Responsabilidade para Protocolos de Acesso Remoto Administrativo – IaaS:

Considerando que a política aqui descrita é parte integrante da Proposta Comercial.

Considerando a Portaria nº 93/2019 que aprovou o glossário de Segurança da Informação.

Considerando que para fins desta política, entende-se como acesso remoto administrativo a liberação de acesso às portas lógicas de servidores para internet que promovem permissão a protocolos administrativos, como por exemplo, mas não limitados apenas a estes: RDP, SSH, VNC, SNMP, Telnet.

Considerando esta política é aplicável somente quando o Parceiro opta, unilateralmente, ter acesso remoto administrativo liberado com exposição irrestrita à internet.

Resolvem as Partes celebrar a presente política, que se regerá pelas seguintes cláusulas e condições:

Objetivo

Esta política tem como objetivo: (i) formalizar as responsabilidades do que cabem ao Parceiro Prestador de Serviço Gerenciado em gerir os protocolos de acesso remoto administrativo no ambiente IaaS de forma irrestrita à internet. (ii) registrar os riscos assumidos pelo Parceiro e suas responsabilidades decorrentes de liberação de tais protocolos expostos na internet de forma irrestrita e (iii) informar as medidas, não exaustivas, a serem observadas pelo Parceiro como opção para não necessitar da exposição irrestrita destes protocolos, (iv) eximir a TOTVS de responsabilidade relacionados aos riscos envolvidos na liberação dos protocolos de acesso remoto administrativo na gestão realizada pelo Parceiro e (v) isentar a TOTVS do dever de indenizar o cliente de TOTVS Cloud Computing IaaS em virtude de eventuais danos experimentados por culpa, mal uso ou intervenção do Parceiro quando desta liberação e exposição de protocolos.

Riscos cibernéticos assumidos

O Parceiro desde já declara estar ciente e expressamente concorda com os riscos cibernéticos envolvidos na liberação e exposição destes protocolos, em especial, a ocorrência de ataques cibernéticos que possam vir a ocorrer durante o período em que o acesso remoto administrativo estiver liberado através das alterações de portas lógicas expostas a internet e que colocam em risco a confidencialidade, integridade, disponibilidade, privacidade e resiliência do ambiente do cliente de TOTVS Cloud Computing IaaS.

O Parceiro declara ciência que ao expor de forma irrestrita os protocolos de acesso remoto administrativo para a Internet, deixará o ambiente do cliente de TOTVS Cloud Computing IaaS suscetível para os ataques, porém não se limitando somente aos cenários e exemplos abaixo, mas a qualquer ataque cibernético:

(i) Exploração de vulnerabilidades do protocolo de acesso remoto dado que o invasor terá acesso irrestrito à porta lógica. Por exemplo, podemos citar o CVE-2019-0708 relacionado MS-RDP (Microsoft Remote Desktop Protocol), permitindo a execução arbitrária de código remoto.

(ii) Ataques de força bruta, cenário que pode ser agravado ainda mais caso o cliente faça uso de credenciais fracas de login.

(iii) Ataques de negação de serviço (DDoS).

(iv) Uma vez o servidor comprometido, o ataque pode fazer uso de outras técnicas para dominar o ambiente inteiro do cliente, tais como, reconhecimento de outros servidores e dispositivos de rede, movimentação lateral e instalação de C2 (Command and Control).

Em qualquer caso acima descrito, toda a responsabilidade sobre o ambiente deve ser acordada entre o Parceiro Prestador de Serviço Gerenciado e o cliente de TOTVS Cloud Computing IaaS, isentando a TOTVS de qualquer responsabilidade.

Riscos operacionais assumidos

O Parceiro desde já está ciente que, pelo período que um ou mais protocolos de acesso remoto administrativo estiver liberado e exposto de forma irrestrita para a internet, poderá experimentar riscos operacionais.

O Parceiro declara estar ciente e expressamente concorda com os riscos operacionais envolvidos como, por exemplo, mas não se limitando a:

(i) Lentidão nos servidores e/ou nos serviços adquiridos, podendo afetar diretamente o nível de serviço (SLA) contratado pelo cliente de TOTVS Cloud Computing IaaS cujos períodos de instabilidades não serão contabilizados.

(ii) Baixa performance decorrente da exposição dos protocolos.

(iii) Impossibilidade de suporte técnico em caso de comprometimento parcial ou completo do ambiente expostos na internet sem restrição.

(iv) Instabilidade ou indisponibilidade parcial e total dos servidores e serviços.

(v) Interferência ou comprometimento da confidencialidade e integridade dos dados.

Medidas preventivas

Sabendo que cibercriminosos utilizam os protocolos de acesso remoto administrativo (ex RDP), como um ponto fácil de entrada, TOTVS Cloud encoraja e recomenda ao cliente de TOTVS Cloud Computing IaaS e ao Parceiro fortemente que esses protocolos não sejam liberados e expostos de forma irrestrita para a Internet.

Como forma de prover opções mais seguras, TOTVS Cloud entrega os seguintes serviços que podem ser utilizados pelo Parceiro e pelo cliente de TOTVS Cloud Computing IaaS sem necessidade de expor tais protocolos de forma irrestrita para internet:

(i) Utilização de um link VPN (Virtual Private Network).

(ii) Limitação por IP de origem, no qual, o próprio cliente possui autonomia de configurar através do T-Cloud.

(iii) Utilização do T-Cloud Remote, possibilitando o acesso remoto RDP e SSH através de um navegador como o Internet Explorer e o Google Chrome de forma segura e autenticada com MFA.

Além das medidas supracitadas, o cliente poderá contatar a área comercial da TOTVS e verificar ofertas adicionais de serviços de segurança.

O Parceiro declara estar ciente que ao optar, unilateralmente, por ter acesso remoto administrativo liberado e exposto de forma irrestrita à internet, coloca em risco ambiente IaaS do cliente de TOTVS Cloud Computing IaaS hospedado na nuvem da TOTVS, sendo que TOTVS Cloud explana opções mais seguras ao CLIENTE e isenta a TOTVS de qualquer responsabilidade sobre esta decisão e suas possíveis consequências.

(vi) Acesso aos servidores limitados ou administrados por atacantes, podendo impactar na privacidade e proteção dos dados comportados no ambiente.