Soluções da CA Technologies para conformidade da segurança de informações de justiça criminal

Transcrição

1 DOCUMENTAÇÃO TÉCNICA outubro de 2014 Soluções da CA Technologies para conformidade da segurança de informações de justiça criminal William Harrod Consultor de estratégia de segurança cibernética do setor público

2 2 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Sumário Resumo executivo 3 Seção 1: 4 Conformidade da segurança de informações de justiça criminal Seção 2: 5 Requisitos da diretiva de segurança de CJIS Seção 3: 6 Requisitos detalhados da diretiva de CJIS Seção 4: 12 Conclusões

3 3 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Resumo executivo Desafio A diretiva de segurança de CJIS (Criminal Justice Information Services - Serviços de Informações de Justiça Criminal) inclui uma série de proteções técnicas desenvolvidas para proteger e assegurar as informações de justiça criminal. A conformidade com essa diretiva é obrigatória para todas as agências que precisam de acesso a sistemas e informações da divisão de CJIS do FBI (Federal Bureau of Investigation - Agência Federal de Investigação). Oportunidade A CA Technologies oferece uma série de soluções que atendem aos principais requisitos no âmbito da diretiva de segurança de CJIS e ajudam sua agência a atingir e manter a conformidade no futuro. Benefícios As agências com acesso aos sistemas e informações de CJIS do FBI estão sujeitas a auditorias formais pelo FBI e também podem estar sujeitas a consultas especiais de segurança e auditorias informais quando existirem suspeitas de violações de segurança. A CA Technologies fornece um pacote abrangente de soluções que garantem o acesso a informações de justiça criminal, possibilitam a conformidade com os requisitos de segurança do FBI e simplificam o processo de auditoria no futuro.

4 4 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Seção 1 Conformidade da segurança de informações de justiça criminal A diretiva de segurança de CJIS representa uma responsabilidade compartilhada entre a divisão de CJIS do FBI, a CSA (CJIS Systems Agency) e o SIB (State Identification Bureaus). O objetivo da diretiva é estabelecer requisitos mínimos de segurança para proteger e assegurar vários tipos de informação de justiça criminal, incluindo: Dados biométricos dados derivados de uma ou mais características físicas ou comportamentais intrínsecas de seres humanos, geralmente com a finalidade de identificar exclusivamente indivíduos de uma população. Utilizados para identificar indivíduos, incluindo dados de impressões digitais, impressões palmares, escaneamento de íris e reconhecimento facial. Dados de histórico de identidade dados textuais que correspondem aos dados biométricos de um indivíduo, fornecendo um histórico de eventos criminais e/ou civis do indivíduo identificado. Dados biográficos informações sobre indivíduos associados a um caso específico, e não necessariamente conectados a dados de identidade. Os dados biográficos não fornecem um histórico do indivíduo, apenas informações relacionadas a um caso específico. Dados de propriedade informações sobre propriedades e veículos associados a um crime. Histórico de casos/ocorrências informações sobre o histórico de ocorrências criminais.

5 5 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Seção 2 Requisitos da diretiva de segurança de CJIS A diretiva de segurança de CJIS determina uma série de controles administrativos, processuais e técnicos que as agências devem aplicar para proteger as informações de justiça criminal. De acordo com nossa experiência, as agências geralmente têm muitos dos controles administrativos e processuais em vigor, mas deverão implementar proteções técnicas adicionais para ficarem em total conformidade com o decreto. A CA Technologies oferece uma série de soluções de segurança para atender aos requisitos mais técnicos descritos nessa diretiva, conforme realçado na figura abaixo: Requisito da diretiva A CA Technologies possibilita a conformidade Área 1 da diretiva Área 2 da diretiva Contratos de troca de informações Treinamento sobre conscientização de segurança Área 3 da diretiva Resposta a incidentes Área 4 da diretiva Auditoria e responsabilização 4 Área 5 da diretiva Controle de acesso 4 Área 6 da diretiva Identificação e autenticação 4 Área 7 da diretiva Gerenciamento da configuração 4 Área 8 da diretiva Área 9 da diretiva Proteção de mídia Proteção física Área 10 da diretiva Área 11 da diretiva Proteção de sistemas e comunicações e integridade das informações 4 Auditorias formais Área 12 da diretiva Segurança de pessoal 4

