Anexo relativo aos Controlos Mínimos de Segurança
Os seguintes requisitos mínimos de segurança destinam-se a servir como diretrizes para o nível de proteção que a Nike espera de qualquer sistema de tecnologia da informação do Contratante que Trate os Dados Nike. Esses requisitos de segurança são baseados em práticas de segurança da informação geralmente aceites e práticas de governo de proteção de informação (information protection governance).
Estes requisitos de segurança aplicam-se a (1) todos os sistemas e redes do Contratante, incluindo redes e sistemas de um Subcontratante ulterior, que estejam integrados aos sistemas e redes da Nike ou sejam usados para o Tratamento dos Dados Nike; e (2) Dados Nike sob qualquer forma. O Contratante declara e garante que concluiu o processo de avaliação de risco de fornecedor da Nike e manterá todas as garantias e controlos identificados pelo Contratante na avaliação e tomará todas as medidas adicionais exigidas neste Anexo relativo aos Controlos Mínimos de Segurança.
1. Política e Procedimentos
1.1. O Contratante mantém um tratamento do ciclo de vida estabelecido para a criação, manutenção, revisão, aprovação e comunicação de políticas às partes relevantes. Isso incluirá normas de desenvolvimento de aplicações e infraestrutura, política de segurança, armazenamento de dados, gestão de incidentes e gestão de operações das TI.
1.2. O Contratante aplicará e manterá políticas e procedimentos para a definição e manutenção de configurações de segurança base que são documentadas, aprovadas, revistas anualmente e comunicadas ao Pessoal do Contratante relevante.
1.3. O Contratante aplicará e manterá um sistema de gestão de segurança da informação empresarial (“ISMS”) e uma política de segurança que defina: (a) funções e responsabilidades de segurança da informação segregada (“IS”), (b) o papel e a importância da IS, (c) objetivos da política, responsabilidades de segurança de colaboradores e de terceiros, e (e) requisitos regulatórios, incluindo privacidade e segurança de dados. O Contratante assegurará que tal política tenha sido aprovada pelo nível adequado de gestão sénior e tenha sido comunicada ao Pessoal do Contratante relevantes..
1.4 O Contratante aplicará e manterá procedimentos para a geração, distribuição e armazenamento de chaves de encriptação que incluam: geração de chaves fortes, distribuição usando métodos seguros, armazenamento seguro de chaves, chaves rotativas periódicas (cripto períodos), gestão de fim de ciclo e retirada ou substituição de chaves se houver suspeita de ameaça.
2. Gestão de Ativos
O Contratante aplicará e manterá políticas e procedimentos relacionados com a identificação, classificação e gestão de ativos (desde a aquisição até à disposição) que são documentados, aplicados e comunicados ao Pessoal do Contratante.
3. Continuidade de Negócios e Recuperação de Desastres
3.1. O Contratante aplicará e manterá políticas e procedimentos para a continuidade de negócios e recuperação de desastres que são documentados, aprovados, revistos anualmente e comunicados ao Pessoal do Contratante.
3.2. O Contratante assegurará que os sistemas críticos sejam identificados e documentados e que estejam em vigor os procedimentos para manter as operações em caso de um evento adverso.
3.3. O Contratante aplicará e manterá: (a) backups automatizados e seguirá um cronograma predeterminado e aprovado, (b) alertas gerados em caso de erros na tarefa de backup que sejam solucionados em tempo útil e processos de backup testados periodicamente para assegurar a capacidade de recuperação, no caso de falha do sistema ou de corrupção de dados.
4. Gestão das Alterações
4.1. O Contratante aplicará e manterá uma política abrangente de gestão da mudança, documentada, aprovada, revista anualmente e comunicada ao Pessoal do Contratante. Para cada camada do sistema (aplicação, base de dados, sistema operacional, tecnologias de virtualização e microsserviços), a política definirá tipos de mudança, requisitos de aprovação, e requisitos de teste.
4.2. O Contratante aplicará as alterações no sistema/aplicativo que seguem um processo de controlo das alterações estabelecido para revisão, aprovação e teste antes que as alterações sejam feitas no sistema de produção.
4.3. O Contratante aplicará as alterações de emergência que sejam exigidas, aprovadas e aplicadas e as evidências são mantidas de acordo com a política de gestão de alterações.
5. Segurança dos Recursos Humanos
5.1. O Contratante realizará a adequada triagem do histórico, incluindo a verificação de antecedentes criminais relativamente a todo o Pessoal do Contratante (na medida do permitido pela lei aplicável) antes de autorizar que qualquer Pessoal do Contratante Trate Dados Nike ou aceda a sistemas de informação, bases de dados, aplicativos seguros ou áreas não públicas de uma instalação da Nike. O Contratante assegurará que nenhum Pessoal do Contratante que tenha siso condenado por crime ou contraordenações reiteradas envolvendo violência ao assédio fornecerá serviços em áreas não públicas de uma instalação da Nike.
