|
0.1 |
- |
O órgão nomeou um Gestor de Tecnologia da Informação e Comunicação? |
O Gestor de Tecnologia da Informação e Comunicação, dentre outras atribuições, nos termos da Portaria nº 778, de 4 de abril de 2019, responsável por planejar, implementar e melhorar continuamente os controles de privacidade e segurança da informação em soluções de tecnologia da informação e comunicações, considerando a cadeia de suprimentos relacionada à solução. |
- |
CONTROLE 0: ESTRUTURAÇÃO BÁSICA DE GESTÃO EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
ESTRUTURAÇÃO BÁSICA EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
|
0.2 |
- |
O órgão nomeou um Gestor de Segurança da Informação? |
O Gestor de Segurança da Informação, dentre outras atribuições, nos termos da Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional, da Presidência da República - GSI/PR, responsável por planejar, implementar e melhorar continuamente os controles de segurança da informação em ativos de informação. |
- |
CONTROLE 0: ESTRUTURAÇÃO BÁSICA DE GESTÃO EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
ESTRUTURAÇÃO BÁSICA EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
|
0.3 |
- |
O órgão nomeou um Responsável pela Unidade de Controle Interno? |
O Responsável pela Unidade de Controle Interno, atuará no apoio, supervisão e monitoramento das atividades desenvolvidas pela primeira linha de defesa prevista pela Instrução Normativa CGU nº 3, de 9 de junho de 2017. |
- |
CONTROLE 0: ESTRUTURAÇÃO BÁSICA DE GESTÃO EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
ESTRUTURAÇÃO BÁSICA EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
|
0.4 |
- |
O órgão instituiu um Comitê de Segurança da Informação? |
Instituir um Comitê de Segurança da Informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à Política Nacional de Segurança da Informação. |
- |
CONTROLE 0: ESTRUTURAÇÃO BÁSICA DE GESTÃO EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
ESTRUTURAÇÃO BÁSICA EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
|
0.5 |
- |
O órgão instituiu uma Equipe de Tratamento e Resposta a Incidentes Cibernéticos - ETIR? |
Instituir e implementar Equipe de Tratamento e Resposta a Incidentes Cibernéticos - ETIR, que constituirá a rede de equipes, integrada pelos órgãos e pelas entidades da administração pública federal, coordenada pelo Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo do Gabinete de Segurança Institucional da Presidência da República. |
- |
CONTROLE 0: ESTRUTURAÇÃO BÁSICA DE GESTÃO EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
ESTRUTURAÇÃO BÁSICA EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
|
0.6 |
- |
O órgão elaborou uma Política de Segurança da Informação - POSIN? |
É obrigatório a todos os órgãos e as entidades da administração pública federal possuir uma Política de Segurança da Informação - POSIN, implementada a partir da formalização e aprovação por parte da autoridade máxima da instituição, com o objetivo de estabelecer diretrizes, responsabilidades, competências e subsídios para a gestão da segurança da informação. |
- |
CONTROLE 0: ESTRUTURAÇÃO BÁSICA DE GESTÃO EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
ESTRUTURAÇÃO BÁSICA EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
|
0.7 |
- |
O órgão nomeou um Encarregado pelo Tratamento de Dados Pessoais? |
O Encarregado pelo Tratamento de Dados Pessoais, dentre outras atribuições, nos termos do art. 41, §2º, da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD), responsável por conduzir o diagnóstico de privacidade, bem como orientar, no que couber, os gestores proprietários dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria contínua dos controles de privacidade em ativos de informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis. |
- |
CONTROLE 0: ESTRUTURAÇÃO BÁSICA DE GESTÃO EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
ESTRUTURAÇÃO BÁSICA EM PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO |
|
1.1 |
IDENTIFICAR |
O órgão estabelece e mantém um inventário detalhado de ativos institucionais? |
Estabelecer e manter um inventário preciso, detalhado e atualizado de todos os ativos institucionais com potencial para armazenar ou processar dado.
Certificar de que o inventário registrará o endereço de rede (se estático), endereço de hardware, nome da máquina, etc.
Deverá incluir ativos conectados à infraestrutura física, virtual, e remota e aqueles dentro de ambientes de nuvem.
Necessário incluir também ativos mesmo que não estejam sob controle do órgão.
Revisar e atualizar o inventário semestralmente ou com mais frequência. |
1, 2, 3 |
CONTROLE 1: INVENTÁRIO E CONTROLE DE ATIVOS INSTITUCIONAIS |
CIBERSEGURANÇA |
|
1.2 |
IDENTIFICAR |
O órgão usa o Dynamic Host Configuration Protocol (DHCP) para atualizar o Inventários de Ativos? |
Utilizar o registro (logs) do Dynamic Host Configuration Protocol (DHCP) em todos os servidores DHCP ou utilizar uma ferramenta de gerenciamento de endereços IP para atualizar o inventário de ativos de hardware da instituição. |
2, 3 |
CONTROLE 1: INVENTÁRIO E CONTROLE DE ATIVOS INSTITUCIONAIS |
CIBERSEGURANÇA |
|
1.3 |
DETECTAR |
O órgão usa uma ferramenta de descoberta ativa? |
Identificar ativos conectados à rede institucional através de uma ferramenta de descoberta ativa.
Configurar para que essa descoberta seja executada diariamente ou com mais frequência. |
2, 3 |
CONTROLE 1: INVENTÁRIO E CONTROLE DE ATIVOS INSTITUCIONAIS |
CIBERSEGURANÇA |
|
1.4 |
DETECTAR |
O órgão usa uma ferramenta de descoberta passiva? |
Utilizar uma ferramenta de descoberta passiva para identificar dispositivos conectados à rede da instituição e automaticamente atualizar o inventário de ativos de hardware da instituição. |
3 |
CONTROLE 1: INVENTÁRIO E CONTROLE DE ATIVOS INSTITUCIONAIS |
CIBERSEGURANÇA |
|
1.5 |
RESPONDER |
O órgão endereça ativos não autorizados? |
Assegurar que exista um processo semanal para lidar com ativos não autorizados.
Optar por remover o ativo da rede, negar que o ativo se conecte remotamente à rede ou colocar o ativo em quarentena. |
1, 2, 3 |
CONTROLE 1: INVENTÁRIO E CONTROLE DE ATIVOS INSTITUCIONAIS |
CIBERSEGURANÇA |
|
2.1 |
IDENTIFICAR |
O órgão estabelece e mantém um inventário de software? |
Estabelecer e manter um inventário detalhado de todos os softwares licenciados instalados em ativos.
Revisar e atualizar o inventário de software semestralmente ou com mais frequência. |
1, 2, 3 |
CONTROLE 2: INVENTÁRIO E CONTROLE DE ATIVOS DE SOFTWARE |
CIBERSEGURANÇA |
|
2.2 |
IDENTIFICAR |
O órgão assegura que o software autorizado seja atualmente suportado? |
Garantir que apenas aplicações ou sistemas operacionais atualmente suportados pelo fabricante sejam adicionados ao inventário de softwares autorizados.
Softwares não suportados devem ser indicados no sistema de inventário.
Revisar o inventário de software para verificar o suporte do software pelo menos uma vez por mês ou com mais frequência. |
1, 2, 3 |
CONTROLE 2: INVENTÁRIO E CONTROLE DE ATIVOS DE SOFTWARE |
CIBERSEGURANÇA |
|
2.3 |
PROTEGER |
O órgão possui lista de permissões de Software autorizado? |
Utilizar controles técnicos em todos os ativos para garantir que apenas software autorizado seja executado.
Reavaliar semestralmente ou com mais frequência. |
2, 3 |
CONTROLE 2: INVENTÁRIO E CONTROLE DE ATIVOS DE SOFTWARE |
CIBERSEGURANÇA |
|
2.4 |
PROTEGER |
O órgão possuí lista de permissões de bibliotecas autorizadas? |
Utilizar controles técnicos para garantir que apenas bibliotecas autorizadas (tais como *.dll, *.ocx, *.so, etc) tenham permissão para serem carregadas nos processos em execução.
Impedir que bibliotecas não autorizadas sejam carregadas nos processos.
Reavaliar semestralmente ou com mais frequência. |
2, 3 |
CONTROLE 2: INVENTÁRIO E CONTROLE DE ATIVOS DE SOFTWARE |
CIBERSEGURANÇA |
|
2.5 |
PROTEGER |
O órgão possuí lista de permissões de Scripts autorizados? |
Utilize controles técnicos como assinaturas digitais e controle de versão para garantir que apenas scripts autorizados e assinados digitalmente (tais como *.ps1, *.py, macros etc.) tenham permissão para serem executados.
Bloqueie a execução de scripts não autorizados.
Reavalie semestralmente ou com mais frequência. |
3 |
CONTROLE 2: INVENTÁRIO E CONTROLE DE ATIVOS DE SOFTWARE |
CIBERSEGURANÇA |
|
2.6 |
DETECTAR |
O órgão utiliza ferramentas automatizadas de inventário de software? |
Utilizar ferramentas de inventário de software, quando possível, em toda a organização para automatizar a descoberta e documentação do software instalado. |
2, 3 |
CONTROLE 2: INVENTÁRIO E CONTROLE DE ATIVOS DE SOFTWARE |
CIBERSEGURANÇA |
|
2.7 |
RESPONDER |
O órgão endereça o software não autorizado? |
Assegurar que o software não autorizado seja retirado de uso em ativos institucionais ou receba uma exceção documentada.
Revisar mensalmente ou com mais frequência. |
1, 2, 3 |
CONTROLE 2: INVENTÁRIO E CONTROLE DE ATIVOS DE SOFTWARE |
CIBERSEGURANÇA |
|
3.1 |
IDENTIFICAR |
O órgão estabelece e mantém um processo de gestão de dados? |
Estabelecer e manter um processo de gestão de dados.
No processo, tratar a sensibilidade dos dados, o proprietário dos dados, o manuseio dos dados, os limites de retenção de dados e os requisitos de descarte, com base em padrões de sensibilidade e retenção para a organização.
Revisar e atualizar a documentação anualmente ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança. |
1, 2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.2 |
IDENTIFICAR |
O órgão estabelece e mantém um inventário de dados? |
Estabelecer e manter um inventário de dados, com base no processo de gestão de dados do órgão.
No mínimo inventariar os dados sensíveis. Reavaliar e atualizar o inventário anualmente. |
1, 2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.3 |
IDENTIFICAR |
O órgão estabelece e mantém um esquema de classificação de dados? |
Estabelecer e manter um esquema geral de classificação de dados para o órgão, podendo ser “Sensíveis”, “Confidencial” e “Público.
Revisar e atualizar o esquema de classificação anualmente ou quando ocorrerem mudanças significativas que possam impactar essa medida de segurança. |
2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.4 |
IDENTIFICAR |
O órgão documenta os Fluxos de Dados? |
Documentar o fluxo de dados, contendo fluxos de dados do provedor de serviços, devendo ser baseada no processo de gestão de dados do órgão.
Revisar e atualizar a documentação anualmente ou quando ocorrerem mudanças significativas que possam impactar essa medida de segurança. |
2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.5 |
PROTEGER |
O órgão configura listas de controle de acessos a dados? |
Aplicar listas de controle de acesso a dados, também conhecidas como permissões de acesso, a sistemas de arquivos, banco de dados e aplicações locais e remotos. |
1, 2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.6 |
PROTEGER |
O órgão aplica retenção de dados? |
Reter os dados de acordo com o processo de gestão de dados da organização.
A retenção deve incluir prazos mínimos e máximos. |
1, 2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.7 |
PROTEGER |
O órgão descarta dados com segurança? |
Descartar os dados com segurança, conforme processo de gestão de dados da organização.
Certificar que o processo e método de descarte sejam compatíveis com a sensibilidade dos dados. |
1, 2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.8 |
PROTEGER |
O órgão criptografa dados em dispositivos de usuário final? |
Criptografar os dados em dispositivos de usuário final que contenham dados sensíveis. |
1, 2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.9 |
PROTEGER |
O órgão criptografa dados em mídia removível? |
Criptografar os dados em removível. |
2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.10 |
PROTEGER |
O órgão criptografa dados sensíveis em trânsito? |
Criptografar dados sensíveis em trânsito. Exemplos: Transport Layer Security (TLS) e Open Secure Shell (Open SSH) |
2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.11 |
PROTEGER |
O órgão criptografa dados sensíveis em repouso? |
Criptografar dados sensíveis em repouso em servidores, aplicações e banco de dados que contenham dados sensíveis. |
2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.12 |
PROTEGER |
O órgão segmenta o processamento e o armazenamento de dados com base na sensibilidade? |
Segmentar o processamento e armazenamento de dados com base na sensibilidade dos dados.
