IBM Hosted Application Security Services - Production Application Scanning

Transcrição

1 IBM Hosted Application Security Services - Production Application Scanning Z Página 1 de 20

2 Índice 1. Escopo dos Serviços Definições Tamanho do aplicativo Serviços Centros de Operações de Segurança Fornecimento de serviços Plataforma de Varredura Portal Contatos dos Serviços Inteligência de Segurança Implementação e Ativação Serviços de ativação Avaliação do Aplicativo Gerenciamento de Política de Teste de Segurança Relatório de Segurança Serviços Opcionais Nova varredura adicional única Acordos de Nível de Serviço Disponibilidade dos SLAs Compensações de SLA Outros Termos e Condições Geral Teste de Permissão para Plataforma Sistemas de Propriedade de Terceiros Renúncia de responsabilidade Z Página 2 de 20

3 Descrição dos serviços IBM Hosted Application Security Services - Varredura de Aplicativo em Produção ALÉM DOS TERMOS E CONDIÇÕES ESPECIFICADOS ABAIXO, ESSA DESCRIÇÃO DOS SERVIÇOS INCLUI AS DISPOSIÇÕES GERAIS DO IBM MANAGED SECURITY SERVICES ( DISPOSIÇÕES GERAIS ) LOCALIZADAS EM E INCORPORADAS AQUI POR REFERÊNCIA. 1. Escopo dos Serviços IBM Hosted Application Security Services Serviço de Varredura de Aplicativo em Produção (chamados Serviços ) foi projetado pela IBM para fornecer a você acesso a, e uso do Software IBM Rational AppScan Enterprise Edition (o Software ) implementado, hospedado e gerenciado dentro de um ambiente da IBM. Os Serviços fornecerão acesso ao Software, bem como treinamento de sua equipe para ajudá-la a entender o Software. Você não está recebendo uma concessão de licença ao Software. Em vez disso, você está recebendo um direito de acesso ao Software que é hospedado pela IBM. O serviço destina-se a ser aproveitado para avaliar a postura de segurança de um aplicativo que esteja em um ambiente de produção e que pode ser avaliado usando verificações de aplicativo intrusivas e não intrusivas. Alguns dos testes que são realizados como parte desse serviço poderiam afetar adversamente o aplicativo se ele for suscetível ao problema que está sendo tratado. Portanto, como poderá haver efeitos adversos temporários, esses aplicativos deverão estar em um ambiente produção. As características do serviço descritas aqui dependem da disponibilidade e da capacidade de suporte dos produtos e dos recursos dos produtos Rational AppScan Enterprise Edition e Policy Tester que estão sendo utilizados. 2. Definições Condição de Alerta ("AlertCon") uma métrica de risco global desenvolvida pela IBM usando métodos proprietários. O AlertCon é baseado em uma diversidade de fatores, incluindo quantidade e gravidade de vulnerabilidades conhecidas, explorações dessas vulnerabilidades, disponibilidade dessas explorações para o público, atividade de worm com propagação em massa e atividade de ameaça global. Os quatro níveis da AlertCon são descritos no portal do IBM Managed Security Services ( IBM MSS ) (denominado "Portal"). Materiais de educação incluem, mas não estão limitados a, manuais de laboratório, observações do instrutor, literatura, metodologia, imagens de cursos eletrônicos e estudos de caso, políticas e procedimentos e todas as outras propriedades relacionadas a treinamento ou em nome da IBM. Onde aplicável, Materiais de Educação podem incluir manuais de participantes, documentos de exercícios, documentos de laboratório e slides de apresentação fornecidos pela IBM. Conteúdo Todos os dados que sejam específicos ao Destinatário dos Serviços que sejam varridos ou criados em conexão com o uso do Software pelo Destinatário dos Serviços. Tarefa de Varredura do Conteúdo Uma varredura das Páginas selecionadas usando o Software. Como parte da execução de uma Tarefa de Varredura do conteúdo, o Software recupera todas as páginas da Web varridas para fins de análise do código HTML e subsequentemente descarta todas essas páginas da Web após a conclusão da análise. Relatórios da Tarefa de Varredura do Conteúdo Um conjunto de relatórios com relação a uma Tarefa de Varredura do Conteúdo específica. A Tarefa de Varredura do Conteúdo armazena informações relacionadas a essa análise na forma de Relatórios da Tarefa de Varredura do Conteúdo e Pacotes de Relatórios (ou seja, coleções de Relatórios da Tarefa de Varredura do Conteúdo). As informações são armazenadas em um banco de dados relacional e são acessadas por meio da interface com base na Web do Software. Somente um conjunto de informações de Relatório da Tarefa de Varredura do Conteúdo estará disponível de cada vez (ou seja, informações de uma varredura anterior são excluídas quando uma Tarefa de Varredura do Conteúdo for reexecutada). Informações de resumo e tendências podem ser Z Página 3 de 20

