receber notificações de vulnerabilidades. Cada subscrição é formada pelo conjunto fabricante, tecnologia e versão. Assim, por exemplo, as subscrições para Microsoft Sharepoint 2003 e Microsoft Sharepoint 2008 são consideradas como duas subscrições diferentes.

Relatórios Mensais

Além dos alertas enviados por e-mail, será apresentado mensalmente ao cliente, também através de e-mail, um relatório contendo o número de notificações enviadas agrupadas por tecnologias.

Opções Contratáveis


Tecnologias adicionais: pacote para o cliente incluir até cinco tecnologias adicionais em sua lista de

assinaturas, além das assinaturas do pacote básico.

Atendimento

A prestação do serviço para atendimento aos incidentes referente à plataforma de notificações ocorre na modalidade 24x7. O atendimento a consultas e modificações dos parâmetros das notificações ocorre na modalidade 8x5.

Serviço Atendimento a

11


Supervisão 24x7 8x5 8x5

Alertas Online - Atendimento

Incidentes


Indisponibilidade ou degradação no recebimento das notificações;

Indisponibilidade ou degradação do acesso ao Portal Hacking.

Consultas


Lista tecnologias subscritas;

Consultas de notificações já enviadas;

Lista de contatos autorizados do cliente;

Informação administrativa sobre o serviço.

Solicitações


Modificação na lista de tecnologias subscritas (adição ou exclusão), desde que não ultrapasse os

limites contratados;

Informação detalhada sobre um alerta;


Criação ou alteração de filtros de recepção de alertas.

Análise de Regras

O serviço de análise de regras tem como objetivo realizar uma auditoria nas regras e configurações de firewalls e outros equipamentos que atuam na camada de rede visando identificar parâmetros errôneos ou inseguros e conflitos de regras que podem colocar em risco os ativos dos clientes que estão sob a proteção destes dispositivos. Através deste serviço, a equipe de TI do cliente ganha uma ferramenta que aumenta consideravelmente a segurança dos seus firewalls e ativos de rede, liberando-os para atuar em atividades mais essenciais para os negócios da organização.

12

Uma equipe de especialistas examina as políticas e configurações dos dispositivos e emite um relatório e recomendações sobre os riscos encontrados. Esta análise inclui:

Configuration compliance: analisa a configuração do dispositivo visando identificar possíveis

fragilidades ou ameaças devido a erros em sua configuração (exemplo: senhas padrão, registro de

acesso não habilitado, acesso remoto não criptografado, entre outros);

Rule compliance: analisa as regras de firewall a partir de um conjunto de regras sintáticas pré-

definidas (exemplo: "any" não deve aparecer em dois campos de origem, destino e serviço, número

de portas permitidas por uma regra não deve exceder 1024, entre outros);

Access compliance: simula o tráfego através do firewall, analisando as regras envolvidas em cada

uma das interfaces. Assim, é possível verificar as regras configuradas com base em padrões como

PCI, NIST ou a própria política de segurança do cliente;

Rule analysis: realiza uma análise sobre as regras em busca de regras que nunca serão executadas,

porque há os anteriores que incluem (regras redundantes), ou regras que não são executados porque

são impedidas por regras anteriores (regras sombreadas).

Os relatórios gerados por este serviço estão no idioma inglês.

Modalidades

O serviço é ofertado em duas modalidades: Não Integrada e Integrada.

Não Integrada

Nesta modalidade não há acesso ao equipamento auditado, mas somente ao seu arquivo de configuração. Ao fim da análise é gerado um relatório com os detalhes das deficiências encontradas, além das propostas de melhorias.

A análise desta modalidade pode ter uma frequência fixa (recorrente, trimestral, semestral) ou pode ser feita pontualmente, uma única vez.

A análise é classificada (small, medium ou high) de acordo com o número de regras ou ACLs que serão analisadas.

Integrada

A modalidade integrada consiste na conexão da plataforma do SOC com os ativos do cliente, permitindo a obtenção das configurações em tempo real ou programada (por exemplo, diariamente) diretamente dos vários dispositivos que constituem a infraestrutura do cliente.

