Home | Motion Picture Association



3006725239395Programa de seguran?a de conteúdos da MPAAMELHORES PR?TICAS PARA SEGURAN?A DE CONTE?DOSDIRETRIZES COMUNS 3.02 de abril de 2015Histórico do documentoVers?oDataDescri??oAutor1.031 de dezembro de 2009Lan?amento público inicialDeloitte & Touche LLPMPAAEmpresas associadas da MPAA2.015 de maio de 2011Atualiza??es e revis?esConsolida??o em Diretrizes comuns e complementaresPwC LLPMPAAEmpresas associadas da MPAA2.11? de janeiro de 2013Atualiza??es e revis?esPwC LLPMPAAEmpresas associadas da MPAA3.02 de abril de 2015Atualiza??es e revis?esMPAAEmpresas associadas da MPAA?ndice TOC \o "1-3" \h \z \u Histórico do documento PAGEREF _Toc427161836 \h iI.Vis?o geral das melhores práticas PAGEREF _Toc427161837 \h 2II.Vis?o geral da unidade PAGEREF _Toc427161838 \h 3III.Gest?o de risco PAGEREF _Toc427161839 \h 4IV.Formato de melhores práticas PAGEREF _Toc427161840 \h 6V.Diretrizes comuns das melhores práticas PAGEREF _Toc427161841 \h 7Anexo A – Glossário PAGEREF _Toc427161842 \h 84Anexo B — Defini??es de canal de distribui??o e título da MPAA PAGEREF _Toc427161843 \h 88Anexo C — MAPEAMENTO PARA AS UNIDADES PAGEREF _Toc427161844 \h 90Anexo D — Mapeamento de controles para referências PAGEREF _Toc427161845 \h 102Anexo E — Perguntas mais frequentes PAGEREF _Toc427161846 \h 107Anexo F — Políticas e procedimentos sugeridos PAGEREF _Toc427161847 \h 108Anexo G — Outros recursos e referências PAGEREF _Toc427161848 \h 109Anexo H — Denúncia de pirataria para a MPAA PAGEREF _Toc427161849 \h 110Vis?o geral das melhores práticasIntrodu??oPor mais de três décadas, a Motion Picture Association of America, Inc. (MPAA) administrou avalia??es de seguran?a de conteúdos em nome de suas Empresas associadas (Membros): Paramount Pictures Corporation; Sony Pictures Entertainment Inc.; Universal City Studios LLC; Twentieth Century Fox Film Corporation; Walt Disney Studios Motion Pictures e Warner Bros. Entertainment Inc. A partir de 2007, estas análises foram realizadas utilizando um modelo de pesquisa, processo e modelo de relatório padronizados. Desde ent?o, mais de 500 unidades foram entrevistadas em 32 países.A MPAA está empenhada em proteger os direitos de quem cria conteúdo de entretenimento para o público em todo o mundo. Desde as artes criativas até a indústria de software, mais e mais pessoas em todo o mundo fazem sua vida com base na for?a de suas ideias. Isto significa que há uma participa??o crescente na prote??o dos direitos de propriedade intelectual e reconhecimento de que estas salvaguardas s?o a pedra angular de uma economia de informa??o global saudável. O objetivo do Programa de seguran?a de conteúdos da MPAA é refor?ar o processo pelo qual o conteúdo dos membros é protegido durante a produ??o, pós-produ??o, comercializa??o e distribui??o. Isso é realizado através do seguinte: publica??o de um conjunto de melhores práticas através do servi?o da unidade que descreve os controles padr?o que ajudam a proteger o conteúdo dos membros; aferir e avaliar a seguran?a do conteúdo em parceiros externos com base nas melhores práticas publicadas;refor?ar a import?ncia de proteger o conteúdo dos membros; e fornecer um veículo de avalia??o padr?o para impulsionar as discuss?es individuais sobre quest?es de seguran?a de conteúdo entre os membros e seus parceiros de negócios.Objetivo e aplicabilidadeO objetivo deste documento é fornecer aos fornecedores externos atuais e futuros contratados pelos membros um entendimento das expectativas gerais de seguran?a de conteúdo e das melhores práticas atuais da indústria. As decis?es sobre o uso de fornecedores por qualquer membro específico s?o tomadas pelos membros exclusivamente de forma unilateral.As práticas recomendadas de seguran?a de conteúdo s?o projetadas para levar em considera??o os servi?os que a unidade fornece, o tipo de conteúdo que a unidade controla, e em que janela de lan?amento a unidade funciona. As melhores práticas descritas neste documento est?o sujeitas às leis e normas locais, estaduais, regionais, federais e do país. As melhores práticas descritas neste documento, assim como os padr?es da indústria e as referências da ISO aqui contidas, est?o sujeitas a altera??es periódicas.A conformidade com as melhores práticas é estritamente voluntária. Este n?o é um programa de acredita??o. Processo de exce??oSempre que n?o for viável cumprir uma melhor prática, as unidades devem documentar por que n?o podem cumprir a melhor prática e implementar medidas de compensa??o utilizadas em substitui??o da melhor prática. As exce??es devem ser comunicadas diretamente ao Membro.Perguntas ou comentáriosSe você tiver quaisquer perguntas ou comentários sobre as melhores práticas, envie e-mail para contentsecurity@Vis?o geral da unidadeA tabela a seguir descreve os servi?os típicos oferecidos, o conteúdo controlado e a janela de lan?amento envolvida em cada tipo de unidade.N.?Tipo de unidadeServi?os típicos da unidadeTipo de conteúdoJanela de lan?amento1?udio, dublagem e legendagem Dublagem no idioma original e estrangeiroLegendagemSFXPontua??oADR/Foley Baixa resolu??oCom marca d'água/estragado Conteúdo completo/parcialMasters de áudioPrévia de Cinema Prévia de Home Vídeo2Servi?os de courier, entrega e remessaServi?os de courierServi?os de entregaEmpresas de remessaVariadosPrévia de Cinema Prévia de Home VídeoCatálogo3Publicidade Criativa Sem acabamentoTrailerPropagandas de TVTeasersImagens gráficas Anúncios da WebConteúdo completo/parcial estragado, com marca d'águaImagens fixasClipesPrévia de Cinema Prévia de Home VídeoCatálogo4Servi?os DigitalDominando o cinema digitalReplica??oGerenciamento de chavesAlta resolu??o – conteúdo completo ou parcialPrincipais distribui??es de cinema digitalPacotes de cinema digital Prévia de Cinema5Servi?os Digitais Intermediário digitalVarreduraGrava??o de filmeRestaura??o de filmesAlta resolu??o – conteúdo completo ou parcial (fita de filme)Prévia de CinemaCatálogo6Distribui??o Distribui??oExecu??oBastidores/Depósito de filmesDVD/ Reciclagem de fitaAlta resolu??oImagem limpaPrévia de Cinema Prévia de Home VídeoCatálogo7DVD DVDCompress?oCria??oCodifica??o Regionaliza??oCaracterísticas especiaisVerificar disco CQ Limpeza – longa metragemPrévia de Home VídeoN.?Tipo de unidadeServi?os típicos da unidadeTipo de conteúdoJanela de lan?amento8DVDDVDCompress?oCria??oCodifica??oRegionaliza??oCaracterísticas especiaisVerificar disco CQ Limpeza – longa metragemPrévia de HomeVídeo9Entretenimento de Voo (IFE) e Servi?os de hotelaria Laboratório IFEIntegra??o IFEHotelCompanhia aéreaNavio de cruzeiro/Balsa BibliotecasHospitaisPris?esAlta resolu??o – conteúdo completo ou parcialEstragado – conteúdo completo ou parcialPrévia de Cinema Prévia de Home VídeoCatálogo10Servi?os de pós-produ??o TelecinagemDuplica??oEdi??oAcabamentoCQAlta resolu??o – conteúdo completo ou parcialPrévia de CinemaPrévia de Home VídeoCatálogo11Replica??o Premasteriza??oMasteriza??oReplica??oVerifica??o da Cria??o de disco Alta resolu??oImagem limpaPrévia de Home Vídeo12Efeitos visuais (VFX)Pós-produ??o digitalImagens geradas por computadorAnima??oAlta resolu??o – parcialQuadros, tomadas, sucess?es e imagens fixasScriptsStoryboardsPrévia de CinemaPós-cinema (2D e 3D)13AplicativoDesenvolvimento de aplicativoVariadosVariados14NuvemHospedagemCentro de dadosVariadosVariadosGest?o de riscoAvalia??o de riscoOs riscos devem ser identificados por meio de uma avalia??o de risco e controles apropriados devem ser implementados para diminuir o risco a um nível aceitável e garantir que os objetivos de negócios sejam atingidos.A Organiza??o Internacional para Padroniza??o (ISO) 27000 define o risco como a "combina??o da probabilidade de um evento e sua consequência." Por exemplo, qual é a probabilidade do conteúdo ser roubado da rede de uma unidade e liberado publicamente e qual é a consequência empresarial para uma organiza??o e para o cliente se isso ocorrer (por exemplo, quebra contratual e/ou perda de receita para essa janela de lan?amento). A import?ncia de um sistema de gest?o robusto também é destaque na norma ISO 27001, que mostra como estabelecer um Sistema de gest?o da seguran?a da informa??o (ISMS).Classifica??o de ativos Uma maneira de classificar os ativos em sua unidade é seguir um processo de quatro fases, o qual é resumido a seguir:921385624205Monitorar e avaliar a eficácia00Monitorar e avaliar a eficácia2057400624205Determinar o controle de seguran?a mínimo definido00Determinar o controle de seguran?a mínimo definido15024101233805Implementar controles00Implementar controles150241081280Identificar e classificar ativos00Identificar e classificar ativosEm consulta com o Membro (seu cliente), uma organiza??o é responsável por determinar quais ativos de clientes exigem um maior nível de seguran?a. A tabela a seguir fornece um exemplo de como classificar o conteúdo:Classifica??o Descri??oExemplosConteúdo de alta seguran?aQualquer conteúdo que a organiza??o acredita que resultaria em perda financeira, reputa??o negativa da marca ou sérias penalidades caso o ativo seja roubado ou vazadoRoubo de um filme de grande sucesso antes de seu primeiro lan?amento mundial no cinemaRoubo de conteúdo de home vídeo antes de sua primeira data de lan?amento em todo o mundoRoubo de masters ou de visualizadores Informa??es adicionais sobre os riscos geralmente associados a cada tipo de unidade s?o também incluídas em cada melhor prática complementar.Controles de seguran?aO Instituto de governan?a de TI define controles como as "políticas, procedimentos, práticas e estruturas organizacionais destinadas a fornecer uma garantia aceitável de que os objetivos do negócio ser?o atingidos e eventos indesejáveis ser?o evitados ou detectados e corrigidos". Os controles de seguran?a s?o geralmente selecionados com base na classifica??o do ativo, de seu valor para a organiza??o, e o risco de o ativo ser vazado ou roubado. A fim de mitigar os riscos identificados, as organiza??es s?o encorajadas a implementar controles proporcionais a cada risco específico. Tais medidas também devem ser avaliadas periodicamente quanto a seu design e eficácia com base no ambiente de amea?a atual.Sistema de gest?oOrganiza??o e gest?o Seguran?a físicaTransporteUnidadeSeguran?a digitalInfraestruturaIV. Organiza??o do documentoMS-1 Conscientiza??o/Supervis?o de seguran?a executiva p. 7As melhores práticas s?o organizadas de acordo com o Modelo de seguran?a de conteúdos da MPAA, que fornece uma estrutura para avaliar a capacidade de uma unidade de proteger o conteúdo de um cliente. ? composto de tópicos de seguran?a em três áreas: sistema de gest?o, seguran?a física e seguran?a digital. Os componentes do Modelo de seguran?a de conteúdos da MPAA s?o extraídos de normas ISO (27001-27002), normas de seguran?a (ou seja, NIST, CSA, ISACA e SANS) e melhores práticas da indústria.MS-2 Gest?o de risco p. 7MS-3 Organiza??o de seguran?a p. 8MS-4 Políticas e procedimentos p. 9MS-5 Resposta a incidentes p. 12MS-6 Continuidade de negócios e Recupera??o de desastres p. 14MS-7 Controle de altera??es e Gest?o de configura??o p. 15MS-8 Fluxo de trabalho p. 15MS-9 Segrega??o de fun??es p. 16MS-10 Verifica??es de antecedentes p. 17MS-11 Acordos de confidencialidade p. 17MS-12 Uso e triagens de terceiros p. 18PS-1 Pontos de entrada/saída p. 20PS-2 Entrada/Saída de visitante p. 21PS-3 Identifica??o p. 22PS-4 Seguran?a do perímetro p. 22PS-5 Alarmes p. 23PS-5 Autoriza??o p. 25PS-8 Chaves p. 26PS-9 C?meras p. 28PS-7 Controle de acesso eletr?nico p. 25PS-10 Registro e monitoramento p. 29PS-11 Revistas p. 30Gest?o de ativosPS-12 Controle de inventário p. 33PS-13 Contagens de inventário p. 34PS-14 Rastreamento de mídia em branco/matérias-primas p. 35PS-15 Ativos de clientes p. 35PS-16 Descarte p. 36PS-17 Expedi??o p. 38PS-18 Recebimento p. 39PS-19 Rotulagem p. 40PS-20 Acondicionamento p. 40PS-21 Veículos de transporte p. 41DS-1 Firewall/WAN/Seguran?a do perímetro p. 42DS-2 Internet p. 46DS-3 LAN/Rede interna p. 48DS-4 Sem fio p. 51DS-5 Seguran?a do dispositivo de I/O p. 53DS-6 Sistema de seguran?a p. 53DS-7 Gest?o de contas p. 56DS-7.7-8.4 Autentica??o p. 58-60DS-9 Registro e monitoramento p. 61Gerenciamento de conteúdosDS-10 Seguran?a móvel p. 63Transferência de conteúdosDS-11 Técnicas de seguran?a p. 65DS-12 Controle de conteúdo p. 67DS-13 Sistemas de transferência p. 68DS-14 Metodologia do dispositivo de transferência p. 68DS-15 Portal do cliente p. 70Sistema de gest?oOrganiza??o e gest?o Seguran?a físicaTransporteUnidadeSeguran?a digitalInfraestruturaIV. Organiza??o do documentoMS-1 Conscientiza??o/Supervis?o de seguran?a executiva p. 7As melhores práticas s?o organizadas de acordo com o Modelo de seguran?a de conteúdos da MPAA, que fornece uma estrutura para avaliar a capacidade de uma unidade de proteger o conteúdo de um cliente. ? composto de tópicos de seguran?a em três áreas: sistema de gest?o, seguran?a física e seguran?a digital. Os componentes do Modelo de seguran?a de conteúdos da MPAA s?o extraídos de normas ISO (27001-27002), normas de seguran?a (ou seja, NIST, CSA, ISACA e SANS) e melhores práticas da indústria.MS-2 Gest?o de risco p. 7MS-3 Organiza??o de seguran?a p. 8MS-4 Políticas e procedimentos p. 9MS-5 Resposta a incidentes p. 12MS-6 Continuidade de negócios e Recupera??o de desastres p. 14MS-7 Controle de altera??es e Gest?o de configura??o p. 15MS-8 Fluxo de trabalho p. 15MS-9 Segrega??o de fun??es p. 16MS-10 Verifica??es de antecedentes p. 17MS-11 Acordos de confidencialidade p. 17MS-12 Uso e triagens de terceiros p. 18PS-1 Pontos de entrada/saída p. 20PS-2 Entrada/Saída de visitante p. 21PS-3 Identifica??o p. 22PS-4 Seguran?a do perímetro p. 22PS-5 Alarmes p. 23PS-5 Autoriza??o p. 25PS-8 Chaves p. 26PS-9 C?meras p. 28PS-7 Controle de acesso eletr?nico p. 25PS-10 Registro e monitoramento p. 29PS-11 Revistas p. 30Gest?o de ativosPS-12 Controle de inventário p. 33PS-13 Contagens de inventário p. 34PS-14 Rastreamento de mídia em branco/matérias-primas p. 35PS-15 Ativos de clientes p. 35PS-16 Descarte p. 36PS-17 Expedi??o p. 38PS-18 Recebimento p. 39PS-19 Rotulagem p. 40PS-20 Acondicionamento p. 40PS-21 Veículos de transporte p. 41DS-1 Firewall/WAN/Seguran?a do perímetro p. 42DS-2 Internet p. 46DS-3 LAN/Rede interna p. 48DS-4 Sem fio p. 51DS-5 Seguran?a do dispositivo de I/O p. 53DS-6 Sistema de seguran?a p. 53DS-7 Gest?o de contas p. 56DS-7.7-8.4 Autentica??o p. 58-60DS-9 Registro e monitoramento p. 61Gerenciamento de conteúdosDS-10 Seguran?a móvel p. 63Transferência de conteúdosDS-11 Técnicas de seguran?a p. 65DS-12 Controle de conteúdo p. 67DS-13 Sistemas de transferência p. 68DS-14 Metodologia do dispositivo de transferência p. 68DS-15 Portal do cliente p. 70Formato de melhores práticasAs melhores práticas s?o apresentadas para cada tópico de seguran?a listado no Modelo de seguran?a de conteúdos da MPAA usando o seguinte formato:Sistema de gest?oSeguran?a físicaSeguran?a digitalOrganiza??o e gest?oUnidadeGest?o de ativosTransporteInfraestruturaGerenciamento de conteúdosTransferência de conteúdos197739028575O gráfico na parte superior de todas as páginas destaca a área de seguran?a sendo tratada no Modelo geral de seguran?a de conteúdos da MPAA.00O gráfico na parte superior de todas as páginas destaca a área de seguran?a sendo tratada no Modelo geral de seguran?a de conteúdos da MPAA.N.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oPS-9.0ChavesLimitar a distribui??o de chaves mestras para pessoal autorizado apenas (por exemplo, o proprietário, administra??o das unidades)Manter uma lista de pessoal da empresa que tem permiss?o para verificar chaves mestrasAtualizar a lista regularmente para remover todo o pessoal da empresa, que n?o precisa mais de acesso a chaves mestrasPS-9.1Implementar um processo de check-in/check-out para acompanhar e controlar a distribui??o de chaves mestrasManter registros para rastrear as seguintes informa??es:Pessoal da empresa em posse de cada chave mestraHorário de check-out/check-inMotivo para check-out7486650160655GlossárioTodos os termos que est?o incluídos no glossário s?o destacados em negrito e definidos no Anexo A.00GlossárioTodos os termos que est?o incluídos no glossário s?o destacados em negrito e definidos no Anexo A.5200650160655Orienta??es para implementa??oConsidera??es adicionais, etapas de implementa??o potenciais e exemplos s?o fornecidos para ajudar as organiza??es a implementar as melhores práticas.00Orienta??es para implementa??oConsidera??es adicionais, etapas de implementa??o potenciais e exemplos s?o fornecidos para ajudar as organiza??es a implementar as melhores práticas.3606165160655Melhores práticasAs melhores práticas s?o apresentadas para cada Tópico de seguran?a.00Melhores práticasAs melhores práticas s?o apresentadas para cada Tópico de seguran?a.1764030156210Tópico de seguran?aCada área de capacidade é composta de um ou mais "Tópicos de seguran?a". Cada Tópico de seguran?a é abordado com uma ou mais das melhores práticas.00Tópico de seguran?aCada área de capacidade é composta de um ou mais "Tópicos de seguran?a". Cada Tópico de seguran?a é abordado com uma ou mais das melhores práticas.