IBM Hosted Application Security Services - Website Scanning Platform

Transcrição

1 IBM Hosted Application Security Services - Website Scanning Platform Z WW Página 1 de 15

2 Índice IBM Hosted Application Security Services Escopo de Serviços Definições Configuração da Plataforma de Varredura Serviços Centros de Operações de Segurança Entrega do Serviço Plataforma de Varredura Responsabilidades da IBM Responsabilidades do Cliente Portal Responsabilidades da IBM em Relação ao Portal Responsabilidades da Empresa em Relação ao Portal Contatos de Serviço Responsabilidades da IBM em Relação aos Contatos dos Serviços Responsabilidades do Cliente com Relação aos Contatos dos Serviços Inteligência de Segurança Responsabilidades da IBM em Relação à Inteligência de Segurança Responsabilidades da Empresa em Relação à Inteligência de Segurança Implementação e Ativação Responsabilidades da IBM em Relação à Implementação e à Ativação Responsabilidades do Cliente em Relação à Implementação e à Ativação Relatórios Responsabilidades da IBM em Relação aos Relatórios Responsabilidades do Cliente em Relação aos Relatórios Serviços Opcionais Níveis de Complexidade do Aplicativo Varredura Inicial One-time Responsabilidades da IBM: Varredura Inicial One-time Responsabilidades do Cliente em relação à Varredura Inicial One-time Nova Varredura One-time Adicional Responsabilidades da IBM em relação à Varredura One-time Adicional Responsabilidades do Cliente em relação à Varredura One-time Adicional Acordos de Nível de Serviço Disponibilidade dos SLAs Compensações de SLA Resumo dos SLAs e Compensações Outros Termos e Condições Geral Permissão para Realizar Testes Sistemas de Terceiros Renúncia de Responsabilidade Descrição de Serviços Z WW Página 2 de 15

3 Serviços de Segurança do Aplicativo Hospedado da IBM Plataforma de Varredura do Site ALÉM DOS TERMOS E CONDIÇÕES ESPECIFICADOS ABAIXO, ESTA DESCRIÇÃO DE SERVIÇOS INCLUI AS DISPOSIÇÕES GERAIS DOS SERVIÇOS DE SEGURANÇA GERENCIADOS PELA IBM ( DISPOSIÇÕES GERAIS ) DISPONÍVEIS EM E INCOR- PORADAS NESTE DOCUMENTO POR REFERÊNCIA. 1. Escopo de Serviços Serviços de Hosted Application Security Services - Website Scanning Platform (chamado de Serviços ) foi projetado pela IBM para fornecer a habilidade de iniciar e executar a varredura de aplicativo ao Destinatário de Serviços. O Serviço fornece acesso a um ambiente hospedado e gerenciado da IBM e inclui treinamentos dos funcionários do cliente para ajudá-los a compreender as características do Serviço. Varreduras do ambiente de clientes são realizadas pelo Destinatário do Serviço. Os Serviços se destinam a ser utilizados para avaliar a postura de segurança ou conformidade dos sites do cliente publicamente acessíveis. Alguns dos testes realizados como parte desse serviço podem afetar os sites de forma negativa se os sites são suscetíveis aos problemas sob avaliação. As características dos Serviços descritos no presente documento dependem da disponibilidade e da compatibilidade dos produtos que estão sendo utilizados e de suas respectivas características. É possível que nem todas as características do produto sejam compatíveis, inclusive no caso de produtos compatíveis. A IBM disponibiliza informações sobre as características compatíveis mediante solicitação, incluindo hardware, software e firmware da IBM e de terceiros. Os Serviços serão fornecidos quando da utilização do Rational AppScan Enterprise Edition e Software Policy Tester (também chamado de Software de Varredura ). 2. Definições Condição de Alerta ( AlertCon ) uma métrica de risco global desenvolvida pela IBM utilizando métodos proprietários. O AlertCon baseia-se em diversos fatores, incluindo a quantidade e a severidade de vulnerabilidades conhecidas,os ataques a essas vulnerabilidades, a disponibilidade desses ataques para o público, atividade de worm de propagação em massa e atividade global de ameaças. Os quatro níveis de AlertCon estão descritos no portal Serviços Gerenciados de Segurança da IBM ( MSS da IBM ) (denominado "Portal"). Analista de Segurança de Aplicativo (ASA) Analista de segurança da IBM que fornece serviços de avaliação de aplicativo e atua como contato principal dos clientes sobre os resultados do serviço prestado. Conteúdo Todos os dados específicos ao Destinatário dos Serviços a sofrer varredura ou criado em conexão com o uso que o Destinatário dos Serviços faz do Serviço. Trabalho de Varredura de Conteúdo Varredura das Páginas selecionadas utilizando o Serviço. Como parte da execução de um Trabalho de Varredura de Conteúdo, todas as páginas examinadas são recuperadas para fins de análise do código HTML e posteriormente, tais páginas são descartadas quando a análise for concluída. Relatórios de Trabalho de Varredura de Conteúdo Um conjunto e relatórios com respeito a um Trabalho específico de Varredura de Conteúdo. O Trabalho de Varredura de Conteúdo armazena informações com relação a essa análise na forma de Relatórios de Trabalhos de Varredura de Conteúdos e Pacotes de Relatórios (ou seja, coleções de Relatórios de Trabalho de Varredura de Conteúdo). As informações são armazenadas em um banco de dados relacional e são acessados por uma interface baseada na web. Somente um conjunto de informações de Relatórios de Trabalhos de Varreduras de Conteúdos está disponível em determinado momento (ou seja, as informações de varreduras anteriores são apagadas quando se executa novamente o Trabalho de Varredura de Conteúdo. Informações resumidas e de tendências podem ser visualizadas on-line na Plataforma de Varredura durante um ano. Ao final do período de um ano, os dados serão transicionados para armazenamento offline (se aplicável). Materiais de Apoio incluem, entre outros, manuais de laboratório, anotações do instrutor, material impresso, metodologias, curso eletrônico e imagens, políticas e procedimentos de estudo de caso, bem como os demais materiais exclusivos de treinamento criados pela IBM ou em seu nome. Quando aplicá- Z WW Página 3 de 15