Esta modalidade inclui uma análise trimestral de regras, conforme descrição básica do serviço, e também fornece aos administradores de firewall as seguintes funcionalidades:

13

Acompanhando das alterações: gera-se uma comparação das alterações feitas nas configurações dos

equipamentos nos últimos 30 dias. Com esta informação, o cliente pode verificar se suas janelas de

alteração têm sido utilizadas, se nenhum novo recurso está ativado no firewall, se foi adicionado

administradores ou outras operações consideradas críticas;

Simulação de tráfego: permitir determinar a visibilidade da rede a partir de um ponto específico, o

que torna mais fácil saber o nível de acesso de um atacante, dependendo de sua localização na rede

(mediante abertura de solicitação);

Estatísticas de utilização de regras: realiza uma análise baseada nos logs do firewall, permitindo obter

estatísticas sobre o uso de cada uma das regras a partir do número de logs gerados por cada uma

delas, permitindo otimizar a ordem de avaliação das regras do firewall.

Nesta modalidade a classificação (small, medium ou high) ocorre de acordo com o número de dispositivos que serão analisados.

Relatórios Mensais

Os relatórios do serviço diferem em conteúdo dependendo da modalidade contratada.

Não Integrada

Nesta modalidade é disponibilizado um relatório pós-auditoria no Portal Hacking, contendo as seguintes informações:

Ativos auditados;

Data e hora da janela de auditoria;

As não-conformidades detectadas com recomendações para a correção;

Integrada

Nesta modalidade, além das informações contidas no relatório pós-auditoria do modelo Não Integrada, os relatórios também contém:

Acompanhamentos das alterações;

Estatística de utilização das regras.


Este serviço somente poderá ser oferecido para equipamentos suportados pela plataforma de análise de regras do SOC.

Nos firewalls que suportam virtualização, ou seja, aqueles nos quais é possível criar várias estâncias lógicas de firewall num mesmo equipamento físico, cada firewall virtual é tratado pelo serviço como um firewall independente. Sendo assim, cada firewall virtual presente num equipamento deve ser considerado separadamente na precificação do serviço, embora

14

seja possível escolher dentre os firewalls virtuais de um equipamento quais que serão analisados, conforme a prioridade para o cliente.


Este serviço, para a modalidade integrada, necessita conectividade entre o SOC e os equipamentos do cliente.

Atendimento

A prestação do serviço ocorre na modalidade 8x5.

Incidentes


Indisponibilidade ou degradação da plataforma de análise utilizada para o serviço.

Consultas


Informações administrativas sobre o serviço;

Consulta do planejamento de análises e ativos a serem analisados;


Solicitações


Simulação de alteração de regras de firewall (Integrada);

Solicitação de execução de uma análise (Não Integrada);

Certificação de correção de não-conformidade;

Modificação dos ativos alvos de análise;

Modificação do planejamento de uma análise (data ou janela de execução);



Gestão de Vulnerabilidades

Este serviço possibilita a realização de auditorias de segurança em sistemas, servidores, dispositivos de comunicação e serviços de rede (DNS, LDAP, Active Directory e SMTP) e

15

também oferece o gerenciamento de ciclo de vida das vulnerabilidades detectadas nesta infraestrutura.

O serviço abrange a necessidade de gerir o ciclo de vida associada às vulnerabilidades identificadas em ativos críticos da organização, através da repetição periódica das análises, permitindo aos clientes consultar as vulnerabilidades que afetam seus ativos através uma plataforma web e tomar uma decisão referente ao tratamento das mesmas. O cliente vai se beneficiar do uso desta plataforma de serviços através de um controle rigoroso das decisões tomadas em relação às vulnerabilidades encontradas.

A execução deste serviço baseia-se nas seguintes etapas:

Definição dos testes;

Execução dos testes;

Apresentação dos resultados;

Monitoramento das vulnerabilidades reportadas.

A execução deste serviço pode ter uma frequência fixa (recorrente, trimestral, semestral) ou pode ser feita pontualmente, uma única vez.

Entre os benefícios deste serviço, destacam-se:

Identificação das vulnerabilidades no ambiente;

Mapeamento proativo das ameaças existentes;

Maior controle sobre os potenciais de riscos.

