1% Relatorio Visdo geral da fase para o aaaaaaaa Abaixo ha uma visdo geral das opgées assinaladas ao longo do questionario para o sis- tema, Sao apresentados trés blocos: controles aplicados, nao aplicados e nao se aplica. Dividos pelo grupo de medidas de seguranca, conforme Guia de Avaliacao de Riscos de Seguranca e Privacidade. Controles definidos como “sim”, aplicados (57): Medidas de Seguranca e Privacidade Abertura, Transparencia e Notificacéo 100 - A finalidade do tratamento ¢ comunicada ao titular dos dados pessoais, mesmo no caso de execu- 0 de politicas publicas e competéncia legal. antes que as informagées sejam coletadas ou usadas? 103, - Os titulares de dados pessoais sao notificados de alteragdes na forma de tratamento de dados? Compliance com a Privacidade 5- A Politica de Seguranca da Informagao ja foi revisada para se adequar a medidas que objetivem a pro- tegao de dacios pessoais? 41 - Foi elaborada uma politica de privacidade para o servico? 42 - Existe Rela- t6rio de Impacto a Protecao de Dados Pessoais, conforme previsto na Lei 13709 de 14 de agosto de 2018, relacionado a solugao de TIC? 89 - 0 desenvolvimento dos sistemas é orientado a protecao da privaci- dade dos dados pessoais (Privacy by Design)? 90 - Os contratos firmados com os operadores de dados pessoais contém cléusulas que asseguram 0 tratamento de dados pessoais conforme previsto pela Lei Geral de Protecdo de Dados? 92 - Os controles de protecao de dados pessoais s40 monitorados e audita- dos periodicamente para garantir que as operagdes que envolvam dados pessoais estejam em conformi- dade com as leis, regulamentos e termos contratuais aplicaveis? 94 - A instituicaio monitora continua mente as acdes de protegao de dados pessoais, a fim de determinar o progresso no cumprimento dos re- quisitos de conformidade com a protecao de dados pessoais e dos controles de protegao de dados pes- soais, comparar o desempenho em toda a organizacao, identificar vulnerabilidades e lacunas na politica e na implementagao e identificar modelos de sucesso? Consentimento e Escolha Nao ha controles Continuidade de Negécio 4 Existe um Plano de Continuidade de Negécio, que garanta o nivel adequado de continuidade para a seguranca da informacao durante uma situagao adversa?Controles Criptograficos 83 - 0 compartithamento ou transferéncia de dados pessoais ¢ realizado por meio de um canal criptogra- fado e de cifra recomendada pelos sitios especializados de seguranga (Exemplo: https//wwwssllabs.com/ssltest/)? Controles de Acesso Logica 32 - E exigida autorizagao prévia da autoridade competente para liberagao das credenciais de acesso para © gerenciamento dos sistemas que suportam o servigo? 52 - Uma analise critica de direitos de acesso é realizada em um periodo de tempo previamente definido ou a qualquer momento depois de qualquer mudanga nos direitos de usuarios ou para verificacao de incidentes de seguranga? 53 - Hd mecanismos para encerramento (expirar) de qualquer sesso cuja inatividade do usuario exceda um periodo de tempo predeterminado? 56 - As credenciais de acesso e logs sao armazenados separadamente dos dados das aplicages e dos sistemas? Controle de Acesso e Privacidade 78 - Meios de autenticagao forte s4o providos para o processamento dos dados pessoais. em especial os adios sensiveis (dados de satide e demais dados previstos pelo art®, Il da LGPD)? Controles de Seguranga em Redes, Protecao Fisica e do Ambiente 7 -O local que processa as informagées ¢ restrito somente ao pessoal autorizado? 8 - O trabalho nas teas seguras é supervisionado? 10 - O acesso externo aos sistemas € provido de meios de seguranga que protegem a confidencialidade e integridade dos dados trafegados. tais como 0 uso de VPN? Cépia de Seguranga 27 - Hd uma politica ou norma de backup que aborde os procedimentos operacionais que padronizam os processos de geracao de cépias de seguranga e recuperacao de arquivos, assim como os processos de. controle de acesso, armazenamento, movimentagao e descarte das midias que contém cépias de segu- ranga? 28 - Esta estabelecida a abrangéncia dos procedimentos de backup para cada tipo de informagao (por exemplo, completa ou diferencia? 