5.2. O Contratante assegurará que todo o Pessoal do Contratante concluiu com sucesso uma adequada a apropriada formação sobre privacidade e segurança da informação antes de Tratar Dados da Nike e que os Subcontratantes ulteriores sejam obrigados a fornecer regularmente ao seu pessoal uma adequada a apropriada formação sobre privacidade e segurança da informação.
5.3. Todo o Pessoal do Contratante deverá manter os Dados Nike confidenciais e aderirá às políticas e procedimentos de segurança da informação do Contratante. O Contratante deverá providenciar (a) supervisão de gestão para exigir a adesão às políticas e procedimentos de segurança da informação do Contratante, e (b) um processo disciplinar (incluindo rescisão) por violações das políticas e procedimentos de segurança da informação do Contratante.
6. Segurança da Informação
6.1. O Contratante assegurará a segurança da sua rede, aplicações (incluindo bases de dados), infraestrutura e plataforma.
6.2. O Contratante assegurará que, ao nível do aplicativo, as atividades conflituantes sejam segregadas e revistas periodicamente, incluindo:
6.2.1. A condução, pelo Pessoal do Contratante, do desenvolvimento num ambiente de desenvolvimento separado do ambiente de produção,
6.2.2. A gestão dos aplicativos separada da administração dos direitos de acesso,
6.2.3. A gestão da base de dados (e qualquer outra forma de privilégio de atualização direta de dados) separada da gestão da aplicação, da gestão da segurança e do Pessoal do Contratante que fornece serviços de desenvolvimento
6.2.4. Que o Pessoal do Contratante que aprova os direitos de acesso seja separado da pessoa que concede os direitos de acesso no sistema do Contratante.
6.3. O Contratante realizará avaliações de risco abrangentes anualmente para os sistemas e redes críticos, incluindo aplicações, bases de dados, sistema de gestão de bases de dados, sistema operativo, sistemas de suporte e redes relacionadas. O Contratante ajustará os processos ou configurações de acordo com o constatado nas avaliações e o Contratante reverá as constatações periodicamente.
6.4. O Contratante aplicará e manterá políticas e procedimentos para garantir que os dados sejam protegidos conforme adequado ao seu nível de sensibilidade.
6.5. O Contratante armazenará os arquivos do sistema e o código-fonte num local seguro com acesso limitado.
6.6. O Contratante assegurará que os pedidos de acesso à tecnologia de informação no nível do sistema aplicativo, da base de dados e do sistema operativo sejam revistos e aprovados pela gestão adequada do Contratante.
6.7. O Contratante assegurará que quando o status (terminado, transferido) de Pessoal específico do Contratante ou de um Subcontratante ulterior for alterado, o sistema alerta a gestão do Contratante para que a ação adequada possa ser tomada.
6.8. O Contratante assegurará que, quando as responsabilidades de trabalho de qualquer Pessoal do Contratante ou de um Subcontratante ulterior já não exigirem acesso ao sistema (níveis de sistema aplicativo, base de dados e sistema operativo), esse acesso seja removido em tempo útil.
6.9. O Contratante realizará revisões de elegibilidade, utilizando um universo total de contas, tanto para as contas de utilizador como para as contas do sistema.
6.10. O Contratante aplicará e manterá controlos de segurança de perímetro e, onde aplicável, controlos de segurança federada, que atendam aos padrões do setor para uma configuração segura consistente com a arquitetura do sistema fornecido e/ou usado (incluindo armazenamento em nuvem ou infraestrutura) pelo Contratante.
6.11. O Contratante aplicará e manterá as melhores práticas para a segurança dos recursos da nuvem, Software como serviço e aplicativos da Web, condicentes com os padrões do setor e com as recomendações dos fornecedores da nuvem. Sem limitar a generalidade das obrigações de segurança do Contratante, se a Nike fornecer requisitos mínimos de gestão da configuração para tais recursos, o Contratante deverá cumprir tal requisito.
6.12. O Contratante realiza ou externaliza avaliações regulares de controlos de perímetro (por exemplo, engenharia social, hacking ético) de acordo com a arquitetura do sistema fornecido e/ou usado pelo Contratante, incluindo testes anuais de penetração e limpezas trimestrais de vulnerabilidades.