4 visualizadas on-line na Plataforma de Varredura por um ano. Ao final do período de um ano, os dados serão transferidos para o armazenamento off-line (se aplicável). Páginas Todas as páginas de Web sites identificadas pelo Software, sem limitação, todo o HTML (estático e dinamicamente renderizado). A tela de informações sobre Licenças dos Módulos identificarão todas as páginas com a mesma URL como uma (1) Página, independentemente de quantas vezes forem varridas. No entanto, onde a mesma página existe em diferentes ambientes da web (ou seja duas (2) páginas com URLs diferentes), a guia de Gerenciamento de Licenças as identificará como duas (2) Páginas. Informações de Varredura As informações detalhadas e as instruções fornecidas a você pela IBM e usadas pela IBM para executar as Tarefas de Varredura do Conteúdo. Servidor Cada ambiente separado de sistema operacional necessário para executar os Serviços. Usuário Um funcionário, contratado independente, consultor ou agente seu identificado e autorizado por você para receber uma URL única, protegida por senha e criptografada com SSL (Secure Socket Layer) para usar o Software e acessar os Relatórios da Tarefa de Varredura do Conteúdo de acordo com os termos e condições dessa Descrição dos Serviços. Plataforma de Varredura A infraestrutura de hardware e o software que permite que Tarefas de Varredura do Conteúdo sejam executadas. Analista de Segurança de Aplicativo (ASA) Um analista de segurança da IBM que fornece os serviços de avaliação do aplicativo e age como o contato principal dos clientes com relação aos resultados do serviço fornecido. Política de Teste de Segurança O conjunto específico de testes conforme configurado no Software usado para determinar quais vulnerabilidades de segurança uma Tarefa de Varredura do Conteúdo tratará. 3. Tamanho do aplicativo Cada aplicativo tem tamanhos diferentes que aumentam o tempo necessário para avaliar adequadamente a postura de segurança do aplicativo. Por esse motivo, os Serviços de Segurança de Aplicativo para aplicativos em produção considera dois tamanhos de aplicativos de acordo com o seguinte: Tamanho do aplicativo Contagem de páginas Formulários Logon Nível 1 Pequeno <1.000 Preenchimento de formulário não suportado Nível 2 Grande >=1.000 Preenchimento de formulário não suportado Login não suportado Login não suportado Observação: O limite superior do número de páginas de um aplicativo Nível 2 Grande é Um aplicativo que exceda esse limite deverá ser considerado como 2 aplicativos para fins de precificação. 4. Serviços A tabela a seguir destaca as funcionalidades mensuráveis dos Serviços. As seções subsequentes fornecem descrições narrativas de cada funcionalidade dos Serviços. Resumo das Funcionalidades dos Serviços Recursos dos Serviços Métrica ou Quantidade Acordos de Nível de Serviço Disponibilidade da Plataforma de Varredura da IBM 99,9% SLA da Disponibilidade da Plataforma de Varredura da IBM Z Página 4 de 20

5 Disponibilidade do Portal do IBM MSS Contatos de Segurança Autorizados Resposta de inicialização da varredura Notificação de alerta de problema de prioridade crítica Inicialização de revisão da varredura 99,9% SLA de disponibilidade do Portal do IBM MSS 3 usuários N/A 100% Resposta de inicialização da varredura SLA 60 minutos Notificação de alerta de problema de prioridade crítica SLA 100% Inicialização de revisão da varredura SLA Taxa de falso positivo 0% Taxa de falso positivo SLA Solicitação para nova varredura - Executar 100% Solicitação para nova varredura - Executar SLA Resposta à consulta 100% Resposta à consulta SLA 4.1 Centros de Operações de Segurança IBM Managed Security Services são entregues a partir de uma rede de IBM Security Operations Centers ("SOCs"). A IBM fornecerá acesso aos SOCs 24 horas por dia, 7 dias por semana. 4.2 Fornecimento de serviços IBM Hosted Application Security Services são entregues a partir de uma infraestrutura segura por recursos localizados nas instalações da IBM. A Plataforma de Varredura está disponível 24 horas por dia, 7 dias por semana, no entanto, o acesso a analistas de segurança de IBM Hosted Application Security Services é fornecido durante horas normais de expediente, de 8:30 a 17:15 h, fuso horário do Leste dos Estados Unidos, de segunda a sexta-feira, exceto em feriados. 4.3 Plataforma de Varredura A Plataforma de Varredura fornece uma interface com base na Web para o software, que permite que varreduras de seus Web sites e/ou aplicativos da Web sejam criadas e executadas. A Plataforma de Varredura permite que você visualize os resultados das varreduras e relatórios resumidos das varreduras Responsabilidades da Plataforma de Varredura da IBM a. fornecer acesso ao à Plataforma de Varredura 24 horas por dia, 7 dias por semana. A Plataforma de Varredura fornecerá: (1) alerta de inteligência de segurança; e (2) acesso a Materiais de Treinamento de acordo com os termos fornecidos na Plataforma de Varredura. b. manter a disponibilidade da Plataforma de Varredura de acordo com as métricas fornecidas na seção desta Descrição dos Serviços intitulada "Acordos de Nível de Serviço", "Plataforma de Varredura ; c. permitir acesso ao Software o Software fornecendo a você uma URL única, protegida por senha, criptografada com SSL para cada usuário que você designar, sujeito à limitação do número de usuários conforme definido nessa Descrição do Serviço; e d. executar administração e manutenção do sistema da plataforma de varredura que assegure que a plataforma esteja atualizada com relação às versões suportadas e correções de segurança, conforme designado pela IBM Suas Responsabilidades da Plataforma de Varredura Z Página 5 de 20

6 a. garantir que seus funcionários que acessem a Plataforma de Varredura em seu nome obedeçam aos Termos de Uso fornecidos aqui, incluindo, mas não limitado a, os termos associados com Materiais Educacionais; b. proteger adequadamente suas credenciais de login para a Plataforma de Varredura (incluindo não revelar essas credenciais a nenhum indivíduo não autorizado); c. notificar imediatamente à IBM se suspeitar que as suas credenciais de login foram comprometidas; d. indenizar e isentar a IBM de responsabilidade por quaisquer perdas incorridas por você ou outros terceiros como resultado de sua falha em proteger suas credenciais de login, e e. indenizar e isentar a IBM de responsabilidade por quaisquer perdas incorridas por você ou outros terceiros como resultado de seu uso da Plataforma de Varredura. 4.4 Portal O Portal fornece a você o acesso a um ambiente (e ferramentas associadas) projetado para monitorar sua postura de segurança fundindo dados de serviço e tecnologia de múltiplos fornecedores e geografias em uma interface comum baseada na Web. O Portal também poderá ser usado para entregar Materiais de Educação. Todos esses Materiais de Educação são licenciados, não vendidos, e permanecem como propriedade exclusiva da IBM. A IBM concede a você uma licença de acordo com os termos fornecidos no Portal. MATERIAIS EDUCACIONAIS SÃO FORNECIDOS NA FORMA EM QUE SE ENCONTRAM E SEM GARANTIA OU INDENIZAÇÃO DE QUALQUER TIPO PELA IBM, EXPRESSA OU IMPLÍCITA, INCLUINDO, SEM LIMITAÇÃO, AS GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UMA FINALIDADE PARTICULAR E NÃO INFRAÇÃO DE DIREITOS PROPRIETÁRIOS E DE PROPRIEDADE INTELECTUAL Responsabilidades do Portal da IBM a. fornecer acesso ao Portal 24 horas por dia, 7 dias por semana. O Portal fornecerá: (1) alerta de inteligência de segurança; e (2) acesso a Materiais de Treinamento de acordo com os termos fornecidos no Portal. b. manter a disponibilidade do Portal de acordo com as métricas fornecidas na seção desta Descrição dos Serviços intitulada "Acordos de Nível de Serviço", "Disponibilidade do Portal" Suas Responsabilidades no Portal a. garantir que seus funcionários que acessem o Portal em seu nome obedeçam aos Termos de Uso fornecidos aqui, incluindo, mas não limitado a, os termos associados com Materiais Educacionais; b. proteger adequadamente suas credenciais de login para o Portal (incluindo não revelar essas credenciais a nenhum indivíduo não autorizado); c. notificar imediatamente à IBM se suspeitar que as suas credenciais de login foram comprometidas; e d. indenizar e isentar a IBM de responsabilidade por quaisquer perdas incorridas por você ou outros terceiros como resultado de sua falha em proteger suas credenciais de login. 4.5 Contatos dos Serviços Você pode escolher entre diversos níveis de acesso ao Portal e à Plataforma de Varredura para acomodar diferentes funções dentro da sua organização. Contatos de Segurança Autorizados Um Contato de Segurança Autorizado é definido como um tomador de decisões sobre todos os problemas operacionais relativos ao IBM Managed Security Services. Esses contatos terão acesso a todos os objetos dentro da Plataforma de Varredura e, opcionalmente, terão a capacidade de criar e executar varreduras. Contatos Designados dos Serviços O Contato Designado dos Serviços é definido como o tomador de decisões sobre um subconjunto de problemas operacionais relativos ao IBM Managed Security Services, um Agente ou um grupo de Z Página 6 de 20