29 - E definida a abrangéncia dos testes de backup e sua periodi- cidade, de forma que os testes sejam planojados observando as dependéncias e relacionamentos e sistemas, considerando inclusive os ambientes de continuidade de negécios, com o objetivo de minimizar a possibilidadie de que a auséncia de sincronismo entre os dados inviabilize ou dificulte sua recuperagao? 31- O periodo de retencao das cépias de seguranga e os requisitos de releitura so predefinidos, levando- se em consideragao 0s requisitos de negécio, contratuais, regulamentares ou legais? 47 - E realizada c6- pias de seguranga dos logs de acordo com periodos de retengo, que consideram 0s requisites de nego- cio, contratuais, regulamentares ou legais? Desenvolvimento Seguro 34- As areas de desenvolvimento, teste, homologagao e produgao sao segregadas a fim de reduzir as possibilidades de modificacao ou uso indevido dos recursos de processamento da informagao, com con- troles de seguranga adequados para cada ambiente? 36 - Quando ha a cépia dos dados de produgao para os ambientes de desenvolvimento, teste e homologacdo, hd autorizacéo do proprietario do ativo de informagao? 64 - Existem controles de versao pata garantir a gestao dos cédigos-fonte? 66 - E realizada anilise estatica e/ou analise dinmica dos requisitos de seguranga cibernética do sistema? Gestdo de Capacidade e Redundancia 40 - Ha redundéncia dos recursos de processamento da informagao suficiente para atender aos requisitos de disponibilidade previstos em contrato? Gestao de Mudangas 13 - Mudancas sao planejadas e testadas? Gestdo de Riscos 18 - Ha um processo de analise e monitoramento de vulnerabilidades? 37 - E realizada periodicamente uma analise/avaliagao de riscos da arquitetura da Solu¢ae de TIC, indicando os eventos de risco e seusrespectivos niveis de risco ao qual o sistema esta exposto, baseada em prévia analise de vulnerabilidades dos ativos que compdem a Solucao de TIC? Legitimidade e Especificagao de Propésito 6 - Os dados pessoais encontram-se classificados em sensiveis e nao sensiveis, incluindo categorias de informagdes pessoais de satide, informacées pessoais financeiras, entre outras? 97 - As transferéncias in- teracionais de dados pessoais séo realizadas de acordo com o disposto pelo art. 33 da Lei n® 13,709/2018 (LGPD)? Limitagao de Coleta 98 - Os dados coletados limitam-se ao minimo necessério para atendimento da finalidade do tratamento? 99 - £ realizada uma anilise periddica sobre os dados coletados, se eles continuam limitados ao minimo necessario para 0 atendimento a finaliciade? Minimizagéo de Dados Nao ha controtes Participacao Individual e Acesso 112 - Ainstituigao permite aos titulares dos dados pessoais, quando permitido pela legislacao aplicavel, a capacidade de acessar e revisar seus dados pessoais para elevar a integridade e preciso das informa- ges? 113 - Ha um canal de comunicacao ativo, seguro e autenticado para o recebimento de reclamacées e manter um ponto de contato para receber e responder a reclamagées, preocupagées ou perguntas dos titulares sobre 0 tratamento de dados pessoais realizados pela instituigo? Precisao e qualidade 108 - A instituicéo implementa processos para que o tratamento dos dados pessoais seja preciso, com- pleto, atualizado, adequado e relevante para a finaliciade de uso? 109 - A instituicao implementa medidas que garantam e maximizem a preciso dos dados pessoais coletados, antes de qualquer armazenamento ou processamento de dados pessoais? Registro de Eventos, Rastreabilidade e Salvaguarda de Logs 58 - O log registra endereco IP ou outro atributo que permita a identificacao de onde o usuario efetuou 0 acesso? 61 - Os logs gerados séo protegidos, quando da geracdo, contra edigao e exclusao? Responsabilizacao 1- HA uma matriz de responsabilidades com atribuigo das responsabilidades pela seguranca da informa- Go na organizago, pela protege de dados (encarregado), identificacao dos gestores de servigos com dados pessoais, operadores de tratamento de dados, de forma a evidenciar a segregacao de funcées assegurar que colaboradores e partes externas entendam suas responsabilidades? Resposta a Incidente 19 - Existe uma equipe de deteccdo, tratamento e resposta a incidentes de seguranga cibernética (CSIRT? 