6.13. O Contratante realiza avaliações regulares e monitorização das configurações do sistema, incluindo sistemas operativos, bases de dados, dispositivos de rede e sistemas de controlo de perímetro (por exemplo, firewalls).
6.14. O Contratante manterá o software antivírus e/ou antimalware instalado e atualizado.
6.15. A gestão da segurança da tecnologia da informação do Contratante monitoriza e regista a atividade de segurança nos níveis do sistema operativo, aplicações e da base de dados. Violações de segurança identificadas são relatadas à gestão sénior do Contratante.
6.16. O Contratante (ou o(s) seu(s) Subcontratante(s) ulterior(es)) aplicará e manterá controlos de segurança física e ambiental em prédios e data centers onde sejam Tratados Dados Nike, incluindo os sistemas eletrónicos adequados para controlar o acesso, monitorização de segurança e deteção de calor/fumo.
6.17. O Contratante assegurará a segurança física das suas instalações onde dossiês de papel, servidores, equipamento informático ou sistemas de backup sejam mantidos. .
6.18. O Contratante protegerá contra perda, furto ou roubo os computadores pessoais, computadores portáteis, desktops ou qualquer dispositivo de armazenagem, incluindo dispositivos móveis.
6.19. O Contratante protegerá e Tratará os Dados Nike de acordo com as Regras Aplicáveis.
6.20. O Contratante, quando tecnicamente viável e determinado pelos requisitos do negócio, aplicará e manterá o controlo de acesso baseado na função que atribui privilégios ao Pessoal do Contratante com base na classificação e função do trabalho e restringe o acesso com base na necessidade de conhecimento dessa pessoa.
6.21. As contas de utilizador, privilegiadas e de serviço geridas pelo Contratante garantirão que apenas ao Pessoal do Contratante seja fornecido acesso aos componentes dos sistemas de Dados Nike e do Contratante que Tratem os Dados Nike e que sejam protegidos pelas melhores práticas recomendadas para proteção por palavra-passe, incluindo:
(i). comprimentos mínimos de palavra-passe,
(ii) bloqueio após tentativas de login inválidas e sessão ociosa,
(iii) duração mínima dos bloqueios,
(iv). reutilização de palavra-passe
(v) complexidade da palavra-passe.
6.22. O Contratante não utilizará ID partilhados, genéricos ou gerados pelo sistema para fornecer acesso privilegiado ou administrar quaisquer componentes do sistema.
6.23. O Contratante não partilhará palavras-passe com ninguém fora do proprietário designado da ID do sistema ou da conta.
6.24. O Contratante exigirá que os seus serviços de suporte de TI usem as etapas adequadas para proteger contra a engenharia social para obter acesso à conta de qualquer Pessoal do Contratante, incluindo verificação de identidade para redefinição de palavra-passe ou solução de problemas de acesso.
6.25. O Contratante protegerá as ligações remotas documentando os métodos permitidos de acesso remoto aos Dados Nike, estabelecendo restrições de uso, monitorizando o acesso remoto não autorizado, usando criptografia para proteger a confidencialidade e integridade das sessões de acesso remoto e desconectando automaticamente as sessões de acesso remoto após um período de inatividade.
6.26. O Contratante, ao usar encriptação, usará protocolos de criptografia e segurança fortes baseados nas normas do Instituto Nacional de Normas e Tecnologia (“NIST”) para a encriptação. O acesso de chaves criptográficas deve ser restrito ao menor número de guardiões necessários e armazenadas com segurança no menor número possível de locais e formulários. As chaves criptográficas serão encriptadas usando uma chave de criptografia de chave que é armazenada separadamente da chave de criptografia de dados e as chaves serão rodadas de acordo com as melhores práticas do NIST para os cripto períodos.
6.27. O Contratante assegurará que todos os Dados Nike sejam protegidos por encriptação, de acordo com os standards da indústria ou superiores, quando estiverem armazenados ou em trânsito. A menos que exigido para a prestação dos serviços, o Contratante não desbloqueará, fará engenharia inversa, ou de outra forma exporá Dados Nike que estejam em hash, encriptados ou anonimizados.
6.28. O Contratante aplicará e manterá as melhores práticas para o registo de segurança em sistemas, dispositivos e processos adequados, incluindo monitorização de atividades suspeitas e não autorizadas, separação e proteção de logs e correlação baseada no tempo. O Contratante aplicará e manterá um processo para a revisão e instalação em tempo útil de patches e atualizações de software de segurança para sistemas, dispositivos e aplicações.
6.29. O Contratante aplicará e manterá um tratamento para a correção oportuna das vulnerabilidades identificadas no decurso das atividades de gestão de negócios e vulnerabilidades.
