1 ESCOPO DO SERVIÇO · 2020-04-23 · usuário final através do uso de sua marca, logotipo ou imagem. Para tanto, são monitorados redes sociais, canais relacionados ao setor do

SISCOM xxxxx WCD xxxxxx

Página 1 de 20

Página 1

Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.

1 ESCOPO DO SERVIÇO

Todas as atividades previstas e os entregáveis dos serviços de segurança contemplados

nessa proposta técnica e comercial para o cliente <NOME DO CLIENTE> estarão descritos no

item “ESCOPO DO PROJETO”.

1.1 INFORMAÇÕES DO AMBIENTE DO CLIENTE

A solução apresentada nessa proposta técnica e comercial foi baseada nas informações

e visibilidade do ambiente de T.I. fornecidas pelo (a) <NOME DO CLIENTE>.

Caso em qualquer momento do processo de venda, implantação ou operação encontre

alguma necessidade adicional decorrente de uma nova informação enviada pelo (a) <NOME DO

CLIENTE>, será necessário a avaliação e poderá ter custos adicionais.

1.2 ATIVAÇÃO E CONFIGURAÇÃO DO SERVIÇO

A VIVO EMPRESAS disponibilizará um especialista em segurança da informação para

conduzir as etapas necessárias para a ativação do serviço de forma remota, a partir do nosso

SOC – Security Operation Center localizado no Brasil.

2 CYBERTHREATS

O Serviço CyberThreats está estruturado em dois módulos principais: Detecção de

Ameaças e Resposta às Ameaças.

2.1 DETECÇÃO DE AMEAÇAS

O objetivo geral deste módulo é identificar ameaças ou atividades suspeitas na rede que

possam afetar os ativos do Cliente. Desta forma, este módulo depende principalmente dos dois

seguintes pilares:

• Monitoramento e detecção: o monitoramento de múltiplas fontes é realizado para

detectar eventos ou elementos significativos que possam afetar negativamente o

funcionamento normal do negócio do Cliente.

• Análise e Interpretação: a informação obtida é integrada e processada,

transformando-a em conhecimento válido para a tomada de decisões.

Para este propósito, o serviço CyberThreats processa grandes quantidades de dados de

inúmeras fontes de informação que, graças às ferramentas e processos de propriedade do

Serviço, são transformadas em informações para o Cliente.


Página 2 de 20

Página 2


2.2 FONTES DO SERVIÇO

Dentro da metodologia de melhoria contínua do Serviço CyberThreats, e com base no

surgimento e evolução constante das ameaças, o serviço integra continuamente a análise,

avaliação e integração de novas fontes de informação.

Aqui estão algumas das fontes nas quais o Serviço é suportado:

Fontes públicas:

o Motores de busca;

o Redes sociais;

o Canais genéricos de Internet;

o Plataformas de pastas;

o Plataformas de compartilhamento de arquivos;

o Plataformas de vazamentos;

o Registradores de domínio (gTLD e ccTLD);

o Mercados de aplicativos móveis (oficiais e alternativas);

o Bancos de dados de vulnerabilidades;

o Feeds de listas negras, reputação de IPs, domínios e malware.

Fontes underground (deep web):


Página 3 de 20

Página 3


o Bancos de dados privados de cartões roubados;

o Bancos de dados privados de credenciais roubadas.

Fontes de Alianças:

o Blueliv;

o Kaspersky;

o Microsoft;

o Zeus Tracker Private;

o Grupo de Trabalho AntiPhishing (APWG);

o Aliança CyberThreat;

o FS-ISAC (Financial Services – Information Sharing and Analysis Center).

Fontes oficiais:

o FIRST (Forum of Incident Response and Security Team);

o NIST (National Institute of Standards and Technology);

o CERTs ( Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança)

/ CSIRTs (Computer Security Incident Response Team).

2.3 TIPOS DE AMEAÇAS

Os tipos de ameaças contemplados pelo serviço CyberThreats são descritos em detalhes

abaixo:

Reputação e Marca:

Dominios sospechosos

Os nomes de domínio que contêm em seu nome palavras-chave diretamente relacionadas ao Cliente serão detectados. Este módulo também é complementado com capacidades de typosquatting com base em algoritmos de similaridade e proximidade:

• Similaridade: substituindo certos carcateres por outros similares ou alterando as palavras para que elas sejam visualmente similares.

• Proximidade: eliminando ou substituindo apenas determinados caracteres.

Além disso, as informações de registro (WHOIS) associadas aos domínios suspeitos identificados serão fornecidas sempre que disponíveis.

Para fazer isso, os bancos de dados dos domínios de alto nível (TLDs, incluindo ccTLDs e os novos gTLDs) serão consultados, tomando como referência os domínios registrados pelo Cliente.