-10795156210N.?A cada melhor prática é atribuído um número de referência na forma de XX-Y.Z. XX para a área geral, Y para o Tópico de seguran?a, e Z para o controle específico.00N.?A cada melhor prática é atribuído um número de referência na forma de XX-Y.Z. XX para a área geral, Y para o Tópico de seguran?a, e Z para o controle específico.P Diretrizes comuns das melhores práticasN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-1.0Conscientiza??o/Supervis?o de seguran?a executivaEstabelecer um sistema de gest?o de seguran?a de informa??o que implementa uma estrutura de controle para seguran?a da informa??o, que é aprovado pelo(s) proprietário(s)/alta administra??o.por ex., estrutura de ISMS do ISO27001, NIST, CoBIT, etc.MS-1.1Analisar as políticas e processos de gest?o de seguran?a da informa??o pelo menos anualmente.MS-1.2Treinar e envolver a gerência executiva/proprietário(s) nas responsabilidades do negócio para proteger os conteúdos pelo menos anualmente.MS-1.3Criar um grupo de gest?o de seguran?a da informa??o para estabelecer e analisar as políticas de gest?o de seguran?a da informa??o.MS-2.0Gest?o de riscoDesenvolver um processo formal e documentado de avalia??o de risco da seguran?a focado em fluxos de trabalho de conteúdos e em bens sensíveis, a fim de identificar e priorizar os riscos de roubo e de vazamento de conteúdos que sejam relevantes para a unidade.Definir uma margem clara para a avalia??o de risco de seguran?a e modificar conforme for necessárioIncorporar uma abordagem sistemática que utiliza probabilidade de ocorrência de risco, impacto na prote??o aos conteúdos/objetivos de negócio e classifica??o de ativos para atribuir prioridadeConsultar MS-6.0 quanto às melhores práticas relacionadas aos fluxos de trabalho documentadosN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-2.1Gest?o de riscoConduzir uma avalia??o de risco interna anualmente e nas principais mudan?as no fluxo de trabalho — baseadas no mínimo, nas Diretrizes comuns de melhores práticas da MPAA e nas Diretrizes complementares aplicáveis — e documentar e agir de acordo com os riscos identificados.Realizar reuni?es com a administra??o e as principais partes interessadas, pelo menos trimestralmente, para identificar e documentar os riscos de roubo e vazamento de conteúdosConduzir varreduras de vulnerabilidade de rede externa e interna e testes de penetra??o externa trimestralmente, de acordo com DS-1.8 e DS-1.9Identificar os riscos-chave que refletem onde a unidade acredita que as perdas de conteúdos podem ocorrerImplementar e documentar os controles para mitigar ou reduzir os riscos identificadosMonitorar e avaliar a eficácia dos esfor?os de remedia??o e controles implementados pelo menos trimestralmenteDocumentar e executar o or?amento para as iniciativas de seguran?a, atualiza??es e manuten??oMS-3.0Organiza??o de seguran?aIdentificar o(s) ponto(s)-chave de seguran?a de contato e formalmente definir papéis e responsabilidades de prote??o de conteúdos e de ativos.Preparar organogramas e descri??es de fun??es para facilitar a designa??o de papéis e responsabilidades no que se refere à seguran?a de conteúdosFornecer treinamento on-line ou presencial para preparar o pessoal de seguran?a em políticas e procedimentos que sejam relevantes para sua fun??oN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-4.0Políticas e procedimentosEstabelecer políticas e procedimentos relativos à seguran?a de ativos e conteúdos; as políticas devem abordar os seguintes tópicos, no mínimo:Uso aceitável (por exemplo, redes sociais, Internet, telefone, dispositivos pessoais, dispositivos móveis, etc.)Políticas de classifica??o e tratamento de ativos e conteúdosContinuidade de negócios (backup, reten??o e restaura??o)Política de gest?o de controle e configura??o de altera??esPolítica de confidencialidadeDispositivos digitais de grava??o (por exemplo, smartphones, c?meras digitais, filmadoras)Política de exce??o (por exemplo, o processo de documentar os desvios da política) Política de resposta a incidentesPolítica de dispositivos móveisPolíticas de rede, internet e rede sem fioControles de senha (por exemplo, o tamanho mínimo da senha, prote??o de tela)Política de seguran?aPolítica de visitantesPolítica disciplinar/de san??esMétodo an?nimo interno para comunicar pirataria ou utiliza??o incorreta de conteúdo (por ex., linha direta telef?nica ou e-mail)Considerar fluxos de trabalho específicos da unidade/segmento no desenvolvimento de políticas e procedimentos.Exigir que a administra??o assine todas as políticas e procedimentos antes de serem publicadas e liberadasComunicar medidas disciplinares em treinamento de orienta??o de novos contratadosConsultar o Anexo F para ter a lista de políticas e procedimentos a considerarN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-4.1Políticas e procedimentosRevisar e atualizar as políticas e procedimentos de seguran?a, pelo menos anualmente.Incorporar os seguintes fatores na revis?o anual de gest?o de políticas e procedimentos de seguran?a:Tendências recentes de seguran?aFeedback de pessoal da empresaNovas amea?as e vulnerabilidadesRecomenda??es de órg?os reguladores (ou seja, FTC etc.)Incidentes de seguran?a anterioresMS-4.2Comunicar e exigir uma assinatura de todo o pessoal da empresa (por exemplo, funcionários, funcionários temporários, estagiários) e funcionários terceirizados (por exemplo, empreiteiros, profissionais liberais, agências de temporários) para todas as políticas, procedimentos e/ou requisitos de clientes.Distribuir cópias do manual da empresa contendo todas as políticas e procedimentos gerais após a contrata??o de novo pessoal da empresa e funcionários terceirizadosAvisar o pessoal da empresa e os funcionários terceirizados sobre atualiza??es das políticas, procedimentos e requisitos dos clientesA administra??o deve manter a assinatura das políticas, procedimentos e requisitos dos clientes atuais para todo pessoal da empresa e funcionários terceirizadosMS-4.3Políticas e procedimentosDesenvolver e atualizar regularmente um programa de conscientiza??o sobre políticas e procedimentos de seguran?a e treinar o pessoal da empresa e funcionários terceirizados no ato da contrata??o e anualmente depois disso sobre políticas e procedimentos de seguran?a, tratando no mínimo das áreas seguintes:Políticas e procedimentos de seguran?a de TISeguran?a e tratamento de conteúdos/ativos em geral e requisitos específicos dos clientesRelatórios e escalonamento de incidentes de seguran?aPolítica disciplinarCriptografia e gest?o de chaves para todas as pessoas que lidam com conteúdo criptografadoProcessos de descarte e destrui??o de ativosComunicar mensagens de conscientiza??o de seguran?a durante reuni?es da administra??o/equipeImplementar procedimentos para acompanhar quais funcionários da empresa concluíram o treinamento de seguran?a anual (por ex., repositório de dados, registros de participantes, certificados de conclus?o)Fornecer treinamento on-line ou presencial no ato da contrata??o para instruir o pessoal da empresa e funcionários terceirizados sobre incidentes comuns, riscos correspondentes e as responsabilidades deles para relatar incidentes detectadosDistribuir materiais de conscientiza??o de seguran?a como cartazes, e-mails e boletins periódicos para incentivar a conscientiza??o de seguran?aDesenvolver mensagens adaptadas e treinamento com base nas responsabilidades de trabalho e intera??o com conteúdo sensível (por ex., pessoal de TI, produ??o) para mitigar problemas de piratariaConsiderar gravar as sess?es de treinamento e disponibilizar as grava??es para referênciaN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-5.0Resposta a incidentesEstabelecer um plano formal de resposta a incidentes que descreva as a??es a serem tomadas quando um incidente de seguran?a for detectado e informado.Considerar a inclus?o das seguintes se??es no plano de resposta a incidentes:Defini??o de incidenteAviso da equipe de seguran?aEscalada para a administra??oAnálise do impacto e prioridadeConten??o de impactoErradica??o e recupera??oInforma??es de contatos importantes, incluindo informa??es de contato do estúdio do clienteNotifica??o de parceiros de negócios e clientes afetadosNotifica??o dos oficiais da leiRelatório de detalhes do incidenteConsultar NIST SP800-61 revis?o 2 sobre o tratamento de incidentes de seguran?a informáticaMS-5.1Identificar a equipe de resposta a incidentes de seguran?a, que será responsável por detectar, analisar e remediar incidentes de seguran?a.Incluir representantes de diferentes fun??es empresariais, a fim de tratar incidentes de seguran?a de todos os tipos; considerar o seguinte:Administra??oSeguran?a físicaSeguran?a da informa??oEquipe de redeRecursos humanosJurídicoOferecer treinamento para que os membros da equipe de resposta a incidentes entendam suas fun??es e responsabilidades ao lidar com incidentesN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-5.2Resposta a incidentesEstabelecer um processo de comunica??o de incidentes de seguran?a para os indivíduos relatarem os incidentes detectados para a equipe de resposta a incidentes de seguran?a.Considerar a implementa??o de uma linha direta an?nima ou site que possam ser usado para relatar atividade imprópria e/ou suspeitaConsiderar a implementa??o de um e-mail do grupo para a comunica??o de incidentes que informaria todos os membros da equipe de resposta a incidentesConsiderar aproveitar a linha direta de denúncias da MPAA para denúncias an?nimas sobre atividades suspeitas – consultar as informa??es de contato da linha direta de denúncias 24 horas no Anexo HMS-5.3Comunicar incidentes prontamente aos clientes, cujos conteúdos possam ter sido vazados, roubados ou comprometidos (por exemplo, ativos de clientes em falta), e realizar uma reuni?o de pós-mortem com a administra??o e o cliente.Implementar um processo de notifica??o de viola??o de seguran?a, incluindo o uso de formulários de notifica??o de viola??oEnvolver a equipe jurídica para determinar as a??es corretas a tomar para relatar a perda de conteúdos para clientes afetadosDiscutir as li??es aprendidas com o incidente e identificar melhorias para o plano e processo de resposta a incidentesRealizar análise de causa raiz para identificar vulnerabilidades de seguran?a que permitiram que o incidente ocorresseIdentificar e implementar controles remediadores para evitar que incidentes semelhantes ocorram novamenteComunicar os resultados do pós-mortem, incluindo o plano de a??o corretiva, para os clientes afetadosN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-6.0Continuidade de negócios e Recupera??o de desastresEstabelecer um plano formal que descreva as a??es a serem tomadas para assegurar a continuidade de negócios.Considerar a inclus?o das se??es seguintes no plano de continuidade de negócios:Amea?as a ativos e conteúdos cruciais, incluindo perda de energia e telecomunica??es, falha de sistemas, desastres naturais, etc.Procedimentos detalhados de backup de sistema de informa??es, conteúdo e metadados e documento de sistema de informa??es, incluindo a configura??o de dispositivos cruciais de WAN e LAN/rede internaCriptografia de backups (no mínimo, criptografia AES 128 bits)Suprimento de energia de emergência para suportar pelo menos 15 minutos para o sistema CFTV e sistemas de informa??es cruciais, incluindo software para realizar desligamento seguro dos sistemas cruciaisConsiderar um local reserva fora do localAviso da equipe de seguran?aEscalada para a administra??oAnálise do impacto e prioridadeConten??o de impactoPrioridades para a recupera??o e procedimentos de recupera??o detalhados, incluindo alternativas manuais e detalhes de configura??o dos sistemas restauradosPrincipais informa??es de contatoNotifica??o de parceiros de negócios e clientes afetadosTestes dos processos de continuidade de negócios e de recupera??o de desastres pelo menos anualmenteMS-6.1Identificar a equipe de continuidade de negócios que será responsável por detectar, analisar e corrigir os incidentes de continuidade.Incluir fun??es e responsabilidades definidasFornecer treinamento, de modo que os membros da equipe de continuidade de negócios entendam suas fun??es e responsabilidadesMS-7.0Controle de altera??es e Gest?o de configura??oEstabelecer políticas e procedimentos para assegurar que novos dados, aplicativos, rede e componentes de sistemas foram aprovados previamente pela lideran?a de negócios.Incluir a documenta??o que descreve a instala??o, configura??o e uso dos dispositivos, servi?os e recursos e atualizar a documenta??o conforme necessárioDocumentar as políticas e procedimentos para lidar com problemas conhecidosIncluir políticas e procedimentos para comunica??o de bugs e vulnerabilidades de seguran?aRestringir e monitorar a instala??o de hardware ou software n?o autorizadoGerenciar os riscos associados com altera??es de dados, aplicativos, infraestrutura de rede e sistemasDocumentar e manter todas as solicita??es de altera??o, resultado de teste e aprova??es de gest?oMS-8.0Fluxo de trabalhoDocumentar fluxos de trabalho controlando conteúdo e pontos de verifica??o de autoriza??o. Incluir os processos seguintes para conteúdo físico e digital:Entrega (recebimento/devolu??o)InserirMovimentoArmazenamentoRemo??o/destrui??oUsar diagramas de pista de oscila??o para documentar fluxos de trabalhoIncluir ativos de processamento e tratamento da informa??o, quando aplicávelAvaliar cada ponto de contato quanto a riscos ao conteúdoImplementar controles em torno de postos de controle de autoriza??oIdentificar controles de aplicativos relacionadosMS-8.1Atualizar o fluxo de trabalho quando houver altera??es no processo e analisar o processo do fluxo de trabalho pelo menos anualmente para identificar altera??es.Seguir o fluxo de trabalho de conteúdos e os controles implementados para cada processo, a fim de determinar as áreas de vulnerabilidadeMS-9.0Segrega??o de fun??es Segregar as fun??es no fluxo de trabalho de conteúdos. Implementar e documentar os controles de compensa??o quando a segrega??o n?o for prática.Documentar papéis e responsabilidades para eliminar a sobreposi??o de fun??es de cargo baseadas em papéis, tais como:Pessoal da c?mara e da sala de servidor/máquinaPessoal de envio e recebimentoMovimento de ativos dentro da unidade (por exemplo, mensageiros) da c?mara e área de conteúdos/produ??oAcesso à pasta de ativos digitais (por exemplo, o argumentador de dados define o acesso para o produtor)Transferência de pessoal de conteúdos do pessoal de produ??oSegregar fun??es usando controles manuais (por exemplo, a aprova??o do produtor antes de trabalhar no conteúdo) ou controles automáticos no sistema de ordena??o de trabalho (por exemplo, a aprova??o automática para cada etapa do fluxo de trabalho)Implementar controles de compensa??o quando a segrega??o é inatingível, tais como:Monitorar a atividade do pessoal da empresa e/ou de funcionários terceirizadosManter e analisar os registros de auditoriaImplementar segrega??o físicaImpor um controle de gest?oN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-10.0Verifica??es de antecedentesExecutar verifica??es de triagem de antecedentes em todos os funcionários da empresa e funcionários terceirizados.Realizar verifica??es de antecedentes de acordo com as leis, regulamentos, estatutos de sindicatos e considera??es culturais pertinentesFazer triagem dos potenciais funcionários da empresa e funcionários terceirizados por meio de verifica??es de triagem de antecedentes que s?o proporcionais aos requisitos de negócio, à sensibilidade do conteúdo que será acessado, e possíveis riscos de roubo ou vazamento de conteúdosExecutar verifica??es de identidade, acadêmicas e de qualifica??o profissional quando necessárioSe as verifica??es de antecedentes n?o forem permitidas por lei, documentar como uma exce??o e usar verifica??o de referênciasMS-11.0Acordos de confidencialidadeExigir que todos os funcionários da empresa assinem um acordo de confidencialidade (por exemplo, de n?o divulga??o) na contrata??o e depois anualmente, que inclua requisitos de manipula??o e prote??o de conteúdos. Incluir orienta??es de n?o divulga??o relacionadas à confidencialidade após a rescis?o de seu contrato ou acordo de trabalhoExplicar a import?ncia da confidencialidade/n?o divulga??o em termos n?o jurídicos, conforme necessárioGarantir que todas as informa??es relevantes em equipamentos utilizados pelo pessoal da empresa para controlar o conteúdo sensível relacionado a negócios sejam transferidas para a organiza??o e removidas do equipamento com seguran?aA administra??o deve manter os acordos de confidencialidade assinados por todo o pessoal da empresaMS-11.1Exigir que todos os funcionários da empresa devolvam todos os conteúdos e as informa??es do cliente em sua posse após a demiss?o ou rescis?o de contrato.N.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-12.0Uso e triagem de terceirosExigir que todos os funcionários terceirizados (por exemplo, freelancers) que lidam com conteúdo assinem acordos de confidencialidade (por exemplo, de n?o divulga??o) na contrata??o. Incluir orienta??es de n?o divulga??o nas políticas relacionadas à confidencialidade durante o período de seu contrato ou acordo de trabalho e após a sua rescis?oExplicar a import?ncia da confidencialidade/n?o divulga??o em termos n?o jurídicos, conforme necessárioGarantir que todas as informa??es relevantes em equipamentos utilizados pelos funcionários terceirizados para controlar o conteúdo sensível relacionado a negócios sejam transferidas para a organiza??o e removidas do equipamento com seguran?aA administra??o deve manter os acordos de confidencialidade assinados por todos os funcionários terceirizadosIncluir requisitos para manipula??o e prote??o de conteúdosMS-12.1Exigir que todos os funcionários terceirizados devolvam todos os conteúdos e as informa??es do cliente em sua posse após a rescis?o de seu contrato.MS-12.2Incluir requisitos de seguran?a em contratos de terceiros.Exigir que os funcionários terceirizados cumpram os requisitos de seguran?a especificados nos contratos de terceiros e nos requisitos do clienteIncluir uma cláusula de direito de auditoria para as atividades que envolvem o conteúdo sensívelImplementar um processo para monitorar a conformidade com os requisitos de seguran?aMS-12.3Implementar um processo para recuperar conteúdos quando os vínculos laborais terminarem.Garantir que todos os conteúdos em equipamentos de terceiros sejam transferidos para a organiza??o e removidos do equipamento com seguran?aN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oMS-12.4Uso e triagem de terceirosExigir que os funcionários terceirizados sejam vinculados e segurados quando necessário (por exemplo, servi?o de courier).Exigir que os funcionários terceirizados mostrem a prova de seguros e mantenham um registro de sua empresa de seguros e o número da apóliceExigir que um seguro de terceiros atenda a um determinado nível de coberturaExigir a atualiza??o anual das informa??es quando os contratos forem renovadosMS-12.5Restringir o acesso de terceiros a áreas de conteúdos/produ??o a n?o ser que seja necessário para sua fun??o laboral.Garantir que os funcionários terceirizados n?o tenham acesso eletr?nico às áreas que abrigam conteúdoAcompanhar funcionários terceirizados (por exemplo, equipes de limpeza) quando o acesso a áreas restritas (por exemplo, caixa-forte) for necessárioMS-12.6Notificar os clientes se subcontratados forem usados para manipular conteúdos ou o trabalho for transferido para outra empresa.Exigir assinatura/aprova??o por escrito do clienteExigir que os subcontratados passem por atividades de diligência devida padr?oO trabalho transferido para outra empresa deve ser comunicado para os estúdios membros da MPAA e o questionário de fornecedor da MPAA deve ser respondido e fornecido aos estúdios membros para a diligência devida deles.N.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oPS-1.0Pontos de entrada/saídaSempre proteger todos os pontos de entrada/saída da unidade, incluindo as portas e janelas das docas de carga.Autorizar que os pontos de entrada/saída sejam desbloqueados durante o horário comercial, se a área de recep??o for separada do resto da unidade com portas de acesso controladoPS-1.1Controlar o acesso às áreas em que conteúdos s?o manipulados através da segrega??o da área de conteúdos de outras áreas da unidade (por exemplo, escritórios administrativos, salas de espera, docas de carga, áreas de coleta e entrega do courier, replica??o e masteriza??o).Permitir acesso a áreas de conteúdo/produ??o com base na necessidade de saberExigir que as salas utilizadas para fins de exibi??o sejam de acesso controlado (por exemplo, cabines de proje??o).Limitar o acesso a salas onde os participantes de mídia estejam presentes (por exemplo, Blu-ray, DVD)Impor um modelo de segrega??o de fun??es que restrinja uma única pessoa de ter acesso tanto às salas de replica??o quanto de masteriza??oPS-1.2Controlar o acesso onde houver empresas co-instaladas em uma unidade, o que inclui, entre outros, o seguinte:Segrega??o das áreas de trabalhoImplementa??o de entradas e saídas com acesso controlado que possam ser segmentadas por unidade de negóciosRegistro e monitoramento de todas as entradas e saídas na unidadeTodos os inquilinos na unidade devem ser comunicados ao cliente antes da contrata??oN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oPS-2.0Entrada/Saída de visitanteManter registro detalhado dos visitantes e incluir o seguinte:NomeEmpresaHora de entrada/Hora de saídaPessoa/pessoas visitadasAssinatura do visitanteNúmero de crachá atribuídoVerificar a identidade de todos os visitante obrigando-os a apresentar documento de identifica??o com foto válido (por exemplo, carteira de motorista ou identifica??o emitida pelo governo)Considerar esconder os nomes dos visitantes anterioresPS-2.1Atribuir um crachá de identifica??o ou adesivo, que deve ficar visível em todos os momentos, para cada visitante e coletar os crachás na saída.Fazer crachás de visitantes facilmente distinguíveis de crachás do pessoal da empresa (por exemplo, crachás de plástico com código de cores)Considerar uma rotatividade diária da cor dos crachás de papel ou das etiquetasConsiderar o uso de crachás que mudam de cor ao expirarRegistrar atribui??es do crachá na entrada/saídaOs crachás de visitantes devem ser numerados sequencialmente e monitoradosContabilizar os crachás diariamentePS-2.2N?o fornecer aos visitantes acesso com cart?o chave às áreas de conteúdos/produ??o.PS-2.3Exigir que os visitantes sejam acompanhados por funcionários autorizados, enquanto no local, ou nas áreas de conteúdos/produ??o.N.