Definição dos testes

Esta etapa concentra-se no levantamento dos parâmetros e escopo dos testes a serem realizados, através da definição da modalidade de auditoria, do tipo de auditoria, do ambiente a ser analisado e data e janela de execução, assim como as restrições impostas pelo cliente.

Modalidades de auditoria

O serviço pode ser oferecido nas modalidades automática e manual. A automática consiste na execução de uma série de ferramentas de auditoria de segurança e posterior análise dos resultados, a fim de excluir falsos positivos e vulnerabilidades notificadas em uma análise anterior.

A modalidade manual agrega valor ao serviço uma vez que a auditoria é realizada por uma equipe técnica altamente qualificada (ex.: CISSP, CEH) que, através do estudo do elemento auditado, executa testes e verificações específicas aos possíveis pontos de falha.

16

Este tipo de auditoria geralmente oferece um maior número de conclusões. Assim, em um escopo de serviço anual, recomenda-se que ambas as modalidades sejam contratadas, pois os resultados da modalidade manual são complementados com os da automática e, entre os testes manuais, a execução dos testes automáticos cobrem possíveis ocorrências de novas vulnerabilidades.

Tipo de auditoria

Para a modalidade manual oferecem-se dois tipos de auditoria: caixa-preta e caixa-branca.

As provas de caixa-preta consistem no lançamento de tentativas de intrusão para detectar vulnerabilidades sem o conhecimento prévio dos detalhes da infraestrutura do cliente. Tais testes são normalmente realizados a partir da internet.

Os testes caixa-branca consistem no lançamento de tentativas de intrusão para detectar vulnerabilidades com o conhecimento prévio dos detalhes da infraestrutura tecnológica auditadas, como os arquivos de configuração dos elementos, as tabelas de roteamento, regras de firewall, informações sobre a arquitetura, contas de usuários ou quaisquer outras informações relevantes que não teria, a priori, um usuário malicioso.

Enquanto os testes de caixa-branca possuem uma maior profundidade uma vez que os ataques são dirigidos de uma forma muito mais concreta, é interessante notar que as auditorias de caixa-preta simulam a visão de um atacante externo à organização.

Ambiente auditado

O serviço está disponível para ser executado em três tipos de ambiente.

Sistemas, servidores e elementos de comunicação:

Neste tipo de auditoria executa-se um conjunto de testes a fim de descobrir vulnerabilidades no

contexto do sistema operacional, configuração das listas de controles de acesso (ACL), acesso a

módulos de administração, interceptação de comunicações que possa comprometer as aplicações

que residente nesses servidores/sistemas ou aos dados que são transmitidos por dispositivos de

comunicação auditados. Entre outros, os testes realizados podem ser agrupados em:

Identificação de serviços ativos;

Identificação de softwares instalados;

Detecção da arquitetura do sistema;

Detecção de versões de software;

Execução de exploits conhecidos;

Buffer overflow nos parâmetros de protocolo;

Negação de serviço (DoS) visando exploração de falhas de configuração;

17

Exploração de relações de confiança entre servidores;

Autenticação por força bruta;

Acesso não autorizado aos módulos de administração;

Evasão de listas de controle de acesso (ACLs);

Implementação de ataques man-in-the-middle;

Acesso a serviços com acesso controlado pelo firewall.

Ataques aos protocolos do modelo OSI.

Serviços de rede DNS, SMTP, Active Directory e LDAP:

Neste tipo de auditoria executa-se um conjunto de testes com o objetivo de encontrar

vulnerabilidades no contexto do serviço de rede, sem incluir testes que afetem o sistema operacional

em execução. São executados testes dirigidos especificamente aos serviços, como:

DNS: tentativa de transferências de zona, injeção de conteúdo em cache, alteração de registros,

execução de exploits conhecidos, testes de usuários e senha padrão, entre outros;

LDAP e/ou Active Directory: listagem de recursos, obtenção de credenciais, alteração de políticas de

grupo, adição de máquinas ao domínio, execução de exploits conhecidos, testes de usuários e senha

padrão, etc..

SMTP: identificação de serviço, testes de relay aberto, execução de exploits conhecidos, testes de

usuários e senha padrão, entre outros.