Não processar dados sensíveis em ativos institucionais destinados a dados de menor sensibilidade. |
2, 3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.13 |
PROTEGER |
O órgão implanta uma solução de prevenção contra perda de dados? |
Implementar uma ferramenta automatizada, de prevenção de perda de dados (DLP) baseada em host para identificar todos os dados sensíveis armazenados, processados ou transmitidos por meio de ativos institucionais. |
3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
3.14 |
DETECTAR |
O órgão registra o acesso a dados sensíveis? |
Registrar o acesso a dados sensíveis, incluindo modificação e descarte. |
3 |
CONTROLE 3: PROTEÇÃO DE DADOS |
CIBERSEGURANÇA |
|
4.1 |
PROTEGER |
O órgão estabelece e mantém um processo de configuração segura? |
Estabelecer e manter um processo de configuração segura para ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos não computacionais/IoT; e servidores) e software (sistemas operacionais e aplicações).
Revisar e atualizar a documentação anualmente ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança. |
1, 2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.2 |
PROTEGER |
O órgão estabelece e mantém um processo de configuração segura para a Infraestrutura de Rede? |
Estabelecer e manter um processo de configuração segura para dispositivos de rede.
Revisar e atualizar a documentação anualmente ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança. |
1, 2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.3 |
PROTEGER |
O órgão configura o bloqueio automático de sessão nos ativos? |
Configurar o bloqueio automático de sessão nos ativos após um período definido de inatividade.
Para sistemas operacionais de uso geral, o período não deve exceder 15 minutos.
Para dispositivos móveis de usuário final, o período não deve exceder 2 minutos. |
1, 2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.4 |
PROTEGER |
O órgão implementa e gerencia um firewall nos servidores? |
Implementar e gerenciar um firewall nos servidores, onde houver suporte. |
1, 2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.5 |
PROTEGER |
O órgão implementa e gerencia um firewall nos dispositivos de usuário final? |
Implementar e gerenciar um firewall baseado em host ou uma ferramenta de filtragem de porta nos dispositivos de usuário final, com uma regra de negação padrão que bloqueia todo o tráfego, exceto os serviços e portas que são explicitamente permitidos. |
1, 2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.6 |
PROTEGER |
O órgão gerencia com segurança os ativos coorporativos e softwares? |
Gerenciar com segurança os ativos e software.
Exemplos de implementações incluem gestão de configuração por meio de version controlled-infrastructure-as-code e acesso a interfaces administrativas por meio de protocolos de rede seguros. |
1, 2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.7 |
PROTEGER |
O órgão gerencia contas padrão nos ativos coorporativos e software? |
Gerenciar contas padrão nos ativos e software, como root, administrador e outras contas de fornecedores pré-configuradas. |
1, 2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.8 |
PROTEGER |
O órgão desinstala ou desativa serviços desnecessários nos ativos e software? |
Desinstalar ou desativar serviços desnecessários nos ativos e software, como serviço de compartilhamento de arquivo não utilizado, módulo de aplicação web ou função de serviço. |
2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.9 |
PROTEGER |
O órgão configura servidores DNS confiáveis nos ativos? |
Implementar configuração de ativos para usar servidores DNS controlados pelo órgão e/ou servidores DNS confiáveis acessíveis externamente. |
2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.10 |
PROTEGER |
O órgão impõe a capacidade de limpeza remota nos dispositivos portáteis do usuário final? |
Limpar remotamente os dados institucionais de dispositivos portáteis de usuário final de propriedade da organização quando for considerado apropriado, como dispositivos perdidos ou roubados, ou quando um indivíduo não trabalha mais no órgão. |
2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.11 |
PROTEGER |
O órgão separa os Espaços de Trabalho nos dispositivos móveis? |
Certificar de que a separação de espaços de trabalho seja usada nos dispositivos móveis de usuário final, ou seja, separar aplicações e dados institucionais de aplicações e dados pessoais nos dispositivos, onde houver suporte. |
3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
4.12 |
RESPONDER |
O órgão impõe o bloqueio automático de dispositivos nos dispositivos portáteis do usuário final? |
Impor bloqueio automático de dispositivos quando houver um número pré-definido de tentativas de autenticação com falha. |
2, 3 |
CONTROLE 4: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E SOFTWARE |
CIBERSEGURANÇA |
|
5.1 |
IDENTIFICAR |
O órgão estabelece e mantém um inventário de contas? |
Estabelecer e manter um inventário de todas as contas gerenciadas na organização.
O inventário deve incluir contas de usuário e administrador.
Validar se todas as contas ativas estão autorizadas, trimestralmente ou com mais frequência. |
1, 2, 3 |
CONTROLE 5: GESTÃO DE CONTAS |
CIBERSEGURANÇA |
|
5.2 |
IDENTIFICAR |
O órgão estabelece e mantém um inventário de contas de serviço? |
Estabelecer e manter um inventário de contas de serviço.
O inventário, no mínimo, deve conter o departamento proprietário, data de revisão e propósito.
Realizar análises de contas de serviço para validar se todas as contas ativas estão autorizadas, em uma programação recorrente, no mínimo trimestralmente ou com mais frequência. |
2, 3 |
CONTROLE 5: GESTÃO DE CONTAS |
CIBERSEGURANÇA |
|
5.3 |
PROTEGER |
O órgão usa senhas exclusivas? |
Usar senhas exclusivas para todos os ativos institucionais.
Contas que usam MFA (Autenticação multifator) no mínimo senhas de 8 caracteres e uma senha de 14 caracteres para contas que não usam o MFA. |
1, 2, 3 |
CONTROLE 5: GESTÃO DE CONTAS |
CIBERSEGURANÇA |
|
5.4 |
PROTEGER |
O órgão restringe privilégios de administrador a contas de administrador dedicadas? |
Restringir os privilégios de administrador a contas de administrador dedicados nos ativos institucionais.
Realizar atividades gerais de computação, como navegação na Internet, e-mail e uso do pacote de produtividade, a partir da conta primária não privilegiada do usuário. |
1, 2, 3 |
CONTROLE 5: GESTÃO DE CONTAS |
CIBERSEGURANÇA |
|
5.5 |
PROTEGER |
O órgão centraliza a gestão de contas? |
Centralizar a gestão de contas por meio de serviço de diretório ou de identidade. |
2, 3 |
CONTROLE 5: GESTÃO DE CONTAS |
CIBERSEGURANÇA |
|
5.6 |
RESPONDER |
O órgão desabilita contas inativas? |
Excluir ou desabilitar quaisquer contas inativas após um período de 45 dias de inatividade. |
1, 2, 3 |
CONTROLE 5: GESTÃO DE CONTAS |
CIBERSEGURANÇA |
|
6.1 |
IDENTIFICAR |
O órgão estabelece e mantém um inventário de sistemas de autenticação e autorização? |
Estabelecer e manter um inventário dos sistemas de autenticação e autorização da organização, incluindo aqueles hospedados no site local ou em um provedor de serviços remoto.
Revisar e atualizar o inventário anualmente ou com mais frequência. |
2, 3 |
CONTROLE 6: GESTÃO DO CONTROLE DE ACESSO |
CIBERSEGURANÇA |
|
6.2 |
PROTEGER |
O órgão estabelece um Processo de Concessão de Acesso? |
Estabelecer e seguir um processo, de preferência automatizado, para conceder acesso aos ativos institucionais mediante nova contratação, concessão de direitos ou mudança de função de um usuário. |
1, 2, 3 |
CONTROLE 6: GESTÃO DO CONTROLE DE ACESSO |
CIBERSEGURANÇA |
|
6.3 |
PROTEGER |
O órgão estabelece um Processo de Revogação de Acesso? |
Estabelecer e seguir um processo, de preferência automatizado, para revogar o acesso aos ativos institucionais, por meio da desativação de contas imediatamente após o encerramento, revogação de direitos ou mudança de função de um usuário.
Desativar contas, em vez de excluí-las, pode ser necessário para preservar as trilhas de auditoria. |
1, 2, 3 |
CONTROLE 6: GESTÃO DO CONTROLE DE ACESSO |
CIBERSEGURANÇA |
|
6.4 |
PROTEGER |
O órgão exige MFA para aplicações expostas externamente? |
Exigir que todas as aplicações corporativas ou de terceiros expostas externamente apliquem o MFA.
Impor o MFA por meio de um serviço de diretório ou provedor de SSO é uma implementação satisfatória desta medida de segurança. |
1, 2, 3 |
CONTROLE 6: GESTÃO DO CONTROLE DE ACESSO |
CIBERSEGURANÇA |
|
6.5 |
PROTEGER |
O órgão exige MFA para acesso remoto à rede? |
Exigir MFA para acesso remoto à rede. |
1, 2, 3 |
CONTROLE 6: GESTÃO DO CONTROLE DE ACESSO |
CIBERSEGURANÇA |
|
6.6 |
PROTEGER |
O órgão exige MFA para acesso administrativo? |
Exigir MFA para todas as contas de acesso administrativo, em todos os ativos institucionais, sejam gerenciados no site local ou por meio de um provedor terceirizado. |
1, 2, 3 |
CONTROLE 6: GESTÃO DO CONTROLE DE ACESSO |
CIBERSEGURANÇA |
|
6.7 |
PROTEGER |
O órgão centraliza o controle de acesso? |
Centralizar o controle de acesso para todos os ativos institucionais por meio de um serviço de diretório ou provedor de SSO. |
2, 3 |
CONTROLE 6: GESTÃO DO CONTROLE DE ACESSO |
CIBERSEGURANÇA |
|
6.8 |
PROTEGER |
O órgão define e mantém o controle de acesso baseado em funções? |
Definir e manter o controle de acesso baseado em funções, determinando e documentando os direitos de acesso necessários para cada função dentro da organização para cumprir com sucesso suas funções atribuídas.
Realizar análises de controle de acesso de ativos institucionais para validar se todos os privilégios estão autorizados, em uma programação recorrente, uma vez por ano ou com maior frequência. |
3 |
CONTROLE 6: GESTÃO DO CONTROLE DE ACESSO |
CIBERSEGURANÇA |
|
7.1 |
IDENTIFICAR |
O órgão realiza varreduras automatizadas de vulnerabilidade em ativos institucionais internos? |
Realizar varreduras automatizadas de vulnerabilidade em ativos institucionais internos trimestralmente ou com mais frequência.
Realizar varreduras autenticadas e não autenticadas, usando uma ferramenta compatível com o SCAP(Security Content Automation Protocol). |
2, 3 |
CONTROLE 7: GESTÃO CONTÍNUA DE VULNERABILIDADES |
CIBERSEGURANÇA |
|
7.2 |
IDENTIFICAR |
O órgão realiza varreduras automatizadas de vulnerabilidade em ativos institucionais expostos externamente? |
Executar varreduras de vulnerabilidade automatizadas de ativos institucionais expostos externamente usando uma ferramenta de varredura de vulnerabilidade compatível com o SCAP.
Executar varreduras mensalmente ou com mais frequência. |
2, 3 |
CONTROLE 7: GESTÃO CONTÍNUA DE VULNERABILIDADES |
CIBERSEGURANÇA |
|
7.3 |
PROTEGER |
O órgão executa a gestão automatizada de patches do sistema operacional? |
Estabelecer e manter um processo de gestão de vulnerabilidade documentado para ativos institucionais.