Página 4 de 20

Página 4


Uso no autorizado de marca

São identificados os sites e conteúdos em redes sociais ou outras plataformas que pretendam suplantar ou aproveitar a imagem e a reputação do Cliente para confundir o usuário final através do uso de sua marca, logotipo ou imagem.

Para tanto, são monitorados redes sociais, canais relacionados ao setor do Cliente, publicidade e blogs em busca de usos não autorizados de suas marcas.

Counterfeit

Serão identificados canais de comercialização não autorizados em que os produtos do Cliente estão disponíveis, falsificações, réplicas, produtos de segunda mão ou que simulam ser um canal de distribuição oficial.

Para isso, serão monitoradas redes sociais, plataformas de vendas / compras on-line, canais relacionados ao setor do Cliente, canais de distribuição não oficiais, publicidade, blogs e fóruns relacionados ao setor.

Contenidos ofensivos

Se identificarán opiniones de usuarios y tendencias conforme a los productos o marcas del Cliente para detectar contenidos ofensivos que dañen directamente su imagen o la reputación de sus marcas.

Para ello se monitorizarán redes sociales, canales relacionados con su sector, blogs y foros, en busca de publicaciones o comentarios que resulten ofensivos, amenazantes, difamatorios, etc. Dado el gran volumen de la información que se puede detectar, el Servicio realizará una valoración de la relevancia de cada información detectada y se acordará con el Cliente el umbral mínimo, a partir del cual dicha información será comunicada.

As opiniões e tendencias dos usuários serão monitoradas de acordo com os produtos ou marcas do Cliente para detectar conteúdo ofensivo que prejudique sua imagem diretamente ou a reputação de suas marcas.

Para este fim, as redes sociais, os canais relacionados ao seu setor, blogs e fóruns serão monitorados, em busca de publicações ou comentários ofensivos, ameaçadores, difamatórios, etc. Dado o grande volume de informações que podem ser detectadas, o Serviço fará uma avaliação da relevância de cada informação detectada e acordará com o Cliente o limite mínimo, a partir do qual essas informações serão comunicadas.

Seguimiento de identidad

digital

O serviço acompanhará as informações publicadas na Internet relacionadas às identidades digitais fornecidas pelo Cliente, com foco em um conjunto de identidades diretamente relacionadas à empresa (Administração Sênior, personalidades, etc.), a fim de identificar situações de sobreposição de informações em perfis sociais que podem levar a vazamentos de informações, publicações não autorizadas ou reações negativas a declarações feitas a partir de perfis sociais.

Para isso, as informações e referências publicadas pelas identidades do Cliente ou por terceiros serão monitoradas, principalmente em redes sociais, fóruns e blogs. Deve-se ter informações detalhadas para identificar na rede, sem qualquer dúvida, as pessoas singulares selecionadas pelo Cliente.

Interrupção de Negócio

Fugas de información

Serão localizadas informações sensíveis ou confidenciais que não devem ser publicadas ou acessíveis pela Internet, de acordo com as indicações do Cliente relativas à sua documentação sensível, confidencial ou restrita.

Para tanto, os repositórios documentais e de arquivos, as plataformas de compartilhamento de informações (pastas) e as informações publicadas nos canais oficiais do Cliente serão monitorados.

Hacktivismo, activismo en

la red y

As intenções dos grupos ativistas e hacktivistas que mostram comportamentos perigosos contra os interesses do Cliente serão identificadas, identificando proativamente futuros ataques, bem como potenciais meios e ferramentas que se destinam a serem utilizados


Página 5 de 20

Página 5


detección de DDoS1

para realizá-los: manifestações, ataques DDoS ou defacements, procurando ameaças contra sistemas e ativos físicos, a imagem ou os recursos tecnológicos do Cliente.

Para isso, serão monitoradas redes sociais, meios de comunicação (locais, setoriais, sindicatos, etc.), plataformas de petição e assinaturas e plataformas para compartilhamento de informações e manifestos (pastas).

Vulneración de

mecanismos de

seguridad

As publicações que revelam vulnerabilidades das medidas de segurança, tanto físicas como lógicas, implementadas pelo Cliente serão identificadas. Além disso, os detalhes dessas vulnerabilidades com um CVSS igual ou superior a 7 que afetam o software do Cliente e as vulnerabilidades de 0-day, que podem representar um risco para os ativos do Cliente e que ainda não foram avaliadas, serão notificados.

Para isso, será monitorado o Banco Nacional de Vulnerabilidade do NIST, bem como os canais utilizados para a divulgação de tutoriais focados na evasão de medidas de segurança

Robo de credenciales

Serão identificadas credenciais comprometidas que correspondem às permissões de acesso aos sistemas, instalações e processos relacionados ao Cliente.