Janela de execução e restrições

Deve-se definir em conjunto com o cliente a programação de auditorias a serem realizadas (datas e horários). Determinados clientes podem determinar que os testes ocorram em uma janela específica, de acordo com os seus parâmetros de negócio. Além disso, o cliente do serviço pode indicar uma série de restrições à realização da auditoria, tais como a execução dos testes de um endereço IP específico, excluir uma série de ataques que o mesmo considera perigosos, e assim por diante.

Estas informações são pré-requisitos para a fase de implantação do serviço, visando garantir a execução do teste dentro dos parâmetros estabelecidos.

18

Execução dos testes

Durante este processo é realizado de auditoria de segurança com os parâmetros indicados na fase de planejamento, visando identificar se o ambiente alvo é vulnerável (baseado em ferramentas de software para detectar vulnerabilidades e brechas de segurança ou através de testes manuais).

Apresentação dos resultados

Após os testes, classificam-se os riscos associados às vulnerabilidades reportadas, baseado no padrão CVSS (Common Vulnerability Scoring System), assim como os ativos expostos, de modo que a equipe de segurança do cliente possa definir um plano de ação para as vulnerabilidades encontradas. O padrão CVSS é utilizado por se tratar de um sistema de pontuação de vulnerabilidades projetado para fornecer um método aberto e padronizado para avaliação de vulnerabilidades de TI, amplamente adotado pelas organizações.

Os resultados serão disponibilizados através de portal, que pode ser acessado pelo cliente do serviço para que possa acompanhar as vulnerabilidades identificadas. O portal e relatórios serão disponibilizados no idioma inglês.

Monitoramento das vulnerabilidades reportadas

Uma vez que as vulnerabilidades tenham sido registradas no portal, o cliente deve realizar a gestão das mesmas, indicando as ações a serem tomadas para cada uma das vulnerabilidades encontradas. Essas ações são:

Aceitar: o cliente assume a vulnerabilidade e seu risco;

Rejeitar: o cliente não aceita a vulnerabilidade;

Corrigir: o cliente implementa as recomendações indicadas para a vulnerabilidade de segurança.

Se for contratada a execução periódica de auditorias, as vulnerabilidades marcadas como corrigidas pelo cliente serão alvo de certificação de correção na próxima auditoria. Esta certificação consiste em repetir o ataque específico que descobriu a vulnerabilidade, a fim de verificar se as ações aplicadas corrigiram a mesma.

É importante ressaltar que, se o cliente possuir contratado o serviço de Administração para os ativos auditados, as vulnerabilidades marcadas para serem corrigidas serão direcionadas para a camada de gestão do ambiente no SOC. Todavia, se o cliente não possuir tal serviço, a implementação das correções pode ser alvo de um projeto de segurança complementar.


Para a modalidade automática, o serviço necessita conectividade entre o SOC e os equipamentos do cliente. Para a modalidade manual, o sistema a ser auditado deve ser acessível a partir da internet.

19

Atendimento

A prestação do serviço para incidentes e execução dos testes ocorre 24x7. O atendimento a consultas e modificações dos parâmetros do serviço ocorre na modalidade 8x5.

Serviço

Atendimento a


Gestão de

Vulnerabilidades 24x7 8x5 8x5

Análise de Vulnerabilidades - Atendimento

Incidentes


Indisponibilidade ou degradação de um ativo alvo de auditoria;

Indisponibilidade ou degradação do acesso ao Portal Hacking.

Consultas


Informações administrativas sobre o serviço;

Consulta do planejamento de auditorias e ativos a serem auditados;


Solicitações


Modificação dos ativos alvos de auditoria;

Modificação do planejamento de uma auditoria (data ou janela de execução);


Modificação no mapa de rede ou no mapa de serviços do cliente;

Certificação de correção de vulnerabilidade;

Alteração do status de uma vulnerabilidade;

Solicitação de maiores informações sobre uma vulnerabilidade reportada;

20

Execução de uma auditoria não programada (somente se o cliente possuir o serviço periódico e após

verificação de disponibilidade de janela operacional pelo SOC).

Atividade de serviço

Notificação de início de auditoria: o SOC informa o início de uma auditoria planejada ao cliente

Notificação de Incidentes

Este serviço possibilita o acompanhamento em tempo real dos eventos (logs) gerados pelos dispositivos da infraestrutura do cliente (de segurança, rede, aplicações críticas, etc.) em busca padrões ou sequências de atividades maliciosas no ambiente monitorado.