4 vel, os Materiais de Apoio também podem incluir manuais do participante, exercícios, documentos de laboratório e slides da apresentação fornecidos pela IBM. Páginas Todas as páginas da web identificadas com parte do Serviço, inclusive, e sem limites, todos os HTML (processados estática e dinamicamente). A tela de informações sobre Licenças de Módulos identificarão todas as páginas com a mesma URL como uma (1) Página, independente de quantas vezes são examinadas. Entretanto, nas situações onde a mesma página existe em diferentes ambientes da web (ou seja, duas (2) páginas com diferentes URLs), a guia de Gerenciamento de Licenças as identificará como duas (2) Páginas. Informações da Varredura Informações detalhadas e as instruções fornecidas pelo cliente à IBM e utilizadas pela IBM para realizar os Trabalhos de Varreduras de Conteúdo. Plataforma de Varredura A infraestrutura de hardware e software que possibilitam que os Trabalhos de Varredura de Conteúdo seja executados. Política de Teste de Segurança O conjunto específico de testes, conforme configurado para o Serviço utilizado para determinar quais vulnerabilidades de segurança serão visadas pelo Trabalho de Varredura de Conteúdo. Servidor Cada ambiente separado do sistema operacional, necessário para realizar os Serviços. Usuário Funcionário, contratante autônomo, consultor ou agente identificado e autorizado pelo cliente para receber um senha protegida e única, SSL (Secure Socket Layer) criptografada para usar o Software de Varredura e acessar os Relatórios de Trabalho de Varredura de Conteúdo de acordo com os termos e condições desta Descrição de Serviços. 3. Configuração da Plataforma de Varredura A Plataforma de Varredura é configurada com base nos detalhes do pedido. Para a varredura de conformidade, o PolicyTester é instalado com os seguintes módulos: Módulo Qualidade Privacidade Acessibilidade Propósito Avaliar os sites do cliente para ver se há problemas de qualidade, como links quebrados, ortografia, uso de guias analíticas, etc Avaliar os sites do cliente para verificar adesão às políticas de privacidade, como o uso de links de declaração de privacidade, formulários de coleta de PII (informações pessoalmente identificáveis), etc Avaliar os sites do cliente para verificar a adesão às normas de acessibilidade, tais como Seção 508, WCAG 2.0, etc Para detectar as vulnerabilidades de segurança do aplicativo da web, é instalado do IBM Appscan Enterprise Edition O pedido define o número máximo de Páginas únicas que o Destinatário dos Serviços pode examinar utilizando a Plataforma de Varredura. Para maior clareza, não há limite prático no número de vezes que se pode examinar as Páginas (p. ex., mensal, semanal). Na prática, entretanto, a Plataforma de Varredura é configurada com hardware suficiente para examinar até o número máximo de páginas, conforme especificado mensalmente, o que significa que poderá haver circunstâncias nas quais não há potência de computação suficiente para examinar mais do que o especificado. 4. Serviços A tabela a seguir destaca as características mensuráveis dos Serviços. As seções subsequentes fornecem uma descrição de cada característica dos Serviços. Resumo das Características dos Serviços Característica dos Serviços Métrica ou Qtde. Acordos de Nível de Serviço Disponibilidade da Plataforma de Varredura da IBM 99,9% SLA da disponibilidade da Plataforma de Varredura da IBM Z WW Página 4 de 15