Revisar e atualizar a documentação anualmente ou quando ocorrerem mudanças significativas na organização |
1, 2, 3 |
CONTROLE 7: GESTÃO CONTÍNUA DE VULNERABILIDADES |
CIBERSEGURANÇA |
|
7.4 |
PROTEGER |
O órgão executa a gestão automatizada de patches do sistema operacional? |
Realizar atualizações do sistema operacional em ativos institucionais por meio da gestão automatizada de patches mensalmente ou com mais frequência. |
1, 2, 3 |
CONTROLE 7: GESTÃO CONTÍNUA DE VULNERABILIDADES |
CIBERSEGURANÇA |
|
7.5 |
PROTEGER |
O órgão executa a gestão automatizada de patches de aplicações? |
Realizar atualizações de aplicações em ativos institucionais por meio da gestão automatizada de patches mensalmente ou com mais frequência. |
1, 2, 3 |
CONTROLE 7: GESTÃO CONTÍNUA DE VULNERABILIDADES |
CIBERSEGURANÇA |
|
7.6 |
RESPONDER |
O órgão estabelece e mantém um processo de remediação? |
Estabelecer e manter uma estratégia de remediação baseada em risco documentada em um processo de remediação, com revisões mensais ou mais frequentes. |
1, 2, 3 |
CONTROLE 7: GESTÃO CONTÍNUA DE VULNERABILIDADES |
CIBERSEGURANÇA |
|
7.7 |
RESPONDER |
O órgão corrige vulnerabilidades detectadas? |
Corrigir as vulnerabilidades detectadas no software por meio de processos e ferramentas mensalmente, ou com mais frequentemente, com base no processo de correção. |
2, 3 |
CONTROLE 7: GESTÃO CONTÍNUA DE VULNERABILIDADES |
CIBERSEGURANÇA |
|
8.1 |
PROTEGER |
O órgão estabelece e mantém um processo de gestão de log de auditoria? |
Estabelecer e manter um processo de gestão de log de auditoria que defina os requisitos de log da organização.
Tratar da coleta, revisão e retenção de logs de auditoria para ativos institucionais.
Revisar e atualizar a documentação anualmente ou quando ocorrerem mudanças significativas. |
1, 2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.2 |
PROTEGER |
O órgão garante o armazenamento adequado do registro de auditoria? |
Certificar de que os destinos dos logs mantenham armazenamento adequado para cumprir o processo de gestão de log de auditoria da organização. |
1, 2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.3 |
PROTEGER |
O órgão padroniza a sincronização de tempo? |
Padronizar a sincronização de tempo.
Configurar pelo menos duas fontes de tempo sincronizadas nos ativos institucionais. |
2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.4 |
PROTEGER |
O órgão retém os logs de auditoria? |
Reter os logs de auditoria em ativos institucionais por no mínimo 90 dias. |
2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.5 |
DETECTAR |
O órgão coleta logs de auditoria? |
Coletar logs de auditoria.
Certificar de que o log, de acordo com o processo de gestão de log de auditoria da organização, tenha sido habilitado em todos os ativos. |
1, 2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.6 |
DETECTAR |
O órgão coleta logs de auditoria detalhados? |
Configurar o log de auditoria detalhado para ativos institucionais contendo dados sensíveis.
Incluir a origem do evento, data, nome de usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis que podem ajudar em uma investigação forense. |
2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.7 |
DETECTAR |
O órgão coleta logs de auditoria de consulta DNS? |
Habilitar o registro de log de consulta do servidor DNS (Domain Name System) para detectar pesquisas de nomes de host para domínios maliciosos conhecidos. |
2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.8 |
DETECTAR |
O órgão coleta logs de auditoria de requisição de URL? |
Coletar logs de auditoria de requisição de URL em ativos institucionais, quando apropriado e suportado. |
2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.9 |
DETECTAR |
O órgão coleta logs de auditoria de linha de comando? |
Habilitar o log de auditoria sobre ferramentas de linha de comando, tais como Microsoft Powershell e Bash. |
2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.10 |
DETECTAR |
O órgão centraliza os logs de auditoria? |
Centralizar a coleta e retenção de logs de auditoria nos ativos institucionais. |
2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.11 |
DETECTAR |
O órgão conduz revisões de log de auditoria? |
Realizar análises de logs de auditoria para detectar anomalias ou eventos anormais que possam indicar uma ameaça potencial.
Realizar revisões semanalmente ou com mais frequência. |
2, 3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
8.12 |
DETECTAR |
O órgão coleta logs do provedor de serviços? |
Coletar logs do provedor de serviços.
Exemplos de implementações incluem coleta de eventos de autenticação e autorização, eventos de criação e de descarte de dados e eventos de gestão de usuários. |
3 |
CONTROLE 8: GESTÃO DE REGISTROS DE AUDITORIA |
CIBERSEGURANÇA |
|
9.1 |
PROTEGER |
O órgão garante o uso apenas de navegadores e clientes de e-mail suportados plenamente? |
Certificar de que apenas navegadores e clientes de e-mail suportados plenamente tenham permissão para executar na organização, usando apenas a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor. |
1, 2, 3 |
CONTROLE 9: PROTEÇÕES DE E-MAIL E NAVEGADOR WEB |
CIBERSEGURANÇA |
|
9.2 |
PROTEGER |
O órgão usa serviços de filtragem de DNS? |
Usar os serviços de filtragem de DNS em todos os ativos institucionais para bloquear o acesso a domínios mal-intencionados conhecidos. |
1, 2, 3 |
CONTROLE 9: PROTEÇÕES DE E-MAIL E NAVEGADOR WEB |
CIBERSEGURANÇA |
|
9.3 |
PROTEGER |
O órgão mantém e impõe filtros de URL baseados em rede? |
Impor e atualizar filtros de URL baseados em rede para limitar um ativo institucional de se conectar a sites potencialmente maliciosos ou não aprovados. |
2, 3 |
CONTROLE 9: PROTEÇÕES DE E-MAIL E NAVEGADOR WEB |
CIBERSEGURANÇA |
|
9.4 |
PROTEGER |
O órgão restringe extensões de cliente de e-mail e navegador desnecessárias ou não autorizadas? |
Restringir, seja desinstalando ou desabilitando, quaisquer plug-ins de cliente de e-mail ou navegador, extensões e aplicações complementares não autorizados ou desnecessários. |
2, 3 |
CONTROLE 9: PROTEÇÕES DE E-MAIL E NAVEGADOR WEB |
CIBERSEGURANÇA |
|
9.5 |
PROTEGER |
O órgão implementa o DMARC? |
Para diminuir a chance de e-mails forjados ou modificados de domínios válidos, implemente a política e verificação DMARC, começando com a implementação dos padrões Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) |
2, 3 |
CONTROLE 9: PROTEÇÕES DE E-MAIL E NAVEGADOR WEB |
CIBERSEGURANÇA |
|
9.6 |
PROTEGER |
O órgão bloqueia tipos de arquivo desnecessários? |
Bloquear tipos de arquivo desnecessários que tentem entrar no gateway de e-mail do órgão. |
2, 3 |
CONTROLE 9: PROTEÇÕES DE E-MAIL E NAVEGADOR WEB |
CIBERSEGURANÇA |
|
9.7 |
PROTEGER |
O órgão implanta e mantém proteções antimalware de servidor de e-mail? |
Implantar e manter proteção antimalware de servidores de e-mail, como varredura de anexos e/ou sandbox. |
3 |
CONTROLE 9: PROTEÇÕES DE E-MAIL E NAVEGADOR WEB |
CIBERSEGURANÇA |
|
10.1 |
PROTEGER |
O órgão instala e mantém um software antimalware? |
Instalar e manter um software anti-malware em todos os ativos cibernéticos da organização. |
1, 2, 3 |
CONTROLE 10: DEFESAS CONTRA MALWARE |
CIBERSEGURANÇA |
|
10.2 |
PROTEGER |
O órgão configura atualizações automáticas de assinatura antimalware? |
Realizar a configuração de atualizações automáticas para as assinaturas anti-malware em todos os ativos cibernéticos da organização. |
1, 2, 3 |
CONTROLE 10: DEFESAS CONTRA MALWARE |
CIBERSEGURANÇA |
|
10.3 |
PROTEGER |
O órgão desabilita a execução e reprodução automática para mídias removíveis? |
Configurar os dispositivos para a não execução e reprodução automática de mídias removíveis. |
1, 2, 3 |
CONTROLE 10: DEFESAS CONTRA MALWARE |
CIBERSEGURANÇA |
|
10.4 |
PROTEGER |
O órgão habilita funções antiexploração? |
Habilitar funcionalidades "anti-exploits" tais como Data Execution Prevention (DEP) ou Address Space Layout Randomization (ASLR) que estejam disponíveis no sistema operacional, ou implantar ferramentas apropriadas que possam ser configuradas para aplicar proteções sobre um conjunto mais amplo de aplicações e executáveis. |
2, 3 |
CONTROLE 10: DEFESAS CONTRA MALWARE |
CIBERSEGURANÇA |
|
10.5 |
PROTEGER |
O órgão gerencia o software antimalware de maneira centralizada? |
Utilizar software anti-malware gerenciado centralmente para monitorar e defender continuamente cada uma das estações de trabalho e servidores da organização. |
2, 3 |
CONTROLE 10: DEFESAS CONTRA MALWARE |
CIBERSEGURANÇA |
|
10.6 |
DETECTAR |
O órgão configura a varredura antimalware automática de mídia removível? |
Configure o software anti-malware para verificar automaticamente a mídia removível. |
2, 3 |
CONTROLE 10: DEFESAS CONTRA MALWARE |
CIBERSEGURANÇA |
|
10.7 |
DETECTAR |
O órgão utiliza software antimalware baseado em comportamento? |
Utilizar software anti-malware que consiga monitorar e identificar comportamentos fora do comum dos equipamentos da organização. |
2, 3 |
CONTROLE 10: DEFESAS CONTRA MALWARE |
CIBERSEGURANÇA |
|
11.1 |
PROTEGER |
O órgão protege os dados de recuperação? |
Garantir que os dados de recuperação sejam protegidos adequadamente por meio de segurança física ou criptografia quando são armazenados, bem como quando são movidos pela rede. Isso inclui backups remotos e serviços em nuvem.
Devem ser estabelecidos controles que garantam que os dados de recuperação sejam equivalentes aos dados originais. |
1, 2, 3 |
CONTROLE 11: RECUPERAÇÃO DE DADOS |
CIBERSEGURANÇA |
|
11.2 |
PROTEGER |
O órgão estabelece e mantém um processo de recuperação de dados? |
Estabelecer e manter um processo de recuperação de dados.
Tal processo deve descrever em seu escopo as atividades de recuperação de dados, priorização da recuperação e a atividade de segurança dos dados de backup.
Periodicamente, deve ser realizada uma revisão e/ou atualização deste processo, assim como em casos específicos quando ocorrerem mudanças significativas na organização que venham impactar a organização de forma significativa |
1, 2, 3 |
CONTROLE 11: RECUPERAÇÃO DE DADOS |
CIBERSEGURANÇA |
|
11.3 |
RECUPERAR |
O órgão executa backups automatizados? |
Garantir que todos os dados dos sistemas tenham cópias de segurança (backups) realizadas automaticamente e de forma regular. |
1, 2, 3 |
CONTROLE 11: RECUPERAÇÃO DE DADOS |
CIBERSEGURANÇA |
|
11.4 |
RECUPERAR |
O órgão estabelece e mantém uma instância isolada de dados de recuperação? |
Criar e manter pelo menos uma instância isolada dos dados de recuperação.
Alguns exemplos deste tipo de implementação são controle de versão de destinos de backup por meio de sistemas e serviços off-line (backup off-line, não acessível por meio de uma conexão de rede), em nuvem, ou em datacenter separado do site local. |
1, 2, 3 |
CONTROLE 11: RECUPERAÇÃO DE DADOS |
CIBERSEGURANÇA |
|
11.5 |
RECUPERAR |
O órgão testa os dados de recuperação? |
Realizar o teste de integridade dos dados na mídia de backup regularmente, executando um processo de restauração de dados para garantir que o backup esteja funcionando corretamente. |
2, 3 |
CONTROLE 11: RECUPERAÇÃO DE DADOS |
CIBERSEGURANÇA |
|
12.1 |
IDENTIFICAR |
O órgão elabora e mantém diagramas de arquitetura? |
Elaborar e manter diagramas e demais documentações da arquitetura de rede da organização. A revisão destas documentações deve ser realizada de forma periódica ou quando ocorrerem mudanças que possam impactar tais artefatos. |
2, 3 |
CONTROLE 12: GESTÃO DA INFRAESTRUTURA DE REDE |
CIBERSEGURANÇA |
|
12.2 |
PROTEGER |
O órgão garante que a Infraestrutura de rede está atualizada? |
Garantir que a infraestrutura de rede da organização esteja sempre atualizada. Deve ser realizada uma revisão das versões de software de forma periódica, ou quando for identificada uma vulnerabilidade que eleve o risco da organização. |
1, 2, 3 |
CONTROLE 12: GESTÃO DA INFRAESTRUTURA DE REDE |
CIBERSEGURANÇA |
|
12.3 |
PROTEGER |
O órgão garante níveis de segurança para a arquitetura de rede? |
Garantir que a arquitetura de rede se mantenha segura.