20 - Existe um canal apropriado para notificar os incidentes de seguranga da informagao de forma rapida? 21- Existem formalmente e so executados procedimentos especificos para resposta aos incidentes, con- templando: a definigéo de incidente: 0 escopo da resposta; quando e por quem as autoridades devem ser contatadas; papéis, responsabilidades e autoridades; avaliagao de impacto do incidente; medidas para re- duzir a probabilidade e mitigar o impacto do incidente; descri¢ao da natureza dos dados pessoais afeta- dos: as informacées sobre os titulares de dados pessoais envolvidos; procedimentos para determinar se um aviso para individuos afetados e outras entidades designadias (por exemplo, éryaos reguladores) é ne- cessitio? 22 - Os ativos de informagao esto configurados de forma a registrar todos os eventos relevan- les de seguranca da informaciio, conlendo, pelo menos, a identificacao inequivoca do usuario, a natureza do evento, a data, hora e fuso horério, o identificador do ativo de informagao, as coordenadas geograficas, se disponiveis, e outras informagdes que possam identificar a possivel origem do evento? 23 - Ha um sis- tema para monitoramento de aplicagées, alertas e vulnerabilidades utilizado para auxiliar na deteccao & tratamento de incidentes de seguranga cibernética (IPS, IDS, etc? 24 - O plano de comunicagdo foi atuali-zado para incluir os contatos que devem ser notificados, caso haja uma violagao de privacidade, ou para reportar detalhes de processamento, como contatos com a autoridade de protego de dados e/ou gru- pos diretamente relacionados? Seguranga Web 67 - O servidor da aplicagao fornece opgées de protocolos criptograficos para conexao em versdes segu- ras, estaveis e atualizadas? 68 - O servidor da aplicagao tem configurado 0 cabegalho HTTP com X-XSS- Protection para evitar que usudrios de navegadores antigos sejam vulneraveis a ataques de Cross-site Scripting (XSS)? 69 - O servidor da aplicacdo tem configurado o cabegalho HTTP com X-Frame-Options para evitar que usuarios caiam em ataques de clickjacking? 71 - O servidor da aplicagao implementa pollti- cas (Content Security Policy (CSP)) que validam a renderizagao da pagina e protegem contra ataques de injecdo de contetido como Cross-Site Scripting (XSS)? 73 - Os cookies da aplicaco sao enviados para o usuario apenas através de conexées criptografadas (flag SECURE)? 75 - O servidor da aplicacio esta confi- gurado com 0 cabegalho Subresource Integrity (SRN para proteger contra invasores que modifiquem o contetido de bibliotecas JavaScript hospedadas em redes de entrega de contetido (CDNs)? Uso, Retengao e Limitagao de Divulgacao 80 - Os dados pessoais utilizados em ambiente de TDH (teste, desenvolvimento e homologagao) passa- ram por um processo de anonimizagao? 81 - A instituicao utiliza técnicas ou métodos apropriados para ga- rantit exclusdo ou destruicdo segura de dados pessoais (incluindo originals, cépias e registros arquivados) de modo a impedir sua recuperacao? Controles definides como “nao", ndo aplicado (45); Medidas de Seguranca e Privacidade Abertura, Transparéncia ¢ Notificacao 101 - No contrato, ha a obrigagao do operador de dados pessoais notificar o Controlador em caso de ocor- réncia de violacéio de dados pessoais? 102 - Os terceiros operadores de dados informaram no contrato sobre a utilizacao de subcontratos para processar dados pessoais? 104 - Sao fornecidas aos titulares de dads pessoais informacées claras ¢ facilmente acessiveis sobre as politicas, procedimentos. praticas do controlador de dados pessoais em relacao ao manuselo de dacos pessoais (dados coletados, processa- mento efetuado, finalidade a ser alcangada com 0 processamento, com quem compartilha e a finalidade, capacidade de consentir compartilhamento especificos), como os dados sao protegidos, dacos de comu- nicagao com 0 encarregado, entre outras informagées de importancia a transparéncia e publicidade? Compliance com a Privacidade 88 - O desenvolvimento dos sistemas tem como base as riscos e as medidas de seguranca identificadas 10 RIPD (Relatério de Impacto de Protecao a Dados Pessoais)? 