6 6 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Seção 3 Requisitos detalhados da diretiva de CJIS Área 4 da diretiva: auditoria e responsabilização As agências deverão implementar controles de auditoria e responsabilização para aumentar a probabilidade de que os usuários autorizados sigam um padrão estabelecido de comportamento Eventos e conteúdos auditáveis (sistemas de informação). O sistema de informação da agência deverá gerar registros de auditoria para eventos definidos. Esses eventos definidos incluem a identificação de eventos significativos que precisam ser auditados como relevantes para a segurança do sistema de informação. Os seguintes eventos devem ser registrados: Tentativas de logon no sistema com e sem êxito. Tentativas com e sem êxito de acessar, criar, gravar, excluir ou mudar a permissão de uma conta de usuário, arquivo, diretório ou outro recurso de sistema. Tentativas com e sem êxito de mudar as senhas de conta. Ações com e sem êxito de contas com privilégios. Tentativas com e sem êxito de acesso, modificação ou destruição do arquivo de log de auditoria por usuários. Todas as soluções de segurança da CA Technologies das nossas soluções de logon único e autenticação forte com base na web até as nossas soluções de controle de acesso de virtualização com base em host geram registros de auditoria seguros e detalhados. Os eventos específicos definidos no âmbito da diretiva de segurança de CJIS deverão ser coletados potencialmente em uma variedade de plataformas, bem como em diferentes camadas, nas quais os usuários podem acessar os dados (aplicativo, banco de dados, sistema operacional, etc.). É possível agregar e correlacionar esses eventos em um único local para monitoramento e geração de relatórios de conformidade Monitoramento, relatórios e análises de auditoria O profissional de gerenciamento responsável deverá designar um indivíduo ou cargo para verificar/analisar os registros de auditoria de sistemas de informação em busca de indicações de atividade inadequada ou incomum, investigar atividades duvidosas ou suspeitas de violações, informar os profissionais apropriados sobre as conclusões e tomar as ações necessárias. A verificação/análise de auditoria deverá ser realizada pelo menos uma vez por semana. Embora a verificação dos logs de auditoria seja essencialmente um controle processual, o CA Privileged Identity Suite pode ser usado para agendar os relatórios semanais para verificação e aprovação por indivíduos designados Proteção das informações de auditoria O sistema de informação da agência deverá proteger as ferramentas e as informações de auditoria de modificação, exclusão e acesso não autorizado. Os logs de auditoria coletados e gerados pelo CA Privileged Identity Suite são recursos protegidos. Eles não podem ser modificados, movidos ou removidos pelos usuários do sistema, nem mesmo por aqueles que tenham acesso com privilégios (raiz e administrador).