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oPS-3.0Identifica??oFornecer ao pessoal da empresa e aos funcionários terceirizados de longo prazo (por exemplo, limpeza) crachá de identifica??o com foto e que deve ficar visível em todos os momentos.Emitir um crachá de identifica??o com foto para todo pessoal da empresa e funcionários terceirizados de longo prazo depois de uma verifica??o de antecedentes ser concluídaEstabelecer e implementar um processo para recuperar o crachá de identifica??o com foto imediatamente após a rescis?oConsiderar a omiss?o da localiza??o, nome da empresa, logotipo e outras informa??es específicas no crachá de identifica??o com fotoConsiderar o uso do crachá de identifica??o com foto como o cart?o chave de acesso, sempre que possívelExigir que os funcionários comuniquem imediatamente a perda ou roubo dos crachás de identifica??o com fotoFornecer um número de telefone ou site que funcione 24 horas, sete dias por semana, para informar a perda ou roubo dos crachás de identifica??o com fotoTreinar e incentivar os funcionários a contestarem pessoas sem identifica??o visível PS-4.0Seguran?a do perímetroImplementar controles de seguran?a do perímetro que tratam dos riscos aos quais a unidade pode ser exposta quando identificada pela avalia??o de risco da organiza??o.Implementar controles de seguran?a com base na localiza??o e layout da unidade, tais como:Restringir o acesso do perímetro com o uso de paredes, cercas e/ou portas que, pelo menos, sejam seguras após o expediente; paredes/cercas devem ter 2,40 m ou maisProteger e fechar, se necessário, áreas externas comuns, tais como as zonas de fumantes e varandas abertasFazer a cobertura da c?mera externa suficiente em torno das áreas exteriores comuns (por exemplo, áreas de fumantes) e do estacionamento Ter conhecimento do uso excessivo de placas de sinaliza??o da empresa que possa criar pontos alvoUsar alarmes em torno do perímetro, conforme necessárioPS-4.1Colocar guardas de seguran?a nas entradas do perímetro e em pontos de entrada/saída n?o-emergenciais.PS-4.2Seguran?a do perímetroImplementar um processo de patrulha diária de seguran?a com cronograma aleatório e documentar os resultados de patrulha em um registro.Exigir que os guardas de seguran?a patrulhem áreas externas e internasIncluir uma análise das saídas de emergência, incluindo a verifica??o de veda??esConsiderar o uso de um sistema de patrulhamento da guarda para acompanhar o patrulhamento (por exemplo, ponto de inspe??o) e verificar fechadurasPS-4.3Sempre trancar os port?es do perímetro.Implementar uma cancela eletr?nica, controlada por pessoal de seguran?a, para controlar o acesso de veículos à unidadeDistribuir licen?as de estacionamento para o pessoal da empresa e de terceiros que tenham concluído a documenta??o necessáriaExigir que os veículos de visitantes apresentem documento de identifica??o e garantir que todos os visitantes tenham sido pré-autorizados a entrar nas unidadesPS-5.0AlarmesInstalar um sistema de alarme sonoro centralizado que abranja todos os pontos de entrada/saída (incluindo as saídas de emergência), janelas, docas de carga, saídas de incêndio e áreas restritas (por exemplo, caixa-forte, sala de servidor/máquina, etc.). Colocar alarmes em cada entrada para alertar o pessoal de seguran?a sobre entrada n?o autorizada na unidadeAtivar o alarme quando a unidade estiver sem supervis?oPS-5.1Instalar e posicionar de maneira eficaz detectores de movimento em áreas restritas (por exemplo, caixa-forte, sala de servidor/máquina etc.) e configurá-los para alertar o pessoal de seguran?a e outros funcionários apropriados (por exemplo, gerentes de projetos, produtor, editor-chefe, equipe de resposta a incidentes, etc.).Verificar se o sistema de alarme abrange áreas de armazenamento e caixas-fortes (por exemplo, através de sensores de movimento), após o horário comercial normal, como uma camada adicional de seguran?aPS-5.2Instalar alarmes de suporte de porta em áreas restritas (por exemplo, caixa-forte, sala de servidor/máquina, etc.) para notificar quando pontos sensíveis de entrada/saída s?o abertos por mais tempo do que um período pré-determinado (por exemplo, 60 segundos).Configurar portas de acesso controlado para disparar alarmes e alertar o pessoal de seguran?a quando as portas forem mantidas abertas por um período de tempo prolongadoPS-5.3AlarmesConfigurar os alarmes para fornecer notifica??es de escala??o diretamente ao pessoal encarregado pela seguran?a e outros funcionários (por exemplo, gerentes de projetos, produtor, editor-chefe, equipe de resposta a incidentes, etc.).Estabelecer e implementar procedimentos de escalonamento a serem seguidos se uma resposta oportuna n?o for recebida do pessoal de seguran?a após a notifica??oConsiderar a implementa??o de notifica??o automática de execu??o da lei em caso de viola??oImplementar procedimentos de notifica??o nos finais de semana e após o horário comercialPS-5.4Atribuir códigos de armar e desarmar exclusivos a cada pessoa que requeira o acesso ao sistema de alarme e restringir o acesso a todas as outras equipes de pessoal.Usar códigos de alarme exclusivos para controlar qual pessoal de seguran?a foi responsável por armar/desarmar o alarmeAtualizar os códigos de alarme atribuídos em um intervalo aprovado pela administra??o, a fim de reduzir o risco envolvido com o compartilhamento e perda de códigosPS-5.5Analisar a lista de usuários que podem armar e desarmar os sistemas de alarmes trimestralmente ou depois de altera??o de pessoal.Remover usuários que deixaram a empresa ou mudaram as fun??es de trabalhoDesativar os códigos de alarme que foram atribuídos aos usuários removidosPS-5.6Testar o sistema de alarmes trimestralmente.Simular uma viola??o de seguran?a física e garantir o seguinte:Sistema de alarme detecta a viola??oO pessoal de seguran?a é alertadoO pessoal de seguran?a responde em tempo hábil de acordo com os procedimentosPS-5.7Implementar medidas de seguran?a contra incêndio, de modo que no caso de uma falta de energia, as portas corta-fogo fiquem abertas e todas as outras fechadas para impedir o acesso n?o autorizado.PS-6.0Autoriza??oDocumentar e implementar um processo para gerenciar acesso à unidade e manter registros de todas as altera??es aos direitos de acesso.Designar uma pessoa para autorizar o acesso à unidadeNotificar o pessoal adequado (por exemplo, gerência da unidade) sobre as mudan?as no estatuto de funcionárioCriar um formulário físico ou eletr?nico que deve ser preenchido por um supervisor para solicitar acesso à unidade para o pessoal da empresa e/ou funcionários terceirizadosAtribuir a responsabilidade de investigar e aprovar as solicita??es de acessoPS-6.1Restringir o acesso a sistemas de produ??o somente ao pessoal autorizado.PS-6.2Revisar o acesso a áreas restritas (por exemplo, caixa-forte, sala de servidor/máquina) trimestralmente e quando os papéis ou situa??o de emprego do pessoal da empresa e/ou funcionários terceirizados forem alterados.Validar a situa??o de pessoal da empresa e dos funcionários terceirizadosRemover os direitos de acesso dos usuários com contrato rescindidoVerificar se o acesso continua a ser apropriado para a fun??o associada aos usuáriosPS-7.0Controle de acesso eletr?nicoImplementar o acesso eletr?nico em toda a unidade para cobrir todos os pontos de entrada/saída e todas as áreas onde o conteúdo é armazenado, transmitido ou processado.Atribuir o acesso eletr?nico a áreas específicas da unidade com base na fun??o e responsabilidades de trabalhoAtualizar o acesso eletr?nico de acordo quando os papéis mudarem ou após a rescis?o do pessoal da empresa e dos funcionários terceirizadosManter um registro que mapeie o número de dispositivos de acesso eletr?nico ao pessoal da empresaConsultar Registro e monitoramento PS-10.0Analisar os momentos em que o acesso eletr?nico n?o é necessário para as áreas comuns (por exemplo, elevadores públicos).PS-7.1Controle de acesso eletr?nicoRestringir a administra??o do sistema de acesso eletr?nico ao pessoal apropriado.Restringir a administra??o do sistema eletr?nico ao pessoal designado e n?o permitir que as pessoas que têm acesso ao conteúdo de produ??o executem tarefas administrativas de acesso eletr?nicoAtribuir uma equipe independente para administrar e gerenciar o acesso eletr?nicoPS-7.2Armazenar o estoque de cart?es e os dispositivos de acesso eletr?nico (por exemplo, cart?es de acesso, chaves de seguran?a) em um armário fechado e garantir que os dispositivos de acesso eletr?nico permane?am desativados antes de serem atribuídos ao pessoal. Armazenar dispositivos de acesso eletr?nico n?o atribuídos (por exemplo, cart?es de acesso, chaves de seguran?a) em um armário fechado e garantir que permane?am desativados antes de serem atribuídos ao pessoal.Limitar o acesso ao armário fechado à equipe de administra??o do sistema de cart?es de acesso/dispositivo de acesso eletr?nicoExigir sign-out para a remo??o de estoquePS-7.3Desativar dispositivos de acesso eletr?nico perdidos (por exemplo, cart?es de acesso, chaves de seguran?a) no sistema antes de emitir um novo dispositivo de acesso eletr?nico.Educar o pessoal da empresa e os funcionários terceirizados a relatar dispositivos de acesso eletr?nico perdidos imediatamente para evitar o acesso n?o autorizado à unidadeExigir a identifica??o antes de emitir dispositivos de acesso eletr?nicos de substitui??oPS-7.4Emitir dispositivo de acesso eletr?nico para acesso de terceiros, com uma data de validade definida (por exemplo, 90 dias) com base em um calendário aprovado.Assegurar que os dispositivos de acesso eletr?nico de terceiros sejam facilmente distinguíveis dos dispositivos de acesso eletr?nico do pessoal da empresaCertificar-se de que a data de validade é facilmente identificável nos dispositivos de acesso eletr?nicoAtribuir o acesso aos dispositivos de acesso eletr?nico de terceiros com base na necessidade de saberPS-8.0ChavesLimitar a distribui??o de chaves mestras para pessoal autorizado apenas (por exemplo, o proprietário, administra??o das unidades).Manter uma lista de pessoal da empresa que tem permiss?o para verificar chaves mestrasAtualizar a lista regularmente para remover todo o pessoal da empresa, que n?o precisa mais de acesso a chaves mestrasPS-8.1Implementar um processo de check-in/check-out para acompanhar e controlar a distribui??o de chaves mestras e/ou chaves para áreas restritas.Manter registros para rastrear as seguintes informa??es:Pessoal da empresa em posse de cada chave mestraHorário de check-out/check-inMotivo para check-outExigir que chaves mestras sejam devolvidas dentro de um determinado período de tempo e investigar a localiza??o de chaves que n?o foram devolvidas no prazoPS-8.2Usar chaves que só possam ser copiadas por um chaveiro específico para pontos de entrada/saída exteriores.Usar chaves de alta seguran?a (cilindros), que oferecem um maior grau de resistência a quaisquer duas ou mais das seguintes a??es: PicagemMoldagemDuplica??o de chavePerfura??oOutras formas de entrada for?adaPS-8.3Inventariar chaves mestras e chaves para áreas restritas, incluindo pontos de entrada/saída da instala??o, trimestralmente.Identificar, investigar e solucionar todas as chaves desaparecidas (perdidas/roubadas)Analisar os registros para determinar quem fez check-out por último de uma chave cujo paradeiro se desconheceMudar as fechaduras quando chaves mestras ou chaves para áreas restritas estiverem faltando ou cujo paradeiro se desconhecePS-8.4Obter todas as chaves de funcionários/terceiros com contrato rescindido ou aqueles que n?o precisarem mais de acesso.PS-8.5ChavesImplementar o controle de acesso eletr?nico ou ou trocar as chaves de toda a unidade quando chaves-mestras ou chaves-mestras substitutas forem perdidas ou estiverem desaparecidas.PS-9.0C?merasInstalar um sistema de CFTV que registra todos os pontos de entrada/saída da instala??o e áreas restritas (por exemplo, sala de servidor/máquinas etc.). Cabos e fia??o de c?meras devem ser discretamente escondidos e n?o ficar ao alcanceA unidade n?o deve presumir que o CFTV fornecido pelo prédio é adequadoColocar as c?meras em todas as entradas da unidadeGarantir que as c?meras cubram as áreas de armazenamento e caixas-fortePS-9.1Revisar o posicionamento das c?meras e registros para assegurar a cobertura, fun??o, qualidade de imagem, condi??es de ilumina??o e taxa de quadros das imagens adequadas de vigil?ncia, pelo menos diariamente.Analisar o posicionamento da c?mera para garantir uma vis?o desobstruída de todos os pontos de entrada/saída e outras áreas sensíveisAcomodar c?meras em áreas escuras (por exemplo, c?meras de baixa luminosidade ou infravermelho, luzes de detec??o de movimento)Analisar a qualidade de imagem para assegurar que a ilumina??o é adequada e que os rostos s?o distinguíveisAnalisar taxa de quadros para garantir que a atividade é gravada adequadamentePosicionar as c?meras para evitar a captura de conteúdo em exibi??oGravar com resolu??o suficiente para ser possível identificar tra?os faciaisGravar em uma taxa mínima de 7 quadros por segundoPS-9.2Restringir o acesso físico e lógico ao console de CFTV e equipamentos de CFTV (por exemplo, DVRs) ao pessoal responsável pela administra??o/monitoramento do sistema.Colocar o equipamento de CFTV em um local de acesso controlado e seguro (por exemplo, sala de computador, armário fechado, gaiola)Realizar revis?es periódicas de acesso para garantir que somente os indivíduos apropriados tenham acesso a equipamentos de vigil?nciaGarantir que o console da Web para sistemas de CFTV baseados em IP seja restrito a pessoas autorizadas e que os controles de gest?o de conta sólidos estejam em vigorando (por exemplo, a complexidade de senha, login de usuário individual, registro e monitoramento)PS-9.3C?merasCertificar-se de que o registro de imagens da c?mera inclui uma data precisa e marca de data/hora e retém imagens de vigil?ncia de CFTV e dos registros de acesso eletr?nico durante pelo menos 90 dias, ou o tempo máximo permitido por lei, em um local seguro.Gravar a hora e a data em mídia física relacionada à filmagem gravada em fita ou discoCertificar-se de que marcas de data/hora precisas sejam mantidas no equipamento de grava??o de imagens de c?mera digitalAnalisar dados e a marca??o de hora quanto à precis?o pelo menos semanalmenteConsiderar armazenar os registros em um armário de telecomunica??es de acesso controlado ou sala de informáticaDeterminar a quantidade típica de espa?o necessário para um dia de registro e garantir que o tamanho do registro é grande o suficiente para manter os registros por pelo menos 90 dias, ou o período de reten??o máximo permitido por leiConsiderar a reten??o de imagens de vigil?ncia de CFTV até a primeira data de lan?amento da produ??oPS-9.4Designar um funcionário ou grupo de funcionários para monitorar as imagens de vigil?ncia durante o horário de funcionamento e investigar incidentes de seguran?a detectados imediatamente.Incorporar o processo de resposta a incidentes para lidar com incidentes de seguran?aConsiderar a adi??o de um monitor de vigil?ncia na recep??o ou no escritório de TIPS-10.0Registro e monitoramentoRegistrar e avaliar o acesso eletr?nico a áreas restritas para eventos suspeitos pelo menos semanalmente.Identificar e documentar um conjunto de eventos que s?o considerados suspeitosConsiderar a implementa??o de um processo de comunica??o automatizado que envia alertas em tempo real para o pessoal de seguran?a adequado quando atividade de acesso eletr?nico suspeita for detectadaMantes os registros por, no mínimo, um anoRegistrar e avaliar os seguintes eventos:Tentativas repetidas de acesso com falhaAcesso em hora do dia incomum Acesso sucessivo à porta em várias zonasPS-10.1Registro e monitoramentoRegistrar e analisar o acesso eletr?nico, pelo menos diariamente, para as áreas seguintes:Caixa-forte de masters/marcadoresPremasteriza??oSala de servidor/máquinasSala de sucataArma??es de alta seguran?aIdentificar e documentar os eventos que s?o considerados incomunsConsiderar a implementa??o de um processo de comunica??o automatizado que envia alertas em tempo real para o pessoal de seguran?a adequado quando atividade de acesso eletr?nico suspeita for detectada.PS-10.2Investigar atividades suspeitas de acesso eletr?nico que forem detectadas.Identificar e comunicar os principais contatos que devem ser notificados após a detec??o de atividade de acesso eletr?nico incomumEstabelecer e implementar procedimentos de escala??o que devem ser seguidos se os contatos primários n?o responderem à notifica??o de eventos em tempo hábilPS-10.3Manter um registro permanente de todos os incidentes de acesso eletr?nico confirmados e incluir a documenta??o de todas as atividades de acompanhamento que foram tomadas.Aproveitar o formulário de relatório de resposta a incidentes para documentar incidentes confirmados com o cart?o de acesso/dispositivo de acesso eletr?nicoAnalisar todos os incidentes recentes com o cart?o de acesso/ dispositivo de acesso eletr?nico periodicamente e realizar análise de causa raiz para identificar vulnerabilidades e corre??es apropriadasPS-11.0BuscasEstabelecer uma política, conforme permitido pelas leis locais, que permita que a seguran?a reviste aleatoriamente pessoas, bolsas, pacotes e itens pessoais para o conteúdo do cliente. Comunicar as políticas de revista a todos os funcionários da empresa e aos funcionários terceirizadosRealizar revistas periódicas ao pessoal da empresa e aos funcionários terceirizados para validar políticaPS-11.1BuscasImplementar um processo de revista à saída que seja aplicável a todo o pessoal da unidade e visitantes, incluindo:Remo??o de todos os sobretudos, chapéus e cintos para inspe??oRemo??o do conteúdo de todos os bolsosDesempenho de uma autovarredura geral com a supervis?o de seguran?aInspe??o completa de todas as sacolasInspe??o de bandeja de CD/DVD de notebooksVarredura de indivíduos com um detector de metais portátil usado a cerca de sete centímetros do indivíduo revistadoInstruir os guardas de seguran?a para procurarem itens que sejam proibidos de serem trazidos para o local (por exemplo, c?meras) ou materiais de filmes que n?o sejam permitidos de serem trazidos para a parte externa da unidade sem a devida autoriza??oComunicar as políticas de revista de saída a todos os funcionários da empresa e aos funcionários de terceirizadosEscalonar mudan?as de turno para evitar longas filas e tempos de espera longosPS-11.2 Proibir o pessoal de entrar/sair da unidade com dispositivos de grava??o digital (por exemplo, unidades USB, c?meras digitais, telefones celulares) e incluir a busca desses dispositivos, como parte do processo de revista de saída.Confiscar quaisquer dispositivos de grava??o digital detectados e armazená-los em armários segurosDocumentar quaisquer incidentes de tentativa de roubo de conteúdosTomar as medidas disciplinares necessárias para os indivíduos que tentam roubo de conteúdoImplementar e aplicar uma política de proibi??o de dispositivos móveis/celulares com capacidade de grava??o digitalPermitir telefones celulares com recurso de grava??o digital se forem usados adesivos de lacre invioláveisPS-11.3Refor?ar o uso de sacos de plástico para alimentos e recipientes transparentes para qualquer alimento trazido para as áreas de produ??o.Considerar designar uma área para comer fora da área de produ??oPS-11.4Implementar uma política de código de vestimenta que proíba o uso de roupas de grandes dimens?es (por exemplo, cal?as largas, moletons muito grandes com capuz).PS-11.5Usar etiquetas/hologramas numerados invioláveis para identificar dispositivos autorizados que podem entrar e sair da unidade.PS-11.6BuscasImplementar um processo para testar o procedimento de revista de saída.Realizar auditorias periódicas do processo de revista para assegurar que os guardas de seguran?a s?o meticulosos em suas revistasIdentificar formas de melhorar o processo de revista de saídaDocumentar todas as auditorias e melhoramento do processo de revistaPS-11.7Realizar um processo de revista aleatória no veículo ao sair do estacionamento da unidade.PS-11.8Segregar as linhas de replica??o que processam conteúdo altamente sensível e realizar revistas ao sair de áreas segregadas.PS-11.9Implementar controles adicionais para monitorar a atividade de guarda de seguran?a.Rever o processo de revista de saída para os guardas de seguran?a ao sairSegregar responsabilidades de guardas de seguran?a para supervisionar áreas da unidade/produ??o a partir dos pontos de saída (por exemplo, processo de pesquisa)N.