7 Agentes. A IBM somente fará interface com o Contato Designado dos Serviços com relação a atividades operacionais que se enquadrem no subconjunto pelo qual o contato é responsável (por exemplo, contato de indisponibilidade do Agente designado). Executor da Plataforma de Varredura Um Executor da Plataforma de Varredura tem acesso completo a subconjunto de objetos na Plataforma de Varredura e a capacidade de criar e executar varreduras dentro daquele subconjunto. Usuários Consumidores de Relatórios A IBM fornece vários níveis de acesso para os usuários da Plataforma de Varredura. Os usuários da Plataforma de Varredura serão autenticados por meio de senha estática ou uma tecnologia de criptografia de chave pública fornecida por você (por exemplo, token RSA SecureID) com base em seus requisitos. Um Usuário Consumidor de Relatórios tem acesso a áreas da Plataforma de Varredura, com a exceção de modificação da configuração ou execução de varreduras. Usuários do Portal A IBM fornece vários níveis de acesso para os usuários do Portal. Esses níveis de acesso podem ser aplicados ao IBM Managed Security Services, a um Agente ou a um grupo de Agentes. Os usuários do Portal serão autenticados por meio de senha estática ou uma tecnologia de criptografia de chave pública fornecida por você (por exemplo, token RSA SecureID) com base em seus requisitos Responsabilidades dos Contatos dos Serviços da IBM Contatos de Segurança Autorizados a. permitir que você crie até três Contatos de Segurança Autorizados; b. fornecer a cada Contato de Segurança Autorizado: (1) permissões administrativas ao Portal a seus Agentes; (2) autorização para criar usuários de Portal e Contatos Designados dos Serviços ilimitados; e (3) autorização para delegar responsabilidades a Contatos Designados dos Serviços. c. permitir que seus Contatos de Segurança Autorizadas acessem a Plataforma de Varredura e, opcionalmente, fornecer a capacidade de criar e executar a varredura; d. interface com Contatos de Segurança Autorizados com relação a problemas de suporte e notificação relativos aos Serviços; e e. verificar a identidade dos Contatos de Segurança Autorizados utilizando um método de autenticação que emprega uma passphrase de desafio pré-compartilhada. Executor da Plataforma de Varredura a. verificar a identidade do Executor da Plataforma de Varredura utilizando um método de autenticação que emprega uma passphrase de desafio pré-compartilhada; e b. permitir acesso ao Executor da Plataforma de Varredura como determinado pelos Contatos de Segurança Autorizados, incluindo a capacidade de criar/executar varreduras conforme necessário. Usuários Consumidores de Relatórios a. fornecer acesso apropriado a seus Usuários Consumidores de Relatórios à Plataforma de Varredura, conforme definido em conjunto com o Contato de Segurança Autorizado; e b. autenticar seus Usuários Consumidores de Relatórios como usuários da Plataforma de Varredura usando senha estática. Contatos Designados dos Serviços a. verificar a identidade dos Contatos Designados dos Serviços utilizando um método de autenticação que emprega uma passphrase de desafio pré-compartilhada; e b. fazer interface somente com os Contatos Designados dos Serviços com relação ao subconjunto de problemas operacionais pelos quais o contato é responsável. Z Página 7 de 20

8 Usuários do Portal a. fornecer a seus Usuários do Portal com vários níveis de acesso ao Portal: (1) recursos de usuário administrativo, que incluirão: (a) criação de usuários do Portal; e (b) criação e edição de listas de observação de vulnerabilidade; b. autenticar usuários do Portal utilizando senha estática; e c. autenticar Usuários do Portal usando uma tecnologia de criptografia de chave pública fornecida por você (por exemplo, token RSA SecureID) com base em seus requisitos Responsabilidades de seus Contatos dos Serviços Contatos de Segurança Autorizados a. fornecer à IBM informações de contato para cada Contato de Segurança Autorizado. Esses Contatos de Segurança Autorizados serão responsáveis por: (1) criar Contatos Designados dos Serviços do Aplicativo e delegar responsabilidades e permissões para esses contatos conforme apropriado; (2) criar usuários da Plataforma de Varredura; (3) autenticar com os SOCs utilizando uma passphrase de desafio pré-compartilhada; e (4) manter caminhos de notificação e suas informações de contato e fornecer essas informações à IBM. b. garantir que pelo menos um Contato de Segurança Autorizado esteja disponível 24 horas por dia, 7 dias por semana; c. atualizar a IBM dentro de três dias corridos quando as informações de seu Contato de Segurança Autorizado mudarem; e d. reconhecer que é permitido ter não mais que três Contatos de Segurança Autorizados, independentemente do número de Serviços IBM ou assinaturas de Agente que você tenha contratado. Contatos Designados dos Serviços a. fornecer à IBM informações de contato e responsabilidade da função para cada Contato Designado dos Serviços. Esses Contatos Designados dos Serviços serão responsáveis pela autenticação com o SOCs utilizando uma passphrase; e b. reconhecer que o Contato Designado dos Serviços poderá precisar estar disponível 24 horas por dia, 7 dias por semana, com base no subconjunto de responsabilidades pelos quais for responsável (por exemplo, indisponibilidade do Agente). Executor da Plataforma de Varredura O Cliente concorda: a. que os usuários da Plataforma de Varredura utilizarão a Plataforma de Varredura para realizar atividades dos Serviços operacionais diárias; b. que os usuários da Plataforma de Varredura serão responsável por fornecer tokens de RSA SecureID suportados pela IBM (conforme aplicável); e c. que os usuários da Plataforma de Varredura não terão contato direto com os SOCs e reconhecem que os SOCs somente interagirão com os Contatos de Segurança Autorizados e Contatos Designados dos Serviços. Usuários do Portal O Cliente concorda: a. que os Usuários do Portal utilizarão o Portal para realizar atividades dos Serviços operacionais diárias; Z Página 8 de 20