7 7 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Área 5 da diretiva: controle de acesso O controle de acesso fornece o planejamento e a implementação de mecanismos para restringir a leitura, a gravação, o processamento e a transmissão de informações de CJIS, além da modificação de sistemas de informação, aplicativos, serviços e configurações de comunicação que permitam o acesso às informações de CJIS Gerenciamento de conta A agência deverá gerenciar as contas do sistema de informação, incluindo a criação, a ativação, a modificação, a verificação, a desativação e a remoção de contas. A agência deverá validar as contas do sistema de informação anualmente, no mínimo, e documentar o processo de validação. A validação e a documentação das contas podem ser delegadas a agências locais. O pacote de produtos de segurança da CA Technologies se concentra exclusivamente no gerenciamento de identidades e acesso e na governança de dados. Temos uma série de soluções, incluindo nosso produto CA Identity Manager, que foi projetado para lidar com as questões comuns de gerenciamento de conta, incluindo provisionamento automatizado, desprovisionamento, autoatendimento e delegação. O CA Identity Governance trabalha em conjunto com o CA Identity Manager ou de forma independente para ajudar a garantir que as funções estão devidamente estabelecidas na sua organização. O CA Identity Governance também oferece uma capacidade robusta de verificação de direitos que geralmente é usada para automatizar o processo de validação de contas e fornecer documentação e suporte para os objetivos de conformidade, como CJIS Aplicação de acesso Acesso ao sistema e às informações contidas nele. Os controles do sistema de informação devem restringir o acesso às funções com privilégios (implementadas em hardware, software e firmware) e às informações relevantes para a segurança do pessoal explicitamente autorizado. Diretivas de controle de acesso (por exemplo, diretivas com base em identidades, funções e regras) e mecanismos associados de aplicação de acesso (por exemplo, listas de controle de acesso, matrizes de controle de acesso, criptografia) deverão ser empregados pelas agências para controlar o acesso entre os usuários (ou processos que agem em nome de usuários) e objetos (por exemplo, dispositivos, arquivos, registros, processos, programas, domínios) no sistema de informação. As agências deverão controlar o acesso às CJI com base em um ou mais dos seguintes critérios: Atribuição de trabalho ou função do usuário que deseja o acesso. Localização física. Localização lógica. Endereços de rede (por exemplo, os usuários de sites de uma determinada agência podem ter um acesso maior do que usuários externos). Restrições que dependem da hora do dia e do dia da semana/mês. O CA Privileged Identity Suite é uma solução de controle de acesso com base em host que geralmente é usada em ambientes de alta segurança para controlar o acesso de usuários com privilégios. Com amplo suporte a plataformas e integração profunda com o kernel, o CA Privileged Identity Suite age como um ponto central de aplicação de diretivas para gerenciar e analisar o que os usuários com privilégios podem fazer e acessar em seus sistemas essenciais. Com o CA Privileged Identity Suite, regras granulares complexas podem ser criadas para proteger os recursos essenciais e controlar quem pode acessar e como esses recursos são acessados. Essas regras podem incorporar muitos dos critérios descritos na diretiva de segurança de CJIS. Com integrações adicionais das nossas soluções da web e de autenticação forte (CA Single Sign-On [CA SSO] e CA Strong Authentication), podemos aplicar e oferecer suporte a qualquer combinação de regras de CJIS para criar uma capacidade abrangente de aplicação de acesso.

8 8 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Tentativas de logon sem êxito Sempre que tecnicamente viável, o sistema deverá impor um limite máximo de cinco tentativas consecutivas de acesso inválidas por um usuário (que tenta acessar as CJI ou os sistemas com acesso às CJI). O sistema deverá bloquear automaticamente a conta/nó por um período de 10 minutos, a menos que o acesso seja liberado por um administrador. Se o usuário estiver acessando um aplicativo com base na web ou tentando entrar em um servidor ou estação de trabalho, a CA Technologies poderá atender a esse requisito com: Recursos com base na web O CA SSO fornece um mecanismo central para aplicar as diretivas de conta, incluindo a diretiva de bloqueio e a duração para seus aplicativos com base na web. Recursos com base em host O CA Privileged Identity Suite fornece um mecanismo central para aplicar as diretivas de conta, incluindo a diretiva de bloqueio e a duração para seus servidores Notificação de uso do sistema O sistema de informação deverá exibir uma mensagem de notificação de aprovação de uso do sistema antes de conceder acesso, informando os potenciais usuários sobre os vários usos e regras de monitoramento. As notificações de uso do sistema podem ser configuradas no CA SSO Bloqueio de sessão O sistema de informação deverá impedir o acesso ao sistema, iniciando um bloqueio de sessão após um período máximo de 30 minutos de inatividade, e o bloqueio de sessão permanecerá em vigor até que o usuário restabeleça o acesso utilizando procedimentos apropriados de identificação e autenticação. Bloqueios de sessão podem ser estabelecidos com o CA SSO para recursos com base na web e com o CA Privileged Identity Suite para acesso direto ao servidor Acesso remoto A agência deverá autorizar, monitorar e controlar todos os métodos de acesso remoto ao sistema de informação. O acesso remoto é qualquer acesso temporário ao sistema de informação de uma agência por um usuário (ou um sistema de informação) que se comunica temporariamente por meio de uma rede externa e não controlada por uma agência (por exemplo, a internet). Se o usuário estiver acessando um aplicativo com base na web ou tentando entrar em um servidor ou estação de trabalho, a CA Technologies poderá atender a esse requisito com: Recursos com base na web: o CA SSO, o CA Strong Authentication e o CA Risk Authentication trabalham em conjunto para ajudar a gerenciar e proteger o acesso remoto a recursos essenciais com base na web. Conseguimos detectar não apenas quem está tentando acessar os recursos remotamente, mas também de onde e como (computador residencial, iphone, tablet, etc.). Nossa capacidade exclusiva de definição de perfil identifica a atividade remota suspeita com base em uma série de variáveis e ajusta dinamicamente os requisitos de controle de acesso com base na percepção do risco da transação. Recursos com base em host: o CA Privileged Identity Suite cria e aplica diretivas centrais para evitar que os usuários efetuem logon em servidores remotamente (rede não controlada por uma agência).