5 Disponibilidade do Portal de MMS da IBM 99,9% SLA de Disponibilidade do Portal de MSS da IBM Contatos de Segurança Autorizados 3 usuários N/A Resposta à investigação 100% SLA de Resposta à investigação 4.1 Centros de Operações de Segurança Os Serviços Gerenciados de Segurança da IBM são oferecidos a partir de uma rede de Centros de Operações de Segurança da IBM ( SOCs ). A IBM fornecerá acesso aos SOCs 24 horas por dia, sete dias por semana. 4.2 Entrega do Serviço Os Serviços de Segurança do Aplicativo Hospedado da IBM são entregues pelos recursos localizados nas instalações da IBM. A Plataforma de Varredura está disponível 24 horas por dia, 7 dias por semana. Entretanto, o acesso aos Analistas de Segurança do Aplicativo para os Serviços de Segurança do Aplicativo Hospedado da IBM é fornecido em horário comercial normal, 8:30 a 17:15, fuso horário leste dos Estados Unidos, de segunda a sexta, exceto nos feriados. 4.3 Plataforma de Varredura A Plataforma de Varredura fornece ao cliente uma interface com base na Web para o software, que possibilita que sejam criadas e executadas as varreduras dos sites e/ou aplicativos web do cliente. A Plataforma de Varredura possibilita que o cliente visualize os resultados das varreduras e os relatórios resumidos das varreduras Responsabilidades da IBM a. fornecer acesso à Plataforma de Varredura 24 horas por dia, sete dias por semana. A Plataforma de Varredura fornecerá: (1) conhecimento do site e alertas com base no produto IBM Rational Policy Tester ; e (2) acesso aos Materiais de Apoio de acordo com os termos estabelecidos na Plataforma de Varredura. b. manterá a disponibilidade da Plataforma de Varredura, de acordo com as métricas fornecidas nesta Descrição de Serviços, na seção intitulada Acordos de Nível de Serviço, Plataforma de Varredura. c. possibilitar que o cliente acesse o Serviço, fornecendo ao cliente uma senha protegida única, uma URL SSL criptografada para cada usuário indicado pelo cliente, sujeita à limitação de número de usuários, conforme estabelecido nesta Descrição do Serviço; e d. executar a administração do sistema e manutenção da plataforma de varredura que garanta que a plataforma esteja atualizada em relação às versões suportadas e patches de segurança, conforme indicado pela IBM Responsabilidades do Cliente a. garantir que os funcionários que acessam a Plataforma de Varredura em seu nome cumpram os Termos de Uso estabelecidos no Portal, incluindo, entre outros, os termos associados aos Materiais de Apoio; b. proteger, de forma apropriada, suas credenciais de login da Plataforma de Varredura (incluindo a não divulgação de tais credenciais a pessoas não autorizadas); c. notificar a IBM imediatamente em caso de suspeita de comprometimento de suas credenciais de login; d. indenizar e isentar a IBM de quaisquer perdas contraídas pelo Cliente ou por terceiros, como resultado da não proteção das credenciais de login e e. indenizar e isentar a IBM de quaisquer perdas contraídas pelo Cliente ou por terceiros, como resultado da não proteção das credenciais de login e Z WW Página 5 de 15

6 4.4 Portal O Portal oferece acesso a um ambiente (e ferramentas associadas) desenvolvido para monitorar as variações de segurança de sua empresa, por meio da fusão de dados tecnológicos e de serviços de diversos fornecedores e geografias em uma interface comum baseada na web. O Portal também pode ser utilizado para fornecer Materiais de Apoio. Esses Materiais não são vendidos. Eles são licenciados e de propriedade exclusiva da IBM. A IBM concede uma licença de acordo com os termos estabelecidos no Portal. OS MATERIAIS DE APOIO SÃO FORNECIDOS NO ESTADO EM QUE SE ENCONTRAM, SEM GARANTIA OU INDENIZAÇÃO DE QUALQUER TIPO, EXPRESSA OU IMPLÍ- CITA, POR PARTE DA IBM, INCLUINDO, ENTRE OUTROS, GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM DETERMINADO PROPÓSITO E NÃO VIOLAÇÃO DE DIREITOS DE EXCLU- SIVIDADE E DE PROPRIEDADE INTELECTUAL Responsabilidades da IBM em Relação ao Portal a. fornecer acesso ao Portal 24 horas por dia, sete dias por semana. O Portal fornecerá: (1) reconhecimento e alerta de inteligência de segurança; e (2) acesso aos Materiais de Apoio de acordo com os termos estabelecidos no Portal. b. manterá a disponibilidade do Portal de acordo com as métricas fornecidas nesta Descrição de Serviços, na seção intitulada Acordos de Nível de Serviço, Disponibilidade do Portal Responsabilidades da Empresa em Relação ao Portal a. garantir que os funcionários com acesso ao Portal cumpram com os Termos de Uso estabelecidos no Portal, incluindo, entre outros, os termos associados aos Materiais de Apoio; b. proteger, de forma apropriada, suas credenciais de login do Portal (incluindo a não divulgação de tais credenciais a pessoas não autorizadas); c. notificar a IBM imediatamente em caso de suspeita de comprometimento de suas credenciais de login e d. indenizar e isentar a IBM de quaisquer perdas contraídas pela própria empresa ou por terceiros, como resultado da não proteção das credenciais de login. 4.5 Contatos de Serviço É possível escolher entre os diversos níveis de acesso ao Portal e à Plataforma de Varredura para acomodar as várias funções dentro de sua organização. Contatos de Segurança Autorizados Um Contato de Segurança Autorizado é definido como um tomador de decisão responsável por todos os problemas operacionais relacionados aos Serviços Gerenciados de Segurança da IBM. Esses contatos terão acesso a todos os objetos dentro da Plataforma de Varredura e terão a habilidade opcional de criar e executar varreduras. Executor da Plataforma de Varredura O Executor da Plataforma de Varredura tem total acesso ao subconjunto de objetos na Plataforma de Varredura e a capacidade de criar e executar varreduras dentro daquele subconjunto. Usuários de Relatórios (Report Consumer Users) A IBM oferece diversos níveis de acesso aos Usuários da Plataforma de Varredura. Os Usuários da Plataforma de Varredura serão autenticados por meio de senha estática ou por tecnologia de criptografia de chave pública a ser fornecida (por exemplo, token RSA SecureID) com base em seus requisitos. O Usuários de Relatórios possui acesso às áreas da Plataforma de Varredura, com exceção da alteração de configurações ou execução de varreduras. Usuários do Portal A IBM oferece diversos níveis de acesso aos Usuários do Portal. Esses níveis de acesso podem ser a- plicados aos Serviços Gerenciados de Segurança da IBM, a um Agente ou a um grupo de Agentes. Os Usuários do Portal serão autenticados por meio de senha estática ou por tecnologia de criptografia de chave pública a ser fornecida (por exemplo, token RSA SecureID) com base em seus requisitos. Z WW Página 6 de 15