6.30. O Contratante protegerá os Dados Nike durante a transmissão em redes abertas, inclusive usando criptografia e protocolos de segurança fortes para proteger os Dados Nike durante a transmissão por redes públicas abertas e práticas recomendadas do setor na aplicação de uma encriptação forte para a autenticação e transmissão em redes sem fio dos Dados Nike ou ligadas a redes sensíveis.
6.31. O Contratante deverá aplicar e manter políticas e garantias relacionadas com a segurança de quaisquer dispositivos nos quais os Dados Nike são armazenados ou Tratados, incluindo computadores portáteis, telemóveis e armazenamento. O Contratante não armazenará Dados Nike em qualquer computador portátil, tablet, flash drive, telefone móvel ou qualquer outro dispositivo móvel, a menos que o Contratante tenha obtido o consentimento por escrito da Nike e o dispositivo esteja protegido por encriptação, de acordo com os standards da indústria.
6.32. O Contratante aplicará e manterá mecanismos de controlo de autenticação e acesso no âmbito dos meios, aplicações, sistemas operativos e equipamentos, incluindo os registos de todos os acessos ou de exportação (exfiltration), bem como a conservação de tais registos de controlo de acessos por um período não inferior a doze meses.
6.33. O Contratante aplicará e manterá sistemas de prevenção e deteção de intrusões, usando mecanismos de prevenção e deteção de intrusões baseados na rede.
6.34. O Contratante assegurará a total separação física e lógica entre os Dados Nike de Dados não Nike, de forma a que ambos os tipos de informação não sejam misturados em qualquer sistema.
7. Gestão de Ativos
7.1. O Contratante aplicará e manterá um ciclo de vida de desenvolvimento dos sistemas que inclui desenvolvimento de software seguro, aprovação pela gestão e assegurando comunicação a Pessoal do Contratante.
7.2. O Contratante utilizará práticas seguras de desenvolvimento na conceção, desenvolvimento, manutenção, melhoramento e desativação de (a) produtos e serviços do próprio Contratante, e (b) quaisquer serviços e elementos produzidos para a Nike. Essas práticas de desenvolvimento seguras serão condicentes com as normas do setor, como a OWASP Top Ten, a ISO 27002 e a orientação de codificação segura fornecida por organizações como a Divisão CERT do Instituto de Engenharia de Software. Sem limitação do que em geral precede, essas práticas de desenvolvimento seguras incluem: (1) a separação entre funções e responsabilidades de segurança; (2) a separação entre ambientes de desenvolvimento, de teste e de produção; (3) ambientes de testes de segurança e de teste prévios à implantação de ambientes de produção; (4) proibições de utilização de dados sensíveis da Nike em ambientes de teste; (5) implantação de uma política de desenvolvimento segura; (6) implantação de uma metodologia segura de desenvolvimento e de orientações com linguagem específica sobre código seguro (7) implantação de processos de controlo formal de mudança, que incluam testes de segurança e verificação; (8) formação sobre desenvolvimento seguro para desenvolvedores; e (9) consideração da natureza sensível dos dados ou dos sistemas.
7.3. O Contratante aplicará e manterá garantias da qualidade adequada, testes de aceitação pelo utilizador e as revisões seguras do código da aplicação.
8. Resposta a Incidentes
8.1. O Contratante aplicará e manterá políticas e procedimentos de resposta a incidentes estabelecidos que abranjam os tratamentos de deteção, contenção, recuperação, escalonamento e notificação.
8.2. O Contratante testará periodicamente as atividades de resposta a incidentes, incluindo com os Subcontratantes ulteriores relevantes (por exemplo, fornecedores de nuvem).
9. Gestão do Contratante
9.1 O Contratante usará a diligência razoável no que respeita a práticas de segurança dos seus Subcontratantes ulteriores previamente à contratação destes e celebrará contratos com Subcontratantes ulteriores que incluam disposições que regem a responsabilidade do subcontratante ulterior de proteger os Dados Nike em conformidade com este Acordo e as Regras Aplicáveis.
9.2 Na eventualidade de o Contratante utilizar um terceiro fornecedor de nuvem na prestação dos Serviços, esse terceiro fornecedor de nuvem será considerado um Subcontratante ulterior. O Contratante reconhece e concorda que a utilização de terceiros fornecedores de nuvem implica a partilha da responsabilidade pela segurança entre o Contratante e terceiro fornecedor de nuvem. O Contratante, observará ou excederá todas as melhores práticas de segurança recomendadas pelo fornecedor de nuvem e aplicará os requisitos mínimos acima referidos aos Dados Nike armazenados nesse ambiente de nuvem.