Para isto, os eventos gerados pelos equipamentos monitorados são enviados para a plataforma SIEM do SOC, que é responsável pela coleta, agregação, normalização e correlacionamento de logs em busca de padrões comparáveis a uma base de comportamentos, sintomas, assinaturas e vulnerabilidades conhecidas, em busca de possíveis tentativas de comprometimento aos ativos do cliente.

Neste sentido, o serviço pode detectar, entre muitos outros:

Repetidas tentativas frustradas de acessar um sistema;

A ocorrência de alertas de IPS que não haviam sido registradas anteriormente;

A ocorrência de um alerta específico no IPS, tão logo a mesma ocorra;

A ocorrência de vários alertas de IPS repetidamente em um curto espaço de tempo;

Atividades suspeitas de um host, a partir da correlação de eventos de segurança de diferentes

sistemas reportando atividades de tal host;

O mau funcionamento de um sistema de filtragem de conteúdo, detectando que o usuário ganhou

acesso a uma URL proibida.

O serviço fornece incialmente um catálogo de regras básicas de correlação, de aplicação geral, que serão ajustadas com os parâmetros pertinentes ao ambiente do cliente. Os padrões que determinam a atividade maliciosa são altamente dependentes do sistema monitorado, sendo necessário um período de ajustes para minimizar o número de falsos positivos. Esse ajuste exigirá a colaboração ativa por parte dos responsáveis pelos sistemas monitorados (lado do cliente), a fim de identificar se certas situações correspondem à normalidade para os serviços monitorados.

O serviço cobre a necessidade de notificar situações de atividade maliciosa contra a infraestrutura do cliente, permitindo alertar o responsável pelo sistema alvo para que contramedidas a fim de remediar a situação em tempo hábil sejam aplicadas.

21

Para atingir estes objetivos, usam-se três métodos de correlação:

Correlação através de algoritmos heurísticos: detecta comportamentos não configurados pelo

sistema, usando redes neurais, determinando automaticamente se tal comportamento deve ser

alertado ou descartado. Este método possui uma elevada taxa de sucesso na detecção de

comportamentos anômalos, assim como de comportamentos periódicos que são nocivos;

Correlação usando sequências de eventos: concentre-se em ataques conhecidos e detectáveis,

relacionados através de regras que utilizam uma máquina de estados, padrões e comportamentos

conhecidos que definem um ataque;

Correlação cruzada: baseia-se na utilização de dados de inventário de ativos para priorizar alertas.

Este serviço não interage com o elemento monitorado para mitigar os incidentes (função esta da oferta de Administração). Sua função restringe-se a alertar sobre as possíveis ameaças através dos alertas gerados pela ferramenta de correlação de eventos.

Domínios de Monitoração

O serviço disponibiliza os seguintes domínios de monitoramento de eventos:

Negação de serviço: são considerados casos de negação de serviço os eventos de rede que causam

situações prejudiciais para sistemas através da exaustão ou o uso excessivo de recursos, tanto dos

sistemas operacionais e serviços como de hardware;

Acesso não autorizado: são considerados acesso não autorizado todas as situações em que um

indivíduo não autorizado obtiver ou tentar obter acesso lógico a um dispositivo ou serviço. Da

mesma forma, também é considerado como o acesso não autorizado qualquer tentativa de elevação

de privilégios;

Mal uso de recursos: caso houver uma política corporativa sobre o uso de tráfego e aplicações, os

eventos de segurança são considerados os eventos do uso desses aplicativos e serviços que violam a

política definida;

Código malicioso: são os eventos gerados após a detecção de eventuais ameaças, vírus, worms,

cavalos de tróia, etc., que poderiam comprometer o correto funcionamento dos sistemas e

aplicações;

Varreduras de rede e vulnerabilidades: as tentativas de obter informações sobre os sistemas e

aplicações. Estes eventos não representam um estado de mau funcionamento, mas uma ameaça

potencial;

Comportamento periódico: os eventos que seguem um padrão periódico e podem identificar um

erro de configuração ou um comportamento associado a uma infecção do computador por um vírus,

worm, trojan, etc.