7 4.5.1 Responsabilidades da IBM em Relação aos Contatos dos Serviços Contatos de Segurança Autorizados a. permitir a criação de até três Contatos de Segurança Autorizados; b. fornecer a cada Contato de Segurança Autorizado: (1) permissões administrativas do Portal a seus Agentes; (2) autorização para criar um número ilimitado de Contatos Designados para os Serviços e de Usuários do Portal; (3) autorização para delegar responsabilidades aos Contatos Designados para os Serviços; c. habilitar o acesso dos Contatos de Segurança Autorizados do cliente à Plataforma de Varredura, e opcionalmente fornecer a a habilidade para criar e executar a varredura; d. estabelecer interface com os Contatos de Segurança Autorizados a respeito das questões de suporte e notificação relacionados aos Serviços; e e. verificar a identidade dos Contatos de Segurança Autorizados utilizando um método de autenticação com passphrase de desafio pré-compartilhada. Executor da Plataforma de Varredura a. verificar a identidade do Executor da Plataforma de Varredura utilizando um método de autenticação com passphrase de desafio pré-compartilhada. b. permitir o acesso para o Executor da Plataforma de Varredura, conforme determinado pelos Contatos de Segurança Autorizados, incluindo a capacidade de criar/executar varreduras conforme necessário. Usuários de Relatórios a. fornecer acesso adequado aos Usuários do Relatório do Consumidor do Cliente à Plataforma de Varredura, conforme determinado por meio de discussões com o Contato de Segurança Autorizado; e b. autenticar os Usuários de Relatórios do cliente como usuários da Plataforma de Varredura utilizando senha estática. Usuários do Portal a. fornecer diversos níveis de acesso ao Portal aos Usuários de Portal do cliente: (1) recursos de usuário administrativo, incluindo: (a) criar Usuários do Portal; e (b) criação e edição de listas de observação de vulnerabilidade; b. autenticar Usuários do Portal utilizando senha estática e c. autenticar Usuários do Portal utilizando uma tecnologia de criptografia de chave pública a ser fornecida (por exemplo, token RSA SecureID) com base em seus requisitos Responsabilidades do Cliente com Relação aos Contatos dos Serviços Contatos de Segurança Autorizados a. fornecer à IBM as informações de contato referentes a cada Contato de Segurança Autorizado. Os Contatos de Segurança Autorizados serão responsáveis por: (1) criar Contatos Designados para os Serviços e delegar-lhes responsabilidades e permissões, quando aplicável; (2) criar os usuários da Plataforma de Varredura; (3) autenticar com os SOCs utilizando uma passphrase de desafio pré-compartilhada e Z WW Página 7 de 15

8 (4) manter suas informações de contato e caminhos de notificação, além de fornecer tais informações à IBM. b. disponibilizar pelo menos um Contato de Segurança Autorizado 24 horas/dia, 7 dias/semana; c. informar à IBM, no prazo de três dias úteis, sobre alterações nas informações do Contato de Segurança Autorizado e d. reconhecer que só é permitido possuir, no máximo, três Contatos de Segurança Autorizados, independentemente do número de serviços IBM ou assinaturas de Agente contratados. Contatos Designados para os Serviços a. fornecer à IBM as informações de contato e as responsabilidades da função referentes a cada Contato Designado para os Serviços. Tais Contatos Designados para os Serviços serão responsáveis pela autenticação com os SOCs utilizando uma passphrase e b. reconhecer que talvez seja necessário disponibilizar um Contato Designado para os Serviços 24 horas/dia, 7 dias/semana, com base no subconjunto de responsabilidades do Contato (ou seja, indisponibilidade do Agente). Executor da Plataforma de Varredura O Cliente concorda: a. que os usuários da Plataforma de Varredura utilizem a Plataforma de Varredura para realizar atividades diárias de Serviços operacionais; b. que os usuários da Plataforma de Varredura serão responsáveis pelo fornecimento de tokens RSA SecureID compatíveis com a IBM (quando aplicável) e c. que os usuários da Plataforma de Varredura não terão contato direto com os SOCs eem reconhecer que os SOCs terão interface somente com Contatos de Segurança Autorizados e Contatos Designado para os Serviços. Usuários do Portal O Cliente concorda: a. que os Usuários do Portal o utilizarão para executar atividades diárias de Serviços operacionais; b. que os Usuários do Portal serão responsáveis pelo fornecimento de tokens RSA SecureID compatíveis com a IBM (quando aplicável) e c. que os Usuários do Portal não terão contato direto com os SOCs e em reconhecer que os SOCs terão interface somente com Contatos de Segurança Autorizados e Contatos Designados para os Serviços Inteligência de Segurança A inteligência de segurança é fornecida pelo Centro de Análise de Ameaças IBM X-Force. O Centro de Análise de Ameaças X-Force publica o nível de ameaça AlertCon na Internet. O AlertCon descreve as variações progressivas de alerta das condições atuais de ameaça à segurança na Internet. Caso as condições de ameaça à segurança na Internet sejam elevadas ao AlertCon 3, o que indica ataques focados que exigem ação defensiva imediata, a IBM fornecerá acesso em tempo real ao seu resumo de instruções da situação global. Como usuário da Plataforma de Varredura, a empresa tem acesso ao Serviço de Análise de Ameaças Hospedado no X-Force. O Serviço de Análise de Ameaças Hospedado no X- Force inclui acesso ao Insight Trimestral de Ameaças X-Force IBM ( Threat IQ ). Utilizando o Portal, é possível criar uma lista de observação de vulnerabilidade com informações de a- meaças customizadas. Além disso, cada usuário da Plataforma de Varredura pode fazer uma solicitação para receber um de avaliação da Internet todo dia útil. Essa avaliação fornece uma análise das condições das ameaças na Internet conhecidas atualmente, dos dados de métricas de portas da Internet em tempo real e das notícias personalizadas de alertas, orientações e segurança. Observação: O acesso e o uso da inteligência de Segurança fornecidos por meio do Portal (incluindo o IQ de Ameaças e o diário de avaliação da Internet) estão sujeitos aos Termos de Uso estabelecidos no contrato. Caso os Termos de Uso entrem em conflito com os termos desta Descrição dos Serviços ou quaisquer documentos de contratos associados, os Termos de Uso do Portal devem prevalecer. Em aditamento aos Termos de Uso estabelecidos no Portal, a utilização de informações em qualquer Z WW Página 8 de 15