91 - Hé uma politica ou norma de protecdo de dados pessoais que aborde a finalidade da instituigo perante 0 processamento de dados; a transpa- réncia com relagao a coleta e processamento de dados pessoais; a estrutura estabelecida para a protegio de dados pessoais; regras para tomar decisées em questées de protecao de dados pessoais: critérios de aceitagao de risco de privacidade: compromisso de satisfazer os requisitos aplicaveis de protecdo a privacidade? Consentimento e Escolha 95 - 0 Controlador obtém consentimento (LGPD, art 7° , I) do titular de dados para o tratamento de dados pessoais que nao se enquadre nas demais hipéteses previstas pelo art, 7° ¢ 11 da LGPD? Continuidade de Negécio 3 - Sao implementados mecanismos e procedimentos para mitigar ataques de negacao de servico, lais como balanceamento de carga, proxy, firewall, ete? Controles Criptograficos 45 - Ha utilizacio de criptografia para a protegao dos dados sensiveis ou criticos armazenados em disposi- tivos mévels, midias removiveis ou em banco de dados?Controles de Acesso Légico 51- Um mecanismo de recuperagio de senha esta implementado de forma a assegurar a recuperagao da senha de maneira segura, sem fornecimento de senha por parte da aplicagao, e que obrigue a alteragao de senha do usuario no primeiro acesso? 54 - Existem restri¢des de autenticacao do usuario para acesso simultaneo a servigots), sistema(s) e/ou rede(s) ao mesmo tempo? 55 - O sistema implementa restrigées/limitaciores para sucessivas tentativas de acesso mal sucedidas? Controle de Acesso e Privacidade 76 - As permissdes de acesso (incluir, consulter, alterar, excluir) dos usuarios que executam a operacao de processamento de dados pessoais se limitam ao minimo necessario para realizar 0 processamento? 77 - 0 acesso para realizar as operagées de tratamento de dacios pessoais é provido ao nlimero minimo de indi- viduos necessérios para executar as operacdes de tratamento? 79 - A institui¢éio controla por meio de um proceso formal a concessao de direitos de acesso privilegiado para o processamento de dados? Controles de Seguranga em Redes, Protecao Fisica e do Ambiente 9 - Arede corporativa é segmentada em dominios légicos (limitando aos funciondrios o acesso as redes & aos servigos de rede especificamente autorizados a usar), de acordo com cada rede local. atendendo as necessidacies de fornecimento de servigo piblico e protegao da rede corpor cutados processos periddicos de copias de seguranga das configuragies e si switches e roteadores? iva? 11 - Existem e sao exe- mas operacionais dos Cépia de Seguranca 30 - As midias que contém cépias de seguranga sao armazenadas em uma localidade remota offsite’), a uma distancia suficiente que garanta sua integridade e disponibilidade contra possiveis danos advindos de um desastre ocortido no sitio primario? 46 - Existe uma frequéncia estabelecida para geragao dos bac- kups? 110 - Os dados pessoais armazenados/retidos possuem controles de integridade permitindo identi- ficar se os dados foram alterados sem permissio? Desenvolvimento Seguro 33 - Existe e € executado um processo formal de desenvolvimento de sistema seguro? 35 - Em caso de desenvolvimento de sistemas de informacao por terceiros, o proprietario do ativo da informacao supervisi- ‘ona o processo do planejamento até a implantagéo? 63 - Requisitos de seguranga sao identificados e con- siderados em todas as fases do projeto do sistema? 65 - As mensagens de erro do sistema nao revelam detathes da sua estrulura interna? 107 - A instituicao revisa periodicamente as medidas de seguranga apli- cadas nos ativos que realizam 0 tratamento de dados pessoais (colela, retencdo, processamento, compar- tilhamento e eliminagao!? Gestao de Capacidade e Redundancia 2- Ha mecanismos para monitoramento do uso dos recursos, de forma a atender as necessidades de ca- pacidade futura e garantir o desempenho requerido das aplicagdes? Gestdo de Mudangas 12 - E realizado 0 controle de mudancas em atualizagées de software e outros componentes das solugées de TIC? 14 - Ha uma avaliagao de impactos potenciais, riscos e consequéncias, incluindo impactos de se- guranga cibernética, quando da identificagio de necessidade de mudangas? 