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oPS-12.0Controle de estoqueImplementar um sistema de gest?o de ativos de conteúdo para fornecer acompanhamento detalhado de ativos físicos (ou seja, recebido de cliente criado na unidade).Exigir um formulário de libera??o ou ordem de servi?o para confirmar que o conteúdo pode ser verificado por um indivíduo específicoExigir que as pessoas apresentem a identifica??o para autentica??oExigir uma etiqueta (por exemplo, código de barras, identifica??o única) para todos os ativosRegistrar todos os ativos que est?o em check-in/check-outRegistrar a dura??o esperada de cada check-outConsiderar o uso de um alerta automatizado para fornecer notifica??es de ativos que n?o foram devolvidos no fim do dia útil ou do período de tempo autorizadoRastrear e acompanhar indivíduos que têm com ativos em check-out pendentesRegistrar a localiza??o de cada ativoRegistrar a data e hora de cada transa??oPS-12.1Colocar código de barras ou atribuir identificadores de controle únicos nos ativos de clientes e mídias criadas (por exemplo, fitas, discos rígidos) após o recebimento e armazenar os ativos na caixa-forte quando n?o estiverem em uso.Aplicar códigos de barras duplos para rastrear os ativos (ou seja, código de barras, tanto no ativo como no recipiente/caixa).Enviar os ativos diretamente para a caixa-forte depois de colocar o código de barras e devolver os ativos para a caixa-forte imediatamente quando n?o forem mais necessáriosPS-12.2Reter os registros de transa??o de movimento do ativo por pelo menos um ano.Armazenar registros físicos ou digitais para todos os movimentos de ativos; os registros devem incluir:Código de barras ou identifica??o exclusiva de ativo que fez check-in/check-outHorário e data do check-in/check-outNome e ID exclusivo do indivíduo que fez check-out ao ativoMotivo para check-outLocaliza??o do ativoPS-12.3Controle de estoqueAnalisar registros do sistema de gest?o de ativos de conteúdo pelo menos semanalmente e investigar anomalias.Identificar ativos que n?o foram devolvidos até a data de retorno esperadaFazer acompanhamento de indivíduos que fizeram check-out por último de ativos que est?o faltandoImplementar procedimentos disciplinares para os indivíduos que n?o seguem políticas de gest?o de ativosConsiderar a implementa??o de notifica??o automática quando os ativos estiverem em check-out por longos períodos de tempoPS-12.4Usar apelidos para o título do filme do estúdio quando aplicável nos ativos físicos e nos sistemas de rastreamento de ativos.Considerar a remo??o do nome de estúdio em ativos físicos, quando apropriadoPS-12.5Implementar e analisar um relatório diário de vencimento para identificar ativos altamente sensíveis que forem retirados da caixa-forte com check-out e n?o tiverem o check-in registrado de volta.Fazer relatórios diários de vencimento manualmente ou através de um sistema de gest?o de ativosInvestigar todas as exce??esPS-12.6Trancar e registrar bens que est?o em atraso ou devolvidos se as remessas n?o puderem ser entregues a tempo.Estabelecer um procedimento para armazenar os ativos em uma área de acesso controladoManter a documenta??o que registra o armazenamento no local de ativos, incluindo a data e a raz?o para o armazenamentoPS-13.0Contagens de estoqueEfetuar uma contagem de estoque trimestral do(s) ativo(s) de cada cliente, reconciliar com os registros de gest?o de ativos e comunicar imediatamente as varia??es para os clientes.PS-13.1Segregar fun??es entre os funcionários da caixa-forte e as pessoas responsáveis por executar as contagens de estoque.Atribuir ao pessoal que n?o é da caixa-forte a execu??o de verifica??es aleatórias dos resultados da contagemN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oPS-14.0Rastreamento de mídia em branco/matérias-primasEtiquetar estoque em branco/matérias-primas (por exemplo, código de barras, atribuir identificador exclusivo) por unidade quando recebido.N?o permitir mídia em branco ou matérias-primas nas áreas de produ??o protegidas a menos que seja necessário para fins de produ??oPS-14.1Estabelecer um processo para monitorar o consumo de matérias-primas (por exemplo, policarbonato) mensalmente.Reconciliar as matérias-primas existentes com ordens de trabalho para identificar as varia??es nos estoquesEstabelecer um limite de varia??o que desencadeia o processo de resposta a incidentes, quando ultrapassadoConsiderar a realiza??o de contagens físicas de matérias-primas, como parte do processo de rastreamento mensalPS-14.2Armazenar mídia em branco/matérias-primas em um local protegido.Exigir controles de acesso (por exemplo, armário fechado, cofre) para evitar o acesso n?o autorizadoRestringir o acesso a mídia em branco/ matérias-primas ao pessoal responsável pela cria??o de produ??oExigir que as pessoas apresentem um pedido de ordem de servi?o correto para fazer check-out na mídia em branco/matérias-primasPS-15.0Ativos de clientes Restringir o acesso a ativos de clientes acabados ao pessoal responsável por rastrear e gerenciar ativos.Restringir o acesso apenas a pessoal da caixa-forte, os quais poder?o em seguida autorizar os indivíduos a fazer check-out nos ativos de clientes quando apresentados com um pedido válido de ordem de servi?oSegregar fun??es de modo que nenhum membro da equipe da caixa-forte manipule dados de produ??o para o processamentoPS-15.1Armazenar ativos de clientes em uma área restrita e segura (por exemplo, caixa-forte, cofre ou outro local de armazenamento seguro).Implementar um cofre adicional ou arma??o de alta seguran?a dentro da caixa-forte para os títulos altamente sensíveisFixar o cofre na parede ou piso parafusando-o à estrutura da salaPS-15.2Solicitar dois funcionários da empresa com cart?es de acesso separados para desbloquearem áreas altamente sensíveis (por exemplo, cofre, caixa forte de alta seguran?a) após o expediente.PS-15.3Ativos de clientesUsar um cofre à prova de fogo trancado para armazenar pacotes n?o entregues que forem mantidos na unidade durante a noite.Proteger o cofre parafusando-o em uma superfície imóvel (por exemplo, piso, parede)PS-15.4Implementar uma área dedicada segura (por exemplo, c?mara de seguran?a, sala de seguran?a) para o armazenamento de visualizadores n?o entregues que esteja trancada, de acesso controlado e monitorada com c?meras de vigil?ncia e/ou guardas de seguran?a,Limitar o acesso ao pessoal que necessita de acesso para a sua fun??o no trabalhoCertificar-se de que a área de armazenamento de visualizadores está completamente fechada, bloqueada e controlada em todas as ocasi?esImplementar um processo para rever imagens de vigil?ncia regularmentePS-16.0DescarteExigir que estoque rejeitado, danificado e obsoleto contendo ativos de clientes seja apagado, desmagnetizado, cortado em peda?os, ou fisicamente destruído antes do descarte.Implementar processos de inventário e reconciliar estoque, e em seguida reciclar ou destruir estoque rejeitado, danificado e obsoleto com seguran?aDanificar a mídia irreparavelmente antes de colocá-la na lixeira de sucataConsiderar consultar o código 5220.22-M do Departamento de Defesa dos EUA quanto às normas de destrui??o e limpeza digital (consultar o anexo G)PS-16.1Armazenar elementos direcionados para a reciclagem/destrui??o em um local/recipiente seguro para impedir a cópia e reutiliza??o de ativos antes do descarte.Estabelecer e implementar políticas que limitem a dura??o (por exemplo, 30 dias) de armazenamento de estoque rejeitado, danificado e obsoleto antes de reciclar/destruirManter os ativos altamente sensíveis em áreas seguras (por exemplo, caixa-forte, cofre) antes da reciclagem/destrui??oAssegurar que os depósitos de desperdícios sejam bloqueadosPS-16.2Manter um registro de descarte de ativos por pelo menos 12 meses.Integrar o registro de descarte de ativos no processo de gest?o de ativosIncluir um registro de descarte final para os bens descartados em registros de elimina??oPS-16.3DescarteA destrui??o deve ser realizada no local. A destrui??o no local deve ser supervisionada e assinada por dois funcionários da empresa. Se uma empresa terceirizada de destrui??o for contratada, a destrui??o deve ser supervisionada e assinada por dois funcionários da empresa e os certificados da destrui??o devem ser mantidos. Considerar exigir as seguintes informa??es no certificado de destrui??o:Data de destrui??oDescri??o do ativo destruído/descartadoMétodo de destrui??oNome da pessoa que destruiu os ativosPS-16.4Usar a automa??o para transferir discos rejeitados de máquinas de replica??o diretamente em caixas de sucata (sem manuseio do operador de máquina).Usar a segrega??o de fun??es (por exemplo, o pessoal que cria o disco de verifica??o é separado do pessoal que destrói o disco) onde a elimina??o automática n?o for uma op??o.Manter um registro assinado da data e da hora em que o disco foi eliminadoN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oPS-17.0Expedi??oExigir à unidade que gere uma ordem de servi?o/expedi??o válida para autorizar as remessas de ativos para fora da unidade.Incluir a seguinte informa??o na ordem de servi?o/expedi??o:Número de ordem de servi?o/expedi??oNome e empresa da pessoa que vai coletar o conteúdoData e hora da coletaContato da unidadeCriar um formulário para documentar ativos de saída que s?o transportados por meio de métodos incomunsPS-17.1Acompanhar e registrar detalhes de remessa de ativos do cliente; no mínimo, incluir o seguinte:Hora da expedi??oNome do remetente e assinaturaNome do destinatárioEndere?o de destinoNúmero de rastreamento do courierReferência à ordem de servi?o correspondenteExigir assinatura do destinatárioManter registros de expedi??o por um mínimo de um anoPS-17.2Proteger os ativos de clientes que est?o à espera de coleta.Trancar todas as portas e janelas nas áreas de envio e recebimento quando desacompanhadoOs ativos devem ser trancados até serem entregues ao fornecedor/courierPS-17.3Validar ativos de cliente que deixarem a unidade, verificando uma ordem de servi?o/expedi??o válida.Solicitar a identifica??o válida de couriers e pessoal de entrega para autenticar pessoas que coletam remessas para verificar a ordem de servi?o correspondenteConfirmar que a contagem enviada corresponde à documenta??o de transporteInformar quaisquer discrep?ncias ou danos aos bens expedidos imediatamentePS-17.4Expedi??oProibir couriers e pessoal de entrega de entrar em áreas de conteúdo/produ??o da unidade.Acompanhar pessoal de entrega se o acesso às áreas de conteúdo/produ??o for necessárioPS-17.5Documentar e manter um registro separado das informa??es sobre o motorista de caminh?o.Manter um registro de todos os motoristas de caminh?o e incluir as seguintes informa??es:Nome Etiquetas de licen?a para o trator e reboqueEmpresa afiliadaData e hora da coletaConteúdo manuseadoPS-17.6Acompanhar e monitorar o acondicionamento e veda??o de reboques no local antes da expedi??o.Solicitar que o pessoal de seguran?a esteja presente em todos os momentos, enquanto os trailers s?o carregados e vedadosPS-17.7Registrar, monitorar e analisar os tempos de viagem, rotas e prazos de entrega para remessas entre unidades.Estabelecer uma linha de base para os prazos de entrega entre os pontos comuns de expedi??o e monitorar os tempos reais de varia??oInvestigar, denunciar e escalar grandes varia??es ao pessoal apropriadoDesignar as paradas para descanso aprovadasConsiderar a implementa??o de um sistema de controle de GPS em tempo real para monitorar e alertar sobre atrasos n?o esperadosPS-17.8Proibir a transferência de elementos do filme, exceto para fins aprovados pelo estúdio do cliente.PS-17.9Expedir cópias para as sess?es de pré-estreias de cinema em segmentos (por exemplo, rolos pares ou ímpares).PS-18.0RecebimentoInspecionar os ativos do cliente entregues após o recebimento e comparar com os documentos de expedi??o (por exemplo, guia de remessa, registro).Identificar e registrar quaisquer discrep?ncias (por exemplo, itens em falta, mídia danificada)Informar discrep?ncias para a administra??o, clientes e/ou o remetente imediatamentePS-18.1RecebimentoManter um registro de recebimento a ser preenchido por funcionários designados mediante o recebimento de entregas.Registrar as seguintes informa??es:Nome e assinatura do courier/empresa de entregaNome e assinatura do destinatárioData e hora da recep??oDetalhes do ativo recebidoPS-18.2Executar as seguintes a??es imediatamente:Etiquetar (por exemplo, código de barras, atribuir identificador único) ativos recebidos Introduzir o ativo no sistema de gest?o de ativosMover o ativo para a área restrita (por exemplo, caixa-forte, cofre)Armazenar ativos recebidos que n?o podem ser imediatamente marcados e isolados em uma área de montagem segura (por exemplo, arma??o de alta seguran?a)PS-18.3Implementar um método seguro para receber entregas durante a noite.Garantir que os horários para os itens esperados estar?o disponíveis apenas para as pessoas que precisam vê-losPS-19.0RotulagemProibir a utiliza??o de informa??o sobre títulos, incluindo nomes alternativos ("apelidos"), na parte exterior das embalagens, a menos que especificado de maneira diferente pelo cliente.PS-20.0AcondicionamentoEnviar todos os ativos do cliente em recipientes fechados/selados e usar recipientes lacrados, dependendo do valor do ativo, ou se instruído pelo cliente.PS-20.1Implementar pelo menos um dos seguintes controles:Fita inviolávelEmbalagens invioláveisVeda??es invioláveis (por exemplo, na forma de hologramas)Recipientes seguros (por exemplo, caixa Pelican com um cadeado com combina??o)Estabelecer e comunicar um plano para como lidar com mercadorias que foram violadasComunicar todos os casos de viola??o para a equipe de resposta a incidentes (MS-5.0)PS-20.2AcondicionamentoAplicar celofane envolvendo todas as remessas e inspecionar a embalagem antes da expedi??o final para assegurar que ela esteja adequadamente acondicionada.Aplicar celofane envolvendo os ativos individuais (por exemplo, patins, paletes) ou por rolo se cargas a granel forem efetuadasPS-21.0Veículos de transporteTrancar automóveis e caminh?es em todas as ocasi?es e n?o colocar pacotes em áreas visíveis.N?o deixar os pacotes desacompanhadosPS-21.1Incluir os seguintes recursos de seguran?a em veículos de transporte (por exemplo, reboques):Separa??o da cabine do condutorCapacidade de bloquear e vedar portas da área de cargaGPS para remessas de alta seguran?aUsar veículos equipados com sistemas de rastreamento GPS para entrega de conteúdo sensível e ativos de alto valorPS-21.2Aplicar selos numerados em portas de carga para as remessas de títulos altamente sensíveis.Exigir guardas de seguran?a para aplicar, registrar e monitorar os selos Considerar medidas adicionais de seguran?a para pacotes altamente sensíveis (por exemplo, área de carga trancada/protegida, caixas pelicano lacradas).PS-21.3Exigir escoltas de seguran?a a serem usadas quando houver a entrega de conteúdo altamente sensível em áreas de alto risco.Contratar pessoal de seguran?a capaz de proteger conteúdo altamente sensível de sequestros, assaltos e outras situa??es que possam resultar em roubo de conteúdosN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oDS-1.0Firewall/WAN/Seguran?a do perímetroSeparar redes externas/WAN(s) de redes internas usando firewall(s) de inspe??o com listas de controle de acesso que prevenir o acesso n?o autorizado a qualquer rede interna e com a capacidade de continuar o tráfego de upload e download. Configurar firewalls de WAN com Listas de Controle de Acesso que negam todo o tráfego a qualquer rede interna a n?o ser a dos hospedeiros explícitos que residem na DMZConfigurar a rede WAN para proibir o acesso direto da rede à rede interna de conteúdo/produ??oIncluir documenta??o detalhada de WAN que mostre com precis?o e descreva o número de conex?es para e de todos os dispositivos externosAs regras de firewall devem ser configuradas para gerar registros para todas as altera??es de tráfego e de configura??o, e os registros devem ser inspecionados pelo menos mensalmenteO firewall deve ter uma assinatura para atualiza??es de antivírus e detec??o de intrus?o, e atualiza??es devem ocorrer pelo menos uma vez por semanaConsiderar incluir os itens seguintes na configura??o do firewall:Filtros antifalsifica??oBloquear endere?os de IP n?o roteávelBloquear endere?os internos em portas externasBloquear solicita??es de eco de UDP e ICMPBloquear portas e servi?os n?o usadosBloquear transferências da área DNS n?o autorizadasAplicar filtro de egresso, assim o tráfego de saída só pode vir de um endere?o internoN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oDS-1.1Firewall/WAN/Seguran?a do perímetroDesenvolver um processo para revisar as Listas de Controle de Acesso (ACLs) para confirmar que as configura??es s?o adequadas e exigidas pela empresa a cada 6 meses.Exportar as ACLs dos firewalls e/ou roteadoresAnalisar as ACLs para confirmar que o acesso à rede está adequadoExigir assinatura da administra??o da análise, bem como altera??es de regras de firewallAtualizar ACLs de acordoDS-1.2Negar todos os protocolos por padr?o e permitir apenas determinados protocolos seguros permitidos para acessar a WAN e firewall.Restringir todos os protocolos de comunica??o sem criptografia, como Telnet e FTPSubstituir protocolos sem criptografia por vers?es criptografadasDS-1.3Colocar servidores acessíveis externamente (por exemplo, servidores web) dentro da DMZ.Isolar os servidores na DMZ para fornecer apenas um tipo de servi?o por servidor (por exemplo, servidor web etc.)Implementar ACLs para restringir o acesso à rede interna da DMZDS-1.4Implementar um processo para corrigir dispositivos de infraestrutura de rede (por exemplo, firewalls, roteadores, switches, etc.), SAN/NAS (Storage Area Networks e Network Attached Storage) e servidores. Implementar um processo (por exemplo, mensalmente) para identificar, avaliar e testar os patches para dispositivos de infraestrutura de rede, SAN/NAS e servidoresAtualizar os dispositivos de infraestrutura de rede, SAN/NAS e servidores para os níveis de corre??o que solucionam as vulnerabilidades significativas de seguran?aTratar de patches cruciais em 48 horasConsiderar a implanta??o de um sistema de gest?o de corre??es gerenciado centralmenteN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oDS-1.5Firewall/WAN/Seguran?a do perímetroProteger dispositivos de infraestrutura de rede, SAN/NAS, com base em padr?es de configura??o de seguran?a. Desativar o SNMP (Simple Network Management Protocol) se n?o estiver em uso ou usar apenas SNMPv3 ou superior e selecionar sequências da comunidade SNMP que sejam senhas fortes.Considerar as op??es seguintes de prote??o:Desativar contas de convidados e compartilhamentosInstalar antivírus/antimalwareHabilitar firewalls de softwareRemover software n?o necessárioDesinstalar/desativar servi?os desnecessáriosExigir que todos