9 9 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Área 6 da diretiva: identificação e autenticação A agência deverá identificar os usuários e processos do sistema de informação que atuam em nome de usuários e autenticar as identidades desses usuários ou processos como um pré-requisito para permitir o acesso a sistemas ou serviços de informação da agência Diretivas e procedimentos de identificação Cada pessoa que estiver autorizada a armazenar, processar e/ou transmitir CJI deverá ser identificada de forma exclusiva. Uma identificação exclusiva também deverá ser exigida para todas as pessoas que administram e mantêm os sistemas que acessam CJI ou as redes utilizadas para o trânsito de CJI. A identificação exclusiva poderá assumir a forma de um nome completo, número de crachá, número de série ou outro identificador alfanumérico exclusivo. As agências deverão exigir que os usuários se identifiquem com exclusividade antes que tenham permissão para executar qualquer ação no sistema. As agências deverão assegurar que todas as IDs de usuário pertencem a usuários autorizados no momento. Os dados de identificação deverão ser mantidos atualizados por meio da adição de novos usuários e da desativação e/ou exclusão de ex-usuários. O CA Identity Governance pode ajudar sua organização a avaliar as contas existentes em busca de sinais de problemas de segurança (uso de IDs compartilhadas, contas órfãs, etc.) e criar um modelo de acesso com base em funções que apoiará os objetivos de conformidade de CJIS no futuro. O CA Identity Manager automatiza o provisionamento de contas com base no processo específico de autorização da sua organização (por exemplo, verificação de antecedentes, etc.). Além disso, o CA Identity Manager também fornece a aplicação de segregação de tarefas, autoatendimento de conta e recursos de delegação, bem como a sincronização automatizada com armazenamentos de usuários confiáveis (bancos de dados de RH, etc.) Diretivas e procedimentos de autenticação A identidade de cada indivíduo deverá ser autenticada na agência local, CSA, SIB ou Channeler. A estratégia de autenticação deverá fazer parte da auditoria de conformidade de diretivas da agência. A divisão de CJIS do FBI deverá identificar e autenticar todos os indivíduos que estabelecerem sessões interativas diretas com base na web com os serviços de CJI do FBI. A divisão de CJIS do FBI deverá autenticar o ORI de todas as sessões com base em mensagens entre a divisão de CJIS do FBI e suas agências de clientes, mas não autenticará o usuário nem capturará o identificador exclusivo do operador de origem, pois essa função é realizada na agência local, CSA, SIB ou Channeler. As agências deverão seguir os atributos de senha segura, indicados abaixo, para autenticar a ID exclusiva de um indivíduo. As senhas: Deverão ter um tamanho mínimo de 8 (oito) caracteres em todos os sistemas. Não deverão ser uma palavra de dicionário ou um nome próprio. Não deverão ser iguais à ID de usuário. Deverão expirar no prazo máximo de 90 dias corridos. Não deverão ser iguais às dez (10) senhas anteriores. Não deverão ser transmitidas sem criptografia fora do local seguro. Não deverão ser exibidas durante a digitação. O CA SSO, o CA Strong Authentication e o CA Risk Authentication trabalham em conjunto para fornecer uma infraestrutura de autenticação abrangente que oferece suporte à federação de identidades com base em padrões entre várias agências associadas. Oferecemos suporte completo aos requisitos de complexidade de senha definidos na diretiva de segurança de CJIS e também fornecemos os recursos de autenticação com base em riscos mais avançados do mercado, incluindo investigação forense de dispositivos, análise de padrões, suporte para KBA (Knowledge Based Authentication - Autenticação com Base em Conhecimentos) e muito mais. A diretiva de segurança de CJIS exige que a autenticação avançada seja usada para verificar o acesso do usuário em determinadas condições. Os métodos citados na diretiva incluem sistemas biométricos, PKI (Public Key Infrastructure - Infraestrutura de Chave Pública) com base em usuários, smart cards, tokens de software, tokens de hardware, tokens de papel (inertes) ou "autenticação com base em riscos", que inclui um elemento de token de software composto de uma série de fatores, tais como informações de rede, informações de usuário, identificação positiva do dispositivo (ou seja, investigação forense do dispositivo, análise de padrões de usuários e vinculação de usuários), definição de perfil de usuários e perguntas de desafio/resposta de alto risco.