9 b. que os usuários do Portal serão responsável por fornecer tokens de RSA SecureID suportados pela IBM (conforme aplicável); e c. que os usuários do Portal não terão contato direto com os SOCs e reconhecem que os SOCs somente interagirão com os Contatos de Segurança Autorizados e Contatos Designados dos Serviços. 4.6 Inteligência de Segurança A inteligência de segurança é fornecida pelo IBM X-Force Threat Analysis Center. O X-Force Threat Analysis Center publica um nível de ameaça AlertCon da Internet. O AlertCon descreve posturas de alerta progressivas de condições atuais de ameaça de segurança da Internet. No caso de condições de ameaça de segurança da Internet serem elevadas para AlertCon 3, indicando ataques focados que exigem ação defensiva imediata, a IBM fornecerá a você acesso em tempo real a um panorama da situação global da IBM. Como usuário da Plataforma de Varredura, você tem acesso ao X-Force Hosted Threat Analysis Service. O X-Force Hosted Threat Analysis Service inclui acesso ao IBM X-Force Threat Insight Quarterly ("Threat IQ"). Utilizando o Portal, você pode criar uma lista de observação de vulnerabilidades com informações personalizadas sobre ameaças. Além disso, cada usuário da Plataforma de Varredura pode solicitar o recebimento de um de avaliação da Internet a cada dia útil. Essa avaliação fornece uma análise das condições de ameaça da Internet atuais conhecidas, dados de métricas de porta da Internet em tempo real e alertas, orientações e notícias de segurança individualizadas. Observação: Seu acesso e uso da Inteligência de Segurança fornecida por meio do Portal (incluindo o IQ de Ameaça e o de avaliação diário da Internet) estão sujeitos aos Termos de Uso fornecidos aqui. Onde tais Termos de Uso estejam em conflito com os termos dessa Descrição de Serviços ou quaisquer documentos contratuais associados, os Termos de Uso do Portal deverão prevalecer. Além dos Termos de Uso fornecidos no Portal, seu uso de quaisquer informações em quaisquer links, ou Web sites que não sejam da IBM e recursos estão sujeitos aos termos de uso publicados em tais links, Web sites que não sejam da IBM e recursos Responsabilidades da Inteligência de Segurança da IBM a. fornecer a você acesso ao X-Force Hosted Threat Analysis Service; b. fornecer a você um nome de usuário, senha, URL e permissões adequadas para acessar o Portal; c. exibir informações de segurança no Portal conforme elas se tornem disponíveis; d. se configurado por você, fornecer inteligência de segurança específica para uma lista de observação de vulnerabilidades definida por você através do Portal; e. se configurado por você, fornecer um de avaliação de segurança da Internet a cada dia útil; f. publicar uma AlertCon da Internet através do Portal; g. declarar uma emergência da Internet se o nível da AlertCon diário atingir a AlertCon 3. Nesse caso, a IBM fornecerá a você acesso em tempo real ao panorama global da situação da IBM; h. fornecer funcionalidade de recurso de Portal para que você crie e mantenha uma lista de observação de vulnerabilidades; i. fornecer informações adicionais sobre um alerta, orientação ou outro problema de segurança significativa conforme a IBM considerar necessário; e j. fornecer acesso ao IQ de ameaça através do Portal Suas Responsabilidades de Inteligência de Segurança Você concorda em usar o Portal para: a. assinar o de avaliação de segurança da Internet diário, se desejado; b. criar uma lista de observação de vulnerabilidades, se desejado; c. acessar o IQ de ameaça; d. fornecer sua concordância em aderir ao contrato de licenciamento e não encaminhar informações dos Serviços a indivíduos que não tenham uma licença adequada. Z Página 9 de 20

10 4.7 Implementação e Ativação Durante a implementação e a ativação, a IBM trabalhará com você para inicializar o Serviço Responsabilidades de Implementação e Ativação da IBM A IBM realizará as seguintes atividades para ativar seu Serviço. Atividade 1 - Início do Projeto O propósito desta atividade é conduzir uma chamada de início de projeto. A IBM enviará a você um e- mail de boas-vindas e conduzirá uma chamada de início, por até uma hora, com até três pessoas de sua equipe, para: a. apresentar o seu Ponto de Contato para o especialista de implementação da IBM designado; b. revisar as responsabilidades respectivas da parte; c. definir as expectativas de planejamento; e d. iniciar a avaliação de seus requisitos e ambiente. Critério de Conclusão: Essa atividade será concluída quando a IBM tiver conduzido a chamada de início do projeto. Produtos: Nenhum Atividade 2 - Implementação para varredura Tarefa 1 - Instalação e configuração do Software a. instalar o Software em infraestrutura hospedada (a Plataforma de Varredura) e confirmar que esteja operacional; e b. permitir acesso ao Software a Plataforma de Varredura fornecendo a você uma URL única, protegida por senha, criptografada com SSL para cada usuário que você designar, sujeito à limitação do número de usuários conforme definido em seu Serviço. Critério de Conclusão: Essa atividade estará concluída quando a IBM fornecer a você um ID/senha de acordo com o definido e você tiver confirmado que consegue acessar o Software. Produtos: Nenhum Tarefa 2 - Condução de Entrevistas de Definição de Solução a. conduzir até duas entrevistas com duração de 2 horas com as principais partes interessadas para resumir e priorizar a direção acordada em conjunto para a implementação e implantação do Software, bem como a agenda e as atividades específicas a serem realizadas durante os Serviços de Ativação. As principais metas dessas entrevistas são para determinar: (1) O escopo geral das atividades dos Serviços de Gerenciamento da Solução, se aplicável; (2) Grupos organizacionais, hierarquia administrativa, funções e permissões dos usuários; (3) Definição de relatórios; (4) Definição de visualização do Dashboard; (5) Programação e configuração de notificações; e (6) Entendimento técnico dos aplicativos e sites para orientar a configuração da varredura. Critério de Conclusão: Essa atividade será concluída quando a IBM tiver concluído as entrevistas. Produtos: Nenhum Z Página 10 de 20