Relatórios Mensais

22

Serão apresentados mensalmente ao cliente, através do Portal do Cliente, um conjunto de informes com as seguintes informações:

Número de incidentes, solicitações e consultas efetuadas;

Tempo médio de resolução de incidentes, solicitações e consultas efetuadas;

Cumprimento de SLA;

Número de notificações enviadas ao cliente devido a alarmes detectados.

Número de ativos monitorados, por tecnologia;

Número de eventos recebidos, por ativo;

Número de alarmes detectados, agrupados pelo tipo de alarme;

Lista dos principais alarmes gerados;

Lista dos principais tipos de ataques detectadas.

Itens opcionais


Informes personalizados: o cliente pode optar pela adição de novos relatórios, aumento na

frequência de emissão dos mesmos e/ou pela personalização dos relatórios emitidos, permitindo o

agrupamento ou a geração de informações diferentes dos relatórios padrão. Neste caso é necessária

a validação do SOC quanto a disponibilidade dos dados desejados.


Para que o serviço seja disponibilizado para o cliente, os seguintes requisitos devem ser observados:

O responsável pela gestão dos equipamentos que serão monitorados deve configurar o acesso aos

mesmos para a utilização do serviço;

Os equipamentos monitorados devem enviar os logs para o SOC nos formatos suportados;

Validação pelo cliente dos parâmetros (baseline) definidos para os alertas do catálogo de regras

básicas de correlação.

Armazenamento de Logs

O serviço de Notificação de Incidentes não oferece, por padrão, o armazenamento dos logs do cliente por um período maior que 2 meses. Caso o cliente necessite de armazenamento

23

por um período superior ao padrão, deverá ser feito uma nova cotação/contrato adicional de armazenamento.


Não há requisitos comerciais para a contratação do serviço de Notificação de Incidentes.



Atendimento

A prestação do serviço para atendimento a incidentes nos equipamentos monitorados ou nas sondas de coleta dos eventos ocorre em 24x7. O atendimento a consultas e modificações dos parâmetros de monitoração ocorre na modalidade 8x5.

Serviço

Atendimento a


Notificação de Incidentes 24x7 8x5 8x5

Tabela 1 - Notificação – Atendimento

Incidentes


Incidente na plataforma de SIEM: indisponibilidade ou degradação da solução de SIEM utilizada para

o serviço;

Notificação de alertas ao cliente que foram gerados pela ferramenta de correlação;

Indisponibilidade ou degradação da notificação de alertas ao cliente.

Consultas


Lista de equipamentos monitorados;

Alarmes, janelas e limites (threshold) aplicados;



Solicitações

24


Criação de um novo alerta ou regra de correlação;

Modificação os parâmetros e limites de um alerta;

Modificação massiva dos parâmetros e limites de monitoração em uma lista de equipamentos;



Anexo D


Acordo de Nível de Serviço

SLA de Prestação dos Serviços

O SLA para a família de serviços MSS segue as definições das tabelas abaixo.

Métrica SLA Aplica-se a

Tempo de Atendimento 95% Consultas, requisições e incidentes.

Tempo de Resposta 95% Consultas, requisições e incidentes.

25

Tempo de Notificação 95% Consultas, requisições e incidentes.

Tempo de Resolução 95% Consultas e requisições.

Somente se considera para efeitos de penalização:

Incidentes Críticos e Altos;

As requisições categorizadas como Altas pelo cliente na abertura do chamado.

Assim, os itens que excedam não cumpram o SLA definido estarão sujeitos a um desconto, que serão liquidadas mensalmente pela fórmula:

( )( )Nd440.1

100 TeVpd

××=

Na qual:

Vpd = percentual de minutos excedidos no respectivo mês;

Te = tempo excedido em minutos além do determinado na tabela de SLO para o serviço em questão;

Nd = Número de dias no mês

Sendo constatado o não cumprimento do SLA, os índices de descontos, da tabela, abaixo, serão aplicados sobre o valor mensal a ser pago pelo cliente. Os descontos serão aplicados no mês subsequente ao mês da confirmação da ocorrência.