os usuários executem como usuários restritosUsar uma ACL que restrinja o acesso ao dispositivo, de modo que apenas sistemas de gest?o autorizados possam ser usados para conectar usando SNMPConsultar os seguintes padr?es de seguran?a para verificar prote??o de dispositivos de infraestrutura de rede:NISTSANSNSADS-1.6N?o permitir a gest?o remota do firewall a partir de qualquer interface externa.Em vez disso, usar autentica??o de dois fatores e uma conex?o VPN com Padr?o de criptografia avan?ada (advanced encryption standard, AES) em 128 bits ou superior para realizar as fun??es de administra??o remotaExigir que as pessoas forne?am dois dos seguintes itens para acesso remoto n?o administrativo:Informa??o que o indivíduo saiba (por exemplo, nome de usuário, senha)Um item físico exclusivo que o indivíduo possua (por exemplo, token, cart?o de acesso, smartphone, certificado)Uma qualidade física/biometria exclusiva do indivíduo (por exemplo, impress?o digital, retina)DS-1.7Firewall/WAN/Seguran?a do perímetroColocar os backups de dispositivos de infraestrutura de rede/SAN/NAS e servidores em um servidor protegido centralmente na rede interna.Configurar dispositivos de infraestrutura de rede para armazenar backups de arquivos de configura??o de maneira segura (por exemplo, criptografado) na rede internaGarantir que apenas os administradores autorizados tenham acesso ao local de armazenamento e aos backups criptografadosGarantir que as restri??es est?o em vigor para reduzir ataques de for?a bruta e o acesso n?o autorizado aos arquivos de configura??o se o Trivial File Transfer Protocol (TFTP) for usado para backupsDS-1.8Realizar varreduras de vulnerabilidade trimestralmente de todas as faixas de IP externas e hosts pelo menos e corrigir os problemas Corrigir problemas cruciais que forne?am acesso n?o autorizado ao conteúdo de maneira oportunaGarantir que as ferramentas usadas para varredura/testes acomodem tecnologias de virtualiza??o, se estiverem sendo usadasConsiderar a realiza??o disso por um terceiro independenteDS-1.9Realizar testes de penetra??o anuais de todas as faixas de IP externo e hosts pelo menos e corrigir os problemas.Corrigir problemas cruciais que forne?am acesso n?o autorizado ao conteúdo de maneira oportunaGarantir que as ferramentas usadas para varredura/testes acomodem tecnologias de virtualiza??o, se estiverem sendo usadasConsiderar a realiza??o disso por um terceiro independenteDS-1.10Proteger as conex?es de ponto a ponto usando conex?es dedicadas e privadas e usando criptografia.Usar padr?o de criptografia avan?ada (AES) em 128 bits ou superiorDS-1.11Implementar um protocolo de servi?o de tempo sincronizado (por exemplo, Network Time Protocol) para garantir que todos os sistemas têm uma referência de hora comum.Garantir que os sistemas tenham o horário correto e consistenteAssegurar que os dados de horário sejam protegidosGarantir que as configura??es de horário sejam recebidas de fontes de horário aceitas pela indústriaDS-1.12Firewall/WAN/Seguran?a do perímetroEstabelecer, documentar e implementar os requisitos de seguran?a da linha de base para os dispositivos e servi?os de infraestrutura de rede WAN.Assegurar que os padr?es do sistema que poderiam criar vulnerabilidades sejam modificados antes de serem colocados em produ??oConsiderar o monitoramento contínuo para comunicar a conformidade da infraestrutura em compara??o às linhas de base de seguran?aDS-2.0InternetProibir a rede de produ??o e todos os sistemas que processam ou armazenam conteúdo digital de acessar a internet diretamente, incluindo e-mail. Se um caso de negócios exigir acesso de internet da rede de produ??o ou dos sistemas que processam ou armazenam conteúdo digital, apenas métodos aprovados s?o permitidos por meio do uso de um aplicativo/sess?o de desktop hospedado remotamente.Manipular exce??es usando um sistema de portal de Internet (por exemplo, Citrix, Terminal Services, VNC etc.) com os seguintes controles:O sistema é estritamente controlado onde a navega??o na Internet é a única fun??o do servidorO acesso a sites restritos é proibido, inclusive sites de e-mail baseados na internet, sites peer-to-peer, compartimentos digitais e outros sites maliciosos conhecidosRestringir que o conteúdo seja transferido para ou a partir do sistemaUsar patches e atualizar o sistema regularmente com as últimas defini??es de vírusRever a atividade do sistema regularmenteBloquear o mapeamento de unidades locais, bloquear o armazenamento em massa em USB, bloquear o mapeamento de impressoras, bloquear as fun??es de copiar e colar e bloquear o download/upload do sistema de gateway de internet da rede de produ??oImplementar regras de firewall para negar todo o tráfego de saída por padr?o e permitir explicitamente sistemas específicos e portas que exigem transmiss?o de saída para redes internas designadas, como os servidores de defini??o de antivírus, servidores de aplica??o de patches, servidores de licenciamento (apenas quando as licen?as locais n?o estiverem disponíveis), etc.N.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oDS-2.1InternetImplementar software de filtragem de e-mail ou dispositivos que bloqueiem o seguinte nas redes de n?o produ??o:E-mails de phishing potencialAnexos de arquivos proibidos (por exemplo, Visual Basic scripts, executáveis etc.)Restri??es de tamanho de arquivo limitadas a 10 MBDomínios conhecidos que s?o fontes de malware ou vírusIdentificar os tipos de conteúdo restritos para os anexos de e-mail e no corpo da mensagem de e-mailImplementar uma solu??o de filtragem de e-mail e configurar com base em tipos de conteúdo restritoDS-2.2Implementar o software de filtragem da internet ou dispositivos que restrinjam o acesso a sites conhecidos para comércio de arquivos peer-to-peer, vírus, pirataria ou outros sites maliciosos.Implementar software de filtragem de internet/servidor de proxy para detectar e impedir o acesso a sites maliciososDS-3.0LAN/Rede internaIsolar a rede de conteúdo/produ??o das redes de n?o-produ??o (por exemplo, rede de escritório, DMZ, a internet, etc.) por meio de segmenta??o da rede física ou lógica.Definir as Listas de Controle de Acesso que permitam explicitamente o acesso à rede de conteúdo/produ??o de hosts específicos que necessitam de acesso (por exemplo, servidor de antivírus, servidor de gerenciamento de patches, servidor de distribui??o de conteúdo, etc.)Incluir portas explicitamente definidas e servi?os que devem permitir o acesso nas Listas de Controle de AcessoSegmentar ou segregar redes baseadas em zonas de seguran?a definidasImplementar regras de firewall para negar todo o tráfego de saída por padr?o e permitir explicitamente sistemas específicos e portas que exijam transmiss?o de saída para redes internas designadas, como os servidores de defini??o de antivírus, servidores de aplica??o de patches, servidores de licenciamento (apenas quando as licen?as locais n?o estiverem disponíveis), etc.Implementar as regras de firewall para negar todo o tráfego de entrada por padr?o e explicitamente permitir sistemas específicos e portas que exijam a transmiss?o de entrada de servidores específicos de distribui??o de conteúdo designados.Consultar a DS-2.0 para obter orienta??o sobre o acesso à Internet no ambiente de produ??oAtribuir endere?os IP estáticos por meio do endere?o MAC em switchesDesativar o DHCP na rede de conteúdo/produ??oProibir os sistemas de computador da produ??o de se conectar a mais de uma rede por vezProibir o uso ou armazenamento do conteúdo nas redes de n?o produ??oDS-3.1Restringir o acesso a sistemas de conteúdo/produ??o somente ao pessoal autorizado.Considerar o uso de travas de cabo Ethernet físico para assegurar que um cabo de rede n?o seja conectado a um dispositivo alternativo/n?o autorizadoDS-3.2LAN/Rede internaRestringir o acesso remoto à rede de conteúdo/produ??o somente ao pessoal aprovado que necessite de acesso para realizar suas responsabilidades de trabalho.Proibir o acesso remoto para a rede de conteúdo/produ??o Manter uma lista de pessoal da empresa que tem permiss?o para acessar remotamente a rede de conteúdo/produ??oDesenvolver processos para a administra??o analisar a atividade remota em sistemas que residam na rede de conteúdo/produ??oConfigurar sistemas de acesso remoto para usar contas individuaisLimitar o acesso remoto a um único método com Listas de controle de acessoNo caso de acesso remoto de emergência ser necessário, implementar o seguinte:Usar autentica??o de dois fatores e preferencialmente com base em certificadoBloquear os protocolos de transferência de arquivo, incluindo FTP, SSH, IRC, IMA configura??o da VPN n?o deve permitir túnel divididoUtilizar um modelo de barra inicial/bastion host como um intermediário para conectar à rede de produ??oDS-3.3Usar switches/dispositivos de 3 camadas para gerenciar o tráfego de rede e desativar todas as portas de switch n?o utilizadas na rede de conteúdo/produ??o para evitar a detec??o de pacotes por meio de dispositivos n?o autorizados.Exigir que os administradores de dispositivo usem autentica??o sólida, incluindo:Uso de protocolo criptografadoHash com salt para a senhaSenha separada para comandos de execu??oConectar ao console do dispositivo e atualizar arquivos de configura??o para desativar as portas de switch n?o utilizadasPermitir o registro nos switches/dispositivos de 3 camadasDS-3.4Restringir o uso de dispositivos sem switch, como hubs e repetidores na rede de conteúdo/produ??o.Substituir todos os hubs/repetidores por switches ou dispositivos de 3 camadasDS-3.5LAN/Rede internaProibir liga??o de rede dual-home (ponte na rede física) em sistemas de computadores dentro da rede de conteúdo/produ??o.Usar ponte de rede lógica na camada de rede (por exemplo, roteadores, firewalls, switches, etc.) em vez de utilizar várias placas de rede (NICs) em um sistema de computadorDS-3.6Implementar uma detec??o de intrus?o baseada em rede/sistema de preven??o (IDS/IPS) na rede de conteúdo/produ??o.Configurar a detec??o de intrus?o baseada em rede/sistema de preven??o para alertar/evitar atividades suspeitas na redeAssinar antivírus/antimalware para o IDS/IPSAtualizar defini??es/políticas de assinatura de ataques e antivírus/antimalware no IDS/IPS pelo menos semanalmenteRegistrar todas as atividades e altera??es de configura??o para o IDS/IPSImplementar software de sistema de detec??o de intrus?o baseada em host em todas as esta??es de trabalhoDS-3.7Desativar o SNMP (Simple Network Management Protocol) se n?o estiver em uso ou usar apenas SNMPv3 ou superior e selecionar sequências da comunidade SNMP que sejam senhas fortes.Usar uma ACL que restrinja o acesso ao dispositivo, de modo que apenas sistemas de gest?o autorizados possam ser usados para conectar usando SNMPDS-3.8Proteger os sistemas antes de colocá-los na LAN/Rede interna.Consultar DS-1.5 para obter sugest?esDS-3.9Conduzir varreduras de vulnerabilidade de rede interna e corrigir os problemas, pelo menos anualmente.Garantir que as ferramentas usadas para varredura acomodem tecnologias de virtualiza??o, se estiverem sendo usadasIncluir o seguinte:Redes de produ??oRede sem produ??oMáquinas/dispositivos conectadosMáquinas/dispositivos n?o conectadosDS-3.10LAN/Rede internaColocar os backups de SAN/NAS de rede local, dispositivos, servidores e esta??es de trabalho em um servidor protegido centralmente na rede interna.Configurar dispositivos da rede local para armazenar backups de arquivos de configura??o de maneira segura (por exemplo, criptografado) na rede internaGarantir que apenas os administradores autorizados tenham acesso ao local de armazenamento e aos backups criptografadosDS-4.0Sem fio/WLANProibir a rede sem fio e o uso de dispositivos sem fio na rede de conteúdo/produ??o.Restringir as redes sem fio para convidados somente ao acesso à Internet, e n?o à rede de conteúdo/produ??oRemover ou desativar o acesso sem fio em esta??es de trabalho/notebooks que processam ou armazenam conteúdo da rede de conteúdo/produ??oDS-4.1Sem fio/WLANConfigurar redes sem fio sem produ??o (por exemplo, administrativa e convidado) com os controles de seguran?a a seguir: Desativar WEP/WLANPermitir apenas criptografia AES128 (WPA2), ou superiorSegregar redes de "convidados" de outras redes da empresaAlterar as credenciais de logon de administrador padr?oAlterar o nome de rede padr?o (SSID)Considerar os controles de seguran?a, tais como:Usar nomes SSID n?o específicos da empresaAtivar IEEE 802.1X ou IEEE 802.11i onde a op??o estiver disponívelUsar RADIUS para autentica??o, onde a op??o estiver disponívelAtivar filtragem de endere?os MACColocar os endere?os MAC sem fio das esta??es de trabalho e de dispositivos de produ??o na lista negraConfigurar o ponto/controlador de acesso sem fio para transmitir apenas dentro do intervalo necessárioImplementar uma estrutura 802.1X para redes sem fio, que inclui o seguinte:Discagem de Acesso Remoto no Servi?o de Usuário (RADIUS) para Autentica??o, Autoriza??o e Contabiliza??oLightweight Directory Access Protocol (LDAP), como o Active Directory, para gerenciar contas de usuárioInfraestrutura de Chaves Públicas para gerar e gerenciar certificados de cliente e servidorImplementar os controles seguintes se chaves pré-compartilhadas precisarem ser usadas:Configurar WPA2 com criptografia CCMP (AES-128) ou superiorDefinir uma senha complexa (Veja DS-8.1 para recomenda??es de complexidade e senha)Mudar a senha pelo menos a cada 90 dias e quando o pessoal da empresa de área fundamental rescindir o contratoDS-4.2Sem fio/WLANImplementar um processo para verificar pontos de acesso sem fio desonestos e corrigir quaisquer problemas validados.Implementar um processo a percorrer e analisar a unidade em busca de pontos de acesso sem fio desprotegidos trimestralmenteConfigurar uma solu??o de acesso centralizado sem fio (ou seja, controlador sem fio) para alertar os administradores de pontos de acesso sem fio desonestos após a detec??o, se possívelDS-5.0Seguran?a do dispositivo de I/ODesignar sistemas específicos a serem utilizados para a entrada/saída de conteúdo (I/O).Implementar ACLs para permitir o tráfego entre a rede de conteúdo/produ??o e sistemas utilizados para I/O para determinados endere?os IP específicos de origem/destinoDS-5.1Bloquear dispositivos de entrada/saída (I/O), armazenamento em massa, armazenamento externo e de armazenamento móvel (por exemplo, USB, FireWire, Thunderbolt, SATA, SCSI, etc.) e gravadores de mídia (por exemplo DVD, Blu-Ray, CD, etc.) em todos os sistemas que controlam ou armazenam conteúdo, com exce??o dos sistemas utilizados para conteúdo I/O.Considerar o seguinte para bloquear dispositivos I/O:Alterar a configura??o do registro para restringir o acesso de escrita a dispositivos I/O para sistemas baseados no MS WindowsRemover o arquivo de armazenamento em massa para controlar o acesso de escrita em esta??es de produ??o para sistemas baseados em MacDesativar dispositivos I/O usando política de grupo para sistemas que usam o Microsoft Active Directory ou Apple Open DirectoryUsar software de monitoramento de porta I/O para detectar o uso da porta se o bloqueio de dispositivos de saída n?o for viávelDS-6.0Sistema de seguran?aInstalar software antivírus e antimalware em todas as esta??es de trabalho, servidores e em qualquer dispositivo que se conecte aos sistemas SAN/NAS.Instalar uma solu??o corporativa de antivírus e antimalware com um console de gerenciamento centralizadoConsiderar a instala??o de prote??o de ponto de extremidadeDS-6.1Atualizar todas as defini??es de antivírus e antimalware diariamente ou com mais frequência.Configurar o console de gerenciamento centralizado de antivírus e antimalware para baixar e enviar atualiza??es de defini??o, pelo menos uma vez por diaDS-6.2Verificar todos os conteúdos em busca de vírus e malware antes de colocá-los na rede de conteúdo/produ??oRealizar varreduras em um sistema que n?o esteja conectado à rede de conteúdo/produ??oDS-6.3Sistema de seguran?aRealizar varreduras como segue:Permitir a verifica??o de vírus e malware regular e completa do sistema em todas as esta??es de trabalhoPermitir a verifica??o de vírus e malware regular e completa do sistema em todos os servidores e para sistemas que se conectam a SAN/NASConfigurar o software antivírus e antimalware para realizar uma verifica??o completa do sistema com base na estratégia de antivírus e antimalwareConfigurar o software antivírus e antimalware para executar durante os períodos ociososDS-6.4Implementar um processo para atualizar regularmente os sistemas (por exemplo, sistemas de transferência de arquivos, sistemas operacionais, bancos de dados, aplicativos, dispositivos de rede) com patches/atualiza??es que remediem vulnerabilidades de seguran?a.Sempre que possível, implementar uma ferramenta de gest?o de patch centralizada (por exemplo, WSUS, Shavlik, Altiris) para implantar automaticamente patches para todos os sistemasProcurar patches de fornecedores e outros terceirosTestar os patches antes da implanta??oImplementar um processo de exce??o e controles de compensa??o para casos em que haja um caso legítimo de negócios para sistemas sem patchDS-6.5Proibir os usuários de serem administradores das próprias esta??es de trabalho, a menos que exigido pelo software (por exemplo, ProTools, Clipster e software de cria??o tais como Blu-Print, Scenarist e Toshiba). A documenta??o do fornecedor do software deve mencionar explicitamente quais direitos administrativos s?o necessários.Verificar se a conta de usuário utilizada para acessar a esta??o de trabalho n?o tem privilégios de administrador do sistemaDS-6.6Utilizar travas de cabo em dispositivos portáteis de computa??o que lidem com conteúdos (por exemplo, notebooks, tablets, torres), quando forem deixados sozinhos.Prender uma trava de cabo em uma superfície fixa (por exemplo, uma mesa)DS-6.7Sistema de seguran?aImplementar controles de seguran?a adicionais para notebooks e dispositivos de armazenamento portátil que contenham conteúdo ou informa??es sensíveis relacionadas aos projetos do cliente. Criptografar todos os notebooks. Usar dispositivos de armazenamento portáteis com hardware criptografado. Instalar software de elimina??o remota em todos os notebooks/dispositivos móveis que lidem com conteúdo para permitir a limpeza remota de discos rígidos e outros dispositivos de armazenamento.Anexar telas de privacidade aos notebooks se precisarem ser usados em locais n?o segurosN?o conectar notebooks a locais de redes sem fio públicasDesligar os notebooks quando n?o estiverem em uso e n?o fazer uso dos modos de suspens?o ou hiberna??oDS-6.8Restringir os privilégios de instala??o de software à gest?o de TI.Proibir a instala??o e uso de software n?o aprovado incluindo softwares maliciosos (por exemplo, software ilegal ou malicioso)Verificar todos os sistemas em busca de um inventário dos aplicativos instalados pelo menos trimestralmenteDS-6.9Implementar linhas de base de seguran?a e padr?es para configurar sistemas (por exemplo, notebooks, esta??es de trabalho, servidores, SAN/NAS) que forem configurados internamenteDesenvolver uma compila??o padr?o segura que é usada para todos os sistemas de imagemDS-6.10Servi?os e aplicativos desnecessários devem ser desinstalados dos servidores de transferência de conteúdo.Analisar a lista de servi?os instalados (por exemplo, servi?os. MSc) em todos os servidores de transferência de conteúdo e desinstalar ou desativar os n?o necessáriosRevisar a lista de aplicativos instalados em todos os servidores de transferência de conteúdo e desinstale qualquer um que n?o seja necessárioRevisar a lista de aplicativos de inicializa??o para garantir que todos os aplicativos desnecessários n?o est?o funcionandoDS-6.11Manter um inventário dos sistemas e componentes dos sistemas.Atualizar o inventário pelo menos