Para este fim, as fontes públicas e privadas serão monitoradas: informações coletadas por botnets (servidores criminosos), plataformas de compartilhamento de informações (pastas), credenciais do mercado negro. Além disso, serão fornecidas as informações disponíveis no contexto do roubo (fonte em que foi encontrado, recurso ou sistema ao qual pertence, data de comprometimento).

O serviço não inclui a verificação da validade ou vigência das credenciais.

FRAUDE ONLINE:

Phishing y pharming

Os sites que simulam ser as páginas legítimas do Cliente com o objetivo de confundir usuários finais e obter suas credenciais de acesso e outros dados confidenciais serão localizados. Os endereços IP e os domínios envolvidos serão identificados, bem como as informações de contexto disponíveis (registrador e localização).

Para tanto serão monitoradas fontes oficiais de organizações internacionais na luta contra o cibercrime (APWG) e fontes confiáveis dedicadas a denunciar sites fraudulentos, bem como bancos de dados de domínios.

Malware

São identificadas amostras de malware segmentadas ou explicitamente relacionadas com o Cliente (URLs, endereços IP, nomes de domínio ou marcas comerciais).

Para fazer isso, arquivos e pastas das fontes confiáveis serão monitorados, rastreamento de familias de malware, repositórios de arquivos e sistemas de compartilhamento de arquivos.

Aplicações Móveis

Suspeitas

São detectadas publicações de aplicativos móveis suspeitos relacionados ao Cliente ou a suplantação dos aplicativos oficiais fornecidos por ele, com o possível objetivo de confundir seus usuários para obter credenciais, dados pessoais ou infectá-los com algum tipo de malware.

Para isso, serão monitorados os mercados móveis oficiais (Apple Store, Google Play, Windows Phone e Blackberry Market), além de mercados móveis alternativos, identificando esses aplicativos móveis com referências ao nome do Cliente ou da marca.

Este módulo é complementado pela inovadora ferramenta Tacyt, desenvolvida pela Telefónica, para a detecção de aplicações móveis suspeitas em mercados Android (oficiais


Página 6 de 20

Página 6


e alternativas), com o objetivo de detectar aplicativos feitos por desenvolvedores não autorizados pelo Cliente ou contendo certificados falsos links maliciosos.

Carding

Serão coletados os dados dos cartões bancários que foram comprometidos e que correspondem aos bincodes de propriedade do Clientes.

Para este fim, as fontes privadas, os dados coletados por botnets e mercados underground serão monitorados, fornecendo ao Cliente toda a informação de contexto disponível: data de comprometimento, código BIN, PAN, emissor, proprietário, data de validade, código secreto, preço de venda. O escopo do monitoramento será limitado aos códigos BIN fornecidos pelo Cliente, associados ao número de códigos BIN contratados.

O serviço não inclui a verificação da data de validade ou validade dos cartões recuperados.

2.4 RESPOSTA A AMEAÇAS

Como complemento ao processo de detecção e monitoramento de ameaças, o Serviço CyberThreats também oferece recursos para gerenciar e responder às ameaças detectadas. O objetivo principal da Resposta a Ameaças é focado na mitigação e retirada de ameaças cibernéticas que afetam o Cliente, cuja motivação é baseada na perpetração de uma fraude, na obtenção de informações confidenciais, no abuso da imagem da marca do Cliente ou em qualquer outras ações ilegítimas direcionadas em detrimento da organização do Cliente.

Para isso, o serviço CyberThreats fornece uma solução de resposta completa contra ameaças cibernéticas composta, entre outros, por:

Uma equipe de Resposta especializada em cyberameaças, formada por

especialistas altamente qualificados em problemas dessa complexidade e

também caracterizada por grande criatividade, agilidade e eficácia na prevenção

e luta contra o cibercrime há mais de 10 anos, aplicando as melhores práticas,

metodologias e padrões de mercado: cerca de 99,5% das ameaças geridas pelo

serviço são resolvidas, das quais 75% são resolvidas em menos de 24 horas.

Valores diferenciais como TELCO global, o que nos permite gerenciar fraude em

qualquer país, independentemente de onde localizar geograficamente a infra-

estrutura que suporta o cibercrime, além da vantagem de contramedidas que

minimizam fraude e que são exclusivas das operadoras de Rede.

Acordos e alianças em todo o mundo com outros operadores de rede e

organizações internacionais que combatem a fraude e o cibercrime. A Telefônica

tem sido membro Premium do Grupo de Trabalho Anti-Phishing (APWG) desde

2008 e membro do Forum of Incident Response and Security Team (FIRST) desde

2010, entre outros:


Página 7 de 20

Página 7


2.5 MITIGAÇÃO DA AMEAÇA

A aplicação de contramedidas é uma das fases mais importantes do ciclo de vida da

ameaça, uma vez que o que é procurado é impedir que os usuários tenham acesso à fraude

durante o tempo de atividade, minimizando assim o impacto da fraude.