É nteressante buscar implementar políticas de segurança como segmentação de rede, privilégio mínimo e níveis básicos de disponibilidade. |
2, 3 |
CONTROLE 12: GESTÃO DA INFRAESTRUTURA DE REDE |
CIBERSEGURANÇA |
|
12.4 |
PROTEGER |
O órgão gerencia a nfraestrutura de rede e segurança? |
Implementar e gerenciar com segurança a infraestrutura de rede da organização. |
2, 3 |
CONTROLE 12: GESTÃO DA INFRAESTRUTURA DE REDE |
CIBERSEGURANÇA |
|
12.5 |
PROTEGER |
O órgão centraliza a autenticação, autorização e auditoria de rede (AAA)? |
Implementar a centralização de (AAA) de rede. |
2, 3 |
CONTROLE 12: GESTÃO DA INFRAESTRUTURA DE REDE |
CIBERSEGURANÇA |
|
12.6 |
PROTEGER |
O órgão utiliza protocolos de comunicação e gestão de rede seguros? |
Implementar protocolos de comunicação e rede seguros. |
2, 3 |
CONTROLE 12: GESTÃO DA INFRAESTRUTURA DE REDE |
CIBERSEGURANÇA |
|
12.7 |
PROTEGER |
O órgão garante que os dispositivos remotos utilizem uma VPN e se conectem em uma infraestrutura AAA segura da organização? |
Fazer com que os usuários se autentiquem em serviços de autenticação e VPN gerenciados pela organização antes de acessar os dispositivos e recursos da organização. |
2, 3 |
CONTROLE 12: GESTÃO DA INFRAESTRUTURA DE REDE |
CIBERSEGURANÇA |
|
12.8 |
PROTEGER |
O órgão utiliza e mantém recursos cibernéticos dedicados para todo o trabalho administrativo? |
Habilitar a coleta de Netflow e registros de log em cada um dos dispositivos existentes para a execução de tarefas administrativas, utilize e mantenha recursos cibernéticos dedicados, estes devem estar fisicamente ou logicamente separados e seguros.
É importante que tais recursos sejam segmentados da rede primária da organização, e não deve ser permitido o acesso a rede externa da organização. fronteiras da rede. |
3 |
CONTROLE 12: GESTÃO DA INFRAESTRUTURA DE REDE |
CIBERSEGURANÇA |
|
13.1 |
PROTEGER |
O órgão realiza filtragem de tráfego entre os segmentos de rede? |
Realize a filtragem de tráfego entre os segmentos de rede. |
2, 3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.2 |
PROTEGER |
O órgão aplica o gerenciamento de controle de acesso em ativos remotos? |
Aplique o gerenciamento de controle de acesso em ativos que se conectam remotamente a organização.
Determine a quantidade de acesso aos recursos da organização utilizando softwares antimalware devidamente atualizados, processos de configuração segura de ativos e certifique-se que os sistemas operacionais e demais aplicações estejam sempre atualizados |
2, 3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.3 |
PROTEGER |
O órgão implanta soluções para prevenção de intrusão baseada em host? |
Implante uma solução para prevenção de intrusão baseada em host e ativos institucionais, preferencialmente com suporte do fornecedor. |
3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.4 |
PROTEGER |
O órgão implanta soluções para prevenção de intrusão de rede? |
Implante uma solução para prevenção de intrusão baseada em rede, preferencialmente com suporte do fornecedor. |
3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.5 |
PROTEGER |
O órgão implanta controle de acesso a nível de porta? |
Implante o controle de acesso em nível de porta.
Tal controle utiliza o protocolo 802.1x ou soluções semelhantes como certificados, também podem ser utilizadas ferramentas para autenticação de usuário e/ou dispositivo. |
3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.6 |
PROTEGER |
O órgão realiza a filtragem de camada de aplicação? |
Realize a filtragem de camada de aplicação.
Exemplos de implementações são proxy de filtragem, firewall desta camada ou gateway. |
3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.7 |
DETECTAR |
O órgão centraliza alertas de eventos de segurança? |
Centralize os alertas de eventos de segurança em ativos institucionais para que a organização consiga realizar a correlação e análise do log.
Uma boa prática é o uso de um SIEM que inclua alertas de correlação de eventos definidos pelo fornecedor.
Outra boa prática é a adoção de uma plataforma de análise de log configurada com aletas de correlação relevantes para a segurança cibernética |
2, 3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.8 |
DETECTAR |
O órgão implanta soluções de detecção e intrusão baseada em host? |
Implante soluções para detecção de intrusão baseada em host em ativos institucionais |
2, 3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.9 |
DETECTAR |
O órgão implanta soluções de detecção e intrusão baseada em rede? |
Implante soluções para detecção de intrusão de rede em ativos institucionais. |
2, 3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.10 |
DETECTAR |
O órgão coleta logs de fluxo e tráfego de rede? |
Realize a coleta dos logs de fluxo e tráfego de rede com o objetivo de checar e alertar sobre dispositivos de rede que estejam com comportamento que fujam do padrão. em sua necessidade de acesso como parte de suas responsabilidades. |
2, 3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
13.11 |
DETECTAR |
O órgão ajusta limites de alertas de eventos de segurança? |
Ajuste periodicamente os limites dos alertas de eventos de segurança. |
3 |
CONTROLE 13: MONITORAMENTO E DEFESA DA REDE |
CIBERSEGURANÇA |
|
14.1 |
PROTEGER |
O órgão implanta e mantém um programa de conscientização de segurança? |
Criar programa de conscientização de segurança para que todos os membros da força de trabalho o realizem regularmente com o objetivo de garantir que eles entendam e exibam os conhecimentos e comportamentos necessários para ajudar a garantir a segurança da instituição.
O programa de conscientização de segurança da instituição deve ser comunicado de maneira contínua e envolvente. |
1, 2, 3 |
CONTROLE 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS SOBRE SEGURANÇA |
CIBERSEGURANÇA |
|
14.2 |
PROTEGER |
O órgão treina colaboradores para reconhecer ataques de engenharia social? |
Treinar os colaborares sobre como identificar diferentes formas de ataques de engenharia social, como phishing, golpes de telefone e chamadas realizadas por impostores. |
1, 2, 3 |
CONTROLE 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS SOBRE SEGURANÇA |
CIBERSEGURANÇA |
|
14.3 |
PROTEGER |
O órgão treina os colaboradores nas melhores práticas de autenticação? |
Treinar os colaboradores sobre a importância de habilitar utilizar as melhores práticas de autenticação segura como MFA (Multi-factor Authentication – Autenticação de múltiplos fatores), composição de senha e gestão de credenciais. |
1, 2, 3 |
CONTROLE 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS SOBRE SEGURANÇA |
CIBERSEGURANÇA |
|
14.4 |
PROTEGER |
O órgão treina os colaboradores nas Melhores Práticas de Tratamento de Dados? |
Treinar os membros da força de trabalho sobre como identificar e armazenar, transferir, arquivar e destruir informações sensíveis (incluindo dados pessoais) adequadamente.
Isto também inclui o treinamento sobre práticas recomendadas de mesa e tela limpas, (não deixar senhas expostas nas mesas de trabalho e bloquear a tela da estação de trabalho ao se ausentar), apagar quadros físicos e virtuais após reuniões e armazenar dados e ativos com segurança. |
1, 2, 3 |
CONTROLE 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS SOBRE SEGURANÇA |
CIBERSEGURANÇA |
|
14.5 |
PROTEGER |
O órgão treina os colaboradores sobre as causas da exposição não intencional de dados? |
Treinar os membros da força de trabalho para estarem cientes das causas de exposições de dados não intencionais, como perder seus dispositivos móveis ou enviar e-mail para a pessoa errada devido ao preenchimento automático de e-mail. |
1, 2, 3 |
CONTROLE 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS SOBRE SEGURANÇA |
CIBERSEGURANÇA |
|
14.6 |
PROTEGER |
O órgão treina os colaboradores sobre como Reconhecer e Relatar incidentes de Segurança? |
Treinar os colaboradores para serem capazes de identificar os indicadores mais comuns de um incidente e serem capazes de relatar tal incidente. |
1, 2, 3 |
CONTROLE 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS SOBRE SEGURANÇA |
CIBERSEGURANÇA |
|
14.7 |
PROTEGER |
O órgão treina os colaboradores sobre como identificar e comunicar se os seus ativos institucionais estão desatualizados em relação a segurança? |
Treine os colaboradores para entender como verificar e relatar patches de software desatualizados ou quaisquer falhas em ferramentas e processos automatizados.
É importante incluir nesse treinamento a etapa de notificação do pessoal de TI sobre quaisquer falhas em processos e ferramentas automatizadas que estejam ocorrendo. |
1, 2, 3 |
CONTROLE 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS SOBRE SEGURANÇA |
CIBERSEGURANÇA |
|
14.8 |
PROTEGER |
O órgão treina os colaboradores sobre os perigos de se conectar e transmitir dados institucionais em redes inseguras? |
Treine os colaboradores sobre os perigos de se conectar e transmitir dados em redes inseguras para atividades corporativas.
Se a organização tiver funcionários remotos, o treinamento deve incluir orientação para garantir que todos os usuários configurem com segurança sua infraestrutura de rede doméstica. |
1, 2, 3 |
CONTROLE 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS SOBRE SEGURANÇA |
CIBERSEGURANÇA |
|
14.9 |
PROTEGER |
O órgão conduz treinamento de competências e conscientização de segurança para funções específicas? |
Para colaboradores que atuem em funções específicas, realize o treinamento de conscientização de segurança e de competências específicas para estas funções.
Exemplos de implementações incluem cursos de administração de sistema seguro para profissionais de TI, treinamento de conscientização e prevenção de vulnerabilidades para desenvolvedores de aplicações da web do OWASP e treinamento avançado de conscientização de engenharia social para funções de níveis estratégico da organização. |
2, 3 |
CONTROLE 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS SOBRE SEGURANÇA |
CIBERSEGURANÇA |
|
15.1 |
IDENTIFICAR |
O órgão cria e gerencia o inventário de provedores de serviços? |
Crie e gerencie o inventário de provedores de serviços.
Este inventário deve listar todos os provedores de serviços da organização, incluir classificações, e conter contatos institucionais para cada provedor de serviço.
Deve ser realizada uma revisão e/ou atualização deste inventário anualmente ou quando ocorrerem mudanças significativas do provedor que venham impactar a organização de forma significativa. |
1, 2, 3 |
CONTROLE 15: GESTÃO DE PROVEDOR DE SERVIÇOS |
CIBERSEGURANÇA |
|
15.2 |
IDENTIFICAR |
O órgão cria e gerencia uma política de gestão de provedores de serviços? |
Crie e gerencie uma política de gestão de provedores de serviços.
Faça com que tal política trate de classificação, inventário, avaliação, monitoramento e descomissionamento de prestadores e provedores de serviço da organização. Deve ser realizada uma revisão e/ou alteração desta política periodicamente, em casos específicos quando ocorrerem mudanças significativas na organização que venham impactar a organização de forma significativa. |
2, 3 |
CONTROLE 15: GESTÃO DE PROVEDOR DE SERVIÇOS |
CIBERSEGURANÇA |
|
15.3 |
IDENTIFICAR |
O órgão classifica provedores de serviços? |
Realize a classificação de provedores de serviços.
Para que seja realizada a classificação podem ser levadas em consideração uma ou mais característica do provedor, como a sensibilidade dos dados e informações que este provedor opera/gerencia, volume destes dados e informações, regulamentações aplicáveis, requisitos de disponibilidade e classificação de risco.