11 Tarefa 3 - Fornecimento de descrição do roteiro de implementação a. fornecer uma Descrição do Roteiro de Implementação para descrever a implementação do Software dentro de sua organização. A Descrição do Roteiro de Implementação resume e prioriza o seguinte: (1) Uma visão geral dos objetivos de implementação e uma sequência de atividades para que sejam atingidos; (2) Uma visão geral dos processos que serão implementados ou alterados pela implementação; (3) Descrições resumidas de funções e responsabilidades do usuário; (4) Configuração ou definição de relatórios capturados durante a fase de entrevista; e (5) Um mapa organizacional que ilustra a responsabilidade pela conformidade, bem como a propriedade do conteúdo. b. com o recebimento de uma solicitação do Destinatário dos Serviços para revisar a Descrição do Roteiro de Implementação, o que deverá ocorrer em até cinco dias da entrega inicial da Descrição do Roteiro de Implementação, fornecer ao Destinatário dos Serviços uma Descrição do Roteiro de Implementação revisada em até dois dias úteis depois da notificação pelo Destinatário dos Serviços. Observação: A Descrição do Roteiro de Implementação revisada será considerada o documento final e nenhuma revisão adicional será feita nela pela IBM. Critério de Conclusão: Essa atividade será concluída quando a IBM tiver entregado a Descrição do Roteiro de Implementação e você tiver aceitado seu conteúdo. A IBM aceitará uma iteração de comentários/revisões ao documento antes que ele seja considerado aceito. Produtos: Descrição do roteiro de implementação Objetivo: Esse documento, como acordado em conjunto durante as entrevistas de definição da solução, resume e prioriza a direção para implementação e implantação dos Serviços de Imersão e uma sequência de atividades para a implementação e implantação da solução. Conteúdo: Esse documento de até cinco páginas resume e prioriza a definição da implementação do software e as atividades de implementação. Tarefa 4 - Criação da configuração inicial do Software a. criar a configuração inicial do Software, que inclui o seguinte: (1) Criação da hierarquia de pastas inicial; (2) Criação de uma varredura de avaliação (Tarefa de Varredura do Conteúdo) e relatório (Relatórios da Tarefa de Varredura do Conteúdo) de um de seus Web sites. Observação: essa tarefa poderá ser omitida se uma varredura completa de um aplicativo for solicitada pelo cliente; e (3) Apresentação da configuração e dos Relatórios da Tarefa de Varredura do Conteúdo. Critério de Conclusão: A IBM terá cumprido suas responsabilidades para essa atividade quando tiver concluído as tarefas listadas. Produtos: Nenhum Suas Responsabilidades de Implementação e Ativação Para fornecer a implementação e a atividade bem-sucedidas de seu serviço, a participação nas seguintes atividades será necessária. Atividade 1 - Início do Projeto Z Página 11 de 20

12 a. participar da chamada de início do projeto; e b. revisar as responsabilidades respectivas de cada parte; Atividade 2 - Requisitos da Implementação para Varredura Tarefa 1 - Instalação e configuração do Software Você concorda em: a. verificar seu acesso para acessar a Plataforma de Varredura; e b. proteger adequadamente sua URL protegida por senha, criptografada com SSL para cada um de seus usuários designados. Tarefa 2 - Condução de Entrevistas de Definição de Solução a. atribuir partes interessadas principais que deverão participar nas Entrevistas de Definição de Solução; e b. garantir que as partes interessadas principais estejam disponíveis para participar nas Entrevistas de Definição de Solução. Tarefa 3 - Fornecimento de descrição do roteiro de implementação a. no recebimento, revisar e notificar a IBM em até cinco dias úteis sobre quaisquer revisões solicitadas na Descrição do Roteiro de Implementação; e b. reconhecer que nenhuma revisão adicional será feita na Descrição do Roteiro de Implementação. Tarefa 4 - Criação da configuração inicial do Software a. revisar a configuração; e b. revisar o relatório da varredura de avaliação, se necessário. 4.8 Serviços de ativação Os Serviços de Ativação são fornecidos para ajudá-lo no uso do Software. A IBM fornecerá a você duas seções de serviços de Ativação que não durarão mais do que uma hora. A Ativação é fornecida para permitir que Consumidores de Relatórios usuários que somente visualizam e interpretam relatórios aprendam como navegar no Software e obtenham as informações de que precisam Responsabilidades do Serviço de Ativação da IBM a. conduzir duas sessões de ativação com duração de 1 hora para até 3 de seus usuários designados. Durante as sessões de ativação, fornecerá a seus usuários designados: (1) treinamento; e (2) assistência aos usuários com relação a atividades de visualização e interpretação de relatórios. Critério de Conclusão: Essa atividade será concluída quando a IBM tiver conduzido as sessões de ativação. A IBM não será obrigada a reprogramar os Serviços de Ativação se os usuários designados não participarem na data e hora pré-determinadas. Produtos: Nenhum Suas Responsabilidades do Serviço de Ativação a. fornecer os usuários adequados que participarão da sessão de ativação; e b. fornecer uma data e hora planejadas na qual os usuários autorizados participação da sessão de ativação. Z Página 12 de 20