9 link, ou website não IBM, e de recursos estão sujeitos aos termos de uso desses recursos e dos termos postados em tais links ou websites não IBM Responsabilidades da IBM em Relação à Inteligência de Segurança a. fornecer acesso ao Serviço de Análise de Ameaças Hospedado no X-Force ao Cliente; b. fornecer um nome de usuário, senha, URL e permissões adequadas para acesso ao Portal; c. exibir informações de segurança no Portal assim que elas forem disponibilizadas; d. em caso de configuração por parte do Cliente, fornecer, por meio do Portal, inteligência de segurança específica para a lista definida de observação de vulnerabilidade; e. fornecerá de avaliação de segurança na Internet para cada dia útil caso configurado desta forma pela Empresa; f. publicar no Portal um AlertCon de Internet; g. declarar uma emergência de Internet caso o nível diário do AlertCon atinja AlertCon 3. Nesse caso, a IBM fornecerá acesso em tempo real ao seu resumo de instruções da situação global; h. fornecer a funcionalidade das características do Portal ao Cliente para que uma lista de observação de vulnerabilidade possa ser criada e mantida; i. fornecer informações adicionais sobre alertas, orientações ou outros problemas de segurança importantes que a IBM julgar necessários e j. fornecerá acesso ao IQ de ameaças por meio do Portal Responsabilidades da Empresa em Relação à Inteligência de Segurança A Empresa concorda em utilizar o Portal para: a. receber diário de avaliação de segurança da Internet, se desejado; b. criar uma lista de observação de vulnerabilidade, se desejado; c. acessar o IQ de Ameaças; e d. fornecer o contrato para aderir ao acordo de licenciamento e não encaminhar informações de Serviços às pessoas sem licença apropriada. 4.6 Implementação e Ativação Para inicializar o Serviço, a Plataforma de Varredura deve ser implantada e ativada Responsabilidades da IBM em Relação à Implementação e à Ativação a. instalar o Software de Varredura na infraestrutura hospedado e confirmar sua operacionalidade; b. habilitar o acesso do cliente à Plataforma de Varredura; e c. Fornecer ao cliente uma senha protegida única, uma URL SSL criptografada para cada usuário indicado pelo cliente, sujeita à limitação de número de usuários, conforme estabelecido no Serviço do cliente Responsabilidades do Cliente em Relação à Implementação e à Ativação a. verificar seu acesso à Plataforma de Varredura; e b. salvaguardar adequadamente a senha protegida, a URL SSL criptografada para cada um dos usuários indicados. 4.7 Relatórios A Plataforma de Varredura fornece, ao cliente, uma capacidade de relatórios abrangente para a visualização de resultados de varreduras tanto no nível detalhado quanto no resumido Responsabilidades da IBM em Relação aos Relatórios A IBM fornecerá acesso aos recursos de relatório na Plataforma de Varredura, os quais incluem: a. Relatórios resumidos. A IBM poderá configurar relatórios dashboard que resumem os resultados das varreduras e fornecem análises de tendências; e Z WW Página 9 de 15