mensalmenteN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oDS-6.12Sistema de seguran?aDocumentar a topologia de rede e atualizar o diagrama anualmente ou quando altera??es significativas forem feitas na infraestrutura.Incluir WAN, DMZ, LAN, WLAN (sem fio), VLAN, firewalls e topologia de servidor/redeDS-7.0Gest?o de contasEstabelecer e implementar um processo de gest?o de contas para contas de administrador, usuário e servi?o para todos os sistemas de informa??o e aplica??es que lidem com conteúdo.Documentar políticas e procedimentos para gerenciamento de contas que abordam o seguinte:Novas solicita??es de usuáriosModifica??es de acesso ao usuárioDesativa??o e ativa??o de contas de usuárioRescis?o de usuárioExpira??o da contaFolhas de ausênciaDesautorizar o compartilhamento de contas de usuários por vários usuáriosRestringir o uso de contas de servi?o para apenas os aplicativos que os exigemHabilitar o registro nos seguintes sistemas de infraestrutura e dispositivos, no mínimo:Componentes de infraestrutura (por exemplo, firewalls, servidores de autentica??o, sistemas operacionais de rede, mecanismos de acesso remoto incluindo VPN)Sistemas de opera??o de produ??oComponentes de gerenciamento de conteúdo (por exemplo, dispositivos de armazenamento, servidores de conteúdo, ferramentas de armazenamento de conteúdo, ferramentas de transporte de conteúdo)Sistemas com acesso à InternetImplementar um servidor para gerenciar registros em um repositório central (por exemplo, syslog/servidor de gerenciamento de registros, ferramenta de Gest?o de Eventos e Informa??es de Seguran?a (ferramenta SIEM)DS-7.1Gest?o de contasManter evidência rastreável das atividades de gerenciamento de contas (por exemplo, e-mails de aprova??o, formulários de solicita??o de altera??o).Guardar provas de aprova??es gerenciais e a??es associadas para todas as atividades de gerenciamento de conta, sempre que possívelDS-7.2Atribuir credenciais exclusivas com base na necessidade de saber usando os princípios de privilégio mínimo.Atribuir credenciais com base na necessidade de saber para os seguintes sistemas de informa??o, no mínimo:Sistemas de produ??oFerramentas de gerenciamento de conteúdosFerramentas de transferência de conteúdosDispositivos de infraestrutura de redeSistemas de registro e monitoramentoPortal web do clienteSistemas de gest?o de contas (por exemplo, Active Directory, Open Directory, LDAP)Permiss?es remotas de VPN que só devem ser concedidas quando absolutamente necessárioDS-7.3Renomear as contas de administrador padr?o e outras contas e limitar o uso dessas contas a situa??es especiais que requeiram essas credenciais (por exemplo, atualiza??es de sistemas operacionais, instala??es de patches, atualiza??es de software).Consultar a documenta??o de todo o hardware e software para identificar todas as contas padr?oMudar a senha de todas as contas padr?oSempre que possível, mudar o nome de usuário de cada contaDesativar contas de administrador quando n?o estiverem em usoDS-7.4Segregar fun??es para assegurar que os indivíduos responsáveis pela atribui??o de acesso a sistemas de informa??o n?o sejam eles próprios os usuários finais desses sistemas (isto é, o pessoal n?o deve ser capaz de atribuir acesso a eles próprios).Aproveitar uma equipe independente para garantir o acesso a sistemas de informa??o quando possívelImplementar controles de compensa??o quando a segrega??o é inatingível, tais como:Monitorar a atividade dos funcionários da empresa e dos funcionários terceirizadosManter e analisar os registros de auditoriaImplementar segrega??o físicaImpor um controle de gest?oDS-7.5Gest?o de contasMonitorar e auditar atividades de conta de servi?o e de administrador.Permitir controles de monitoramento para sistemas e aplica??es que suportam registroConfigurar sistemas e aplicativos para registrar a??es de administrador e registrar no mínimo, as seguintes informa??es:Nome de usuárioMarca??o de horaA??oInforma??es adicionais (par?metros de a??o)Monitorar contas de servi?o para garantir que elas sejam utilizadas apenas para os fins previstos (por exemplo, as consultas de banco de dados, a comunica??o aplicativo-a-aplicativo)Implementar um processo para analisar mensalmente a atividade da conta de servi?o e do administrador para identificar um comportamento anormal ou suspeito e investigar possível abusoDS-7.6Implementar um processo para revisar o acesso do usuário a todos os sistemas de informa??o que lidem com conteúdo e remover contas de usuário que já n?o necessitem de acesso trimestralmente.Remover os direitos de acesso aos sistemas de informa??o de usuários que já n?o necessitam de acesso devido a uma mudan?a no papel do trabalho ou rescis?o de pessoal da empresa e/ou funcionários terceirizadosRemover ou desativar contas que n?o foram utilizadas em mais de 90 diasDS-7.7Restringir o acesso do usuário ao conteúdo em uma base por projetoRemover os direitos de acesso aos sistemas de informa??o de usuários que já n?o necessitam de acesso devido à conclus?o do projetoDS-7.8Gest?o de contasDesativar ou remover contas locais em sistemas que controlam conteúdo onde tecnicamente for viável.Implementar um servidor centralizado de gerenciamento de contas (ou seja, o servidor de diretório como o LDAP ou Active Directory) para autenticar o acesso do usuário aos sistemas de informa??oPara os dispositivos de infraestrutura de rede, implementar Autentica??o, Autoriza??o e Contabiliza??o (AAA) para gerenciamento de contasDesativar a conta de convidadoSe as contas locais tiverem de ser usadas, quando possível, alterar o nome de usuário e senha para cada conta padr?o, desativar a capacidade de fazer logon ao sistema através da rede usando contas locaisDS-8.0Autentica??oRefor?ar o uso de nomes de usuário e senhas exclusivos para acessar sistemas de informa??o.Refor?ar o uso de nomes de usuários e senhas exclusivos para todos os sistemas de informa??oConfigurar os sistemas de informa??o para exigirem autentica??o, usando nomes de usuário e senhas exclusivos a um nível mínimoDS-8.1Adotar uma política de senha sólida para ter acesso aos sistemas de informa??o.Criar uma política de senha que consista no seguinte:Extens?o mínima de senha de 8 caracteresMínimo de três dos seguintes par?metros: maiúsculas, minúsculas, números e caracteres especiaisDura??o máxima da senha de 90 diasDura??o mínima da senha de 1 diaMáximo de tentativas inválidas de login de entre 3 e 5 tentativasAs contas de usuário bloqueadas por tentativas de logon inválidas devem ser debloqueadas manualmente e n?o devem ser desbloqueadas automaticamente depois de um certo tempo ter passadoHistórico de senha de dez senhas anterioresDS-8.2Autentica??oImplementar autentica??o de dois fatores (por exemplo, nome de usuário/senha e hard token) para acesso remoto (por exemplo, VPN) para as redes.Exigir que as pessoas forne?am dois dos seguintes itens para acesso remoto:Informa??o que o indivíduo saiba (por exemplo, nome de usuário, senha)Um item físico exclusivo que o indivíduo possua (por exemplo, token, cart?o de acesso, smartphone, certificado)Uma qualidade física/biometria exclusiva do indivíduo (por exemplo, impress?o digital, retina) Usar autentica??o de dois fatores e uma conex?o VPN com Padr?o de criptografia avan?ada (AES) em 128 bits ou superior para realizar as fun??es de administra??o remotaDS-8.3Implementar software de protetores de tela ou de bloqueio de tela protegidos por senha para servidores e esta??es de trabalho.Configurar servidores e esta??es de trabalho manualmente ou através de uma política (como políticas de grupo do Active Directory) para ativar um protetor de tela protegido por senha após um máximo de 10 minutos de inatividadeDS-8.4Considerar a implanta??o de mecanismos de autentica??o adicional para fornecer uma estratégia de autentica??o sobreposta para acesso à WAN e LAN/rede interna.Considerar a adi??o de um ou mais dos seguintes:Multi-Factor AuthenticationIdentificar e acessar o sistema de gest?oSistema de logon únicoIdentificar padr?es da federa??oDS-9.0Registro e monitoramentoImplementar sistemas de relatórios e registros em tempo real para registrar e relatar os eventos de seguran?a; reunir as seguintes informa??es, no mínimo:Quando (data e hora)Onde (fonte)Quem (nome de usuário)O que (conteúdo)Habilitar o registro nos seguintes sistemas de infraestrutura e dispositivos, no mínimo:Componentes de infraestrutura (por exemplo, firewalls, servidores de autentica??o, sistemas operacionais de rede, mecanismos de acesso remoto [por exemplo, sistemas VPN]).Sistemas de opera??o de produ??oComponentes de gerenciamento de conteúdo (por exemplo, dispositivos de armazenamento, servidores de conteúdo, ferramentas de armazenamento de conteúdo, ferramentas de transporte de conteúdo)Sistemas com acesso à InternetAplicativosDS-9.1Implementar um servidor para gerenciar registros em um repositório central (por exemplo, syslog/servidor de gerenciamento de registros, ferramenta de Gest?o de Eventos e Informa??es de Seguran?a (ferramenta SIEM).DS-9.2Configurar os sistemas de registro para enviarem notifica??es automáticas quando forem detectados eventos de seguran?a, a fim de facilitar a resposta ativa aos incidentes.Definir eventos que exigem investiga??o e permitir mecanismos de notifica??o automática ao pessoal apropriado; considerar o seguinte:Tentativas bem sucedidas e mal sucedidas de se conectar à rede de conteúdo/produ??oTransporte de conteúdo com tamanho de arquivo e/ou hora do dia incomumRepetidas tentativas de acesso a arquivos n?o autorizadosTentativas de escala??o de privilégioImplementar um servidor para agregar registros em um repositório central (por exemplo, syslog/servidor de gerenciamento de registros, ferramenta de Gest?o de Eventos e Informa??es de Seguran?a [SIEM])DS-9.3Investigar qualquer atividade incomum relatada pelos sistemas de registros e relatórios.Incorporar procedimentos de resposta a incidentes para controlar eventos de seguran?a detectadosDS-9.4Registro e monitoramentoImplementar mecanismos de registro em todos os sistemas utilizados para o seguinte:Gera??o de chavesGerenciamento de chavesGerenciamento de certificados do fornecedorGarantir que todas as chaves geradas e certificados adicionados s?o rastreáveis para um usuário únicoDS-9.4Analisar todos os registros semanalmente e analisar todos os críticos e elevados diariamente.Investigar qualquer atividade incomum que possa indicar um incidente grave de seguran?aIdentificar quaisquer eventos adicionais incomuns que n?o estejam sendo alertados e configurar o sistema de registros e relatórios para enviar alertas sobre esses eventos Correlacionar os registros de sistemas diferentes para identificar padr?es de atividade incomumCom base nas descobertas das análises de registro, atualizar as configura??es de SIEM conforme apropriadoDS-9.5Ativar o registro de movimento e das transferências de conteúdo interno e externo e incluir no mínimo as seguintes informa??es:Nome de usuárioMarca??o de data/horaNome do arquivoEndere?o IP de origemEndere?o IP de destinoEvento (por exemplo, download, visualiza??o)DS-9.6Registro e monitoramentoManter os registros por pelo menos um ano.Procurar orienta??o de um consultor jurídico para determinar os requisitos regulamentares para a reten??o de registrosArmazenar os registros de conteúdo em um servidor centralizado que possa ser acessado somente por usuários específicos e esteja seguro em uma sala de acesso controladoDS-9.7Restringir o acesso do registro ao pessoal apropriado.Manter as Listas de Controle de Acesso para garantir que apenas o pessoal responsável pela monitora??o de registro e revis?o tem permiss?o para ver os registrosSegregar fun??es para assegurar que os indivíduos n?o sejam responsáveis por monitorar sua própria atividadeProteger os registros de exclus?o ou modifica??o n?o autorizada, aplicando direitos de acesso adequados em arquivos de registrosDS-10.0Seguran?a móvelDesenvolver uma política Traga seu próprio dispositivo (Bring Your Own Device, BYOD) para dispositivos móveis que acessam ou armazenam conteúdo.Considerar a implementa??o de prote??o antivírus/antimalware de dispositivo móvel, incluindo:Atualizar as defini??es, incluindoRealizar verifica??es diariamenteDS-10.1Desenvolver uma lista de aplicativos, lojas de aplicativos e plugins/extens?es de aplicativos aprovados para dispositivos móveis que acessam ou armazenam conteúdo.Proibir a instala??o de aplicativos n?o aprovados ou aplicativos aprovados que n?o forem obtidos através de uma loja de aplicativos pré-aprovadaConsiderar um sistema de gest?o de dispositivo móvelDS-10.2Manter um inventário de todos os dispositivos móveis que acessam ou armazenam conteúdo.Incluir sistema de opera??o, níveis de patch, aplicativos instaladosDS-10.3Exigir criptografia para todo o dispositivo ou para áreas do dispositivo em que o conteúdo será manipulado ou armazenado.Considerar um sistema de gest?o de dispositivo móvelDS-10.4Prevenir a evas?o de controles de seguran?a.Prevenir o uso de jailbreaking, rooting, etc.DS-10.5Seguran?a móvelImplementar um sistema para realizar um apagamento remoto de um dispositivo móvel, caso seja perdido /roubado/comprometido ou de outro modo necessário.Lembrar os funcionários que dados de fora da empresa podem ser perdidos no caso de um apagamento remoto de um dispositivo seja realizadoDS-10.6Implementar o travamento automático do dispositivo após 10 minutos de n?o utiliza??o.DS-10.7Gerenciar todos os patches do sistema operacional do dispositivo móvel e atualiza??es do aplicativo.Utilizar os patches/atualiza??es relacionados à seguran?a disponíveis mais recentes após a libera??o geral pelo fabricante do dispositivo, transportadora ou desenvolvedorDS-10.8Fazer cumprir as políticas de senha.Consultar DS-8.1DS-10.9Implementar um sistema para realizar backup e restaura??o de dispositivos móveis.Criptografar os backups e armazená-los em um local seguroN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oDS-11.0Técnicas de seguran?aAssegurar que as técnicas de seguran?a (por exemplo, spoiling, marca d'água invisível/visível) estejam disponíveis para uso e sejam aplicadas quando instruído.DS-11.1Criptografar conteúdo em discos rígidos usando um mínimo de criptografia AES de 128 bits ou superior, por meio de:Criptografia baseada em arquivo: (ou seja, criptografar o conteúdo em si)Criptografia baseada em unidade: (ou seja, criptografar o disco rígido)Para discos rígidos externos, considerar a compra de unidades pré-criptografadas (por exemplo, Rocstor Rocsafe, LaCie Rugged Safe)Criptografar todo o conteúdo em discos rígidos, incluindo:SAN/NASServidoresEsta??es de trabalhoDesktopsNotebooksDispositivos móveisUnidades de armazenamento externoImplementar um ou mais dos seguintes:Criptografia baseada em arquivo como DMGs criptografados ou arquivos ZIP criptografadosCriptografia baseada em unidade usando software DS-11.2Enviar chaves ou senhas de decodifica??o usando um protocolo de comunica??o fora da unidade (ou seja, n?o na mesma mídia de armazenamento que o conteúdo em si).Enviar chaves ou senhas de decodifica??o utilizando um método diferente do que aquele que foi utilizado para a transferência do conteúdoVerificar para garantir que os principais nomes e senhas n?o estejam relacionados ao projeto ou conteúdoDS-11.3Técnicas de seguran?aImplementar e documentar as políticas e procedimentos de políticas de gest?o de chaves:Uso de protocolos de criptografia para a prote??o de conteúdos ou dados sensíveis, independente de sua localiza??o (por exemplo, servidores, banco de dados, esta??es de trabalho, notebooks, dispositivos móveis, dados em tr?nsito, e-mail)Aprova??o e revoga??o de dispositivos de confian?aGera??o, renova??o e revoga??o de chaves de conteúdoDistribui??o interna e externa de chaves de conteúdoLigar as chaves de criptografia à responsáveis identificáveisSeparar as fun??es para dissociar a gest?o de chaves do uso das chavesProcedimentos de armazenamento de chavesProcedimentos de backup de chavesConsiderar a cria??o de chaves de criptografia únicas por cliente e para ativos críticosImpedir a substitui??o n?o autorizada das chaves criptográficasExigir que os custodiantes da chave criptográfica confirmem formalmente que entendem e aceitam suas responsabilidades de custodiante de chaveDS-11.4Criptografar conteúdo em descanso e em movimento, incluindo inst?ncias de servidor virtual, usando criptografia AES de no mínimo 128 bits ou superior.écnicas de seguran?aArmazenar chaves secretas e privadas (n?o chaves públicas) usadas para criptografar dados/conteúdos em uma ou mais das formas seguintes sempre: Criptografado com uma chave de criptografia de chave que seja pelo menos t?o forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dadosEm um dispositivo criptográfico seguro (por exemplo, módulo de seguran?a de host (HSM) ou um dispositivo de ponto de intera??o de Seguran?a de transa??o do PIN (Pin Transaction Security, PTS))Ter pelo menos dois componentes da chave integrais ou partes de chave, de acordo com um método de seguran?a aceito pelo setorDS-11.6Confirmar que os dispositivos na Lista de dispositivos confiáveis (TDL) s?o apropriados com base na aprova??o dos proprietários de direitos.Exigir que os clientes forne?am uma lista de dispositivos confiáveis para a reprodu??o de conteúdoCriar Mensagens de distribui??o de chaves (KDMs) somente para dispositivos no TDLDS-11.7Confirmar a validade das chaves de conteúdo e garantir que as datas de vencimento estejam em conformidade com as instru??es do cliente.Exigir que os clientes forne?am as datas de vencimento das chaves de conteúdoEspecificar uma data final para quando as chaves expirarem para limitar a quantidade de tempo em que o conteúdo pode ser visualizadoDS-12.0Controle de conteúdoImplementar um sistema de gest?o de conteúdo digital para fornecer controle detalhado do conteúdo digital.Registrar todo conteúdo digital que fez check-in/check-outRegistrar a localiza??o digital de todo conteúdoRegistrar a dura??o esperada de cada check-outRegistrar a data e hora de cada transa??oDS-12.1Controle de conteúdoManter os registros de transa??o de movimento de conteúdo digital por um ano.Incluir o seguinte:Horário e data do check-in/check-outNome e ID exclusivo do indivíduo que fez check-out ao ativoMotivo para check-outLocaliza??o do conteúdoDS-12.2Analisar periodicamente registros do sistema de gest?o de conteúdo digital e investigar anomalias.DS-12.3Usar nomes alternativos do cliente (“apelidos”) quando aplicável nos sistemas de rastreamento de ativos.Restringir o conhecimento de nomes alternativos do cliente ao pessoal envolvido no processamento de ativos de clientesN.?Tópico de seguran?aMelhores práticasOrienta??es para implementa??oDS-13.0Sistemas de transferênciaUsar apenas sistemas de transferência aprovados pelo cliente que utilizem controles de acesso, AES de no mínimo 128 bits, ou superior, criptografia para conteúdo em repouso e para conteúdo em movimento e use autentica??o forte para sess?es de transferência de conteúdo.Permitir que apenas usuários autorizados tenham acesso ao sistema de transferência de conteúdoConsiderar a restri??o do acesso também com base no projetoVerificar com o cliente se os sistemas de transferência de conteúdo s?o aprovados, antes do usoDS-13.1Implementar um processo de exce??o, onde a aprova??o prévia do cliente deve ser obtida por escrito, para resolver situa??es em que as ferramentas de transferência criptografadas n?o forem utilizadas.Usar nomes de usuários e senhas geradas aleatoriamente que s?o comunicadas de forma segura para a autentica??oUsar apenas ferramentas/aplicativo de transferência aprovados pelo clienteExigir que os clientes assinem as exce??es onde as ferramentas de transferência n?o criptografadas precisem ser utilizadasDocumentar e arquivar todas as exce??esDS-14.0Metodologia do