As principais contramedidas que podem ser aplicadas são:

Bloqueio no nivel de Navegador (Web Browsers). Esse tipo de bloqueio é uma contramedida adotada conjuntamente com os principais navegadores da Web para proteger os usuários (por meio de um aviso de segurança que avisa que eles estão tentando acessar um site malicioso) enquanto procede ao encerramento do mesmo. Baseia-se no uso de listas negras nos navegadores, que são constantemente atualizados com os dados fornecidos pelos provedores de serviços Antifraud, como a Telefónica

2.6 RETIRADA DA AMEAÇA

Entre todas as medidas que contribuem para cessar a atividade fraudulenta, a gestão da

retirada é o objetivo prioritário na resolução da ameaça, a fase mais importante e em que os

maiores esforços são focados pela Telefónica.

Nesta fase, são realizadas ações técnicas e administrativas para alcançar a retirada final

da ameaça. Caso o Cliente seja responsável por determinadas ações (como ações legais),

nossos especialistas poderão fornecer as evidências necessárias para apoiar a referida ação.


Página 8 de 20

Página 8


Após a detecção e validação da ameaça, e em paralelo com as ações de mitigação

descritas acima (contramedidas), as principais ações de resolução que podem ser realizadas

são:

Em nome do cliente, o serviço envia uma notificação de abuso ao ISP, Provedor

de Conteúdo, Registrador de Domínio, etc., conforme apropriado, sobre a

existência do site malicioso / fraudulento que hospeda para que possa ser

desabilitado e removido.

Se a fraude não puder ser resolvida pelos meios habituais de contato com o ISP,

o serviço verifica e interage com o CERT / CSIRT ao qual a ameaça devida à

situação geográfica corresponderia, a fim de alcançar conjuntamente a

incapacidade e cessação da fraude.

Essas medidas não incluem ações jurisdicionais que o cliente poderia interpor, ou

assessoria jurídica sobre o assunto.

2.7 MONITORAÇÃO PÓS-RESOLUÇÃO

Uma vez que as medidas necessárias foram aplicadas para a retirada da atividade fraudulenta, a ameaça passa por dois tipos de monitoramento:

• Encerramento: O caso é monitorado automaticamente, a fim de detectar a sua retirada

ou bloqueio por parte do ISP contatado.

• Monitoramento da reabertura: Uma vez que o caso está fechado, todos os URLs que compõem o caso são monitorados automaticamente com o objetivo de detectar uma possível reabertura dos casos (reativação da ameaça). Se a ocorrência ocorrer no período de 48hs após o encerramento do caso, será considerado o mesmo caso, após esse período será considerado um novo caso.

3 MODELO DE ATENDIMENTO E ESCALADA

Dada a natureza confidencial das informações processadas e comunicadas, a Telefónica

propõe a existência de um único contato dentro do Cliente, que será notificado de qualquer

progresso e, em particular, relacionado ao tratamento de incidentes.

Os pontos de contato para Atendimento e Escalação do Serviço estão descritos abaixo:

Analista Local atribuído ao Cliente, que atenderá qualquer aspecto relacionado à

prestação do serviço (consultas, solicitações, esclarecimentos, incidentes, etc.) às

8x5 horas por e-mail e / ou telefone.

TAGS (Telefonica Advanced Global SOC), que responderá a incidentes e

solicitações de esclarecimentos sobre as informações fornecidas pelo serviço em

8x5 ou 24x7 horas via e-mail e / ou telefone.


Página 9 de 20

Página 9


Os incidentes devem sempre ser notificados à Telefônica pelo interlocutor autorizado pelo

cliente para tais fins, e através dos canais estabelecidos. Portanto, não será tratado nenhum tipo

de consulta ou incidente que não seja devidamente solicitado e processado.

4 ENTREGÁVEIS DO SERVIÇO

O Serviço CyberThreats disponibiliza aos seus clientes vários tipos de entregas, que

serão notificados por e-mail e estarão disponíveis no site do Serviço para consulta e

acompanhamento.

A tabela a seguir resume todos os produtos disponíveis no Serviço, embora a seção

"Escopo de Serviço proposto" inclua as entregas incluídas neste contrato.

Entregáveis Periodicidade Horário de

Atendimento Horário de

Entrega

Notificações por e-mail Inmediata N/A 24x7

Informes de seguimiento Mensal N/A 8x5

Investigações pró-ativas Pró-ativa N/A 8x5

Investigações Adhoc Sob Demanda 8x5 / 24x7 8x5 / 24x7

Informes de tendência Pró-ativa N/A 8x5

Informes de terceiros Pró-ativa N/A 8x5

Informe de situação prévia One-shot N/A 8x5

Informes “Riscos do Canal Móvel” Pró-ativa N/A 8x5

Análise Manual de apps oficiais do cliente

Sob Demanda 8x5 8x5

Em seguida, segue a descrição e caracterísitcas de cada um desses entregáveis.