Deve ser realizada uma revisão e/ou alteração desta classificação periodicamente, em casos específicos quando ocorrerem mudanças significativas na organização que venham impactar a organização e forma significativa. |
2, 3 |
CONTROLE 15: GESTÃO DE PROVEDOR DE SERVIÇOS |
CIBERSEGURANÇA |
|
15.4 |
IDENTIFICAR |
O órgão avalia provedores de serviços? |
Realizar a avaliação de provedores de serviços da organização. O escopo da avaliação deve levar em consideração as diretrizes contidas na política de gestão de provedores de serviços além de classificações e relatórios de avaliação padronizados, questionários, e processos rigorosos aplicáveis.
A avaliação de provedores de serviço deve ser realizada de forma periódica e na medida em que novos contratosestipulados ou renovados . |
3 |
CONTROLE 15: GESTÃO DE PROVEDOR DE SERVIÇOS |
CIBERSEGURANÇA |
|
15.5 |
PROTEGER |
O órgão garante que os contratos dos provedores de serviços contenham requisitos mínimos de segurança? |
Fazer com que os contratos do provedor de serviços contenham requisitos de segurança, alguns exemplos destes requisitos de segurança são, requisitos mínimos de segurança do software, resposta a incidentes de segurança, criptografia e descarte de dados.
Tais requisitos mínimos devem ser concisos com a política de gestão de provedores da organização.
Deve ser realizada uma revisão dos contratos de provedores de forma periódica com o objetivo de atualizar e garantir que os requisitos de segurança estão sendo cumpridos. |
2, 3 |
CONTROLE 15: GESTÃO DE PROVEDOR DE SERVIÇOS |
CIBERSEGURANÇA |
|
15.6 |
PROTEGER |
O órgão encerra de forma segura o contrato com o provedor de serviços? |
Realizar de forma segura o encerramento de contrato de provedores e prestadores de serviço.
Algumas ações que possam ser utilizadas para realizar o encerramento de contratos ou desligamento de prestadores são, desativação de contas de usuário e serviço utilizadas durante o contrato, encerramento de fluxo de dados e descarte seguros de dados e informações corporativas em sistemas dos provedores de serviço. |
3 |
CONTROLE 15: GESTÃO DE PROVEDOR DE SERVIÇOS |
CIBERSEGURANÇA |
|
15.7 |
DETECTAR |
O órgão monitora provedores de serviço? |
Realizar a monitoração de provedores de acordo com a política de gestão dos provedores de serviços.
Tal monitoração pode incluir a avaliação periódica do provedor, monitoração de artefatos entregues pelo provedor |
3 |
CONTROLE 15: GESTÃO DE PROVEDOR DE SERVIÇOS |
CIBERSEGURANÇA |
|
16.1 |
PROTEGER |
O órgão estabelece e mantém um processo de desenvolvimento de aplicações? |
Estabelecer e manter um processo de desenvolvimento de aplicações seguro.
Este processo deve tratar de itens como padrões de design seguro de aplicações (Security by Design), práticas de codificação seguras, treinamentos para desenvolvedores, gestão de vulnerabilidades, egurança de código de terceiros e procedimentos de teste de segurança de aplicação.
Deve ser realizada uma revisão e/ou alteração deste processo periodicamente, em casos específicos ou quando ocorrerem mudanças na organização que venham impactá-la de forma significativa. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.2 |
PROTEGER |
O órgão estabelece e mantém um processo para aceitar e endereçar vulnerabilidades de software? |
Estabelecer e manter um processo de aceitação e tratamento de informações sobre vulnerabilidades de software, incluindo mecanismos para que entidades externas contatem o grupo de segurança da instituição.
É importante que o processo inclua itens como: Política de tratamento de vulnerabilidades identificadas e relatadas, equipe ou profissional responsável por analisar os relatórios de vulnerabilidade e um processo de entrada, atribuição, correção e testes de correção.
Como parte deste processo, é importante rastrear as vulnerabilidades, classificar a gravidade e atribuir métricas capazes de medir o tempo de identificação, análise e correção das vulnerabilidades.
Deve ser realizada uma revisão e/ou alteração deste processo periodicamente, em casos específicos ou quando ocorrerem mudanças na organização que venham impactá-la de forma significativa. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.3 |
PROTEGER |
O órgão executa análise de causa raiz em vulnerabilidades de segurança? |
Executar a análise de causa raiz em vulnerabilidades de segurança.
A análise da causa raiz é a tarefa capaz de avaliar os problemas subjacentes que criam vulnerabilidades no código da aplicação e permite que as equipes de desenvolvimento vão além de apenas corrigir vulnerabilidades individuais conforme elas surgem. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.4 |
PROTEGER |
O órgão estabelece e gerencia um inventário de componentes de software de terceiros? |
Estabelecer e gerenciar um inventário atualizado de componentes de terceiros usados no desenvolvimento, geralmente chamados de “lista de materiais”, bem como componentes programados para uso futuro.
Este inventário deve incluir quaisquer riscos que cada componente de terceiros possa representar a organização.
Deve ser realizada uma revisão e/ou alteração deste inventário periodicamente, com o objetivo de identificar quaisquer mudanças ou atualização nesses componentes e validar a compatibilidade do mesmo. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.5 |
PROTEGER |
O órgão usa componentes de software de terceiros atualizados e confiáveis? |
Utilizar apenas componentes de terceiros atualizados e confiáveis. Quando possível, escolher bibliotecas e estruturas pré-estabelecidas e comprovadas que forneçam a segurança adequada.
É importante adquirir tais componentes de fornecedores e fontes confiáveis ou realizar a avaliação de vulnerabilidades do software antes de usar/adquirir. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.6 |
PROTEGER |
O órgão estabelece e mantém um processo para a classificação de severidade de vulnerabilidades? |
Estabelecer e manter um processo para a classificação de gravidade de vulnerabilidades capaz de facilitar a priorização na medida em que as vulnerabilidades descobertas são corrigidas.
Esse processo deve incluir a definição de um nível mínimo de aceitabilidade de segurança para a liberação de código ou aplicações.
A classificação de gravidade deve trazer uma forma sistemática de triagem de vulnerabilidades que venha a melhorar a gestão de riscos e ajuda a garantir que os bugs mais graves sejam priorizados.
Revise o processo o e a classificação de vulnerabilidade periodicamente. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.7 |
PROTEGER |
O órgão usa modelos de configurações de segurança padrão para infraestrutura de aplicações? |
Utilizar modelos de configuração de segurança padrão (Segurança by Default) recomendados pela equipe de segurança em componentes de infraestrutura de aplicações.
Isso inclui servidores subjacentes, bancos de dados e servidores web e se aplica a contêineres de nuvem, componentes de Platform as a Service (PaaS) e componentes de Security as a Service (SaaS).
Não permita que o software desenvolvido internamente enfraqueça as configurações de segurança da organização. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.8 |
PROTEGER |
O órgão separa sistemas de produção e não produção? |
Manter ambientes separados para sistemas de produção e não produção. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.9 |
PROTEGER |
O órgão treina desenvolvedores em conceitos de segurança de aplicações e codificação segura? |
Garantir que todos os responsáveis pelo desenvolvimento de software recebam treinamento para escrever código seguro para seu ambiente de desenvolvimento e responsabilidades específicas.
O treinamento deve incluir princípios gerais de segurança e práticas padrão de segurança para aplicações.
O treinamento deve ser realizado periodicamente, é interessante estabelecer uma cultura de segurança entre os desenvolvedores. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.10 |
PROTEGER |
O órgão aplica princípios de design seguro em arquiteturas de aplicações? |
Aplicar princípios de design seguro em arquiteturas de aplicações.
Os princípios de design seguro incluem o conceito de privilégio mínimo e aplicação de mediação para validar cada operação que o usuário faz, promovendo o conceito de “nunca confiar nas entradas do usuário”.
Os exemplos incluem garantir que a verificação explícita de erros seja realizada e documentada para todas as entradas, incluindo tamanho, tipo de dados e intervalos ou formatos aceitáveis.
O design seguro também significa minimizar a superfície de ataque da infraestrutura da aplicação, como desligar portas e serviços desprotegidos, remover programas e arquivos desnecessários e renomear ou remover contas padrão. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.11 |
PROTEGER |
O órgão aproveita os módulos ou serviços controlados para componentes de segurança de aplicações? |
Aproveitar módulos ou serviços controlados para componentes de segurança da aplicação, como gestão de identidade, criptografia e auditoria de logs.
O uso de recursos para plataforma em funções críticas de segurança deve reduzir a carga de trabalho dos desenvolvedores e minimizará a probabilidade de erros de design ou implementação.
Os sistemas operacionais modernos fornecem mecanismos eficazes para identificação, autenticação e autorização e disponibilizam esses mecanismos para as aplicações.
Use apenas algoritmos de criptografia padronizados, atualmente aceitos e amplamente revisados.
Os sistemas operacionais também fornecem mecanismos para criar e manter logs de auditoria seguros. |
2, 3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.12 |
PROTEGER |
O órgão implementa verificações de segurança em nível de código? |
Utilizar ferramentas de análise estáticas e dinâmicas dentro do ciclo de vida da aplicação para verificar se as práticas de codificação seguras estão sendo utilizadas na organização. |
3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.13 |
PROTEGER |
O órgão realiza teste de invasão de aplicação? |
Realizar testes de invasão em aplicações.
Para aplicações críticas, o teste de invasão autenticado é mais adequado para localizar vulnerabilidades de codificação e de negócios do que a varredura de código e o teste de segurança automatizado.
O teste de invasão depende da habilidade do testador para manipular manualmente uma aplicação como um usuário autenticado e não autenticado. |
3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
16.14 |
PROTEGER |
O órgão realiza a modelagem de ameaças? |
Realizar a modelagem de ameaças. A modelagem de ameaças é o processo de identificar e abordar as falhas de design de segurança da aplicação em um desenho, antes que o código seja criado.
É conduzido por profissionais especialmente treinados que avaliam o design da aplicação e medem os riscos de segurança para cada ponto de entrada e nível de acesso.
O objetivo é mapear a aplicação, a arquitetura e a infraestrutura de uma forma estruturada para entender todos os pontos fracos. |
3 |
CONTROLE 16: SEGURANÇA DE APLICAÇÕES |
CIBERSEGURANÇA |
|
17.1 |
RESPONDER |
O órgão designa os colaboradores para gerenciar o tratamento de incidentes? |
Designar os responsáveis para gerenciar o processo de tratamento de incidentes da organização.
A equipe de gestão é responsável pela coordenação e documentação dos esforços de resposta e recuperação a incidentes, esta equipe pode formada por colaboradores internos, terceirizados ou pode contar com os dois tipos de colaborares.
Casos em que a equipe for composta somente por funcionários terceirizados, a organização deve designar pelo menos um colaborador interno para supervisionar qualquer ação terceirizada. |
1, 2, 3 |
CONTROLE 17: GESTÃO DE RESPOSTA A INCIDENTES |
CIBERSEGURANÇA |
|
17.2 |
RESPONDER |
O órgão estabelece e mantém informações de contato para relatar incidentes de segurança? |
Estabelecer e manter as informações de contato das pessoas que precisam ser informadas sobre os incidentes de segurança.
Os contatos podem incluir funcionários internos, fornecedores terceirizados, policiais, provedores de seguros cibernéticos, agências governamentais relevantes, parceiros do Information Sharing and Analysis Center (ISAC) ou outras partes interessadas.
Verifique os contatos periodicamente para garantir que as informações estejam atualizadas. |
1, 2, 3 |
CONTROLE 17: GESTÃO DE RESPOSTA A INCIDENTES |
CIBERSEGURANÇA |
|
17.3 |
RESPONDER |
O órgão estabelece e mantém um processo institucional para relatar incidentes? |
Estabelecer e manter um processo institucional para a colaborares relatarem incidentes de segurança.
O processo inclui cronograma de relatórios, pessoal responsável por para relatar, mecanismo para relatar e as informações mínimas a serem relatadas.
É importante certificar que o processo está publicamente disponível para todos os colaboradores da organização.
