REQUISIÇÃO DE PROPOSTA. 1.1 Desenvolver o Plano de Continuidade de Negócios - PCN com base na ISO

Transcrição

1 REQUISIÇÃO DE PROPOSTA Esta Requisição de Proposta foi elaborada pela Gerência de Segurança Empresarial - GESEM da Cartão BRB e tem como objetivo fornecer aos interessados as especificações do objeto abaixo, descrevendo-os detalhadamente para subsidiar a apresentação de propostas. Serão descritas, ainda, as condições para execução dos serviços ou contratação, bem como as atribuições da Cartão BRB na qualidade de contratante e representada pela sua área demandante, neste caso a Gerência de Segurança Empresarial - GESEM. 1. DO OBJETO 1.1 Desenvolver o Plano de Continuidade de Negócios - PCN com base na ISO Realizar teste de contingência e disponibilidade na Infraestrutura de rede que permita avaliar o tempo de recuperação dos serviços mantidos na Cartão BRB. Estes testes deverão considerar: A estrutura de rede mantida na Cartão BRB e nos DataCenters; Disponibilidade de sistemas em situações de queda de energia; Tempo de recuperação em caso de indisponibilidade; Recuperação das aplicações (verificar intervenção manual, versionamento e estabilidade em ambiente externo); Processo de recuperação considerando links, servidores e demais equipamentos de infraestrutura; Restore de backup (tempo de recuperação e adequação da informação); Registro dos gaps identificados e riscos relacionados com as recomendações das ações a serem implantadas para adequação. 1.3 Elaborar e implementar plano de testes de segurança na infraestrutura de rede que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas. Deverá considerar: Testes de intrusão Registro e monitoramento de logs; Controles de segurança de rede; Fluxo de processamento de arquivos; Registro dos gaps identificados, os riscos relacionados, e ainda, as recomendações das ações a serem implantadas para mitigação. 1.4 Testes de Segurança nas aplicações críticas desenvolvidas internamente e banco de dados que envolva: Identificação de vulnerabilidades exploráveis em aplicações e códigos-fonte e revisão da arquitetura de software; Identificação de bugs de segurança; Identificação de gaps relacionados ao controle de acesso e integrações;

2 1.4.4 Registro dos gaps identificados, os riscos relacionados, e ainda, as recomendações das ações a serem implantadas para mitigação Definição das diretrizes e metodologias para o desenvolvimento seguro de aplicações considerando as premissas do PCI-DSS. 1.5 Avaliar os testes de segurança da informação realizados nos terceiros relevantes da Cartão BRB (fornecedores dos serviços de processamento, fornecedor dos serviços de impressão de faturas, fornecedor do serviço de entregas de cartões e fornecedor dos serviços de Call Center). Deverão ser registrados os gaps identificados relativos aos testes que deverão ser apresentados em função dos processos executados por cada fornecedor Apresentar plano de testes de segurança a ser solicitado pela Cartão BRB a cada fornecedor considerando os processos atualmente executados. 1.6 Elaborar estrutura de monitoramento de logs que considere os principais processos da Cartão BRB para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança; Deverá considerar o mapa de logs a ser monitorado, as regras de alertas e a periodicidade de monitoramento de cada um dos itens. 1.7 Definir a metodologia de gestão de incidentes de segurança. Deverá considerar: Registro e classificação de incidentes; Análise, identificação de causa raiz e registro das ações a serem executadas para correção; Registro no período dos incidentes, soluções implantadas e recorrências; Norma contendo a metodologia formal de gestão de incidentes. 1.8 Testar a segregação dos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção. Deve considerar: Mapa de testes que garanta a correta segregação dos ambientes; Registro dos gaps identificados, riscos relacionados e recomendações das ações a serem implantadas para correção. 1.9 Elaborar processo para acompanhamento de fraudes e prevenção a Lavagem de Dinheiro e Financiamento do Terrorismo, nos participantes dos arranjos de pagamento (EMISSORES, BANDEIRA, CREDENCIADORES); 1.10 Os serviços deverão ser prestados na sede da Cartão BRB; 2. DA JUSTIFICATIVA 2.1 O mercado de Meios Eletrônicos de pagamento passou recentemente por grandes mudanças no âmbito Regulatório. Os órgãos competentes criaram legislações e regras