4.1 NOTIFICAÇÕES POR CORREIO ELETRÔNICO

O Serviço CyberThreats da Telefônica emite notificações por email em 24x7 sobre o

status e a natureza das ameaças detectadas e incidentes gerenciados, limitados aos módulos

contratados.


Página 10 de 20

Página 10


4.2 INFORME DE SEGMENTO

Os Relatórios de Acompanhamento mensais apresentarão, com um formato padronizado,

a atividade relacionada ao processo de Detecção e Resposta realizada pelo Serviço no mês

anterior. A entrega deste relatório será feita na escala 8x5 horas.

O relatório mensal de detecção de ameaças incluirá:

Avaliações e recomendações sobre a atividade do mês anterior.

Estatísticas da Evolução das Ameaças detectadas no mês anterior.

Estatísticas da Evolução das Ameaças detectadas nos últimos 12 meses.

Lista resumo das ameaças detectadas durante o mês anterior, com informações

sobre a data de detecção, tipo, nome, status e nível de risco de cada ameaça.

Detalhe completo de cada uma das ameaças detectadas.

Informe Periódico correspondente ao proceso de Detecção de Ameaças


Página 11 de 20

Página 11


O Relatório mensal de resposta às ameaças apresentará:

Estatísticas das ameaças gerenciadas e resolvidas durante o mês anterior.

Estatísticas de ameaças gerenciadas e resolvidas durante o mês anterior

associado ao Cliente.

Estatísticas de Evolução das Ameaças gerenciadas nos últimos 12 meses, por

tipo, status, prioridade e tempo de resolução da ameaça, associada ao Cliente.

Informe Periódico correspondente a Resposta de Ameaças

4.3 INVESTIGAÇÕES PRÓATIVAS

A equipe de analistas do serviço pode realizar, de forma proativa investigações com o

objetivo de prover ao cliente informações detalhadas sobre as ameaças detectadas e reportadas.

Estas investigações sem custo adicional para o Cliente, são oferecidas ao cliente como valor

agregado ao Serviço e são disponibilizadas no horário 8x5 por meio do Portal do Serviço.

Como exemplo detalhamos três possíveis tipos de relatórios:

• Investigações sobre ameaças detectadas de forma recorrente. Podem iniciar de

forma proativa, atividades de investigação que detalham as informações sobre as

detecções de forma recorrente com o objetivo de concluir se uma ameaça é

direcionada ou genérica.

• Investigações sobre ameaças com alto impacto em meios de comunicação.

Podem iniciar de forma proativa, atividades de investigação que detalham as

informações sobre as detecções de forma recorrente com o objetivo de concluir

se as informações publicadas em meios de comunicação ou blogs de segurança

efetivamente afetam os serviços do cliente.

• Investigações sobre ameaças relacionadas com informações sensíveis presentes

nos metadatos de documentos corporativos, que poderiam ser utilizados como

vetor de ataques de engenharia social ou de arquivos de dados.


Página 12 de 20

Página 12


4.4 RELATÓRIOS DE TENDÊNCIAS

Como valor agregado e sem custo adicional para o Cliente, o Serviço preparará relatórios

de tendências em que a evolução ao longo do tempo das ameaças à Segurança Cibernética é

analisada. Esses relatórios são disponibilizados no período 8x5 através do Portal de Serviços.

Por exemplo, os tópicos que se enquadram nesta categoria de relatórios são:

• Ciberameaça hacktivista: relatório analítico que contém a verificação periódica do

comportamento hacktivista em diversas áreas de observação, como Espanha,

América Latina e Asia, onde uma descrição das operações hacktivistas e ataques

cibernéticos mais significativos são detalhados, incluindo sempre que possível a

as identidades hacktivistas, a quem é atribuída a autoria das ações e uma análise

focada nas estruturas, infra-estruturas, objetivos e capacidades das organizações

hacktivistas.

• Ameaças cibernéticas setoriais: um relatório que inclui uma análise da evolução

ao longo do tempo das ameaças cibernéticas mais comuns que afetam setores

como varejo, bancário, energia e telecomunicações.

4.5 INFORME DE TERCEIROS

O Serviço inclui a entrega ao Cliente de relatórios elaborados por empresas e principais

organizações da Cibersegurança em todo o mundo.

4.6 INVESTIGAÇÕES AD-HOC

O Cliente terá a possibilidade de solicitar investigações personalizadas sobre assuntos

de especial interesse para ele, relacionados a possíveis ameaças que possam afetá-lo e que se

enquadram no âmbito do Serviço contratado. Estas solicitações devem ser enviadas em horários

comercial.