Deve ser realizada uma revisão periódica deste processo ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança. |
1, 2, 3 |
CONTROLE 17: GESTÃO DE RESPOSTA A INCIDENTES |
CIBERSEGURANÇA |
|
17.4 |
RESPONDER |
O órgão estabelece e mantém um processo de resposta a incidente? |
Estabelecer e manter um processo de resposta a incidentes que aborde funções e responsabilidades, requisitos de conformidade e um plano de comunicação.
Realize a revisão deste processo de forma periódica ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança. |
2, 3 |
CONTROLE 17: GESTÃO DE RESPOSTA A INCIDENTES |
CIBERSEGURANÇA |
|
17.5 |
RESPONDER |
O órgão atribui funções e responsabilidades? |
Atribuir funções e responsabilidades chave para resposta a incidentes, incluindo equipe jurídica, TI, segurança da informação, instalações, relações s públicas, recursos humanos, equipe de resposta a incidentes, conforme aplicável.
Realize a revisão deste processo de forma periódica ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança.
Realize a revisão desta medida de forma periódica ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança. |
2, 3 |
CONTROLE 17: GESTÃO DE RESPOSTA A INCIDENTES |
CIBERSEGURANÇA |
|
17.6 |
RESPONDER |
O órgão define mecanismos de comunicação durante a resposta a incidente? |
Determinar quais mecanismos primários e secundários serão usados para relatar um incidente e se comunicar durante um incidente de segurança. Os mecanismos podem incluir ligações, e-mails ou cartas.
Lembre-se de que certos mecanismos, como e-mails, podem ser afetados durante um incidente de segurança.
Realize a revisão desta medida de forma periódica ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança. |
2, 3 |
CONTROLE 17: GESTÃO DE RESPOSTA A INCIDENTES |
CIBERSEGURANÇA |
|
17.7 |
RECUPERAR |
O órgão conduz exercícios de resposta a incidentes regularmente? |
Planejar e conduzir exercícios e cenários rotineiros de resposta a incidentes para a equipe envolvida na resposta a incidentes, de forma a manter a conscientização e tranquilidade no caso de resposta a ameaças reais.
Os exercícios devem testar os canais de comunicação, tomada de decisão e recursos técnicos da equipe de resposta a incidentes, contemplando a utilização das ferramentas e dados disponíveis. |
2, 3 |
CONTROLE 17: GESTÃO DE RESPOSTA A INCIDENTES |
CIBERSEGURANÇA |
|
17.8 |
RECUPERAR |
O órgão realiza análises pós-incidente? |
Realizar análises pós-incidente.
As análises pós-incidente ajudam a prevenir a recorrência do incidente por meio da identificação de lições aprendidas e ações de acompanhamento. |
2, 3 |
CONTROLE 17: GESTÃO DE RESPOSTA A INCIDENTES |
CIBERSEGURANÇA |
|
17.9 |
RECUPERAR |
O órgão estabelece e mantém limites de incidentes de segurança? |
Estabelecer e manter limites de incidentes de segurança, incluindo, no mínimo, a diferenciação entre um incidente e um evento.
Os exemplos podem incluir: atividade anormal, vulnerabilidade de segurança, ameaça de segurança, violação de dados, incidente de privacidade etc.
Realize a revisão desta medida de forma periódica ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança. |
3 |
CONTROLE 17: GESTÃO DE RESPOSTA A INCIDENTES |
CIBERSEGURANÇA |
|
18.1 |
IDENTIFICAR |
O órgão elabora e mantém um programa de teste de invasão? |
Estabelecer um programa para testes de invasão adequado ao tamanho, complexidade e maturidade da organização.
O programa de teste de invasão deve levar em consideração o escopo do teste como rede, aplicação web, API, controles de instalações físicas e etc. |
2, 3 |
CONTROLE 18: TESTES DE INVASÃO |
CIBERSEGURANÇA |
|
18.2 |
IDENTIFICAR |
O órgão realiza testes de invasão externos periódicos? |
Conduzir testes de invasão e externos regularmente.
A teste de invasão externo deve ser reconhecido pela organização e deve ser capaz de detectar informações exploráveis que possam impactar a segurança da organização.
Tal teste deve ser realizado por profissionais qualificados. |
2, 3 |
CONTROLE 18: TESTES DE INVASÃO |
CIBERSEGURANÇA |
|
18.3 |
IDENTIFICAR |
O órgão realiza testes de invasão internos periódicos? |
Realize testes de invasão internos periódicos com base nos requisitos do programa de testes de invasão. |
3 |
CONTROLE 18: TESTES DE INVASÃO |
CIBERSEGURANÇA |
|
18.4 |
PROTEGER |
O órgão corrige os resultados dos testes de invasão? |
Corrigir as descobertas do teste de invasão com base na política da organização para o escopo e a priorização de correção de vulnerabilidades. |
2, 3 |
CONTROLE 18: TESTES DE INVASÃO |
CIBERSEGURANÇA |
|
18.5 |
PROTEGER |
O órgão valida as medidas de segurança? |
Validar as medidas de segurança após cada teste de invasão.
Se necessário, modificar os conjuntos de regras e recursos para detectar as técnicas usadas durante o teste. |
3 |
CONTROLE 18: TESTES DE INVASÃO |
CIBERSEGURANÇA |
|
19.1 |
IDENTIFICAR-P |
A organização documenta os sistemas, serviços e processos que tratam dados pessoais? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.2 |
IDENTIFICAR-P |
O órgão mapeia os agentes de tratamento (controlador, co-controladores e operadores) responsáveis pelo processamento de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.3 |
IDENTIFICAR-P |
O órgão documenta as fases do tratamento em que o operador atua? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.4 |
IDENTIFICAR-P |
O órgão mapeia os fluxos ou ações do tratamento de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.5 |
IDENTIFICAR-P |
O órgão mapeia o escopo (abrangência ou área geográfica) dos tratamentos de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.6 |
IDENTIFICAR-P |
O órgão documenta a natureza (fonte) dos dados pessoais tratados? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.7 |
IDENTIFICAR-P |
A organização registra as bases legais que fundamentam as atividades de tratamento de dados pessoais e dados pessoais sensíveis? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.8 |
IDENTIFICAR-P |
O órgão inventaria as categorias dos dados pessoais e dados pessoais sensíveis objetos dos tratamentos realizados? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.9 |
IDENTIFICAR-P |
O órgão registra o tempo de retenção de dados pessoais tratados conforme a finalidade de cada processamento? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.10 |
IDENTIFICAR-P |
O órgão inventaria as categorias dos titulares de dados pessoais utilizados no tratamento? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.11 |
IDENTIFICAR-P |
O órgão registra os compartilhamentos de dados pessoais realizados com operadores terceiros e outras instituições conforme Art. 26 e 27 da LGPD, incluindo quais dados pessoais foram divulgados, a quem e com que finalidade? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.12 |
IDENTIFICAR-P |
O órgão mapeia os ambientes (ex: interno, nuvem, terceiros, etc) em que os dados pessoais objetos dos tratamentos são processados? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.13 |
IDENTIFICAR-P |
O órgão registra as transferências internacionais de dados pessoais realizadas conforme o Capítulo V da LGPD, incluindo quais dados pessoais foram divulgados e a quem? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
19.14 |
IDENTIFICAR-P |
O órgão mapeia os contratos estabelecidos/firmados com terceiros operadores responsáveis pelos tratamentos de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 19: INVENTÁRIO E MAPEAMENTO |
PRIVACIDADE |
|
20.1 |
IDENTIFICAR-P |
O órgão identifica as finalidades específicas antes da realização dos tratamentos de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.2 |
IDENTIFICAR-P |
O órgão identifica as hipóteses de tratamento antes da realização dos processamentos de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.3 |
IDENTIFICAR-P |
A organização identifica as bases legais que fundamentam as atividades de tratamento de dados pessoais e dados pessoais sensíveis antes da realização do tratamento? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.4 |
CONTROLAR-P |
O órgão prioritariamente realiza tratamento de dados pessoais apenas para o atendimento de finalidade específica, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.5 |
CONTROLAR-P |
O órgão trata dados pessoais sensíveis para executar políticas públicas previstas apenas em leis e regulamentos? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.6 |
CONTROLAR-P |
O órgão ao realizar tratamento de dados pessoais sensíveis baseado na hipótese de tutela da saúde, restringe o tratamento exclusivamente a profissionais de saúde, serviços de saúde ou autoridade sanitária? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.7 |
CONTROLAR-P |
O órgão adota mecanismos para assegurar que a divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa, em nenhuma hipótese, revele dados pessoais? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.8 |
CONTROLAR-P |
O órgão, ao realizar estudos em saúde pública, trata os dados pessoais exclusivamente dentro da instituição, mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico, e estritamente para a finalidade de realização de estudos e pesquisas? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.9 |
CONTROLAR-P |
O órgão mantém processo contínuo de gerenciamento das hipóteses legais de tratamento, incluindo o desenvolvimento de capacidades para cumprimento de obrigações decorrentes da definição da hipótese legal de tratamento, tais como: gerenciamento do consentimento, elaboração de Avaliação de Legitimo Interesse, etc? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.10 |
CONTROLAR-P |
O órgão, ao realizar compartilhamento de dados pessoais, adota medidas que assegurem a compatibilidade do propósito geral da finalidade original informada ao titular? |
-' |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.11 |
CONTROLAR-P |
O órgão ao coletar cookies identifica, no banner de segundo nível, as hipóteses legais utilizadas, de acordo com cada finalidade/categoria de cookie, utilizando o consentimento como principal hipótese legal, exceção feita aos cookies estritamente necessários, que podem se basear no legítimo interesse ou, se for caso, cumprimento de obrigações ou atribuições legais? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.12 |
CONTROLAR-P |
O órgão ao coletar cookies permite, no banner de segundo nível, a obtenção do consentimento específico de acordo com as categorias identificadas, observados o disposto na LGPD? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.13 |
CONTROLAR-P |
O órgão mantém o fornecimento do serviço quando os titulares de dados pessoais se recusam a fornecer o consentimento para cookies não necessários? |
-' |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
20.14 |
CONTROLAR-P |
O tratamento de dados pessoais de crianças e adolescentes é realizado no seu melhor interesse com base em hipótese legal prevista pela LGPD e, no que couber, conforme preconizado pelo art. 14 da LGPD? |
- |
1, 2, 3 |
CONTROLE 20: FINALIDADE E HIPÓTESES LEGAIS |
PRIVACIDADE |
|
21.1 |
GOVERNAR-P |
O órgão adota medidas para adequar seus processos e atividades relacionadas ao tratamento de dados pessoais às legislações/normativos de privacidade e proteção de dados vigentes? |
- |
1, 2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
21.2 |
GOVERNAR-P |
O órgão já elaborou e divulgou o seu Programa Institucional de Privacidade de Dados, conforme estabelecido no art.50 da LGPD? |
- |
1, 2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
21.3 |
GOVERNAR-P |
As funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais são claramente estabelecidas e comunicadas? |
- |
1, 2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
21.4 |
GOVERNAR-P |
O órgão disponibiliza para o encarregado os recursos necessários para implementação da LGPD e acesso direto à alta administração? |
- |
1, 2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
21.5 |
GOVERNAR-P |
O órgão determina as responsabilidades e respectivos papéis para o tratamento de dados pessoais com o(s) controlador(es) conjunto(s) envolvido(s)? |
- |
2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
21.6 |
GOVERNAR-P |
O órgão divulga a seus colaboradores internos e externos as políticas e procedimentos operacionais relacionados à proteção de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
21.7 |
GOVERNAR-P |
Os requisitos legais, regulatórios e contratuais relativos à privacidade são compreendidos e direcionados por meio regras de boas práticas e de governança publicadas pela instituição? |
- |
1, 2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
21.8 |
GOVERNAR-P |
No âmbito das operações de tratamento de dados pessoais, existe uma tolerância ao risco organizacional definida, claramente expressa e informada às partes interessadas do órgão? |
- |
2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
21.9 |
GOVERNAR-P |
Foram definidos indicadores que serão utilizados para medir os resultados e desempenho do órgão na implementação do Programa Institucional de Privacidade de Dados? |
- |
2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
21.10 |
GOVERNAR-P |
O órgão instituiu uma equipe que realiza o monitoramento das vulnerabilidades técnicas dos serviços que tratam dados pessoais? |
- |
2, 3 |
CONTROLE 21: GOVERNANÇA |
