RemotePC DPA - Anexo 2

    Anexo 2 - Controles de segurança

    RemotePC implementará os controles listados abaixo ou seus equivalentes durante a vigência deste DPA:

    1. Controles de acesso. O processador de dados implementará medidas adequadas para impedir que pessoas não autorizadas tenham acesso aos equipamentos de processamento de dados. Isso será realizado por meio de:

    • Autorização de acesso para funcionários e terceiros
    • Cartões de acesso e crachás
    • Restrição de chaves
    • Requisitos para terceiros
    • Identificação das pessoas com acesso autorizado
    • Proteção e restrição de entradas e saídas
    • Estabelecimento de áreas de segurança
    • Segurança do edifício (por exemplo, sistemas de alarme de segurança)

    2. Controle de acesso a dados. O processador de dados se compromete a que as pessoas autorizadas a usar os sistemas de processamento de dados acessem os dados pessoais dos clientes apenas dentro do escopo e na medida cobertos pelas respectivas permissões/autorizações de acesso.

    • Bloqueio de estações de trabalho
    • Requisitos de autorização de usuário
    • Obrigações de confidencialidade
    • Controle da destruição de mídias de dados
    • Processos para o desenvolvimento e liberação de programas

    3. Controles de usuário. O processador de dados implementará medidas adequadas para evitar que seus sistemas de processamento de dados sejam usados por pessoas não autorizadas, incluindo leitura, cópia, alteração ou remoção não autorizadas dos dados armazenados e das mídias de dados. Isso será realizado por meio de:

    • Requisitos de autorização de acesso
    • Registro de eventos e atividades
    • Estações de trabalho e/ou usuários dedicados
    • Autenticação de pessoal autorizado
    • Uso de criptografia quando considerado apropriado pelo processador
    • Controle da remoção de mídias de dados
    • Segurança das áreas onde as mídias de dados estão localizadas
    • Os requisitos de autenticação incluem a exigência de senhas fortes e a alteração periódica de senhas.
    • Desativação de contas inativas dentro de 60 dias.
    • Se uma sessão estiver inativa por mais de 15 minutos, o usuário deverá se autenticar novamente para reativar o terminal ou a sessão.
    • Requisitos de autenticação para acesso remoto.