3 específicas para operar e participar deste mercado, exigindo que as instituições tenham áreas e procedimentos específicos para manter e monitorar sua operação. 2.2 Estas exigências possuem datas especificas para entrada em vigor fazendo com que as instituições novas ou aquelas já em operação, quando da entrada em vigor da legislação, tenham que se adequar a elas em um curto prazo. 2.3 A Cartão BRB buscou, por meio de consultoria específica, o entendimento das lacunas existentes para atendimento às novas legislações e agora solicita apoio para desenvolvimento e implementação do seu PCN, exigências relativas à segurança da informação e processo para acompanhamento de fraudes e prevenção de Lavagem de Dinheiro e Financiamento do Terrorismo, nos participantes dos arranjos de pagamento (EMISSORES, BANDEIRA, CREDENCIADORES). 3. RELAÇÃO DE SERVIÇOS OBRIGATÓRIOS Levantamento de Requisitos Objetivo: Identificar e validar o escopo de processos críticos e vitais no contexto de continuidade de negócios, bem como avaliar o ambiente atual de contingência da instituição. o Coleta dos materiais pertinentes já existentes e aprofundamento acerca das estruturas e eventuais estratégias da instituição; o Realização de reuniões de levantamento com todas as áreas envolvidas ou impactadas para entendimento do contexto crítico; o Identificação e priorização dos processos críticos por negócio/área, bem como validação deste escopo pela alta administração (DICOL); o Levantar e avaliar todas as redundâncias existentes na instituição, referentes a tecnologia, comunicação e de infraestrutura existente (incluindo data centers e backup site); o Levantar e avaliar as rotinas de backup e de recuperação adotadas pela instituição, bem como SLAs negociados com fornecedores. Identificação de Riscos Objetivo: Mapear e analisar os riscos e as vulnerabilidades intrínsecas aos processos e sistemas, considerando fatores de tecnologia, comunicação e demais recursos. o Entendimento detalhado dos processos críticos no que diz respeito às dependências de cada atividade de fatores como tecnologia (sistemas, hardware, etc.), comunicação (links, telecom, etc.), recursos internos (pessoas, suprimentos, instalações, etc.) e recursos externos (fornecedores, etc.);

4 o Avaliação dos riscos inerentes e identificação de vulnerabilidades de cada fator de dependência, com análise de conseqüências ligados à continuidade dos negócios, inclusive eventos externos, e dos potenciais impactos em função de indisponibilidade; o Aplicação da metodologia de self risk assessment para confirmação das informações relativas às avaliações e identificação de gaps entre riscos e impactos; o Estruturação e validação da matriz de riscos e vulnerabilidades com base nas avaliações realizadas pelas equipes. Produtos esperados: o Matriz de riscos e vulnerabilidades. Plano de Continuidade de Negócios Objetivo: Elaborar o PCN considerando: Identificação dos processos críticos e vitais para o funcionamento do negócio, com base nas prioridades estratégicas da instituição; Identificação e priorização de recursos, sistemas, processos críticos a serem recuperados e contingenciados. Neste item deverão ser definidos quais processos serão mantidos e com que capacidade (quantidade de empregados); Tempo limite para recuperação dos recursos, sistemas, processos; Plano de comunicação a ser executado em situações de desastres e contingências; Estrutura tecnológica necessária para recuperação e disponibilidade das operações em situações de desastres e contingência. Deverão ser consideradas as operações executadas inclusive por terceiros; Infraestrutura física (ativos móveis) para ambiente físico a ser mantido em situações de desastres e contingência com a indicação do quantitativo de pessoas e sinalização dos processos que serão mantidos e por quanto tempo; Identificação de janelas de tempo para recuperação, bem como definição com as áreas acerca das prioridades no restabelecimento da operação ( critico versus urgente ); Definição das ações de continuidade e dos recursos mínimos relativos a processos, sistemas de informação, infraestrutura tecnológica, instalações, pessoas, suprimentos e gestão de partes interessadas para operar em contingência; Estruturação e formalização do PCN em: Plano de administração de crises; Plano de recuperação de desastres (TI); Plano de continuidade operacional (abordando quando, como, onde e quem ). Proposição do calendário de testes de segurança e simulações para o PCN; Proposição de infraestrutura física a ser implantada para manutenção dos processos críticos da Cartão BRB; Definição do plano de testes a ser executado para testar o PCN com base nas recomendações da ISO Produto esperado: Plano de Continuidade de Negócios em formato MS-Word.