Será analizado o esforço necessário para a investigação (horas técnicas em horário

comercial), e caso o cliente aceite, o consumo de horas será deduzido do pacote de horas

contratado (detalhado na seção "Escopo proposto do Serviço") e a data entrega estimada. O

custo mínimo para a realização de uma investigação será de um dia útil e as investigações serão

realizadas no períod comercial 8x5 horas.

As investigações serão realizadas pela equipe de analistas, que implementará os

mecanismos de coleta de informações necessários para atender os requisitos específicos do

Cliente. Uma vez concluída a investigação, um Relatório será apresentado com os resultados da

mesma e das principais linhas de ação.

Nota: as investigações exigidas exigem um número variável de dias úteis de analistas,

dependendo do escopo e complexidade da investigação. O Anexo inclui uma lista de

investigações, a título de exemplo, que podem ser tomadas como referência para estimar o

número de dias adicionais que o Cliente pode exigir.


Página 13 de 20

Página 13


4.7 RELATÓRIO DE SITUAÇÃO PRÉVIA

O Serviço oferece a possibilidade de realizar uma investigação sobre as ameaças

ocorridas antes de contratá-la. Esta investigação consiste em um monitoramento de ameaças,

de acordo com os módulos contratados, cobrindo os seis meses anteriores à data de início do

monitoramento.

O objetivo desta investigação é detectar as ameaças que, mesmo tendo ocorrido no

passado, implicam um risco para o desenvolvimento da atividade do cliente. O conhecimento de

ameaças anteriores permitirá ao Cliente compreender melhor sua situação atual e ajudá-lo a

tomar medidas para prevenir futuras ameaças.

Como resultado desta investigação, um relatório completo das ameaças detectadas será

entregue, incluindo todas as informações de contexto das detecções.

NOTA: Uma vez que o período de monitoramento abrange os seis meses anteriores à

contratação do Serviço, pode acontecer que um alto número de detecções e / ou ameaças seja

identificado, então, assim que o Serviço for iniciado, o número de detecções pode ser reduzido.

4.8 RELATÓRIO DE RISCOS DO CANAL MÓVEL

O serviço oferece uma proposta adicional destinada a fornecer uma solução completa

contra os riscos no canal móvel. Esta solução é oferecida por meio de uma série de resultados

periódicos e análise on-demand, conforme detalhado abaixo.

Esta solução destina-se a proporcionar às organizações uma visão global de segurança

e possíveis problemas relacionados às suas aplicações móveis. Para este fim, a proposta foca

em três blocos principais:

• Descoberta e monitoramento do canal móvel do cliente, identificando

continuamente novas aplicações e versões pertencentes ou relacionadas ao

Cliente.

• Análise de vulnerabilidade persistente nas aplicações oficiais do Cliente.

• Estudo de aplicativos suspeitos desenvolvidos por terceiros relacionados ao

Cliente.

O escopo desta solução concentra-se na descoberta e estudo de riscos de segurança

associados ao ecossistema móvel do Cliente. Isso inclui seus aplicativos móveis oficiais, bem

como outros aplicativos suspeitos / relacionados ao cliente e desenvolvidos por terceiros.

Note-se que o alcance desta solução está limitado aos mercados oficiais (Google Play e

Applestore), bem como mercados não oficiais (+50).

Para fornecer um resultado preciso e atualizado ao longo do tempo, o Cliente deve

fornecer ao Serviço uma lista de seus desenvolvedores e aplicativos oficiais durante a fase de

provisão.


Página 14 de 20

Página 14


Finalmente, deve-se notar que a avaliação econômica desta proposta ("Risco de Canal

Móvel") está diretamente ligada ao número de aplicativos oficiais que o Cliente deseja monitorar.

4.9 RELATÓRIO DE DESCOBERTA INICIAL DOS APLICATIVOS RELACIONADOS

Na fase inicial, o Serviço fornecerá ao Cliente um inventário dos aplicativos móveis,

incluindo detalhes de versões, datas de atualização, mercado, nome do desenvolvedor,

certificados, conta de e-mail, etc.. Este primeiro relatório incluirá a descoberta associada às

aplicações móveis oficiais do Cliente, bem como as aplicações suspeitas desenvolvidas por

terceiros distribuídas em mercados oficiais e não oficiais.

4.10 RELATÓRIO DA EVOLUÇÃO DOS RISCOS NO CANAL MÓVEL

Este relatório de monitoramento é trimestral e visa oferecer uma visão contínua e

atualizada dos riscos de uma organização em seu canal móvel. A estrutura geral do relatório está

indicada abaixo:

• Acompanhamento de novas aplicações móveis oficiais e versões de clientes

publicadas em mercados oficiais ao longo do tempo. Esta seção pretende oferecer

ao Cliente uma foto atualizada contínua de seu parque.