15 - As mudangas si comu- nicadas para todas as partes interessadas? Gestio de Riscos 17 - Ha um inventario completo e atualizado dos ativos de informagao, contendo 0 fornecedor, o ntimero da verso, os dados pessoais processados, a classificacdo dos dados pessoais (sensiveis ou apenas dacos pessoais), quais softwares esto instalados e em quais sistemas, e a(s) pessoals) na organizagao responsavel(s) pelos ativos? 38 - Os recursos de seguranga da informacao e de tecnologia da informacao ‘encontram-se em versées seguras, estaveis e atualizadas? 39 - O responsavel pelo sistema acompanha Junto aos fabricantes 0 periodo de obsolescéncia do produto, para evitar que os componentes tornem-se expostos a vulnerabilidades sem correcao?Legitimidade e Especificagao de Propésito 96 - O tratamento de dados pessoais ¢ realizado para o atendimento de sua finalidade publica, na perse- cucao do interesse puiblico, com o objetivo de executar as competéncias legais ou cumprir as atribuigdes legais do servico puiblico (embasamento legal)? Limitagao de Coleta Nao ha controles Minimizagao de Dados 105 - No processamento de dados. ¢ utilizado 0 minimo necessério de dados pessoais para atingir a finali- dade pretendida? 106 - € avaliada a necessidade de permitir que operadores e administradores de banco de dados usem linguagens de consulta, que habilitam recuperacao macica automatizada de bases de da- dos que contém dados pessoais? Participacao Individual e Acesso Nao ha controtes Precisao e qualidade Nao ha controles Registro de Eventos, Rastreabilidade e Salvaguarda de Logs 57 - O log registra identificagao do usuario, incluindo administrador e acessos privilegiados? 62 - Os logs so protegidos contra 0 acesso indevido? 111 - As operagdes de processamento realizadas com dacios pessoais sao registradas de modo a identificar a operacao realizada, quem realizou, data e hora? Responsabilizacao 84 - No compartilhamento de dados com terceiro operador ou érgaos puiblicos, sao documentadias as in- formagées de limitacao do tratamento dos dados pessoais 20 minimo necessario para atendimento do fornecimento do servigo e dispositive legal? 85 - Acordos de confidencialidade, termos de responsabili- dade, termos de sigilo so assinados com os érgaos e operadores de dados pessoais? E importante que 095 termos e acordos informem a respeito dos itens a seguir, mas a eles nao se limitem: tipos de trata- mento de dados pessoais a serem realizados por quem ira receber os dados: ages requeridas quando do encerramento do compartilhamento, como destruigao dos dados, responsabilidade e agdes dos signata- rios para evitar a divulgacao nao autorizada dos dados pessoais; base legal para o compartilhamento; di- reito de auditar e monitorar as atividades que envolvem os dados pessoais; processo para nolificar ou re- latar vazamentos; violagdes ou divulgagdes nao autorizadas dos dados pessoais: aces a serem tomadas diante da violagao do acordo: e outras medidas possiveis. 86 - Os contratos firmados com os operadores contém cldusulas que contemplam, nao se limitando a: uma declarago adequada sobre a escala, natu- rea e finalicade do processamento contratado; relatar casos de violagao de dados, processamento nao autorizado ou outro nao cumprimento dos termos e condigées contratuais: medidas aplicaveis na rescisio do contrato, especialmente no que diz respeito & exclusdo segura de dados pessoais; impedimento de tratamento de dados pessoais por subcontratados, exceto por aprovacao do controlador? 87 - 0 compar- tithamento e a transferéncia de dados pessoais com terceiros operadores ou érgaos puiblicos so registra- dos, incluindo quais dados pessoais foram divulgados, a quem, a que horas e com que finalidade? Resposta a Incidente 26 - Os arquivos coletados como evidéncias sao gravados em conjunto com 0 arquivo com a lista dos re- sumos criptograficos? Seguranga Web 70 - 0 servidor da aplicacao tem configurado 0 cabecalho HTTP com HTTP Strict-Transport-Security (HTS) para garantir que todo 0 tréfego de dados ocorra criptografado? 