5 Elaborar e Executar Plano para Testar a Segurança das Informações, que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas; Objetivo: Elaborar e implementar metodologias para realização de testes de segurança das informações. o Definir o escopo dos testes a serem realizados, considerando sistemas e infraestrutura de rede da Cartão BRB; o Definir a metodologia dos testes e a periodicidade com que serão realizados, bem como, o método de documentação; o Identificar os GAPs, documentar e propor as soluções que deverão ser implementadas categorizadas por prioridade; o Avaliar os testes realizados nos terceiros relevantes (fornecedores); o Definir a metodologia dos testes e a periodicidade com que serão realizados; Produto esperado: Metodologia e documento atestando as implementações realizadas e testes dos terceiros relevantes, impresso e assinados, e cópia em formato MS-Word; Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança; Objetivo: Elaborar e implantar metodologias para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança; o Consolidar as fragilidades e definir as regras de permissões e perfis de acesso aos sistemas; o Identificar as ações que deverão ser monitoradas por meio de logs de sistema, bem como a periodicidade, incluindo as ações relativas a alterações na aplicação e administração de rede; o Indicar ferramenta de mercado para monitoramento de logs; o Consolidar as fragilidades e definir as regras de permissões e perfis de acesso aos sistemas processadores das contas cartão, pré e pós pagas. Produto esperado: Metodologia, documento atestando as implementações realizadas, impressos e assinados, e cópia em formato MS-Word; Monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito; Revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos; Elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;

6 Objetivo: Definir e Implementar a metodologia de gestão de incidentes o Criar ambiente para registro dos incidentes por parte dos empregados da Cartão BRB e divulgá-lo internamente. o Definir metodologia para análise dos registros dos incidentes reportados, registro da causa raiz, a fragilidade relacionada e acompanhar os planos de ação que serão realizados para mitigação. Produto esperado: Metodologia, documento atestando as implementações realizadas, impressos e assinados, e cópia em formato MS-Word; Segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção Objetivo: Elaborar documento que padronize a segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção, e implantar esse padrão nos ambientes da Cartão BRB; o Identificar e consolidar, em documento único, o plano de testes já realizados nos ambientes de desenvolvimento, teste e produção, juntamente com os GAP s identificados e as proposições de melhoria de infraestrutura, sistemas e softwares. o Documentar as necessidades de infraestrutura para a segmentação; Produto esperado: Entrega documento único contendo o plano dos testes já realizados nos ambientes de desenvolvimento, teste e produção, os GAP s identificados e proposições de melhoria de infraestrutura, impresso e assinado, e cópia em formato MS-Word; Elaborar processo para acompanhamento de fraudes e prevenção de Lavagem de Dinheiro e Financiamento do Terrorismo, nos participantes dos arranjos de pagamento (EMISSORES, BANDEIRA, CREDENCIADORES) Objetivo: Formalizar e projetar os parâmetros e regras para acompanhar fraudes e prevenção de Lavagem de Dinheiro e Financiamento do Terrorismo nos emissores, bandeira e credenciadores. o Definir as metodologias de PLD e prevenção à fraudes sob a ótica das operações de IAP, credenciamento e emissor; o Elaborar documento contendo fluxogramas que demonstre os processos de acompanhamento de fraudes e Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo, no emissor, bandeira e credenciador;

7 Produto esperado: Documento contendo metodologia formal com as recomendações dos processos para implantação e fluxogramas que demonstre esses processos de acompanhamento de fraudes e Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo, no emissor, bandeira e credenciador, impressos e assinados, e cópia em formato MS-Word; 4 DO CRITÉRIO DE JULGAMENTO DAS PROPOSTAS As propostas apresentadas terão como critério de julgamento o MENOR VALOR e a aderência a esta Requisição de Proposta. 5 DO HISTÓRICO DE SERVIÇOS O fornecedor deve informar à Cartão BRB seu histórico de serviços prestados em consultoria para empresas do ramo financeiro, em âmbito nacional e/ou internacional, se for pertinente, descrevendo suas experiências e relatando casos de sucesso que possam qualificá-la à parceria. 6 DA HABILITAÇÃO Para habilitação nesta RP serão exigidos, obrigatoriamente, os documentos constantes abaixo, os quais devem ser enviados juntamente com a proposta comercial: a) Comprovante de Inscrição e de Situação Cadastral do CPF ou CNPJ junto à Receita Federal; b) Certidão negativa de Tributos expedida pela Secretaria de Estado de Fazenda Estadual e Municipal ou do Distrito Federal; c) Certidão Conjunta Negativa de Débitos Relativos a Tributos Federais e à Dívida Ativa da União, junto à Receita Federal; d) Certidão Negativa de Débitos CND do INSS; e) Certidão de Regularidade do FGTS emitida pela Caixa Econômica Federal; f) Certidão Negativa de Débitos Trabalhista junto ao TST; g) Cópia do contrato social da empresa autenticada; e h) Cópia da identidade do representante legal autenticada. 7 DO PAGAMENTO 7.1 O pagamento será realizado integralmente após a conclusão do projeto. 8 DO PRAZO 8.1 O prazo para prestação de todo serviço deverá ser de até 60 dias contados a partir da assinatura do contrato. ADEMIR FERNANDES GERENTE DE SEGURANÇA EMPRESARIAL CARTÃO BRB/DITEP/GESEM