dispositivo de transferênciaImplementar e utilizar sistemas exclusivos para transferências de conteúdo.Assegurar que as esta??es de edi??o e os servidores de armazenamento de conteúdo n?o sejam usados para transferir conteúdo diretamenteDesativar a VPN/acesso remoto para os sistemas de transferência ou para qualquer sistema usado para armazenar, transferir ou manipular conteúdoDS-14.1Separar os sistemas de transferência de conteúdo das redes administrativas e de produ??o.Separar as redes física ou logicamenteDS-14.2Metodologia do dispositivo de transferênciaColocar os sistemas de transferência de conteúdo em uma Zona Desmilitarizada (DMZ) e n?o na rede de conteúdo/produ??o.Proteger os sistemas de transferência antes de colocá-los na DMZ (consultar DS-1.5 para ter sugest?es)Implementar Listas de Controle de Acesso (ACLs) que restringem todas as portas para além daquelas exigidas pela ferramenta de transferência de conteúdoImplementar ACLs para restringir o tráfego entre a rede interna e a DMZ para endere?os de IP de origem/destino específicosDesativar o acesso à internet dos sistemas usados para transferir conteúdo, exceto o acesso necessário para baixar conteúdo do cliente ou para acessar locais de transferência de conteúdo aprovadosDS-14.3Remover o conteúdo de dispositivos/sistemas de transferência de conteúdo logo após a transmiss?o/recep??o bem sucedida.Exigir que os clientes forne?am a notifica??o mediante o recebimento de conteúdo Implementar um processo para remover conteúdo dos dispositivos e sistemas de transferência, incluindo das lixeirasQuando aplicável, remover o acesso de clientes às ferramentas de transferência imediatamente após a conclus?o do projetoConfirmar que a conex?o está encerrada após o término da sess?oDS-14.4Enviar notifica??es automáticas para o coordenador ou coordenadores de produ??o sobre a transmiss?o de conteúdo de saída.Configurar o sistema de transferência de conteúdo para enviar uma notifica??o automática (por exemplo, um e-mail) ao coordenador ou coordenadores de produ??o sempre que um usuário enviar conteúdo para fora da redeDS-15.0Portal do clienteRestringir o acesso aos portais da internet que forem utilizados para transferência de conteúdo, streaming de conteúdo e distribui??o de chaves para usuários autorizados.Implementar medidas de controle de acesso em torno de portais da internet que fazem a transferência de conteúdo, fazem streaming de conteúdo e distribuem chaves através da implementa??o de uma ou mais das seguintes a??es:Exigir credenciais de usuárioIntegrar chaves de máquina e/ou de usuário para autentica??o e autoriza??oGerenciar as chaves de criptografia usando separa??o de fun??es adequada (por exemplo, uma pessoa deve criar as chaves e outra pessoa deve usar as chaves para criptografar o conteúdo)Limitar o acesso do portal a redes específicas, VLANs, sub-redes, e/ou intervalos de endere?os IPRestringir a capacidade de upload/download como aplicável a partir do portal do clienteDS-15.1Portal do clienteAtribuir credenciais únicas (por exemplo, nome de usuário e senha) aos usuários do portal e distribuir as credenciais aos clientes de forma segura.N?o incorporar nomes de usuário e senhas em links de conteúdo Considerar a distribui??o das credenciais do usuário e links de conteúdo em e-mails separadosConsiderar a distribui??o de credenciais do usuário através de telefone ou SMSConsiderar a distribui??o das chaves de criptografia por meio de transferência fora de bandaCriar uma política de senha que consista no seguinte:Extens?o mínima de senha de 8 caracteresMínimo de três dos seguintes par?metros: maiúsculas, minúsculas, números e caracteres especiaisDura??o máxima da senha de 90 diasDura??o mínima da senha de 1 diaMáximo de tentativas inválidas de login de entre 3 e 5 tentativasAs contas de usuário bloqueadas por tentativas de logon inválidas devem ser desbloqueadas manualmente e n?o devem ser desbloqueadas automaticamente depois de um certo tempo ter passadoHistórico de senha de dez senhas anterioresDS-15.2Garantir que os usuários só tenham acesso aos seus próprios ativos digitais (ou seja, o cliente A n?o deve ter acesso ao conteúdo do cliente B).Implementar um processo de revis?o de permiss?es de arquivo/diretório pelo menos trimestralmenteGarantir que o acesso esteja restrito a apenas aqueles que necessitam deleDS-15.3Colocar o portal em um servidor dedicado na DMZ e limitar o acesso de/para IPs e protocolos específicos.Implementar Listas de Controle de Acesso (ACLs) que restringem todas as portas para além daquelas exigidas pelo portal do clienteImplementar ACLs para restringir o tráfego entre a rede interna e a DMZ para endere?os de IP de origem/destino específicosProteger os sistemas antes de colocá-los na DMZ (consultar DS-1.5 para ter sugest?es)DS-15.4Portal do clienteProibir o uso de software/sistemas/servi?os de produ??o de terceiros que estejam hospedados em um servidor de internet a menos que aprovado pelo cliente antecipadamente.Considerar a adi??o de um ou mais dos seguintes:Multi-Factor AuthenticationIdentificar e acessar o sistema de gest?oSistema de logon únicoIdentificar padr?es da federa??oUsar uma conex?o VPN com padr?o de criptografia avan?ada (AES) em 128 bits ou superiorDS-15.5Usar HTTPS e impor o uso de um conjunto de criptografia sólida (por exemplo, TLS v1) para o portal de internet interno/externo.DS-15.6N?o utilizar cookies persistentes ou cookies que armazenem credenciais em texto simples.Analisar o uso de cookies por meio das aplica??es existentes baseadas na internet e garantir que nenhum deles armazenará credenciais em texto simplesSe um aplicativo estiver armazenando credenciais em cookies de texto simples, ent?o executar uma das seguintes a??es:Reconfigurar o aplicativoAtualizar o aplicativoSolicitar um patch de seguran?a do desenvolvedor do aplicativoDS-15.7Definir o acesso a conteúdos em portais internos ou externos para expirar automaticamente em intervalos pré-definidos, onde for configurável.DS-15.8Testar a vulnerabilidade de aplicativos da internet trimestralmente e corrigir os problemas confirmados.Usar as diretrizes de teste aceitas pela indústria, como as emitidas pela Open Web Application Security Project (OWASP) para identificar vulnerabilidades em aplica??es Web comuns como Cross Site Scripting (XSS), SQL Injection e Cross Site Request Forgery (CSRF)Os testes devem ser realizados por um terceiro independenteConsultar o Anexo G para ter mais informa??esDS-15.9Portal do clienteRealizar testes de penetra??o anual dos aplicativos de internet e corrigir os problemas confirmados.Usar as diretrizes de teste aceitas pela indústria, como as emitidas pela Open Web Application Security Project (OWASP) para identificar vulnerabilidades em aplica??es Web comuns como Cross Site Scripting (XSS), SQL Injection e Cross Site Request Forgery (CSRF)Os testes devem ser realizados por um terceiro independenteConsultar o Anexo G para ter mais informa??esDS-15.10Permitir que apenas o pessoal autorizado solicite o estabelecimento de uma conex?o com um prestador de servi?os de telecomunica??es.DS-15.11Proibir a transmiss?o de conteúdo usando e-mail (incluindo webmail).Considerar o uso de servidores seguros de dispositivos de e-mail para criptografar e-mails e anexos (por exemplo, Cisco IronPort, Sophos E-Mail Security Appliance, Symantec PGP Universal Gateway Email)DS-15.12Revisar o acesso ao portal do cliente, pelo menos trimestralmente.Remover direitos de acesso ao portal do cliente após os projetos serem concluídosRemover todas as contas inativasConsiderar enviar notifica??es automáticas por e-mail para uma parte adequada para onde quer que os dados sejam transferidos Anexo A – GlossárioEste glossário de termos básicos e siglas é usado mais frequentemente e consultado por nós nesta publica??o. Essas defini??es foram adotadas a partir de normas relevantes de ISO (27001/27002), normas de seguran?a (ou seja, NIST) e as melhores práticas da indústria. Nas orienta??es sobre boas práticas, todos os termos que est?o incluídos neste glossário est?o destacados em negrito.Termo ou siglaDescri??oLista de Controle de Acesso (ACL)Mecanismo que implementa o controle de acesso de um recurso do sistema, listando as identidades das entidades do sistema que têm permiss?o para acessar o recurso.Direitos de acessoPermiss?o para usar/modificar um objeto ou sistema.Advanced Encryption Standard (AES) (Padr?o de criptografia avan?ada)Um padr?o de criptografia de chave simétrica NIST que utiliza blocos de 128 bits e extens?es de chave de 128, 192 ou 256 bits. Gest?o de ativosO sistema pelo qual os ativos s?o monitorados durante todo o fluxo de trabalho, desde a aquisi??o até o descarte.Circuito fechado de televis?o (CFTV)C?meras de vídeo usadas para transmitir um sinal para um local específico em um conjunto limitado de monitores.Console de CFTVSistema central de interface de monitoramento do CFTV. Pessoal da empresaQualquer indivíduo que trabalha diretamente para a unidade, incluindo empregados, funcionários temporários e estagiários.Rede de conteúdo/ produ??oUma rede de computador que é usada para armazenar, transferir ou processar conteúdo de mídia. Ativo digitalQualquer forma de conteúdo e/ou mídia que foi formatada em uma fonte binária que inclui o direito de usá-lo.Diligência devida (Due Diligence)A pesquisa ou investiga??o de um funcionário ou trabalhador terceirizado potencial que é realizada antes da contrata??o para garantir boas condi??es.Dynamic Host Configuration Protocol (DHCP) (Protocolo de configura??o de host din?mico)Protocolo usado para atribuir automaticamente endere?os IP para todos os nós da redeZona Desmilitarizada (DMZ)Sub-rede física ou lógica que contém e exp?e servi?os externos de uma organiza??o para uma rede maior n?o confiável, geralmente a Internet.CriptografiaA convers?o de dados para um formato, chamado de texto cifrado, o qual n?o pode ser facilmente entendido por pessoas n?o autorizadas.Fingerprinting (marca de impress?o digital)Uma técnica na qual o software identifica, extrai e depois comprime componentes característicos de uma mídia, permitindo que a mídia seja identificada exclusivamente por sua forma comprimida resultante.FirewallGateway que limita o acesso entre redes de acordo com a política de seguran?a local.Conjunto de regras de firewallTabela de instru??es que o firewall usa para determinar como os pacotes devem ser encaminhados entre origem e destino.FireWireA interface de alta velocidade que permite que os dados sejam transmitidos a partir de dispositivos externos ao computador.File Transfer Protocol (FTP) (Protocolo de transferência de arquivos)Protocolo TCP/IP que especifica a transferência de arquivos através da rede sem criptografia.HTTPSUm protocolo de comunica??es para comunica??o seguran?a em uma rede de computador, com ampla implanta??o especialmente na internet.Crachá de identifica??oCart?o utilizado para identificar indivíduos autorizados a acessar uma unidade (por exemplo, funcionários, fornecedores, visitantes).Detec??o de intrus?o/Preven??o de intrus?o (IDS/IPS)Um sistema de detec??o de intrus?o (intrusion detection system, IDS) é um dispositivo ou aplicativo de software que monitora as atividades da rede ou do sistema quanto a atividades maliciosas ou viola??es da política e produz relatórios para uma esta??o da gest?o. Um sistema de preven??o de intrus?o (IPS) realiza a mesma fun??o e também tenta bloquear a atividade.Resposta a incidentesA detec??o, análise e corre??o de incidentes de seguran?a.Sistemas de informa??oQualquer sistema eletr?nico ou baseado em computador, que é usado pela unidade para processar a informa??o. Os sistemas de informa??o incluem aplicativos, dispositivos de rede, servidores e esta??es de trabalho, entre outros.Dispositivo I/ODispositivos usados para comunica??o com e/ou entre computadores (por exemplo, unidades USB e FireWire).Endere?o IPUma identifica??o numérica (endere?o lógico) que é atribuída a dispositivos que participam de uma rede de computadores.Gerenciamento de chavesA cria??o, distribui??o, armazenamento e revoga??o de chaves de criptografia que s?o usadas para acessar o conteúdo criptografado.Cart?o de acessoCart?o de plástico, o qual armazena uma assinatura digital que é utilizada com fechaduras eletr?nicas de controlo de acesso.Rede de área local (LAN)Rede de computadores que abrange uma pequena área física (por exemplo, um escritório).Filtragem de endere?os MACMetodologia de controle de acesso de seguran?a utilizada para restringir o acesso a uma rede de computadores.Chave mestraChaves que oferecem acesso a todas as portas (interiores e exteriores) em uma qualquer unidade. Chaves com acesso a todas as áreas de alta seguran?a s?o também consideradas chaves mestras.MídiaDispositivos físicos ou superfícies de escrita, incluindo mas n?o limitado a fitas magnéticas, discos óticos, discos magnéticos, chips de memória LSI, impress?es nos quais as informa??es s?o registradas, armazenadas ou impressas dentro de um sistema de informa??o.Protocolo de rede Conven??o ou norma que controla ou permite a transferência, comunica??o e conex?o de dados entre terminais de computa??o.Cart?o de interface de rede (NIC)Um componente de hardware de computador que conecta um computador a uma rede.Rede sem produ??oTodas as redes de computadores que n?o s?o utilizadas para o processamento ou a transferência de conteúdo de mídia. As redes sem produ??o podem incluir o escritório ou rede administrativa e a rede do cliente.Avalia??o de riscoA identifica??o e prioriza??o de riscos que é realizada para identificar possíveis amea?as a uma empresa.Gest?o de riscoA identifica??o, análise e mitiga??o de riscos por meio de avalia??o de riscos e implementa??o de controles de seguran?a. RoteadorDispositivo cujo software e hardware s?o adaptados para as tarefas de direcionamento e encaminhamento de informa??es.Gest?o de eventos e informa??es de seguran?a (Security information and event management, SIEM)Um termo para produtos e servi?os de software combinando gest?o de informa??es de seguran?a (security information management, SIM) e gest?o de eventos de seguran?a (security event management, SEM). A tecnologia SIEM fornece análise em tempo real dos alertas de seguran?a gerados pelo hardware de rede e pelos aplicativosSegrega??o de fun??esUm princípio de seguran?a pelo qual nenhuma pessoa deve ter a capacidade de concluir uma tarefa por conta própria; um princípio pelo qual nenhuma pessoa deve ser responsável por mais de uma fun??o relacionada.Identificador do conjunto de servi?os (Service Set Identifier, SSID)Um identificador único para uma LAN sem fio que frequentemente é uma sequência legível e, assim, é normalmente chamada de "nome da rede".Pequena interface de sistema de computa??o (SCSI)Normas para conectar fisicamente e transferir dados entre computadores e dispositivos periféricos.?rea de montagemUma área onde o conteúdo é armazenado antes de ser coletado (por exemplo, para entrega ou inser??o).IP estáticoConfigura??o em que um computador usa o mesmo endere?o IP sempre que é ligado.SwitchDispositivo de computador de rede que conecta vários computadores dentro de uma rede e canaliza o tráfego para destinos específicos.TelnetProtocolo de rede utilizado na Internet ou rede de área local para acessar máquinas remotas.Funcionário terceirizadoQualquer indivíduo que trabalha para uma empresa externa, mas é contratado pela unidade para presta??o de servi?os. Funcionários terceirizados incluem empreiteiros, freelancers e agências temporárias. Mecanismos de rastreamentoFerramentas, processos e/ou métodos usados para rastrear ativos em todo o processo de produ??o, incluindo o registro de ativos, rastreamento de movimentos de ativos (por exemplo, mover um ativo da caixa-forte para baias de edi??o), expedi??o e destrui??o de ativos.Ferramentas de transferênciaFerramentas usadas para a transmiss?o eletr?nica de ativos digitais através de uma rede, geralmente com mecanismos de autentica??o e criptografia aceitáveis.Protocolo de transferênciaO procedimento envolvido na transmiss?o de arquivos através de uma rede de computadores ou a Internet.Lista de dispositivos de confian?a (TDL)Uma lista de dispositivos digitais específicos que s?o aprovados para reproduzir conteúdo.Nome de usuário exclusivoIdentifica??o de login distinguível.Universal Serial Bus (USB)Padr?o de barramento serial para conectar dispositivos a um computador host.Gest?o de acesso do usuárioO processo de criar, alterar direitos de acesso e remover contas de usuário de um sistema ou aplicativo.Caixa-forteUma área que é dedicada a armazenar mídias físicas com conteúdo.Virtual Local Area Network (VLAN) (Rede virtual de área local)Rede de computador que tem os atributos de uma LAN/Rede interna, mas n?o se limita a localiza??o física.Rede virtual privada (VPN)Rede de computadores que permite aos usuários acessar outra rede maior.Rede de área ampla (WAN)Rede de computadores que abrange uma área ampla (por exemplo, uma empresa).Watermarking (execu??o de marca d'água)O processo de incorporar de forma irreversível (possivelmente) as informa??es em um ativo digital.Trabalho em andamento (WIP)Qualquer bem que n?o é considerado como um produto final.Fluxo de trabalhoA sequência de passos que uma empresa executa no conteúdo.Anexo B — Defini??es de canal de distribui??o e título da MPAATipos de títuloTipos de título Descri??oFilmeTipo de trabalho lan?ado nos cinemas ou direto para o vídeo doméstico ou para a Internet que inclui os seguintes tipos:Tipo de filmeDescri??oLonga-metragemUm filme de extens?o completa.CurtaUm filme mais curto do que seria considerado um filme de longa-metragem.Outro tipo de formato longoOutras obras, por exemplo, um documentário.Episódio de TVUm tipo de trabalho que está relacionado com a TV, a internet ou dispositivo móvel e inclui episódios de uma temporada ou minissérie. Um piloto é também um episódio como s?o outras sequências específicas (tais como "webisódio" ou "mobisódio").Feitos para a TVUm tipo de trabalho que está relacionado com a TV, a internet ou dispositivo móvel, mas n?o tem episódios (por exemplo, filmes feitos para a televis?o, eventos esportivos ou programas de notícias).Promo??o/PublicidadeUm tipo de trabalho que inclui:"Promo??o" –– Qualquer material promocional associado à mídia. Isso inclui teasers, trailers, pacotes eletr?nicos para imprensa e outros materiais. A promo??o é um caso especial de 'Anúncio'.AnúncioQualquer forma de publicidade, incluindo comerciais de TV, infomerciais, anúncios de servi?o público e promo??es n?o abordadas pelo termo "Promo??o". Isto n?o inclui trailers e teasers de filmes embora possam ser veiculados como um comercial de TV.MúsicaUm tipo de trabalho que inclui ringtones, vídeos de música e outras músicas.OutroUm tipo de trabalho que inclui:TipoDescri??oExcertoUm ativo que consiste principalmente de parte ou partes de outra obra ou plementarMaterial concebido para complementar uma outra obra. Por exemplo, um adicional associado a um DVD.Cole??oUma cole??o de ativos que n?o cai em outra categoria. Por exemplo, uma cole??o de filmes.FranquiaUma cole??o ou combina??o de outros tipos, por exemplo, uma franquia pode incluir múltiplos programas de TV, ou programas de TV e filmes.Canais de distribui??oCanal de distribui??o Descri??oCinemaUm filme que é lan?ado exclusivamente nos cinemas. N?o para cinemaUm filme que é lan?ado publicamente em qualquer outra forma diferente da televis?o, home vídeo ou cinema. Isto inclui a exibi??o de um filme (i) em avi?es, trens, navios e outros veículos comuns, (ii) em escolas, faculdades e outras institui??es de ensino, bibliotecas, agências governamentais, empresas e organiza??es de servi?os e clubes, igrejas e outros grupos orientados para religi?o, museus e cineclubes (incluindo a transmiss?o da exposi??o por circuito