13 4.9 Avaliação do Aplicativo Os serviços de avaliação do aplicativo serão fornecidos como parte do serviço. Esses serviços incluem atividades específicas que compreendem a configuração inicial e a varredura de um aplicativo, a nova varredura do aplicativo e a colaboração por meio de atividades de processo de negócios Responsabilidades da Configuração e implementação inicial da IBM A IBM fornecerá a você serviços de avaliação do aplicativo com base nas seguintes atividades especificadas. Atividade 1 - Configuração e varredura iniciais do aplicativo A configuração inicial e os serviços de varredura são aqueles serviços que ativam a configuração do Software. Esses serviços devem ser concluídos para varrer seus Web sites e produzir relatórios fornecendo informações sobre seus Web sites e/ou descrevendo problemas específicos descobertos em seus Web sites. a. fornecer serviços de configuração e varredura iniciais, que incluem: (1) criação e execução da varredura inicial; (2) validação dos resultados para cobertura do aplicativo; (3) realização de verificação pontual dos resultados de segurança; (4) configuração e execução de painéis; (5) configuração e manutenção da hierarquia de pastas; (6) emissão de alertas para problemas de alta prioridade (onde necessário e como acordado em conjunto); e (7) a entrega dos resultados da varredura será feita para o contato autorizado apropriado por e- mail e pelos painéis de relatórios disponíveis no portal da plataforma de varredura ou por outros métodos conforme solicitado pelo Destinatário dos Serviços. Observações: Há certas limitações ao varrer aplicativos de produção. Elas estão listadas aqui: 1. Conteúdo que requer autenticação não é varrido. As varreduras não serão configuradas para executar sequências de login no aplicativo da Web (mas a página de login em si será varrida). 2. Web sites e aplicativos de produção serão varridos usando as capacidades automatizadas de crawling da web do Software. A capacidade de exploração manual (ou seja, gravação manual do pressionar de teclas e acesso a páginas para ensinar ao scanner como navegar pelo site) não será usada. Portanto, a funcionalidade com base em sequência poderá não ser varrida adequadamente (ou seja, páginas na ordem correta). 3. O preenchimento automático de formulários será usado em quaisquer formulários encontrados. Critério de Conclusão: A IBM terá cumprido suas responsabilidades para essa atividade quando tiver completado a entrega a você dos Materiais e concluído as atividades listadas. A entrega será feita para o contato autorizado apropriado por e pelos painéis de relatórios disponíveis no portal da plataforma de varredura ou por outros métodos conforme solicitado pelo Destinatário dos Serviços. Produtos: Relatório da Tarefa de Varredura do Conteúdo Suas Responsabilidades da Configuração e implementação inicial O processo de varrer aplicativos da Web com relação a vulnerabilidades de segurança requer a cooperação entre aqueles que criam e executam as varreduras e os proprietários do aplicativo. O modelo de operações para varredura de aplicativos será determinado por meio de discussões com seus Contatos de Segurança Autorizados. O Contato de Segurança Autorizado ou outros indivíduos, conforme determinado pelo Contato de Segurança Autorizado, será normalmente solicitado a fornecer as seguintes informações para ativar a varredura do aplicativo: a. fornecer o nome e a URL/endereço IP do aplicativo; Z Página 13 de 20

14 b. fornecer a data e hora do espaço de tempo no qual realizar a varredura; e c. participar na discussão e, no final, aprovar a Política de Teste de Segurança desejada Responsabilidades da IBM da Avaliação de segurança de novas varreduras do aplicativo Depois que o aplicativo tiver sido inicialmente avaliado com relação a problemas de segurança, recomenda-se a realização de novas varreduras periódicas para garantir a segurança continuada do aplicativo até seu lançamento final em um ambiente de produção. As seguintes atividades de nova varredura fornecem o monitoramento continuado da postura de segurança do aplicativo. Atividade 1 - Avaliações de segurança de novas varreduras do aplicativo Atividades de avaliação de segurança de nova varredura consistem em varreduras do aplicativo em produção que ocorrem depois da varredura inicial e destinam-se a garantir a conformidade continuada da segurança do aplicativo depois da avaliação inicial. A IBM fornecerá serviços de avaliação de segurança de novas varreduras, que incluem: a. Com base na verificação inicial, verificar alterações a incluir na nova varredura; b. Executar nova varredura; c. Configurar e executar painéis; d. Emitir de alertas para problemas de alta prioridade (onde necessário e como acordado em conjunto); e. Fornecimento de um extrato de problemas de segurança para ativar a integração pelo cliente no sistema de rastreamento de problemas existentes; e f. A entrega dos resultados da varredura será feita para o contato autorizado apropriado por e pelos painéis de relatórios disponíveis no portal da plataforma de varredura ou por outros métodos conforme solicitado pelo Destinatário dos Serviços. Critério de Conclusão: Essa atividade será concluída quando a IBM tiver entregado o Relatório da Atividade de Varredura do Aplicativo. Produtos: Relatório da Tarefa de Varredura do Conteúdo Suas Responsabilidades da Avaliação de segurança de novas varreduras do aplicativo a. fornecer a data e hora do espaço de tempo no qual realizar a varredura; b. participar na discussão e, no final, aprovar a Política de Teste de Segurança desejada; e c. fornecer requisição credenciais (onde aplicável) Responsabilidades do Processo de negócios da IBM Atividade 1 - Serviços de Processos de Negócio A finalidade dessa atividade é fornecer os serviços contínuos para integrar os resultados dos serviços de avaliação do aplicativo em seus processos de negócios. Esses serviços são fornecidos durante o curso das atividades de varredura inicial e nova varredura durante a comunicação com você. A IBM fornecerá serviços de processo de negócios, que incluem: a. trabalhar com os membros de sua equipe estendida para aconselhar sobre soluções para os problemas encontrados; b. o desenvolvimento de processos para permitir a integração (por exemplo, importação) de problemas de segurança no sistema de rastreamento de problemas existente; e c. Integração da varredura de segurança no ciclo de vida de desenvolvimento do software. Critério de Conclusão: Essa é uma atividade contínua. Materiais de Entrega: Nenhum Z Página 14 de 20