10 10 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Área 7 da diretiva: gerenciamento da configuração Mudanças planejadas ou não planejadas de componentes de hardware, software e/ou firmware do sistema de informação podem ter efeitos significativos sobre a segurança geral do sistema. O objetivo é permitir que somente pessoas qualificadas e autorizadas acessem os componentes do sistema de informação para iniciar mudanças, incluir atualizações e fazer modificações Funcionalidade mínima A agência deverá configurar o aplicativo, serviço ou sistema de informação para fornecer apenas recursos essenciais e proibir especificamente e/ou restringir o uso de determinadas funções, portas, protocolos e/ou serviços. O CA Privileged Identity Suite restringe o acesso a recursos essenciais dos sistemas, incluindo portas, protocolos e serviços. As mudanças de configuração podem ser gerenciadas por meio dos recursos de armazenamento de senhas do CA Privileged Identity Suite, que fornecem um método controlado para que os usuários com privilégios acessem sistemas e façam mudanças autorizadas no ambiente. Em ambientes virtualizados, o CA Privileged Identity Suite também pode monitorar configurações de host em busca de mudanças não autorizadas e automatizar a correção de um desvio de configuração. Área 10 da diretiva: proteção de sistemas e comunicações e integridade das informações Exemplos de proteções de sistemas e comunicações variam de proteção de limite e transmissão até a segurança do ambiente virtualizado de uma agência. Além disso, aplicativos, serviços ou sistemas de informação devem conseguir garantir a integridade do sistema por meio da detecção e da proteção contra mudanças não autorizadas ao software e às informações Fluxo de informações A infraestrutura de rede deverá controlar o fluxo de informações entre os sistemas interligados. A diretiva de segurança de CJIS exige que uma série de controles sejam aplicados no limite para proteger as informações de justiça criminal. O CA Data Protection fornece um mecanismo de limite de rede que consegue detectar o vazamento de informações de justiça criminal ou impedir que as informações sejam transmitidas sem criptografia pela rede interna.

11 11 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Particionamento e virtualização Os ambientes virtualizados são autorizados para atividades que estiverem ou não estiverem relacionadas à justiça criminal. Além dos controles de segurança descritos nessa diretiva, os seguintes controles adicionais deverão ser implementados em um ambiente virtual: O host deverá ser isolado da máquina virtual. Em outras palavras, os usuários da máquina virtual não podem acessar arquivos de host, firmware, etc. Logs de auditoria deverão ser mantidos para todas as máquinas virtuais e hosts. Esses logs deverão ser armazenados fora do ambiente virtual dos hosts. As máquinas virtuais que forem para a internet (servidores web, servidores de portal, etc.) deverão estar fisicamente separadas das máquinas virtuais que processam CJI internamente. Os drivers de dispositivo que forem "essenciais" deverão ser mantidos em um convidado separado. A seguir, estão melhores práticas adicionais de controle técnico de segurança que deverão ser implementadas sempre que possível: Criptografar o tráfego de rede entre a máquina virtual e o host. Implementar monitoramento de IDS (Intrusion Detection System - Sistema de Detecção de Invasão) e IPS (Intrusion Prevention System - Sistema de Prevenção de Invasão) no ambiente da máquina virtual. Aplicar um firewall virtual em cada máquina virtual para protegê-las umas das outras (ou aplicar um firewall físico de camada de aplicativo em cada máquina virtual) e garantir a transação apenas dos protocolos permitidos. Segregar as funções administrativas para o host. O CA Privileged Identity Suite for Virtual Environments fornece controles de acesso refinados e recursos de reforço do host para sua infraestrutura virtual. Embora o CA Privileged Identity Suite não forneça recursos de criptografia ou de detecção de invasão, ele atende a todos os outros requisitos de virtualização de CJIS, incluindo isolamento de host e máquina virtual, recursos aprimorados de auditoria e geração de logs, aplicação de firewall virtual e segregação de tarefas/controle de acesso com privilégios. Área 12 da diretiva: demissão de pessoal Ter medidas de segurança adequadas contra a ameaça interna é um componente essencial para a diretiva de segurança de CJIS. Os termos e requisitos de segurança desta seção aplicam-se a todos os funcionários que têm acesso a CJIs não criptografadas, incluindo indivíduos apenas com acesso físico ou lógico a dispositivos que armazenam, processam ou transmitem CJI sem criptografia Demissão de pessoal A agência, no final do contrato individual, deverá encerrar imediatamente o acesso às CJIs. Embora a diretiva de segurança de CJIS sugira que este requisito possa ser atendido por controles processuais, o CA Identity Manager automatiza esse processo para que o acesso dos usuários aos sistemas e dados de CJI seja automaticamente desprovisionado quando eles forem demitidos.