10 b. Relatórios de detalhes. O Software de Varredura fornece resultados detalhados das varreduras de conformidade do site, que incluem: (1) Páginas (URLs) contendo; (2) Título e descrição do problema; (3) Solicitação da HTTP usada para criar o problema; e (4) Sugestões de remediações Responsabilidades do Cliente em Relação aos Relatórios configurar e executar relatórios por suas próprias necessidades. 5. Serviços Opcionais Serviços opcionais selecionados pelo cliente serão especificados no pedido. Esses Serviços Opcionais se basearão na complexidade do aplicativo, conforme descrito a seguir. 5.1 Níveis de Complexidade do Aplicativo Cada aplicativo tem diversos níveis de complexidade que afetam o tempo necessário para avaliar adequadamente a postura de segurança do aplicativo. Por isso, os aplicativos a sofrerem varredura sob os Serviços de Segurança do Aplicativo Hospedado da IBM - Plataforma de Varredura do Site são classificados nos seguintes níveis de complexidade: Nível de complexidade Contagem de páginas Formulários Login Nível 1 Complexidade Baixa Nível 2 Complexidade Média <100 Menos de 3 formulários Não é necessário Login <500 Menos de 5 formulários Necessário Login simples Nível 3 Complexidade Alta >500 Mais de 5 formulários Necessário Login Complexo Observações: a. Se alguma das condições de contagem da páginas, formulários ou login se aplica, considera-se que o aplicativo pertença àquela categoria. Por exemplo, um aplicativo com 50 páginas, mas com mais de 5 formulários é considerado como altamente complexo. b. O limite superior do número de páginas de um aplicativo Nível 3 Complexidade Alta é de O aplicativo que ultrapassar esse limite deverão ser considerados 2 aplicativos. c. O limite superior do número de formulários do Nível 3 Complexidade Alta é 25. O aplicativo que ultrapassar esse limite deverão ser considerados 2 aplicativos. Pode ser realizado um login simples utilizando as capacidades de preenchimento de formulários do Software de Varredura. O login complexo requer a geração de um script utilizando a capacidade de exploração manual do Software de Varredura. 5.2 Varredura Inicial One-time Esse serviço opcional fornece uma varredura inicial única, além das outras varreduras que possam ser incluídas nos Serviços de Segurança do Aplicativo Hospedado da IBM Plataforma de Varredura do Site. A Varredura Inicial Única se baseia na complexidade do aplicativo, confirme descrito acima Responsabilidades da IBM: Varredura Inicial One-time Serviços de configuração e varredura iniciais são realizados para permitir a configuração do Software de Varredura. Estes serviços devem ser concluídos para efetuar a varredura em seus sites e produzir relatórios, fornecendo informações sobre seus sites e/ou descrevendo a questões específicas, descobertos em seus sites. Z WW Página 10 de 15

11 a. fornecer a configuração inicial e serviços de varredura que incluem: (1) criação e configuração da política de exploração inicial a ser usado para testar o aplicativo; (2) configuração e execução da varredura de validação, se solicitado; (3) fornecer resultados da varredura de validação; (4) criação e execução da varredura inicial; (5) validação dos resultados para a cobertura do aplicativo; (6) remoção de falsos positivos conforme o caso (a IBM não garante que os resultados da varredura não incluirão falsos positivos); (7) produção de relatórios customizados e/ou trechos de relatórios, onde for indicado; (8) configuração e execução de painéis de controle; (9) configuração e manutenção da hierarquia de pastas; (10) emissão de alertas para problemas de alto risco (onde necessário e como mutuamente acordados); (11) Fornecimento de extração de problemas de segurança para possibilitar a integração pelo cliente dentro do sistema de rastreamento de problemas existentes; e (12) entrega de resultados da varredura em um documento chamado Relatório do Trabalho de Varredura de Conteúdo será disponibilizada ao contato autorizado responsável via e os dashboards de relatório serão disponibilizados no portal da plataforma de varredura ou por meio de outros métodos, conforme solicitado pelo Destinatário dos Serviços. Completion Criteria: A IBM terá cumprido suas responsabilidades por essa atividade quando a IBM tiver concluído a entrega ao cliente dos Materiais e concluído as atividades listadas. A entrega será feita ao contato autorizado adequado por e os dashboards de relatórios serão disponibilizados no portal da plataforma de varredura ou por meio de outros métodos, conforme solicitado pelo Destinatário de Serviços. Deliverable Materials: Relatório de Trabalho da Varredura do Conteúdo Responsabilidades do Cliente em relação à Varredura Inicial One-time O processo de varredura de aplicativos da web para vulnerabilidades de segurança requer a cooperação entre os que criam e executam as varreduras e o proprietário do aplicativo. O modelo de operações para a varredura de aplicativos será determinada por meio de discussões com os Contatos de Segurança Autorizados do cliente. Normalmente, será pedido ao Contato de Segurança Autorizado ou outros indivíduos, conforme determinado pelo Contato de Segurança Autorizado, que forneça as seguintes informações para habilitar a varredura do aplicativo: a. fornecer o nome e endereço IP/URL do aplicativo; b. fornecer a data e hora em que realizar o exame; c. participar de discussões sobre sua Política De Teste de Segurança desejada e fornecer a aprovação final; d. fornecer as credenciais do aplicativo (se aplicável); e. fornecer um walkthrough do aplicativo, se necessário; e f. fornecer um walkthrough da cobertura da(o) varredura/aplicativo. 5.3 Nova Varredura One-time Adicional Esse serviço opcional fornece uma nova varredura única, além das outras novas varreduras que possam ser incluídas nos Serviços de Segurança do Aplicativo Hospedado da IBM Plataforma de Varredura do Site. A Nova Varredura Inicial Única se baseia no nível complexidade do aplicativo, confirme descrito a- cima. Z WW Página 11 de 15