72 - O servidor da aplicagao im- plementa o X-Content-Type-Ontions para evitar que navegadores como Internet Explorer e Chrome inter- pretem o contetido da pagina e execute o dado como cédigo?Uso, Retengao e Limitagao de Divulgacao 82 - Ao fornecer a base de informagées para érgos de pesquisa, os dacs pessoais so anonimizados ou pseudoanonimizados? Controles definidos como “nao se aplica” (11): Medidas de Seguranga e Privacidade ‘Abertura, Transparéncia e Notificacéo Nao ha controles Compliance com a Privacidade 93 - E implementada e mantida uma estratégia abrangente de treinamento e conscientizacao, destinada a garantir que os envolvidos entendam suas responsabilidades e os procedimentos de protecao de dados pessoais? Consentimento e Escolha Nao ha controles Continuidade de Negécio 44-- Sao realizados, em intervalos de tempo predefinidos. simulacdes e/ou testes planejados, levando-se em consideracao as menores indisponibiliciades e impactos possiveis nos processos de negécio, de forma que seja possivel identificar falhas que venham a comprometer qualquer parte do processo de continui- dade, com vistas a promover revisées ¢ atualizagées periddicas dos Planos relacionados?44 - Sao realiza- dos, em intervalos de tempo predefinidos, simulagdes ¢/ou testes planejados. levando-se em considera- go as menores indisponibilidades e impactos possiveis nos processos de negécio, de forma que seja possivel identificar falhas que venham a comprometer qualquer parte do processo de continuidade, com vistas a promover revisées e atualizacées periédicas dos Planos relacionados? Controles Criptograficos Nao ha controles Controles de Acesso Légico 48 - O sistema em anélise segue uma politica de senha com defingao de tamanho minimo e formato? 49 - As informagdes das credenciais de acesso dos usuarios esto gravadas em recursos de tecnologia da in- formacao protegidos e sob a forma criptografada? 50 - As informagées das credenciais de acesso dos usudirios so transmitidas de forma protegida? Controle de Acesso e Privacidade Nao ha controles Controles ce Seguranga em Redes, Protecao Fisica e do Ambiente Nao ha controles Cépia de Seguranga Nao ha controles Desenvolvimento Seguro Nao ha controles Gestdo de Capacidade e Redundancia Nao ha controles Gesldo de Mudangas 16 - Existe um prazo formalmente definido para o tratamento de vulnerabilidades técnicas relevantes identificadas? esto de Riscos Nao ha controlesLegitimidade e Especificagao de Propésito 43 - Ha um inventario completo e atualizado dos dados pessoas, contendo os agentes de tratamento (controlador e operador), encarregado, descri¢ao do fluxo de tratamento dos dados pessoais (como sio coletados, armazenados, processados, retidos e eliminados), abrangéncia da area geografica do trata- mento (nacional, estadual, municipal) finalidade do tratamento dos dados pessoais, categoria dos dados pessoais (identificagéo pessoal. financeiros, caracteristicas pessoais, outros), categoria de dados sensiveis, dadios pessoais compartithados e transferéncia internacional? Limitagao de Coleta Nao ha controles Minimizagao de Dados Nao ha controles Participacao Individual e Acesso Nao ha controtes Precisao e qualidade Nao ha controles Registro de Eventos, Rastreabilidade e Salvaguarda de Logs 59 - O log registra as agdes executadas pelos ususirios? 60 - O log registra data e hora do evento com al- guma fonte de tempo sincronizada? Responsabilizagao Nao ha controles Resposta a Incidente 25 - Nos casos em que seja invidvel preservar as midias de armazenamento em razdo da necessidade de pronto restabelecimento do servico afetado, o agente responsavel pelo CSIRT coleta e armazena cépia dos arquivos afetados pelo incidente, tais como: logs, configuragées do sistema operacional, arquivos do sistema de informagao, e outros julgados necessarios, mantendo-se a estrutura de diretérios original, bem como os ‘metadados" desses arquivos, como data, hora de criacio e permissdes: registrando em relaterio a impossibilidade de preservar as midias afetadas e listando todos os procedimentos adotados? Seguranga Web 74 - Aaplicagao esta configurada para que os cookies ndo possam ser acessiveis via comando JavaScript, evitando assim ataques cross-site scripting (XSS) (flag HTTPOnly)? Uso, Retengao e Limitacao de Divulgagao Nao ha controles ‘Sugestdo: Realize a impressao desta pagina com o nome Relatério Parte 2 - Controles Ger: CTRLIP, com