12 12 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Seção 4: Conclusões As agências com acesso aos sistemas e informações de CJIS do FBI estão sujeitas a auditorias formais pelo FBI e também podem estar sujeitas a consultas especiais de segurança e auditorias informais quando existirem suspeitas de violações de segurança. A CA Technologies fornece um pacote abrangente de soluções que garantem o acesso a informações de justiça criminal, possibilitam a conformidade com os requisitos de segurança do FBI e simplificam o processo de auditoria no futuro. Requisito da diretiva CA Single Sign-On CA Identity Manager CA Identity Governance CA Data Protection CA Strong Authentication e CA Risk Authentication CA Privileged Identity Suite Área da diretiva Auditoria e responsabilização 4 Área 5 da diretiva Controle de acesso Área 6 da diretiva Identificação e autenticação Área 7 da diretiva Gerenciamento da configuração 4 4 Área 10 da diretiva Proteção de sistemas e comunicações e integridade das informações 4 4 Área 12 da diretiva Segurança de pessoal 4

13 13 Documentação técnica: soluções para conformidade da segurança de informações de justiça criminal Conecte-se com a CA Technologies em A CA Technologies (NASDAQ: CA) cria software que acelera a transformação das empresas e permite que elas aproveitem as oportunidades da era dos aplicativos. O software está no cerne de todas as empresas, em todos os setores. Do planejamento ao desenvolvimento e do gerenciamento à segurança, a CA está trabalhando com empresas de todo o mundo para mudar a maneira como vivemos, fazemos negócios e nos comunicamos usando dispositivos móveis, as nuvens privada e pública e os ambientes distribuídos e de mainframe. Obtenha mais informações em. Copyright 2014 CA. Todos os direitos reservados. Todas as marcas comerciais, nomes de marcas, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas. Este documento é apenas para fins informativos. A CA não assume nenhuma responsabilidade pela precisão ou integridade das informações. Na medida do permitido pela lei aplicável, a CA fornece este documento "no estado em que se encontra", sem garantias de nenhum tipo, incluindo, sem limitações, garantias implícitas de comercialização, adequação a uma finalidade específica ou não violação. Em nenhuma circunstância a CA será responsável por perdas ou danos, diretos ou indiretos, decorrentes do uso deste documento, incluindo, sem limitações, perda de lucros, interrupção de negócios, reputação da empresa ou perda de dados, mesmo que a CA tenha sido expressamente informada sobre a possibilidade de tais danos com antecedência. A CA não oferece aconselhamento jurídico. Este documento ou qualquer produto de software mencionado neste documento não serve como substituto de sua conformidade com quaisquer leis incluindo, sem limitações, qualquer ato, estatuto, regulamentação, regra, diretiva, padrão, política, sentença administrativa, decreto e assim por diante (coletivamente, "Leis") mencionadas neste documento ou quaisquer obrigações contratuais com terceiros. Você deve consultar a assessoria jurídica competente sobre quaisquer Leis ou obrigações contratuais. CS200_94653_1014