12 5.3.1 Responsabilidades da IBM em relação à Varredura One-time Adicional A Varredura Adicional One-time incluirá serviços de configuração e varredura iniciais são realizados para permitir a configuração do Software de Varredura. Estes serviços devem ser concluídos para efetuar a varredura em seus sites e produzir relatórios, fornecendo informações sobre seus sites e/ou descrevendo a questões específicas, descobertos em seus sites. a. fornecer a configuração inicial e serviços de varredura que incluem: (1) criação e configuração da política de exploração inicial a ser usado para testar o aplicativo; (2) configuração e execução da varredura de validação, se solicitado; (3) fornecer resultados da varredura de validação; (4) execução da varredura inicial; (5) validação dos resultados para a cobertura do aplicativo; (6) remoção de falsos positivos conforme o caso (a IBM não garante que os resultados da varredura não incluirão falsos positivos); (7) produção de relatórios customizados e/ou trechos de relatórios, onde for indicado; (8) configuração e execução de painéis de controle; (9) configuração e manutenção da hierarquia de pastas; (10) emissão de alertas para problemas de alto risco (onde necessário e como mutuamente acordados); (11) Fornecimento de extração de problemas de segurança para possibilitar a integração pelo cliente dentro do sistema de rastreamento de problemas existentes; e (12) entrega de resultados da varredura em um documento chamado Relatório do Trabalho de Varredura de Conteúdo será disponibilizada ao contato autorizado responsável via e os dashboards de relatório serão disponibilizados no portal da plataforma de varredura ou por meio de outros métodos, conforme solicitado pelo Destinatário dos Serviços. Completion Criteria: A IBM terá cumprido suas responsabilidades por essa atividade quando a IBM tiver concluído a entrega ao cliente dos Materiais e concluído as tarefas listadas. A entrega será feita ao contato autorizado adequado por e os dashboards de relatórios serão disponibilizados no portal da plataforma de varredura ou por meio de outros métodos, conforme solicitado pelo Destinatário de Serviços. Deliverable Materials: Relatório de Trabalho da Varredura do Conteúdo Responsabilidades do Cliente em relação à Varredura One-time Adicional O processo de varredura de aplicativos da web para vulnerabilidades de segurança requer a cooperação entre os que criam e executam as varreduras e os proprietários do aplicativo. O modelo de operações para a varredura de aplicativos será determinada por meio de discussões com os Contatos de Segurança Autorizados do cliente. Normalmente, será pedido ao Contato de Segurança Autorizado ou outros indivíduos, conforme determinado pelo Contato de Segurança Autorizado, que forneça as seguintes informações para habilitar a varredura do aplicativo: a. fornecer o nome e endereço IP/URL do aplicativo; b. fornecer a data e hora em que realizar o exame; c. participar de discussões sobre sua Política De Teste de Segurança desejada e fornecer a aprovação final; d. fornecer as credenciais do aplicativo (se aplicável); e. fornecer um walkthrough do aplicativo, se necessário; e f. fornecer um walkthrough da cobertura da(o) varredura/aplicativo. Z WW Página 12 de 15

13 6. Acordos de Nível de Serviço Os SLAs da IBM estabelecem os objetivos do tempo de resposta para eventos específicos resultantes dos Serviços. Os SLAs se tornarão efetivos quando o processo de implantação for concluído. As compensações de SLA estarão disponíveis desde que a Empresa cumpra com as obrigações definidas nesta Descrição de Serviços e em todos os documentos de contrato associados. 6.1 Disponibilidade dos SLAs Os padrões de SLA descritos abaixo compreendem as métricas medidas para prestação dos Serviços. Salvo explicitamente indicado abaixo, nenhuma garantia de qualquer tipo deve ser aplicada aos Serviços prestados sob esta Descrição de Serviços. As únicas soluções para o não cumprimento dos padrões de SLA estão especificadas nesta Descrição de Serviços, na seção intitulada "Compensações de SLA". a. Disponibilidade do Portal a IBM fornecerá 99,9% de acessibilidade ao Portal fora dos horários especificados nesta Descrição dos Serviços, na seção intitulada "Manutenção Programada e E- mergencial do Portal". b. Disponibilidade da Plataforma de Varredura a IBM fornecerá 99,9% de acessibilidade à Plataforma de Varredura fora dos horários especificados nesta Descrição dos Serviços, na seção intitulada "Manutenção Programada e Emergencial da Plataforma de Varredura". c. Resposta à investigação - a IBM responderá ao seu /v-mail dentro de 4 horas úteis do seu recebimento. 6.2 Compensações de SLA As seguintes compensações estão disponíveis se a IBM não cumprir com o SLA, conforme determinado nesta descrição do serviço. Disponibilidade da Plataforma de Varredura, disponibilidade do Portal, resposta à investigação e SLA de inicialização da revisão da varredura Se a IBM não cumprir quaisquer desses SLAs, será emitido um crédito por uma semana do serviço de monitoramento mensal para o aplicativo afetado a sofrer varredura e, se aplicável, a plataforma específica para o qual o respectivo SLA não foi cumprido Resumo dos SLAs e Compensações Resposta à investigação Disponibilidade da Plataforma de Varredura da IBM Crédito de 1 semana de serviço mensal para a 1º ocorrência durante um período de um mês Disponibilidade do Portal de MMS da IBM 7. Outros Termos e Condições 7.1 Geral A Empresa reconhece e concorda que: b. todos os softwares fornecidos pela IBM como parte destes Serviços são licenciados, e não vendidos. Exceto para as licenças especificamente garantidas neste documento, todos os direitos, títulos e interesses, no e para o software, devem permanecer investidos na IBM ou em sues licenciadores; c. informará à IBM, por escrito e com no mínimo 30 dias de antecedência do cancelamento ou rescisão dos Serviços, ou imediatamente se a licença do software fornecido pela IBM for rescindida pela IBM por qualquer motivo, caso você escolha: (1) que a IBM remova o software fornecido por ela de forma remota ou auxiliando sua Empresa a fazê-lo, ou (2) manter o software fornecido pela BM. Caso a Empresa opte pela remoção do software, ela concorda em cooperar com a IBM, fornecendo o acesso remoto necessário para que a IBM remova o software de varredura ou auxilie sua Empresa a fazê-lo. Z WW Página 13 de 15