PRIVACIDADE |
|
22.1 |
GOVERNAR-P |
A organização revisou e adequou a Política de Segurança da Informação ou instrumento similar à LGPD? |
- |
1, 2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.2 |
GOVERNAR-P |
Há uma política vigente ou documento equivalente que dispõe sobre diretrizes de proteção de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.3 |
GOVERNAR-P |
As políticas, processos e procedimentos de gerenciamento de risco de privacidade do tratamento de dados pessoais são identificados, estabelecidos, avaliados, gerenciados e acordados pelas partes interessadas organizacionais, e seu progresso medido e comunicado? |
- |
2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.4 |
GOVERNAR-P |
Os instrumentos convocatórios (editais licitatórios) estão adequados à LGPD? |
- |
1, 2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.5 |
GOVERNAR-P |
O órgão fornece um processo para monitorar as leis e políticas de privacidade com o objetivo de identificar alterações que afetem o programa de proteção de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.6 |
CONTROLAR-P |
A instituição estabelece um processo formal para a concessão de direitos de acesso privilegiado para o processamento de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.7 |
CONTROLAR-P |
O órgão estabelece procedimento ou metodologia para assegurar que os princípios da LGPD estão sendo respeitados desde a fase de concepção do produto ou do serviço até a sua execução (Privacy by Design)? |
- |
1, 2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.8 |
CONTROLAR-P |
A instituição implementa processos para que o tratamento dos dados pessoais seja preciso, completo, atualizado, adequado e relevante para a finalidade de uso? |
- |
1, 2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.9 |
CONTROLAR-P |
O órgão estabelece políticas, procedimentos e adota mecanismos documentados para o descarte de dados pessoais? |
- |
2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.10 |
CONTROLAR-P |
A organização adequou seu Plano de Resposta a Incidentes (ou documento similar) à LGPD de forma a tratar violações relativas à privacidade dos titulares de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.11 |
CONTROLAR-P |
A organização estabeleceu procedimentos para comunicar à Autoridade Nacional de Proteção de Dados e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares? |
- |
1, 2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
22.12 |
CONTROLAR-P |
O órgão revisa periodicamente as políticas, processos, planos e procedimentos de proteção de dados pessoais? |
- |
2, 3 |
CONTROLE 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS |
PRIVACIDADE |
|
23.1 |
GOVERNAR-P |
O órgão implementa e mantêm uma estratégia abrangente de treinamento e conscientização a fim de garantir que a força de trabalho compreenda sobre suas responsabilidades e procedimentos de proteção de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 23: CONSCIENTIZAÇÃO E TREINAMENTO |
PRIVACIDADE |
|
23.2 |
GOVERNAR-P |
O plano de desenvolvimento de pessoas do órgão contempla treinamento adequado sobre a temática de privacidade e de proteção de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 23: CONSCIENTIZAÇÃO E TREINAMENTO |
PRIVACIDADE |
|
23.3 |
GOVERNAR-P |
As ações de treinamento e conscientização realizadas pela instituição visam a manter os colaboradores atualizados sobre os desenvolvimentos no ambiente regulatório, contratual e tecnológico que possam afetar a conformidade de privacidade da organização? |
- |
1, 2, 3 |
CONTROLE 23: CONSCIENTIZAÇÃO E TREINAMENTO |
PRIVACIDADE |
|
23.4 |
GOVERNAR-P |
O órgão executa regularmente (por exemplo, anual) ou conforme necessário (por exemplo, após um incidente) treinamento básico e direcionado de proteção de dados pessoais conforme as funções das pessoas envolvidas com o tratamento? |
- |
1, 2, 3 |
CONTROLE 23: CONSCIENTIZAÇÃO E TREINAMENTO |
PRIVACIDADE |
|
24.1 |
CONTROLAR-P |
O órgão avalia e classifica os dados pessoais a serem coletados em obrigatórios e opcionais a fim de priorizar somente a coleta dos dados obrigatórios para a prestação do serviço? |
- |
2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.2 |
CONTROLAR-P |
O órgão restringe ao máximo a coleta de dados de forma que seja suficiente para atender a finalidade específica do tratamento? |
- |
1, 2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.3 |
CONTROLAR-P |
O órgão, ao realizar o tratamento de dados pessoais, aplica o princípio da minimização de dados para restringir a quantidades de dados pessoais ao estritamente necessário para atendimento da finalidade específica? |
- |
1, 2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.4 |
CONTROLAR-P |
O órgão adota medidas para assegurar que as configurações de privacidade sejam aplicadas por padrão (Privacy by Default) nos serviços fornecidos? |
- |
2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.5 |
CONTROLAR-P |
O órgão adota o princípio 'need-to-how', em que deve ser dado acesso apenas aos dados pessoais necessários para o desempenho das funções dos colaboradores? |
- |
2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.6 |
CONTROLAR-P |
O órgão adota como padrão, sempre que possível, interações e transações que não envolvam a identificação dos titulares? |
- |
3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.7 |
CONTROLAR-P |
O órgão adota mecanismos para limitar a vinculação dos dados pessoais coletados? |
- |
3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.8 |
CONTROLAR-P |
As referências de atributos são substituídas por valores de atributos? Por exemplo, para o atributo "aniversário", um valor de atributo poderia ser "1/12/1980" e uma referência de atributo seria "nascido em dezembro". |
- |
3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.9 |
CONTROLAR-P |
Os dados pessoais utilizados em ambiente de TDH (teste, desenvolvimento e homologação) passam por um processo de anonimização? |
- |
2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.10 |
CONTROLAR-P |
O órgão realiza revisão periódica dos dados pessoais tratados para que continuem a ser o mínimo necessários para cumprir com a finalidade? |
- |
3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.11 |
CONTROLAR-P |
O órgão determina e desidentifica os dados pessoais que necessitam ser anonimizados de acordo com o tratamento e exigências estabelecidas por leis aplicáveis? |
- |
2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.12 |
CONTROLAR-P |
Ao fornecer a base de informações para órgãos de pesquisa ou para realização de estudos em saúde pública, os dados pessoais são, sempre que possível, anonimizados ou pseudoanonimizados? |
- |
1, 2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.13 |
CONTROLAR-P |
O órgão ao coletar cookies disponibiliza botão de fácil visualização, no banner de primeiro e de segundo nível, que permita rejeitar todos os cookies não-necessários? |
- |
1, 2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.14 |
CONTROLAR-P |
O órgão ao coletar cookies desativa, no banner de primeiro nível, cookies baseados no consentimento por padrão (opt-in)? |
- |
1, 2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
24.15 |
CONTROLAR-P |
O órgão ao coletar cookies classifica os cookies em categorias no banner de segundo nível? |
- |
1, 2, 3 |
CONTROLE 24: MINIMIZAÇÃO DE DADOS |
PRIVACIDADE |
|
25.1 |
CONTROLAR-P |
O órgão configura os sistemas para registrar a data em que os dados pessoais são coletados, criados, atualizados, excluídos ou arquivados? |
- |
2, 3 |
CONTROLE 25: GESTÃO DO TRATAMENTO |
PRIVACIDADE |
|
25.2 |
CONTROLAR-P |
O órgão limita a quantidade de processamento sobre os dados pessoais sob sua custódia? |
- |
1, 2, 3 |
CONTROLE 25: GESTÃO DO TRATAMENTO |
PRIVACIDADE |
|
25.3 |
CONTROLAR-P |
O órgão define e documenta os objetivos da minimização do tratamento sobre os dados pessoais sob sua custódia? |
- |
3 |
CONTROLE 25: GESTÃO DO TRATAMENTO |
PRIVACIDADE |
|
25.4 |
CONTROLAR-P |
Os dados são mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral? |
- |
1, 2, 3 |
CONTROLE 25: GESTÃO DO TRATAMENTO |
PRIVACIDADE |
|
25.5 |
CONTROLAR-P |
Há procedimentos para garantir que quando há o término do tratamento de dados do titular no órgão, este segue as hipóteses previstas no artigo 15 da LGPD? |
- |
1, 2, 3 |
CONTROLE 25: GESTÃO DO TRATAMENTO |
PRIVACIDADE |
|
25.6 |
CONTROLAR-P |
A instituição utiliza técnicas ou métodos apropriados para garantir exclusão ou destruição segura de dados pessoais (incluindo originais, cópias e registros arquivados), de modo a impedir sua recuperação? |
- |
2, 3 |
CONTROLE 25: GESTÃO DO TRATAMENTO |
PRIVACIDADE |
|
25.7 |
CONTROLAR-P |
A organização avalia se os dados pessoais são retidos (armazenados) durante o tempo estritamente necessário para cumprir com as finalidades de tratamento de dados pessoais que foram identificadas? |
- |
1, 2, 3 |
CONTROLE 25: GESTÃO DO TRATAMENTO |
PRIVACIDADE |
|
25.8 |
CONTROLAR-P |
O órgão implementa no serviço a detecção da expiração do período de retenção e aviso automático de que deve ser avaliada a possibilidade de exclusão dos dados pessoais após o cumprimento das finalidades? |
- |
3 |
CONTROLE 25: GESTÃO DO TRATAMENTO |
PRIVACIDADE |
|
25.9 |
CONTROLAR-P |
O órgão bloqueia e adota medidas de proteção para isentar de processamento adicional os dados pessoais quando os propósitos informados ao titular são atingidos, mas a retenção for exigida pelas leis aplicáveis? |
- |
3 |
CONTROLE 25: GESTÃO DO TRATAMENTO |
PRIVACIDADE |
|
26.1 |
CONTROLAR-P |
Há um canal de comunicação ativo, seguro e autenticado com um ponto de contato para receber e responder a reclamações e requisições do titular sobre o tratamento de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.2 |
CONTROLAR-P |
O órgão adota meios para verificar a validade e exatidão das solicitações de correção realizadas por parte do titular de dados pessoais? |
- |
2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.3 |
CONTROLAR-P |
O órgão fornece meios para que o titulares de dados pessoais possam solicitar as correções dos dados pessoais ou contestar a exatidão e integridade dos dados pessoais com direito a confirmação de recebimento da solicitação? |
- |
1, 2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.4 |
CONTROLAR-P |
O órgão fornece, na medida do possível, as respostas ao titular de dados pessoais de forma equivalente àquela em que a solicitação foi realizada? |
- |
2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.5 |
CONTROLAR-P |
O órgão adota mecanismos de rastreamento para garantir que todas as petições e reclamações recebidas dos titulares de dados pessoais sejam analisadas e tratadas adequadamente em tempo hábil? |
- |
1, 2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.6 |
CONTROLAR-P |
São utilizados padrões técnicos, principalmente os definidos pela ANPD, que facilitem o controle pelos titulares dos seus dados pessoais? |
- |
2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.7 |
CONTROLAR-P |
O órgão implementa meios práticos para permitir que os titulares gerenciem os seus dados pessoais, de forma simples, rápida e eficiente, e que não acarrete atrasos indevidos ou custo ao titular? |
- |
2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.8 |
CONTROLAR-P |
O órgão confirma, na medida do possível, a exatidão, relevância e integridade dos dados pessoais na coleta? |
- |
3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.9 |
CONTROLAR-P |
A instituição implementa medidas que visam a garantir e maximizar a exatidão, qualidade e completude dos dados pessoais coletados? |
- |
1, 2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.10 |
CONTROLAR-P |
O órgão revisa periodicamente e corrige, conforme necessário, os dados pessoais imprecisos ou desatualizados? |
- |
2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.11 |
COMUNICAR-P |
O órgão fornece informações ao titular de dados pessoais sobre o andamento de suas solicitações? |
- |
2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
26.12 |
COMUNICAR-P |
O órgão comunica qualquer alteração, correção ou remoção dos dados pessoais para operadores e terceiros com quem os dados pessoais foram compartilhados? |
- |
1, 2, 3 |
CONTROLE 26: ACESSO E QUALIDADE |
PRIVACIDADE |
|
27.1 |
IDENTIFICAR-P |
O órgão identifica os compartilhamentos de dados pessoais realizados com operadores terceiros e outras instituições conforme Art. 26 e 27 da LGPD, incluindo quais dados pessoais foram divulgados, a quem, a que horas e com que finalidade? |
- |
1, 2, 3 |
CONTROLE 27: COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO |
PRIVACIDADE |
|
27.2 |
IDENTIFICAR-P |
O órgão identifica as transferências internacionais de dados pessoais realizadas conforme o Capítulo V da LGPD, incluindo quais dados pessoais foram divulgados, a quem, a que horas e com que finalidade? |
- |
1, 2, 3 |
CONTROLE 27: COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO |
PRIVACIDADE |
|
27.3 |
CONTROLAR-P |
O órgão, ao compartilhar dados pessoais, adota um processo de formalização e registro, identificando objeto e finalidade, base legal e duração do tratamento? |
- |
1, 2, 3 |
CONTROLE 27: COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO |
PRIVACIDADE |
|