fechado dentro da área imediata da origem de tal exposi??o), e (iii) em instala??es militares permanentes ou temporárias, institui??es fechadas, presídios, centros de aposentadoria, instala??es de perfura??o offshore, acampamentos madeireiros e acampamentos remotos florestais e de constru??o (incluindo a transmiss?o da exposi??o por circuito fechado dentro da área imediata da origem de tais exposi??es).Home VideoUm filme lan?ado para a venda direta e as vendas para loca??o de produtos embalados em nível de atacado, por exemplo, em DVD ou Blu-Ray.Televis?o gratuitaUm filme que é lan?ado para o público em ondas de radiodifus?o gratuita, geralmente conforme estabelecido no acordo de licen?a com redes, esta??es de televis?o ou redes básicas de cabo.Televis?o por assinaturaUm filme que é lan?ado para o público de uma forma que exige o pagamento de pelo menos um participante da cadeia de transmiss?o, tais como vídeo sob demanda, satélite, cabo e pay-per-view. InternetUm filme que é lan?ado em qualquer um dos seguintes canais de distribui??o on-line:TipoDescri??oVenda eletr?nica (EST) ou Download para Posse (DTO)Cópias digitais permanentes vendidas on-line.Aluguel on-line ou vídeo sob demanda (VOD) Loca??o paga on-line para visualiza??o temporária.Assinatura de vídeo sob demanda (SVOD)Aluguel por assinatura on-line para visualiza??o on-line.Vídeo sob demanda grátis on-line (FVOD)Transmiss?o grátis on-line de visualiza??o normalmente suportada por receitas de publicidade.OutroMídia nova e on-line, como celular ou TV de Protocolo de Internet.Anexo C — MAPEAMENTO PARA AS UNIDADESAs unidades devem analisar a legenda seguinte para identificar quais os tipos correspondem aos servi?os que a unidade proporciona e implementar os controles apropriados com base em uma avalia??o de risco.LegendaADS?udio, dublagem e legendagemFLLaboratórios de filmesCAPublicidade CriativaIFEIFE (entretenimento de voo) e servi?os de hotelariaCDFServi?os de courier, entrega e remessaPPPós-produ??oDDistribui??oRReplica??oDCCinema digitalVFXEfeitos visuaisDSServi?os digitaisASSeguran?a de aplicativosDVDCria??o de DVDCSSeguran?a na nuvemADSCACDFDDCDSDVDFLIFEPPRVFXASCSMS-1.0XXXXXXXXXXXXXXMS-1.1XXXXXXXXXXXXXXMS-1.2XXXXXXXXXXXXXXMS-1.3XXXXXXXXXXXXXXMS-2.0XXXXXXXXXXXXXXMS-2.1XXXXXXXXXXXXXXMS-3.0XXXXXXXXXXXXXXMS-4.0XXXXXXXXXXXXXXMS-4.1XXXXXXXXXXXXXXMS-4.2XXXXXXXXXXXXXXMS-4.3XXXXXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSMS-5.0XXXXXXXXXXXXXXMS-5.1XXXXXXXXXXXXXXMS-5.2XXXXXXXXXXXXXXMS-5.3XXXXXXXXXXXXXXMS-6.0XXXXXXXXXXXXXXMS-6.1XXXXXXXXXXXXXXMS-7.0XXXXXXXXXXXXXXMS-8.0XXXXXXXXXXXXXXMS-8.1XXXXXXXXXXXXXXMS-9.0XXXXXXXXXXXXXXMS-10.0XXXXXXXXXXXXXXMS-11.0XXXXXXXXXXXXXXMS-11.1XXXXXXXXXXXXXXMS-12.0XXXXXXXXXXXXXXMS-12.1XXXXXXXXXXXXXXMS-12.2XXXXXXXXXXXXXXMS-12.3XXXXXXXXXXXXXXMS-12.4XXXXXXXXXXXXXXMS-12.5XXXXXXXXXXXXXXMS-12.6XXXXXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSPS-1.0XXXXXXXXXXXXXXPS-1.1XXXXXXXXXXXXXXPS-1.2XXXXXXXXXXXXXXPS-2.0XXXXXXXXXXXXXXPS-2.1XXXXXXXXXXXXXXPS-2.2XXXXXXXXXXXXXXPS-2.3XXXXXXXXXXXXXXPS-3.0XXXXXXXXXXXXXXPS-4.0XXXXXXXXXXXXXXPS-4.1XXPS-4.2XXPS-4.3XXPS-5.0XXXXXXXXXXXXXXPS-5.1XXXXXXXXXXXXXXPS-5.2XXXXXXXXXXXXXXPS-5.3XXXXXXXXXXXXXXPS-5.4XXXXXXXXXXXXXXPS-5.5XXXXXXXXXXXXXXPS-5.6XXXXXXXXXXXXXXPS-5.7XXXXXXXXXXXXXXPS-6.0XXXXXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSPS-6.1XXXXXXXXXXXXXXPS-6.2XXXXXXXXXXXXXXPS-7.0XXXXXXXXXXXXXXPS-7.1XXXXXXXXXXXXXXPS-7.2XXXXXXXXXXXXXXPS-7.3XXXXXXXXXXXXXXPS-7.4XXXXXXXXXXXXXXPS-8.0XXXXXXXXXXXXXXPS-8.1XXXXXXXXXXXXXXPS-8.2XXXXXXXXXXXXXXPS-8.3XXXXXXXXXXXXXXPS-8.4XXXXXXXXXXXXXXPS-8.5XXXXXXXXXXXXXXPS-9.0XXXXXXXXXXXXXXPS-9.1XXXXXXXXXXXXXXPS-9.2XXXXXXXXXXXXXXPS-9.3XXXXXXXXXXXXXXPS-9.4XXXXXXXXXXXXXXPS-10.0XXXXXXXXXXXXXPS-10.1XPS-10.2XXXXXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSPS-10.3XXXXXXXXXXXXXXPS-11.0XXXXXXXXXXXXXXPS-11.1XXPS-11.2XXPS-11.3XXPS-11.4XXPS-11.5XXPS-11.6XXPS-11.7XXPS-11.8XPS-11.9XXPS-12.0XXXXXXXXXXXXXXPS-12.1XXXXXXXXXXXXPS-12.2XXXXXXXXXXXXPS-12.3XXXXXXXXXXXXPS-12.4XXXXXXXXXXXXPS-12.5XXXXXXXXXXXXPS-12.6XXPS-13.0XXXXXXXXXXXXXXPS-13.1XXXXXXXXXXXXXXPS-14.0XXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSPS-14.1XXCDFXXXXXXXXXASCSPS-14.2XPS-15.0XXXXXXXXXXXXXXPS-15.1XXXXXXXXXXXXXXPS-15.2XXXXXXXXXXXXXXPS-15.3XPS-15.4XPS-16.0XXXXXXXXXXXXXPS-16.1XXXXXXXXXXXXXPS-16.2XXXXXXXXXXXXXPS-16.3XXXXXXXXXXXXXPS-16.4XXXXXXXXXXXXXPS-17.0XXXXXXXXXXXXXXPS-17.1XXXXXXXXXXXXXXPS-17.2XXXXXXXXXXXXXXPS-17.3XXXXXXXXXXXXXXPS-17.4XXXXXXXXXXXXXXPS-17.5XXPS-17.6XXPS-17.7XXXXPS-17.8XXADSCACDFDDCDSDVDFLIFEPPRVFXASCSPS-17.9XPS-18.0XXXXXXXXXXXXXXPS-18.1XPS-18.2XXXXXXXXXXXXXXPS-18.3XXXXXXXXXXXXPS-19.0XXXXXXXXXXXXXXPS-20.0XXXXXXXXXXXXPS-20.1XXXXXXXXXXXXXXPS-20.2XXPS-21.0XXXXXXXXXXXXXXPS-21.1XXXXPS-21.2XXXXPS-21.3XXXXDS-1.0XXXXXXXXXXXXXDS-1.1XXXXXXXXXXXXXDS-1.2XXXXXXXXXXXXXDS-1.3XXXXXXXXXXXXXDS-1.4XXXXXXXXXXXXXDS-1.5XXXXXXXXXXXXXDS-1.6XXXXXXXXXXXXXDS-1.7XXXXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSDS-1.8XXXXXXXXXXXXXDS-1.9XXXXXXXXXXXXXDS-1.10XXXXXXXXXXXXXDS-1.11XXXXXXXXXXXXXDS-1.12XXXXXXXXXXXXXDS-2.0XXXXXXXXXXXXXDS-2.1XXXXXXXXXXXXXDS-2.2XXXXXXXXXXXXXDS-3.0XXXXXXXXXXXXXDS-3.1XXXXXXXXXXXXXDS-3.2XXXXXXXXXXXXXDS-3.3XXXXXXXXXXXXXDS-3.4XXXXXXXXXXXXXDS-3.5XXXXXXXXXXXXXDS-3.6XXXXXXXXXXXXXDS-3.7XXXXXXXXXXXXXDS-3.8XXXXXXXXXXXXXDS-3.9XXXXXXXXXXXXXDS-3.10XXXXXXXXXXXXXDS-4.0XXXXXXXXXXXXXDS-4.1XXXXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSDS-4.2XXXXXXXXXXXXXDS-5.0XXXXXXXXXXXXXDS-5.1XXXXXXXXXXXXXDS-6.0XXXXXXXXXXXXXDS-6.1XXXXXXXXXXXXXDS-6.2XXXXXXXXXXXXXDS-6.3XXXXXXXXXXXXXDS-6.4XXXXXXXXXXXXXDS-6.5XXXXXXXXXXXXXDS-6.6XXXXXXXXXXXXXDS-6.7XXXXXXXXXXXXXDS-6.8XXXXXXXXXXXXXDS-6.9XXXXXXXXXXXXXDS-6.10XXXXXXXXXXXXXDS-6.11XXXXXXXXXXXXXDS-6.12XXXXXXXXXXXXXDS-7.0XXXXXXXXXXXXXDS-7.1XXXXXXXXXXXXXDS-7.2XXXXXXXXXXXXXDS-7.3XXXXXXXXXXXXXDS-7.4XXXXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSDS-7.5XXXXXXXXXXXXXDS-7.6XXXXXXXXXXXXXDS-7.7XXXXXXXXXXXXXDS-7.8XXXXXXXXXXXXXDS-8.0XXXXXXXXXXXXXDS-8.1XXXXXXXXXXXXXDS-8.2XXXXXXXXXXXXXDS-8.3XXXXXXXXXXXXXDS-8.4XXXXXXXXXXXXXDS-9.0XXXXXXXXXXXXXDS-9.1XXXXXXXXXXXXXDS-9.2XXXXXXXXXXXXXDS-9.3XXXXXXXXXXXXXDS-9.4XXXXXXXXXXXXXDS-9.5XXXXXXXXXXXXXDS-9.6XXXXXXXXXXXXXDS-9.7XXXXXXXXXXXXXDS-10.0XXXXXXXXXXXXXDS-10.1XXXXXXXXXXXXXDS-10.2XXXXXXXXXXXXXDS-10.3XXXXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSDS-10.4XXXXXXXXXXXXXDS-10.5XXXXXXXXXXXXXDS-10.6XXXXXXXXXXXXXDS-10.7XXXXXXXXXXXXXDS-10.8XXXXXXXXXXXXXDS-10.9XXXXXXXXXXXXXDS-11.0XXXXXXXXXXXXXDS-11.1XXXXXXXXXXXXXDS-11.2XXXXXXXXXXXXXDS-11.3XXXXXXXXXXXXXDS-11.4XXXXXXXXXXXXXDS-11.5XXXXXXXXXXXXXDS-11.6XDS-11.7XDS-12.0XXXXXXXXXXXXXDS-12.1XXXXXXXXXXXXXDS-12.2XXXXXXXXXXXXXDS-12.3XXXXXXXXXXXXXDS-13.0XXXXXXXXXXXXXDS-13.1XXXXXXXXXXXXXDS-14.0XXXXXXXXXXXXXADSCACDFDDCDSDVDFLIFEPPRVFXASCSDS-14.1XXXXXXXXXXXXXDS-14.2XXXXXXXXXXXXXDS-14.3XXXXXXXXXXXXXDS-14.4XXXXXXXXXXXXXDS-15.0XXXXXXXXXXXXXDS-15.1XXXXXXXXXXXXXDS-15.2XXXXXXXXXXXXXDS-15.3XXXXXXXXXXXXXDS-15.4XXXXXXXXXXXXXDS-15.5XXXXXXXXXXXXXDS-15.6XXXXXXXXXXXXXDS-15.7XXXXXXXXXXXXXDS-15.8XXXXXXXXXXXXXDS-15.9XXXXXXXXXXXXXDS-15.10XXXXXXXXXXXXXDS-15.11XXXXXXXXXXXXXDS-15.12XXXXXXXXXXXXXAnexo D — Mapeamento de controles para referênciasA tabela a seguir fornece um mapeamento geral das melhores práticas para as normas da ISO 27001/27002 e NIST 800-53. Estas normas podem ser consultadas para obter mais informa??es sobre a implementa??o dos controles de seguran?a fornecidos.N.? Tópico de seguran?aReferência ISO 27002 -2013Referência NIST 800-53 rev. 4MS-1.0Conscientiza??o/Supervis?o de seguran?a executiva6.1.1PM-1, PM-2MS-1.16.1.1AT-2, AT-3, PM-1, PM-2MS-1.25.1.2, 6.1.1PM-1, PM-6, AT-3MS-1.35.1.2, 6.1.1PM-1, PM-6, AT-3MS-2.0Gest?o de risco 6.1.1CA-1, RA-1MS-2.15.1.2RA-2MS-3.0Organiza??o de seguran?a6.1.3PM-2MS-4.0Políticas e procedimentos5.1.1, 6.1.1PL-1MS-4.15.1.2PL-1MS-4.28.1.3PL-1, PS-7MS-4.38.2.2, 8.1.3AT-1, AT-2, AT-3, AT-4MS-5.0Resposta a incidentes16.1.1IR-1, IR-8MS-5.1IR-2MS-5.216.1.2IR-6, IR-7MS-5.316.1.2IR-4, IR-5MS-6.0Continuidade de negócios e Recupera??o de desastres17.1.1CPMS-6.117.1.1CPMS-7.0Controle de altera??es e Gest?o de configura??o14.2.2CMMS-8.0Fluxo de trabalho11.1MS-8.111.1MS-9.0Segrega??o de fun??es6.1.2AC-5MS-10.0Verifica??es de antecedentes7.1.1PS-3MS-11.0Acordos de confidencialidade7.1.2PL-4, PS-6, SA-9MS-11.18.1.4PS-4, PS-8MS-12.0Uso e triagem de terceiros7.1.2PL-4, PS-6, SA-9MS-12.18.1.4PS-7, SA-9MS-12.27.2.1PS-4MS-12.38.14MS-12.47.1.2PS-7MS-12.511.1.2PL-4, PS-6, SA-9MS-12.67.1.1PS-1.0Pontos de entrada/saída11.1PE-3PS-1.111.1PE-3, PE-6PS-1.211.1PE-1, PE-2, PE-3PS-2.0Entrada/Saída de visitante11.1PE-8PS-2.111.1PE-7, PE-2, PE-3PS-2.211.1PE-3PS-2.311.1PE-7, PE-2, PE-3PS-3.0Identifica??o11.1.2PE-3PS-4.0Seguran?a do perímetro11.1.1PE-3PS-4.111.1.1PE-3PS-4.211.1.1PE-3PS-4.311.1.1PE-3PS-5.0Alarmes11.1.1PE-3, PE-6PS-5.1PE-6PS-5.211.1.1AC-6PS-5.311.1.1PS-5.411.1.1PE-3, PE-6PS-5.511.1.1PE-3PS-5.611.1.1PE-6PS-5.711.1.1PE-9, PE-10, PE-11, PE-13PS-6.0Autoriza??o11.1PE-1, PE-2, PE-3PS-6.111.1PE-2, PS-6.211.1PE-2, PS-4, PS-5PS-7.0Controle de acesso eletr?nico11.1PE-2, PE-3PS-7.111.1PE-2, PE-3PS-7.211.1PE-2, PE-3PS-7.311.1PE-2, PE-3PS-7.411.1PE-2, PE-3PS-8.0Chaves11.1PE-2, PE-3PS-8.111.1PE-2, PE-3PS-8.211.1PE-2, PE-3PS-8.311.1CM-8PS-8.49.2.6CM-5, CM-8PS-8.59.2.6CM-5, CM-8PS-9.0C?merasPE-6PS-9.111.1PE-6PS-9.211.1PE-2, PE-3PS-9.311.1AU-6, PE-6PS-9.411.1PE-6PS-10.0Registro e monitoramento12.4AU-3, AU-6AU-9, AU-11PS-10.112.4AU-6PS-10.212.4AU-6PS-11.0Buscas11.1PS-11.1PS-11.2PS-11.3PS-11.4PS-11.5PS-11.611.1PS-11.7PS-11.8PS-11.9PS-12.0Controle de estoque8.1CM-8PS-12.18.2.2MP-3PS-12.28.2.3AU-9, AU-11PS-12.3AU-6, CM-8PS-12.4PS-12.58.2.3AU-1, AU-3, AU-6PS-12.68.2.3PS-13.0Contagens de estoque8.1.1AU-6, CM-8PS-13.16.1.2AC-5PS-14.0Rastreamento de mídia em branco/matérias-primas8.2.2MP-4PS-14.18.1.1MP-4, PE-2, PE-3PS-14.2PS-15.0Ativos de clientes8.2.3MP-4, PE-2, PE-3PS-15.18.2.3MP-2, MP-4PS-15.2PS-15.3PS-15.4PS-16.0Descarte8.3.2MP-6PS-16.18.3.2MP-6PS-16.2MP-6PS-16.3MP-6PS-16.4PS-17.0Expedi??o8.3.3MP-5PS-17.18.3.3AU-11, PE-16, MP-5PS-17.28.2.3MP-5PS-17.38.3.3PE-3, PE-7PS-17.48.3.3PE-3, PE-7PS-17.5PS-17.6PS-17.7PS-17.8PS-17.9PS-18.0Recebimento8.2.3PE-16PS-18.1MP-5PS-18.28.2.2MP-3, MP-4PS-18.38.2.3MP-3, MP-5PS-19.0Rotulagem8.2.2MP-3PS-20.0Acondicionamento8.3.3MP-5PS-20.18.3.3PS-20.2PS-21.0Veículos de transporteMP-5PS-21.1PS-21.2PS-21.3DS-1.0Rede externa/WAN13.1AC-4, SC-7DS-1.19.1, 13.1, 13.2AC-3, AC-4DS-1.210.1, 13.2CM-7DS-1.313.2AC-20, CA-3, SC-7DS-1.412.6CM-6, SI-2DS-1.5CM-6, CM-7DS-1.69.4, 10.1AC-6, AC-17DS-1.712.3, 17.1DS-1.812.6, 13.1RA-5, SC-7DS-1.912.6RA-5, SC-7DS-1.1010.1, 13.1SC-7, SC-12, SC-33DS-1.1112.4SC-7, SC-12, SC-33DS-1.1212.2, 16.1SC-7, SC-12, SC-33DS-2.0Internet12.1, 13.1CA-3DS-2.113.2PL-4DS-2.213AC-6, PL-4DS-3.0LAN/Rede interna9.4, 13.1SC-7DS-3.111.2DS-3.26.2, 13.1, 9AC-3, AC-17DS-3.310.1CM-6, CM-7DS-3.413.1SCDS-3.513.1SCDS-3.616.1SI-4DS-3.79.4SCDS-3.89.1SCDS-3.912.6SCDS-3.1012.3, 17.1SCDS-4.0Sem fio9.1, 13.1AC-18DS-4.19.1, 13.1AC-18DS-4.29.1, 13.1SI-4DS-5.0Seguran?a do dispositivo de I/O10.7.1SC-7DS-5.1AC-19, MP-2DS-6.0Sistema de seguran?a12.2SI-3DS-6.112.2SI-3DS-6.212.2SI-3DS-6.312.2SI-3DS-6.412.5, 12.6SI-2, RA-5DS-6.59.4AC-5, SC-2DS-6.611.2PE-3DS-6.76.2, 10.1, 11.1MA-4, PE-5DS-6.88.1, 12.5CM-11 SI-7DS-6.912.1, 12.5CM-10, SI-7DS-6.1012.6AC-3, AC-6, CM-7DS-6.118.1CM-8DS-6.128.1, 14.1, 14.2DS-7.0Gest?o de contas9AC-2DS-7.19.1AC-2DS-7.29.2, 9.4AC-2, AC-6, IA-4DS-7.38.1, 9.2, 9.4AC-2, AC-6, IA-4DS-7.412.4, 18.2AC-2, AC-6, IA-4DS-7.512.1, 12.4AU-3, AU-6DS-7.69.2, 9.4AU-2, AU-12DS-7.79.2, 9.4PS-4, PS-5DS-7.89.2, 9.4AC-2, PE-2DS-8.0Autentica??o9.1IA-2, IA-4DS-8.19AC-7, IA-5DS-8.29.4, 10.1AC-17DS-8.39.2, 9.4AC-11DS-8.49.4AC-1DS-9.0Registro e monitoramento12.4SI-4, AU-2, AU-3DS-9.112.4AU-1, AU-6DS-9.212.4AU-1, AU-6DS-9.312.4AU-1, AU-2, AU-6DS-9.410.1AU-2, AU-3DS-9.512.4AU-3, AU-8DS-9.610.1.3, 10.10.3AU-9, AU-11DS-9.712.4AU-6DS-10.0Seguran?a móvel6.2, 11.2SC, AC, IA-2DS-10.16.2, 11.2SC, ACDS-10.26.2, 11.2SC, ACDS-10.36.2, 11.2SC, ACDS-10.46.2, 11.2SC, ACDS-10.56.2, 11.2SC, ACDS-10.66.2, 11.2SC, ACDS-10.76.2, 11.2SC, ACDS-10.86.2, 11.2SC, ACDS-10.96.2, 11.2SC, ACDS-11.0Técnicas de seguran?a8.2, 10.1DS-11.18.2, 10.1IA-5, SC-13DS-11.28.2, 10.1SC-8, SC-12DS-11.38.2, 10.1SC-12DS-11.4DS-11.5DS-11.610.1DS-11.710.1DS-12.0Controle de conteúdoDS-12.1DS-12.2DS-12.3DS-13.0Sistemas de transferência10.1, 13.2IA-5, SC-13DS-13.110.1, 13.2DS-14.0Metodologia do dispositivo de transferência13.1DS-14.113.1AC-4, SC-7DS-14.213.1AC-4, AC-20, SC-7DS-14.313.2MP-6DS-14.412.4, 13.2DS-15.0Portal do cliente13.1AC-6DS-15.19.2, 9.4IA-5DS-15.29.2, 9.4AC-2, AC-3, AC-6DS-15.312.6, 13.1AC-4, AC-20DS-15.49.2, 9.4, 10.1DS-15.510.1SC-8, SC-13DS-15.69.4AC-4DS-15.79.4AC-2DS-15.812.6SI-7DS-15.912.6DS-15.10DS-15.1113.2AC-4DS-15.1212.1Anexo E — Perguntas mais frequentesMinha instala??o precisa implementar todas as melhores práticas apresentadas?A conformidade com as melhores práticas é estritamente voluntária. Elas s?o diretrizes sugeridas a considerar ao planejar, implementar e modificar os procedimentos de seguran?a. Se minha unidade oferece vários servi?os (por exemplo, laboratório de cinema e de pós-produ??o), qual conjunto de melhores práticas complementares devo aplicar? As unidades devem sempre aplicar o conjunto mais restritivo das melhores práticas complementares a menos que o processo de trabalho esteja separado um do outro, nesse caso, você deve aplicar somente as melhores práticas complementares ao ambiente para esse servi?o.Minha unidade precisa aplicar todos os itens incluídos na se??o "Orienta??es para implementa??o" das melhores práticas?N?o. A informa??o contida nesta se??o das diretrizes destina-se a ajudá-lo a determinar a melhor forma de estruturar um controle de seguran?a particular. Se sua empresa tiver uma avalia??o de seguran?a de conteúdos realizada pela MPAA, a nossa avalia??o somente comparará as práticas da sua institui??o em rela??o à respectiva se??o de melhor prática das diretrizes em um determinado ponto no tempo. (Para obter mais informa??es sobre como receber uma avalia??o de seguran?a de conteúdos da MPAA, você pode entrar em contato conosco pelo e-mail contentsecurity@.E se o meu sistema atual n?o permitir a implementa??o das melhores práticas?Por favor, entre em contato com o fornecedor do respectivo sistema, a fim de identificar possíveis solu??es para permitir que os sistemas sigam as melhores práticas. As solu??es podem incluir corre??es, atualiza??o da vers?o ou até mesmo mudan?a para um sistema mais seguro. Medidas de seguran?a alternativas também podem ser usadas, se as limita??es técnicas impedirem a implementa??o das melhores práticas; no entanto, isto normalmente n?o é considerado para cobrir os riscos associados. Exce??es à implementa??o das diretrizes de seguran?a devido às limita??es do sistema devem ser formalmente documentadas e aprovadas por seus clientes.Ao aplicar as melhores práticas nesta diretriz, a minha unidade ainda precisa cumprir os requisitos de seguran?a definidos individualmente por um membro da MPAA?A implementa??o das melhores práticas é uma diretriz e n?o substitui as cláusulas contratuais específicas com um membro individual da MPAA. As decis?es sobre o uso de fornecedores por qualquer membro específico s?o tomadas pelos membros exclusivamente de forma unilateral. A MPAA incentiva a usar as melhores práticas como uma diretriz para futuras discuss?es em torno da seguran?a com seus clientes.Anexo F — Políticas e procedimentos sugeridos Abaixo est?o algumas áreas comuns para as quais as políticas e procedimentos de seguran?a devem ser desenvolvidas e implementadas a fim de salvaguardar o conteúdo:Políticas e procedimentos de seguran?a físicaSeguran?a de pontos de entrada/saídaProtocolo de acesso do visitanteIdentifica??o e autoriza??oProtocolo de emergênciaControles de acesso da unidade Monitoramento da unidade Inventário e gest?o de ativosControle de estoque Protocolos de expedi??oArmazenagem do estoque no local, durante o transporteSeguran?a da tecnologia da informa??oPolítica de uso da InternetAutentica??o e autoriza??oPolítica de senhaProte??o de código malicioso/antivírusObserva??o: inclui tudo (uso aceitável, etc.)Políticas e procedimentos de recursos humanosIncluindo a seguran?a nas responsabilidades de trabalhoTriagem de pessoalAcordos de prote??o de confidencialidade, direitos de propriedade e propriedade intelectualTermos e condi??es de empregoSegrega??o de fun??es (SOD)Rescis?o de contrato de trabalho Medidas disciplinaresPrograma de treinamento e conscientiza??o de seguran?aTriagem e verifica??o de antecedentes/referências dos funcionários e contratados temporários/aut?nomosAcordos de n?o divulga??o do funcionário, do contratado temporário e do aut?nomo (NDAs)Reten??o de registrosTerceirosContratos de terceiros Acordos de n?o divulga??o (NDAs)Resposta a incidentesIdentifica??o e análise de incidentesEscala??o e relatórios de incidentesProcessos e procedimentos de resposta a incidentesProcedimentos de revis?o e li??es aprendidas pós-mortemAnexo G — Outros recursos e referênciasInternational Organization for Standardization (ISO), Standard 27001. Information technology - Security techniques - Information security management systems – Requirements. Outubro de 2005. Organization for Standardization (ISO), Standard 27002. Information technology - Security techniques - Code of practice for information security management. Julho de 2007.http ://iso-27002.htmInternational Organization for Standardization (ISO), Standard 27005. Information technology - Security technique- Information security risk management. Junho de 2008. Institute of Standards and Technology Special Publication 800-53. Recommended Security Controls for Federal Information Systems, Fevereiro de 2005. Institute of Standards and Technology Special Publication IR 7298. Glossary of Key Information Security Terms, abril de 2006., Audit, Networking, and Security (SANS Institute). Glossary of Terms Used in Security and Intrusion Detection Open Web Application Security Project (OWASP) – Testing Guide National Institute of Standards and Technology Special Publication 800-88. Guidelines for Media Sanitization, setembro de 2006. Industrial Security Program - Operating Manual (DoD 5220.22-M), fevereiro de 2006 Center for Internet Security – Security Benchmarks Security Agency - Security Configuration Guides Institute of Standards and Technology Special Publication 800-92. Guide to Computer Security Log Management, setembro de 2006. National Institute of Standards and Technology Special Publication 800-44. Guidelines on Securing Public Web Servers, setembro de 2007. National Institute of Standards and Technology Special Publication 800-40. Creating a Patch and Vulnerability Management Program, novembro de 2005. Anexo H — Denúncia de pirataria para a MPAADenúncia de pirataria on-line para a MPAAVocê pode denunciar a pirataria diretamente para a MPAA: de dicas sobre pirataria 24 horas da MPAA e MPAA lista a seguir apresenta as informa??es de contato da linha de dicas 24 horas para cada país onde a MPAA trabalha com um escritório local de prote??o de conteúdo:América do Norte e América LatinaCanadá(800) 363-9166Estados Unidos(800) 371-9884Europa, Oriente Médio e ?frica (regi?o EMEA)Bélgica+32 2 778 2711Itália(800) 864 120Países Baixos(909) 747 2837Ucr?nia+38 0 445 013829Reino Unido(800) 555 111?sia-Pacífico (regi?o APAC)Austrália+61 29997 8011Hong Kong+65 6253-1033Malásia+65 6253-1033Nova Zel?ndia+65 6253-1033Filipinas+65 6253-1033Cingapura+65 6253-1033Taiwan+65 6253-1033Uma lista completa de informa??es de contato em geral de todos os escritórios regionais e nacionais de prote??o de conteúdo está localizada em: HYPERLINK "" on-line da MPAAInforma??es adicionais sobre a MPAA também podem ser encontradas neste site: Você também pode aprender sobre os programas de prote??o de conteúdo em todo o mundo durante a exposi??o em: Fim do documento ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download