• Análise persistente de vulnerabilidades em aplicações móveis oficiais do cliente

visando a identificação contínua de novas vulnerabilidades e outros riscos de

segurança. O número total de aplicações analisadas pelo Serviço dependerá do

escopo contratado pelo Cliente (número de aplicativos contratados).

• Monitoramento e estudo de aplicativos suspeitos detectados pelo Serviço. Uma

lista de aplicativos móveis suspeitos detectados e reportados durante o último

trimestre pelo Serviço será fornecido. Neles, será realizada uma análise focada

na contextualização das ameaças mais relevantes.

• Conclusões e recomendações.

4.11 ANÁLISES MANUAIS EM APLICATIVOS OFICIAIS DO CLIENTE (SOB DEMANDA)

Opcionalmente, o serviço oferece recursos sob demanda para análise detalhada das

aplicações móveis oficiais do Cliente. Este produto abrange uma análise aprofundada, incluindo

testes estáticos e dinâmicos nos aplicativos analisados. O caso de uso geral para este produto

é dirigido a novos aplicativos desenvolvidos pela organização, que exigem um estudo detalhado

antes de fazer o upload do aplicativo no mercado oficial.

Este tipo de entrega pode ser consumido sob demanda por meio de uma bolsa de análise

(detalhado na seção "Escopo de Serviço proposto").


Página 15 de 20

Página 15


4.12 MODALIDADES DA PROPOSTA "RISCOS NO CANAL MÓVEL"

Para se adaptar às necessidades específicas de cada cliente, a proposta "Riscos no

Canal Móvel" é comercializada em duas modalidades comerciais diferentes. O escopo é

detalhado abaixo:

• Modalidade Standart: Nesta modalidade, o Serviço se concentrará

especificamente na descoberta e análise de vulnerabilidades nos aplicativos

móveis oficiais do Cliente. Vale ressaltar que as seções relacionadas à descoberta

de aplicativos suspeitos desenvolvidos por terceiros (seção do Relatório Inicial de

Descobertas) e o estudo de aplicativos suspeitos desenvolvidos por terceiros

(seção do Relatório de Evolução de Riscos) não serão incluídos no escopo para

esta modalidade .

• Modalidade Premium: nesta modalidade, serão incluídos todos os resultados

descritos acima, isto é, descoberta e análise de vulnerabilidades nos aplicativos

móveis oficiais do cliente, bem como a descoberta e estudo de aplicativos móveis

suspeitos desenvolvidos por terceiros. Deve-se notar que, dentro desta

modalidade, o módulo "Aplicações móveis suspeitas

4.13 PORTAL DE SERVIÇOS

O Portal Online do serviço CyberThreats é uma parte essencial da proposta de valor do

Serviço. Centraliza todas as entregas realizadas e fornece uma ferramenta essencial para

rastrear ameaças.

O acesso ao portal é realizado por meio de usuário e senha.


Página 16 de 20

Página 16


Portal de Serviço CyberThreats

4.13.1 Reposta a Ameaças

A ferramenta permite a consulta das diferentes fases que compõem o tratamento de uma

ameaça até sua resolução final. As características mais significativas são descritas abaixo:

• Módulo Casos: O total de ameaças tratadas pelo Serviço é apresentado,

categorizado de acordo com seu status atual, prioridade, tempo de resolução ou

status de bloqueio. Além disso, as funções de filtragem e exportação são

oferecidas para simplificar seu gerenciamento.

Lista de Casos

• Estatísticas: facilita a compreensão do status do Serviço por meio da apresentação de uma série de gráficos representativos da situação atual e evolução das ameaças geridas pelo Serviço


Página 17 de 20

Página 17


Exemplo de Estatísticas de Ameaças

4.14 CONTATOS TÉCNICOS

O cliente poderá designar até 03 (três) administradores de sua empresa, unidade de

negócio ou filial para contato com a Central de Relacionamento, os quais serão denominados

Pontos Focais. Os nomes deverão ser informados durante o processo de implantação do Serviço.

A Central de Relacionamento da Telefônica não efetua atendimento ao usuário final.

4.15 CENTRAL DE SERVIÇOS

As requisições de serviços e comunicação de incidentes deverão ser feitas para a Central

de Relacionamento, por meio do telefone 0800 151551, Opção 3 - Demais Serviços + código de acesso 1629.


Página 18 de 20

Página 18


O SOC (Security Operation Center) efetuará o acompanhamento das solicitações. A cada

nova solicitação será associado um número de registro da chamada e quando for o caso, um

nível de severidade, conforme o grau crítico do problema avaliado.

4.15.1 Horário de Atendimento

Para os serviços que possuem atendimento na modalidade 8x5, o horário de atendimento

é das 08:00 às 17:00 horas, de segunda a sexta. Para os serviços na modalidade 12x5, o horário

é das 08:00 às 20:00 horas, também de segunda a sexta. Na modalidade 24x7 não há

interrupção no horário de atendimento.