27.4 |
CONTROLAR-P |
O órgão solicita descrição formal das medidas de proteção de dados pessoais adotadas pelas entidades com quem compartilha dados pessoais? |
- |
2, 3 |
CONTROLE 27: COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO |
PRIVACIDADE |
|
27.5 |
CONTROLAR-P |
O órgão observa o disposto pelo art. 33-36 da LGPD para a realização de transferência internacional de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 27: COMPARTILHAMENTO, TRANSFERÊNCIA E DIVULGAÇÃO |
PRIVACIDADE |
|
28.1 |
CONTROLAR-P |
O órgão estabelece as funções e responsabilidades do operador envolvido no tratamento de dados pessoais, principalmente a notificação em caso de violação de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.2 |
CONTROLAR-P |
São estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais controlados pelos órgãos? |
- |
1, 2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.3 |
CONTROLAR-P |
O órgão estabelece no contrato que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador? |
- |
1, 2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.4 |
CONTROLAR-P |
O órgão determina por contrato o assunto e o prazo do serviço a ser prestado, a extensão, a forma e a finalidade do tratamento de dados pessoais pelo operador, bem como os tipos de dados pessoais processados? |
- |
1, 2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.5 |
CONTROLAR-P |
O órgão documenta no contrato de nível de serviço os requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender? |
- |
2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.6 |
CONTROLAR-P |
O órgão adota meios para garantir que os sistemas do operador de dados pessoais tenham mecanismos de proteção de dados implementados? |
- |
3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.7 |
CONTROLAR-P |
O órgão instrui ao operador que implemente meios práticos para permitir que os titulares exerçam seu direito de gerenciamento dos dados pessoais? |
- |
2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.8 |
CONTROLAR-P |
O órgão exige do operador o cumprimento de todas as cláusulas estipuladas em contrato sobre divulgação de dados pessoais, a menos que proibido por lei? |
- |
1, 2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.9 |
CONTROLAR-P |
O órgão exige que o operador o informe sobre assuntos envolvendo o tratamento de dados pessoais para que o controlador esteja em conformidade com suas obrigações, principalmente em casos de solicitações juridicamente vinculativas para divulgação de dados pessoais, violação de dados pessoais, sobre alterações relevantes ao serviço? |
- |
1, 2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.10 |
CONTROLAR-P |
O órgão especifica as condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador? |
- |
3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.11 |
CONTROLAR-P |
O órgão especifica no contrato entre controlador e operador sobre o uso de subcontratados para processar dados pessoais? |
- |
2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.12 |
CONTROLAR-P |
O órgão monitora e inspeciona a implementação dos requisitos estabelecidos nas cláusulas contratuais pelos operadores? |
- |
2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
28.13 |
CONTROLAR-P |
O órgão realizou revisão das cláusulas contratuais em vigência com os operadores terceiros para adequá-los à LGPD? |
- |
1, 2, 3 |
CONTROLE 28: SUPERVISÃO EM TERCEIROS |
PRIVACIDADE |
|
29.1 |
CONTROLAR-P |
O órgão adota meios para apresentar as informações de tratamento de dados pessoais de forma clara para que possam ser compreendidas por uma pessoa que não esteja familiarizada com as tecnologias da informação, internet ou jargões jurídicos? |
- |
1, 2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.2 |
CONTROLAR-P |
O órgão adota meios para disponibilizar a política de privacidade em local de fácil acesso, antes ou no momento do tratamento de dados pessoais, sem a necessidade de o titular ter que solicitá-lo especificamente? |
- |
2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.3 |
CONTROLAR-P |
O órgão adota algum mecanismo, sempre que possível, para comprovar que o titular de dados pessoais obteve acesso à política de privacidade fornecida? |
- |
1, 2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.4 |
CONTROLAR-P |
O órgão revisa a política de privacidade, cookies e outras aplicáveis ao tratamento de dados pessoais, antes ou assim que possível, para refletir mudanças realizadas no tratamento? |
- |
1, 2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.5 |
COMUNICAR-P |
O órgão destaca na Política de Privacidade informações sobre os dados pessoais que a organização coleta e a(s) finalidade(s) do tratamento para a qual a coleta é realizada, hipóteses e bases legais? |
- |
1, 2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.6 |
COMUNICAR-P |
A identidade e as informações de contato do encarregado estão divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador? |
- |
1, 2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.7 |
COMUNICAR-P |
O órgão fornece informações aos titulares sobre como é realizado o tratamento de dados pessoais, tais como o período de retenção dos dados pessoais coletados, entre outras ações de tratamento? |
- |
1, 2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.8 |
COMUNICAR-P |
Os titulares de dados são informados quando há alterações na forma de tratamento dos dados pessoais? |
- |
1, 2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.9 |
COMUNICAR-P |
O órgão fornece orientações ao titular sobre a forma e meios utilizados de gerenciamento aos dados pessoais? |
- |
2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.10 |
COMUNICAR-P |
O órgão informa se a organização compartilha dados pessoais com entidades externas, os dados pessoais compartilhados e a finalidade para tal compartilhamento? |
- |
1, 2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.11 |
COMUNICAR-P |
O órgão fornece informações sobre a proteção e descarte seguro dos dados pessoais coletados? |
- |
2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
29.12 |
COMUNICAR-P |
O órgão fornece, quando solicitado por instituição competente, informações relativas a violações de privacidade dos titulares, juntamente com quaisquer ações associadas que o solicitante possa tomar para mitigar os riscos adicionais decorrentes da violação? |
- |
1, 2, 3 |
CONTROLE 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO |
PRIVACIDADE |
|
30.1 |
GOVERNAR-P |
O órgão observa o conteúdo mínimo a ser inserido no Relatório de Impacto à Proteção de Dados Pessoais - RIPD conforme o disposto no Art. 38, parágrafo único da LGPD? |
- |
1, 2, 3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.2 |
GOVERNAR-P |
O órgão estabelece processo para avaliar o impacto na privacidade ao fornecer serviços que tratam dados pessoais? |
- |
1, 2, 3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.3 |
GOVERNAR-P |
A organização avalia os riscos dos processos de tratamento de dados pessoais que foram identificados? |
- |
1, 2, 3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.4 |
GOVERNAR-P |
O órgão documenta os riscos de privacidade oriundos da avaliação de impacto à Proteção de Dados Pessoais? |
- |
1, 2, 3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.5 |
GOVERNAR-P |
O órgão documenta as medidas de proteção de dados pessoais adotadas para mitigação do impacto à Proteção de Dados Pessoais? |
- |
1, 2, 3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.6 |
GOVERNAR-P |
O órgão realiza e documenta os resultados de uma avaliação de impacto à Proteção de Dados Pessoais? |
- |
1, 2, 3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.7 |
GOVERNAR-P |
O órgão desenvolve, divulga (no que couber) e atualiza relatórios (por exemplo, relatórios sobre violações, investigações, auditorias), a fim de demonstrar responsabilidade e conformidade com leis e regulamentos de proteção de dados pessoais? |
- |
3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.8 |
CONTROLAR-P |
O órgão monitora e audita regularmente as operações de tratamento de dados pessoais, especialmente aquelas envolvendo dados pessoais sensíveis, para garantir que estejam em conformidade com as leis, regulamentos e termos contratuais aplicáveis? |
- |
2, 3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.9 |
CONTROLAR-P |
Os controles de proteção de dados pessoais são monitorados e auditados periodicamente para garantir que as operações que envolvam dados pessoais estejam em conformidade com normas e regulamentos internos e externos, quando aplicável, a organização? |
- |
3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.10 |
CONTROLAR-P |
O órgão implementa medidas apropriadas para monitorar e auditar periodicamente os controles de privacidade e a eficácia da política de privacidade interna (política de proteção de dados pessoais) da instituição? |
- |
3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.11 |
CONTROLAR-P |
O órgão assegura que as auditorias sejam conduzidas por partes qualificadas e independentes (internas ou externas à organização)? |
- |
3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
30.12 |
CONTROLAR-P |
O órgão produz um relatório anual detalhando as ações tomadas para conformidade e um resumo das ações pendentes? |
- |
3 |
CONTROLE 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E AUDITORIA |
PRIVACIDADE |
|
31.1 |
PROTEGER-P |
A organização adota medidas de segurança, técnicas e administrativas, testadas e avaliadas, aptas a proteger dados pessoais de acordo com os resultados de uma avaliação de riscos ou impacto de proteção de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.2 |
PROTEGER-P |
O órgão submete os controles de privacidade e segurança da informação adotados a revisão e reavaliação periódicas resultantes da avaliação de impacto na privacidade? |
- |
2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.3 |
PROTEGER-P |
A organização implementa processo para registro, cancelamento e provisionamento de usuários em sistemas que realizam tratamento de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.4 |
PROTEGER-P |
A instituição considera o princípio do privilégio mínimo na concessão de direitos de acesso para o processamento de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.5 |
PROTEGER-P |
Meios fortes de autenticação são providos para o processamento dos dados pessoais, em especial os dados sensíveis (dados de saúde e demais dados previstos pelo art.5º, II da LGPD)? |
- |
2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.6 |
PROTEGER-P |
O acesso físico aos dados e dispositivos é gerenciado? |
- |
1, 2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.7 |
PROTEGER-P |
O compartilhamento ou transferência de dados pessoais é realizado por meio de um canal criptografado e de cifra recomendada pelos sítios especializados de segurança (Exemplo: https://www.ssllabs.com/ssltest/)? |
- |
2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.8 |
PROTEGER-P |
Os dados pessoais armazenados/retidos possuem controles de integridade permitindo identificar se os dados foram alterados sem permissão? |
- |
2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.9 |
PROTEGER-P |
O órgão adota mecanismos para restauração de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.10 |
PROTEGER-P |
O órgão restringe e controla a impressão de documentos que contenha dados pessoais encaminhados para as impressoras corporativas? |
- |
1, 2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.11 |
PROTEGER-P |
O órgão descarta materiais impressos de forma segura? |
- |
1, 2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.12 |
PROTEGER-P |
As medidas de mitigação de riscos resultantes do RIPD são consideradas no processo de desenvolvimento de sistemas? |
- |
2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.13 |
PROTEGER-P |
A manutenção e reparação dos ativos organizacionais são realizadas e registradas, com ferramentas aprovadas e controladas? |
- |
2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.14 |
PROTEGER-P |
A manutenção remota dos ativos organizacionais é aprovada, registrada e executada de forma a impedir o acesso não autorizado? |
- |
2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.15 |
PROTEGER-P |
A organização ao realizar registros de eventos (logs), considerando o princípio de minimização de dados, grava o acesso ao dado pessoal, incluindo por quem, quando, qual titular de dados pessoais foi acessado e quais mudanças (se houver alguma) foram feitas (adições, modificações ou exclusões), como um resultado do evento? |
- |
3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.16 |
PROTEGER-P |
A organização monitora proativamente a ocorrência de eventos que podem ser associados à violação de dados pessoais? |
- |
2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.17 |
PROTEGER-P |
A organização possui sistema para o registro de incidentes de segurança da informação que envolvem violação de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |
|
31.18 |
PROTEGER-P |
A organização comunica à Autoridade Nacional de Proteção de Dados sobre a ocorrência de incidente de segurança e proteção de dados pessoais? |
- |
1, 2, 3 |
CONTROLE 31: SEGURANÇA APLICADA A PRIVACIDADE |
PRIVACIDADE |