Percentual Descontos %

0 < Vpd ≤ 2 0,5

2 < Vpd ≤ 4 1,0

4 < Vpd ≤ 6 2,5

6 < Vpd ≤ 10 5,0

10 < Vpd ≤ 20 7,5

Vpd > 20 10,0

26

Descrição das Severidades

O tempo para atendimento varia de acordo com a severidade e serviço contratado. Para consultar o SLO de cada serviço, verificar a definição do serviço em questão.

Os SLOs são estabelecidos de acordo com a severidade do evento que ocorreu. As severidades são definidas de acordo com impacto do evento, conforme tabelas abaixo.

Incidentes de Serviço Definição

Crítico Evento que indisponibiliza os serviços de um ativo classificado como

crítico

Alto Evento que degrada os serviços de um ativo classificado como crítico

ou que indisponibiliza os serviços de um ativo não crítico

Médio Evento que degrada os serviços de um ativo classificado como não

crítico

Baixo Evento que não afeta os serviços

Critérios de Severidade – Incidentes

Notificação de

Incidentes

Definição

Crítico Alerta de severidade Alta sobre ativo identificado como crítico

Alto Alerta de severidade Alta sobre ativo identificado como não crítico

Médio Alerta de severidade Média sobre ativo não crítico ou severidade Baixa

sobre ativo crítico

Baixo Alerta de severidade Baixa sobre ativo identificado como não crítico

Critérios de Severidade – Notificações

SLO de Prestação dos Serviços

Este serviço é prestado pelo SOC considerando os seguintes objetivos de atendimento.

SLO de Incidentes

Serviço Definição Crítico Alto Médio Baixo

27

Todos

Tempo de atendimento a partir

da comunicação do cliente até a

atribuição do ticket a um analista

do SOC

15

min.

30

min. 1h. 2h.

Todos

Tempo de resposta a partir da

comunicação do cliente até que

SOC faça o primeiro diagnóstico

1h. 1,5h. 3h. 6h.

Todos

Tempo de resolução a partir da

comunicação do cliente até que o

SOC comunique a resolução do

mesmo

4h. 6h. 12h. 24h.

Supervisão

Tempo de notificação deste a

detecção a partir da plataforma

até que seja comunicado ao

cliente

15

min.

30

min. 1h. 1h.

Notificação de

Incidentes

Tempo de notificação de

incidentes de segurança deste a

detecção a partir da plataforma

até que seja comunicado ao

cliente

15

min.

30

min. 4h. 24h.

28

SLO de Apresentação de Relatórios

Serviço Definição Prazo

Todos Tempo de entrega de relatórios

mensais Até 5º dia útil do mês

Administração

Tempo de entrega de relatório

após resolução de incidentes

críticos

48 horas

Gestão de

Vulnerabilidades

Tempo de entrega de relatórios

de auditoria 72 horas

SLO de Solicitações e Consultas

Serviço Definição Alto Médio Baixo

Todos

Tempo de atendimento de consultas a partir da

comunicação do cliente até a atribuição do ticket a

um analista do SOC

1h. 2h. 3h.

Todos

Tempo de resolução de consultas a partir da

comunicação do cliente até que o SOC comunique

a resolução do mesmo

8h. 10h. 16h.

Todos

Tempo de atendimento de solicitações a partir da

comunicação do cliente até a atribuição do ticket a

um analista do SOC

1h. 2h. 2h.

Todos

Tempo de resolução de solicitações a partir da

comunicação do cliente até que o SOC comunique

a resolução do mesmo

8h. 12h. 16h.

Anexo D


Acordo de Nível de Serviço

SLA de Prestação dos Serviços

O SLA para a família de serviços MSS segue as definições das tabelas abaixo.

Métrica SLA Aplica -se a Tempo de Atendimento 95% Consultas, requisições e incidentes. Tempo de Resposta 95% Consultas, requisições e incidentes. Tempo de Notificação 95% Consultas, requisições e incidentes. Tempo de Resolução 95% Consultas e requisições.

Somente se considera para efeitos de penalização:

�� Incidentes Críticos e Altos;

�� As requisições categorizadas como Altas pelo cliente na abertura do chamado.