15 4.9.6 Suas Responsabilidades do Processo de negócios a. participar na discussão dos problemas descobertos; b. fornecer as informações necessárias para integrar problemas no sistema de bilhetagem existente; e c. fornecer informações aos membros da equipe estendida e partes interessadas dentro de sua organização Gerenciamento de Política de Teste de Segurança O serviço de avaliação de aplicativo permite a criação de políticas de teste que determinam o que o software testa ou analisa nas páginas da Web que são varridas. A IBM define políticas de teste padrão que representam a configuração da varredura inicial. Essas políticas de teste podem ser modificadas durante a execução dos serviços por meio de discussões com você Responsabilidades da IBM do Gerenciamento de Política de Teste de Segurança a. modificar a Política de Teste de Segurança conforme acordado em conjunto com você; e b. testar e verificar os resultados de tais modificações Suas Responsabilidades do Gerenciamento de Política de Teste de Segurança a. participar em discussões relacionadas a modificações nas políticas de teste; e b. aprovar alterações nas políticas de teste Relatório de Segurança A Plataforma de Varredura fornece uma abrangente relação de relatórios para permitir a visualização dos resultados de varreduras tanto em nível detalhado quanto resumido Responsabilidades da IBM de Relatórios de Segurança A IBM fornecerá a você acesso a capacidades de relatório na Plataforma de Varredura, que incluem: a. Relatórios em nível resumido. A IBM pode configurar relatórios de painel que resumem os resultados das varreduras e fornecem análise de tendência; e b. Relatórios detalhados. O Software fornece resultados detalhados sobre as varreduras de segurança do aplicativo, que incluem: (1) Páginas (URLs) contendo; (2) Título e descrição do problema; (3) Solicitação de HTTP usada para criar o problema; e (4) Sugestões de correção Suas Responsabilidades de Relatórios de Segurança a. participar em discussões para definir os relatórios do painel e aprovar o design final; b. disseminar informações dos relatórios conforme necessário ou orientar a IBM para divulgar a partes autorizadas; c. participar em reuniões para revisar resultados das varreduras e aceitá-los (conforme necessário); e d. auxiliar na priorização de problemas e coordenar com as equipes de correção conforme necessário. 5. Serviços Opcionais Serviços opcionais selecionados por você e quaisquer encargos adicionais para esse serviço serão especificados na Programação. Z Página 15 de 20

16 5.1 Nova varredura adicional única Esse serviço opcional fornece uma nova varredura única além das novas varreduras que podem ser incluídas no Serviço de Varredura de Aplicativo em produção. A Nova varredura adicional única é baseada no tamanho do aplicativo (consulte a descrição de Tamanho do Aplicativo acima) sendo varrido da mesma forma que o serviço de Varredura de Aplicativo em produção Responsabilidades da IBM da Varredura adicional única A Varredura adicional única incluirá a configuração inicial e os serviços de varredura realizados para ativar a configuração do Software. Esses serviços devem ser concluídos para varrer seus Web sites e produzir relatórios fornecendo informações sobre seus Web sites e/ou descrevendo problemas específicos descobertos em seus Web sites. a. fornecer serviços de configuração e varredura iniciais, que incluem: (1) criação e execução da varredura inicial; (2) validação dos resultados para cobertura do aplicativo; (3) realização de verificação pontual dos resultados de segurança; (4) configuração e execução de painéis; (5) configuração e manutenção da hierarquia de pastas; (6) emissão de alertas para problemas de alta prioridade (onde necessário e como acordado em conjunto); e (7) a entrega dos resultados da varredura será feita para o contato autorizado apropriado por e- mail e pelos painéis de relatórios disponíveis no portal da plataforma de varredura ou por outros métodos conforme solicitado pelo Destinatário dos Serviços. Observações: Há certas limitações ao varrer aplicativos de produção. Elas estão listadas aqui: 1. Conteúdo que requer autenticação não é varrido. As varreduras não serão configuradas para executar sequências de login no aplicativo da Web (mas a página de login em si será varrida). 2. Web sites e aplicativos de produção serão varridos usando as capacidades automatizadas de crawling da web do Software. A capacidade de exploração manual (ou seja, gravação manual do pressionar de teclas e acesso a páginas para ensinar ao scanner como navegar pelo site) não será usada. Portanto, a funcionalidade com base em sequência poderá não ser varrida adequadamente (ou seja, páginas na ordem correta). 3. O preenchimento automático de formulários será usado em quaisquer formulários encontrados. Critério de Conclusão: A IBM terá cumprido suas responsabilidades para essa atividade quando tiver completado a entrega a você dos Materiais e concluído as tarefas listadas. A entrega será feita para o contato autorizado apropriado por e pelos painéis de relatórios disponíveis no portal da plataforma de varredura ou por outros métodos conforme solicitado pelo Destinatário dos Serviços. Produtos: Relatório da Tarefa de Varredura do Conteúdo Suas Responsabilidades da Varredura adicional única O processo de varrer aplicativos da Web com relação a vulnerabilidades de segurança requer a cooperação entre aqueles que criam e executam as varreduras e os proprietários do aplicativo. O modelo de operações para varredura de aplicativos será determinado por meio de discussões com seus Contatos de Segurança Autorizados. O Contato de Segurança Autorizado ou outros indivíduos, conforme determinado pelo Contato de Segurança Autorizado, será normalmente solicitado a fornecer as seguintes informações para ativar a varredura do aplicativo: a. fornecer o nome e a URL/endereço IP do aplicativo; b. fornecer a data e hora do espaço de tempo no qual realizar a varredura; e c. participar na discussão e, no final, aprovar a Política de Teste de Segurança desejada. Z Página 16 de 20