14 d. em aditamento aos termos e condições listados acima, os termos de licença específicos serão a- presentados para revisão e aceitação ao fazer o download e também ao instalar o software. 7.2 Permissão para Realizar Testes Algumas leis proíbem todas as tentativas não autorizadas de penetrar ou acessar sistemas de computador. O Cliente autoriza a IBM a prestar os Serviços, conforme descrito neste documento, e reconhece que os Serviços constituem acesso autorizado aos seus sistemas de computador. A IBM pode transferir essa concessão de autoridade a um terceiro se julgar necessário para a prestação dos Serviços. Os Serviços prestados pela IBM incluem determinados riscos e o Cliente concorda em aceitar todos os riscos associados a eles, desde que isso não limite a obrigação da IBM de prestar os Serviços em conformidade com os termos desta Descrição do Serviço. O Cliente reconhece e concorda com os itens a seguir: a. quantias excessivas de mensagens de log podem ser geradas, resultando em consumo excessivo de espaço em disco para arquivos de log; b. o desempenho e o rendimento dos sistemas do Cliente, bem como o desempenho e o rendimento de roteadores e firewalls associados, podem ser prejudicados temporariamente; c. alguns dados podem ser alterados temporariamente como resultado da sondagem de vulnerabilidades; d. pode ocorrer queda ou travamento dos sistemas de computador do Cliente, resultando em falha do sistema ou indisponibilidade temporária; e. todo e qualquer direito ou correção de acordo de nível de serviço será renunciado durante as atividades de teste; f. uma varredura pode disparar alarmes por sistemas de detecção de intrusão; g. alguns aspectos dos Serviços podem envolver a intercepção do tráfego da rede monitorada com o objetivo de procurar eventos; e h. novas ameaças de segurança evoluem constantemente e nenhum serviço criado para fornecer proteção contra ameaças de segurança será capaz de tornar os recursos de rede invulneráveis a elas ou garantir que tal serviço tenha identificado todos os riscos, exposições e vulnerabilidades. 7.3 Sistemas de Terceiros No caso de sistemas (que, para os objetivos desta disposição, incluem, entre outros, aplicativos e endereços IP) de terceiros que estarão sujeitos a teste nos termos deste documento, o Cliente concorda: a. que, antes de iniciar os testes em sistemas de terceiros, o Cliente obterá uma carta assinada pelo proprietário de cada sistema autorizando o cliente a realizar os testes e indicando a aceitação, por parte do proprietário, das condições estabelecidas na seção intitulada Permissão para Realizar Testes, além de fornecer à IBM uma cópia de tal autorização; b. em ser o único responsável por comunicar aos proprietários dos sistemas todos os riscos, exposições e vulnerabilidades identificados nesses sistemas pelo teste remoto da IBM; O Cliente concorda: c. não divulgar os Materiais para entrega externamente à Empresa sem o consentimento prévio e por escrito da IBM; e d. indenizar a IBM na íntegra por todas as perdas ou responsabilidades incorridas pela IBM devido a reclamações de terceiros decorrentes de falha do Cliente em cumprir os requisitos desta seção intitulada Sistemas de Terceiros e no caso de qualquer intimação ou reclamação de terceiros apresentada contra a IBM, suas subcontratadas ou agentes, decorrentes de (a) teste de riscos, exposições ou vulnerabilidades de segurança dos sistemas sujeitos a teste nos termos deste documento, (b) fornecimento dos resultados de tais testes para o Cliente ou (c) uso ou divulgação dos resultados por parte do Cliente. 7.4 Renúncia de Responsabilidade O Cliente compreende e concorda que: a. fica a critério exclusivo do Cliente utilizar ou não qualquer informação fornecida conforme os Serviços descritos neste documento. Da mesma forma, a IBM não se responsabilizará por quaisquer Z WW Página 14 de 15

15 ações realizadas ou não pelo Cliente com base nos serviços executados e/ou materiais para entrega fornecidos nos termos deste documento; b. a IBM não presta serviços jurídicos nem declara ou garante que os serviços ou produtos que fornecer ou obtiver em nome do Cliente assegurarão o cumprimento de qualquer lei específica, incluindo, entre outras, qualquer lei relacionada à segurança ou à privacidade; e c. o Cliente é responsável por procurar um advogado competente para aconselhá-lo com relação à identificação e interpretação de todas as leis relevantes que possam afetar seus negócios e as a- ções necessárias para cumprir tais leis. Z WW Página 15 de 15