Assim, os itens que excedam não cumpram o SLA definido estarão sujeitos a um desconto, que serão liquidadas mensalmente pela fórmula:

( )( )Nd440.1

100 TeVpd

××=

Na qual:

�� Vpd = percentual de minutos excedidos no respectivo mês;

�� Te = tempo excedido em minutos além do determinado na tabela de SLO para o serviço em questão;

�� Nd = Número de dias no mês

Sendo constatado o não cumprimento do SLA, os índices de descontos, da tabela, abaixo, serão aplicados sobre o valor mensal a ser pago pelo cliente. Os descontos serão aplicados no mês subsequente ao mês da confirmação da ocorrência.

Percentual Descontos % 0 < Vpd ≤≤≤≤ 2 0,5 2 < Vpd ≤≤≤≤ 4 1,0 4 < Vpd ≤≤≤≤ 6 2,5

6 < Vpd ≤≤≤≤ 10 5,0 10 < Vpd ≤≤≤≤ 20 7,5

Vpd > 20 10,0

Descrição das Severidades

O tempo para atendimento varia de acordo com a severidade e serviço contratado. Para consultar o SLO de cada serviço, verificar a definição do serviço em questão.

Os SLOs são estabelecidos de acordo com a severidade do evento que ocorreu. As severidades são definidas de acordo com impacto do evento, conforme tabelas abaixo.

Incidentes de Serviço Definição Crítico Evento que indisponibiliza os serviços de um ativo classificado como crítico Alto Evento que degrada os serviços de um ativo classificado como crítico ou que

indisponibiliza os serviços de um ativo não crítico Médio Evento que degrada os serviços de um ativo classificado como não crítico Baixo Evento que não afeta os serviços

Critérios de Severidade – Incidentes


Definição

Crítico Alerta de severidade Alta sobre ativo identificado como crítico Alto Alerta de severidade Alta sobre ativo identificado como não crítico Médio Alerta de severidade Média sobre ativo não crítico ou severidade Baixa sobre

ativo crítico Baixo Alerta de severidade Baixa sobre ativo identificado como não crítico

Critérios de Severidade – Notificações

SLO de Prestação dos Serviços

Este serviço é prestado pelo SOC considerando os seguintes objetivos de atendimento.

SLO de Incidentes

Serviço Definição Crítico Alto Médio Baixo

Todos

Tempo de atendimento a partir da comunicação do cliente até a atribuição do ticket a um analista do SOC

15 min. 30 min. 1h. 2h.

Todos Tempo de resposta a partir da comunicação do cliente até que SOC faça o primeiro diagnóstico

1h. 1,5h. 3h. 6h.

Todos Tempo de resolução a partir da 4h. 6h. 12h. 24h.

comunicação do cliente até que o SOC comunique a resolução do mesmo

Supervisão Tempo de notificação deste a detecção a partir da plataforma até que seja comunicado ao cliente

15 min. 30 min. 1h. 1h.


Tempo de notificação de incidentes de segurança deste a detecção a partir da plataforma até que seja comunicado ao cliente

15 min. 30 min. 4h. 24h.

SLO de Apresentação de Relatórios

Serviço Definição Prazo

Todos Tempo de entrega de relatórios mensais Até 5º dia útil do mês

Administração Tempo de entrega de relatório após resolução de incidentes críticos

48 horas

Gestão de Vulnerabilidades

Tempo de entrega de relatórios de auditoria 72 horas

SLO de Solicitações e Consultas

Serviço Definição Alto Médio Baixo

Todos Tempo de atendimento de consultas a partir da comunicação do cliente até a atribuição do ticket a um analista do SOC

1h. 2h. 3h.

Todos Tempo de resolução de consultas a partir da comunicação do cliente até que o SOC comunique a resolução do mesmo

8h. 10h. 16h.

Todos Tempo de atendimento de solicitações a partir da comunicação do cliente até a atribuição do ticket a um analista do SOC

1h. 2h. 2h.

Todos Tempo de resolução de solicitações a partir da comunicação do cliente até que o SOC comunique a resolução do mesmo

8h. 12h. 16h.

Documents

CONTRATO DE PRESTAÇÃO DE SERVIÇOS MANAGED SECURITY ... · 1 CONTRATO DE PRESTAÇÃO DE SERVIÇOS - MANAGED SECURITY SERVICES Pelo presente instrumento particular, de um lado a