4.15.2 Fluxo de Atendimento

Para controle das solicitações, bem como para o adequado acompanhamento do

desempenho do serviço, o cliente deve orientar e garantir que não haverá interação direta de

seus usuários finais com a Central de Relacionamento da Telefônica | Vivo, sendo tal atividade

atribuída apenas à equipe de suporte do cliente.

Havendo a necessidade de interação com o cliente, a equipe técnica do SOC, por meio

do Centro Técnico, entrará em contato com um dos os pontos focais previamente definidos pelo

cliente.

O ponto de contato do cliente sempre será a Central de Relacionamento (nível 1), seja

para abrir novas solicitações, reportar incidentes ou consultar o status de chamados abertos. A

Central de Relacionamento é responsável por registrar todos os chamados dos clientes. De

acordo com a complexidade da solicitação os chamados poderão ser encaminhados pela própria

Cental para o Centro Técnico/SOC.

Figura 2 - Fluxo de Atendimento

4.15.3 Fechamento de Chamado

O chamado somente será concluído com o "de acordo" dado por um dos três pontos

focais, sendo o contato efetuado por telefone ou e-mail.


Página 19 de 20

Página 19


4.15.4 SUPORTE

O SOC disponibiliza três níveis de suporte para atendimento aos serviços contratados

pelo cliente:

• Suporte 1º Nível: realizado pela equipe do SOC que trabalham 24 x 7 (vinte e quatro

horas por dia, sete dias por semana) para atendimento a qualquer grau de severidade de

incidentes ou solicitações;

• Suporte 2º Nível: realizado pela equipe do SOC que trabalha 8 x 5 (oito horas por dia, 5

dias por semana), podendo ser acionado fora deste horário pelo 1º Nível para

cumprimento de SLO/SLA dos serviços;

• Suporte 3º Nível: realizado pela equipe de especialistas do SOC que trabalha 8 x 5 (oito

horas por dia, 5 dias por semana), podendo ser acionado fora deste horário pelo 2º Nível

para cumprimento de SLO/SLA dos serviços.

O relacionamento com os fornecedores ou parceiros envolvidos na solução dos

problemas é de responsabilidade da equipe técnica do SOC Telefônica | Vivo.

4.15.5 ACORDOS DO NÍVEL DE SERVIÇO

4.15.5.1 Disponibilidade

Refere-se à disponibilidade do serviço Gestão de Vulnerabilidades, sendo medidos

mensalmente. Tem-se como premissa que a rede do cliente está propriamente configurada

24x7x365.

Tipo Descrição SLA

Disponibilidade do portal de

administração

Disponibilidade do portal de administração do cliente final

99,9%

Quadro 1 - SLA de Disponibilidade

4.15.5.2 Atendimento

Trata-se do tempo de espera para atendimento por meio da Central de Relacionamento.

Tipo Descrição Objetivo SLA

Atendimento Tempo máximo de espera

para atendimento 10 segundos 80%

Quadro 2 - SLA de Atendimento

4.15.5.3 Suporte

Tratam-se dos tempos de resposta do SOC para os chamados abertos.

Severidade Descrição Objetivo SLA


Página 20 de 20

Página 20


Crítico Evento que impede a realização de funções críticas frequentemente ou por um período prolongado.

2 horas 95%

Alto Evento permanente que impede a realização de funções não-críticas.

4 horas 95%

Médio Evento ocasional que impede a realização de funções não-críticas.

24 horas 95%

Baixo Evento que impacta operações administrativas, não-críticas ou funções secundárias.

36 horas 95%

Solicitações O serviço não está afetado. Dúvidas sobre algum aspecto técnico ou característica do serviço.

48 horas 95%

Quadro 3 - SLA de Suporte

4.15.5.4 INTERRUPÇÕES PROGRAMADAS

As interrupções programadas de disponibilidade do serviço, sejam elas programadas ou

motivadas por alguma solicitação do Cliente, não serão contabilizadas para o cálculo da

disponibilidade do serviço.

4.15.5.5 GESTÃO DO SERVIÇO

A prestação dos serviços pela Telefônica | Vivo e o cumprimento do contrato a ser

firmado, deverá ser fiscalizado, monitorados e geridos pelas partes para fins de contínua

avaliação e melhoria dos serviços prestados.

A gestão operacional do futuro contrato será feita através da gerência técnico-operacional

da Telefônica | Vivo, que deverá zelar pelo bom desenvolvimento de todos os projetos e

processos ligados aos serviços prestados ao Cliente, mantendo um canal de alto nível para

comunicação entre as empresas.

Documents

1 ESCOPO DO SERVIÇO · 2020-04-23 · usuário final através do uso de sua marca, logotipo ou imagem. Para tanto, são monitorados redes sociais, canais relacionados ao setor do