17 6. Acordos de Nível de Serviço Os SLAs da IBM estabelecem objetivos de tempo de resposta para eventos específicos resultando dos Serviços. Os SLAs entram em vigor quando o processo de implementação estiver concluído. As compensações de SLA estão disponíveis desde que você cumpra as obrigações definidas nessa Descrição dos Serviços e todos os documentos contratuais associados. 6.1 Disponibilidade dos SLAs Os SLA padrões descritos abaixo compreendem as métricas medidas para a entrega dos Serviços. A menos que explicitamente declarado abaixo, nenhuma garantia de qualquer tipo se aplica aos Serviços entregues sob esta Descrição dos Serviços. Os únicos recursos para falhas no cumprimento dos SLAs padrões estão especificados na seção desta Descrição dos Serviços intitulada "Compensações de SLA". a. Disponibilidade do portal A IBM fornecerá 99,9% de acessibilidade ao Portal fora dos horários especificados na seção dessa Descrição dos Serviços intitulada "Manutenção Programada e Emergencial do Portal". b. Disponibilidade da Plataforma de Varredura A IBM fornecerá 99,9% de acessibilidade à Plataforma de Varredura fora dos horários especificados na seção dessa Descrição dos Serviços intitulada "Manutenção Programada e Emergencial da Plataforma de Varredura". c. Resposta de inicialização da varredura A IBM responderá a uma solicitação de nova varredura dentro dos prazos seguintes com base no tamanho do aplicativo. As solicitações de varredura estão limitadas a 1 solicitação de nova varredura por semana para cada 10 aplicativos que o cliente estiver varrendo. O SLA inicia quando o ASA da IBM tiver todas as informações necessárias sobre o cliente e respeitando os períodos de blecaute de varredura do cliente. A resposta é tanto na forma de varredura sendo iniciada quanto a IBM requerendo a confirmação da varredura solicitada por parte do cliente (por exemplo, cobertura da varredura). O Destinatário dos Serviços e a IBM podem acordar mutuamente sobre uma programação de varredura diferente que não aumente o SLA. (1) Nível 1 Aplicativo pequeno - As varreduras serão iniciadas em até 1 dia útil. (2) Nível 2 Aplicativo grande As varreduras serão iniciadas em até 2 dias úteis. d. Notificação de alerta de problema de prioridade crítica a IBM notificará você de quaisquer problemas críticos (conforme definido pelo ASA) em até 1 hora depois da confirmação do problema pela IBM. O ASA notificará o contato autorizado listado por meio do método preferencial conforme designado pelo Destinatário dos Serviços. Esse SLA inicia depois que o ASA tiver confirmado a legitimidade do problema crítico. e. Inicialização da revisão da varredura a IBM iniciará a revisão de uma varredura de segurança em até 1 dia útil depois da conclusão da varredura. f. Falso positivo a IBM fornecerá uma taxa de falsos positivos de 0% para todos os problemas de segurança revisados pela IBM. Esse SLA cobre somente aqueles problemas que o ASA tiver revisado e confirmado. A revisão dos problemas poderá exigir a colaboração com o Destinatário dos Serviços antes de tomar uma decisão final com relação à legitimidade do problema. g. Solicitação de nova varredura executar nova varredura A IBM executará a nova varredura designada de acordo com o intervalo de tempo especificado na solicitação. O tempo para executar a nova varredura desejada pode ser afetado pela complexidade da aplicação. (1) Nível 1 Aplicativo pequeno A IBM iniciará uma solicitação de nova varredura em até 1 dia útil. (2) Nível 2 Aplicativo grande A IBM iniciará uma solicitação de nova varredura em até 2 dias úteis. h. Resposta a consultas a IBM responderá a seu /v-mail em até 4 horas úteis de seu recebimento. 6.2 Compensações de SLA As seguintes compensações estão disponíveis se a IBM não atender ao SLA conforme especificado nessa descrição do serviço. Z Página 17 de 20

18 a. Solicitação de nova varredura Compensação de resposta de execução de nova varredura e inicialização de varredura se a IBM falhar em atender este SLA em um dado mês calendário, um crédito será emitido conforme especificado abaixo; (1) Aplicativos pequenos de nível 1: A falha em executar a varredura solicitada dentro do tempo mínimo resultará em um crédito de uma semana para o aplicativo para o qual estava sendo solicitada a varredura. (2) Aplicativos grandes de nível 2: A falha em executar a varredura solicitada dentro do tempo mínimo resultará em um crédito de duas semanas para o aplicativo para o qual estava sendo solicitada a varredura. b. SLA de falsos positivos e notificação de alerta de problema de prioridade crítica - se a IBM falhar em atender este SLA em um dado mês calendário, um crédito será emitido para 1 mês da cobrança mensal. c. SLA de disponibilidade da Plataforma de Varredura, disponibilidade do Portal, resposta a consultas e inicialização da revisão da varredura se a IBM falhar em atender a esses SLAs, será emitido um crédito de uma semana da cobrança mensal de monitoramento para o aplicativo afetado sendo varrido e, se aplicável, a plataforma específica para a qual o SLA respectivo não foi atendido Resumo dos SLAs e dos Recursos Resposta de inicialização da varredura Solicitação para nova varredura - executar nova varredura Falso positivo Notificação de alerta de problema de prioridade crítica Crédito de 1 semana ou 2 semanas para a varredura inicial do aplicativo ou nova varredura que não foi executada como indicado acima. Crédito de 1 mês da cobrança mensal para a primeira ocorrência durante o período de um mês. Inicialização de revisão da varredura Resposta à consulta Disponibilidade da Plataforma de Varredura da IBM Crédito de 1 semana da cobrança mensal para a primeira ocorrência durante o período de um mês. Disponibilidade do Portal do IBM MSS 7. Outros Termos e Condições 7.1 Geral Você reconhece e concorda com o seguinte: a. que todos os softwares fornecidos pela IBM como parte desses Serviços são licenciados, não vendidos. Exceto para as licenças especificamente concedidas aqui, todos os direitos, títulos e interesses em e do software permanecerão como propriedade da IBM ou seus licenciadores; b. que você informará à IBM por escrito, pelo menos 30 dias antes do cancelamento ou rescisão dos Serviços, ou prontamente se a licença do software de varredura for rescindida por qualquer motivo se você decidir: (1) solicitar que a IBM remova o software de varredura remotamente ou auxiliando você a remover o software de varredura; ou (2) reter o software de varredura. Se decidir ter o software de varredura removido, você concorda em cooperar com a IBM fornecendo o acesso remoto necessário para que a IBM remova o software de varredura ou assistindo a IBM ao remover o software de varredura c. além dos termos e condições listados acima, termos específicos de licenciamento serão apresentados para sua revisão e aceitação ao fazer o download do software e ao instalá-lo. Z Página 18 de 20