Política de Controle de Produtos e Suporte Técnico

1. INTRODUÇÃO

Este documento de Política de Controle de Produtos e Suporte Técnico ELSYS é destinado a representar os principais direcionadores sobre os compromissos, obrigações e cuidados que devem ser empregados para atender e sustentar o funcionamento e a vida útil dos produtos ELSYS.

Independentemente de cargo ou função que exerçam, todos os colaboradores e parceiros da ELSYS precisam estar cientes e cumprirem sem restrições todas as diretrizes desta Política, além de buscar a aplicação prática destas em todas as atividades envolvendo a sustentação e a manutenção da vida útil dos produtos ELSYS.

2. OBJETIVO

Formalizar as diretrizes relacionadas a definição, manutenção, sustentação e conformidade dos produtos ELSYS com as melhores práticas e regulamentações de segurança da informação e cibernética vigentes no Brasil, durante todo o ciclo de vida do produto, assegurando a proteção e a conformidade em relação aos requisitos, controles e especificações de operação, segurança cibernética, suporte técnico e tratamento de vulnerabilidades e falhas para produtos e equipamentos produzidos, disponibilizados e comercializados pela ELSYS.

3. ABRANGÊNCIA

Este documento público e corporativo da ELSYS, possui valor jurídico e aplicabilidade imediata e indistinta, com vigência a partir da data de sua publicação e abrange a definição das principais diretrizes técnicas, operacionais, de segurança cibernética, de tratamento de vulnerabilidades e de suporte técnico executadas nas atividades, processos e ações relacionadas às regulamentações brasileiras dos produtos produzidos e comercializados pela ELSYS.

4. SIGLAS E DEFINIÇÕES

Dicionário de senhas: arquivo que contém uma lista de palavras e frases comumente utilizadas como senha de usuários, geralmente o dicionário é composto por senhas obtidas em incidentes de vazamento de dados de autenticação que se tornaram públicos dos quais são extraídas informações estatísticas das senhas mais utilizadas pelos usuários afetados, o dicionário deve conter as senhas consideradas de fácil memorização (ex.: 12345678, abcdefgh, abcde1234, qwerty123, senha12345) e também as senhas associadas a um determinado contexto de uso geral (ex.: admin123, password, root1234, router123, server123).

Público em geral: qualquer pessoa que utiliza e/ou tem acesso ao produto e que não possui conhecimento técnico especializado sobre a utilização do equipamento para telecomunicação e que tem interesse apenas no emprego das suas funcionalidades e no consumo dos serviços de telecomunicação.

Senha fraca: toda senha que não atender simultaneamente os critérios de tamanho mínimo (8 caracteres) e de complexidade (ao menos, uma letra maiúscula, uma letra minúscula, um número e um caractere especial).

Endereços MAC: Tipo de relação de endereços IP controlados que possuem autorização para conexão, visando evitar que equipamentos estranhos ao ambiente de rede original consigam se conectar na rede.

Criptografia ou hashing: Tipo de operação sobre os caracteres de uma informação visando embaralhá-los ou substituí-los por outros visando ocultar esses caracteres contra a visualização ou descoberta por força bruta.

Hardcode: Tipo de prática de codificação em software que coloca parâmetros variáveis, tipo nomes de contas de usuários, senhas, endereços IP e outros do gênero, fixos no código do software, possibilitando que qualquer um que acesse ou visualize o código fonte obtenha acesso a tais dados, dificultando a troca ou atualização quando necessário.

TIC: sigla para “tecnologia da informação e comunicação”.

5. PRINCÍPIOS

5.1. A ELSYS mantém o desenvolvimento de melhorias, correções e atualizações para os produtos que produz e comercializa durante todo o ciclo de vida desses produtos até que sejam descontinuados publicamente e/ou não mais comercializados pela empresa;

5.2. A ELSYS atende e avalia todas as comunicações técnicas sobre falhas, vícios ou defeitos percebidos nos produtos que fabrica, durante todo ciclo de vida desses.

5.3. Toda falha, vício ou defeito dos produtos da ELSYS que forem tecnicamente confirmadas, são corrigidas, tratadas e comas correções disponibilizadas aos usuários dentro de prazos razoáveis para prevenir e reduzir a chance de gerar impactos ou incidentes;

5.4. A ELSYS zela pela transparência e comunicação tempestiva e ética de todas as vulnerabilidades técnicas comprovadas nos produtos que comercializa disponibilizando em sua página na internet os canais de contato e informações completas sobre o grau de exposição, as correções e os cuidados a serem adotados pelos usuários afetados.

5.5. A ELSYS cumpre e dá transparência sobre o atendimento da legislação brasileira e dos instrumentos reguladores relacionados aos produtos e serviços que compõe as operações de negócio que realiza no Brasil.

5.6. A ELSYS adota como padrão de referência na proteção cibernética e nos controles de seus produtos o modelo mundial de boas práticas NIST Special Publication 800-63B – Digital Identity Guidelines Authentication and Lifecycle Management (Guia para gestão de identidades digitais e autenticação).

6. DIRETRIZES

6.1. Senhas da Interface dos Produtos: Todas as senhas para acesso à interface de configurações dos produtos ELSYS, definidas no processo fabril, não podem ser fracas, isto é, devem atender simultaneamente os critérios de possuir, no mínimo, 8 caracteres e de conter, pelo menos, uma letra maiúscula, uma letra minúscula, um número e um caractere especial. Essa verificação da força da senha pode ocorrer por comparação em dicionário de senhas ou por método equivalente.

6.2. Diferenciação das senhas de fabricação: Os produtos ELSYS devem utilizar credenciais e senhas iniciais para acesso às configurações que sejam diferentes entre todos os dispositivos produzidos, que não sejam derivadas de informações de fácil obtenção por métodos de escaneamento de tráfego de dados em rede, tal como endereços MAC – Media Access Control e não permitir o uso de senhas em branco e/ou fracas.

6.3. Renovação da senha inicial: Os produtos ELSYS deverão obrigar, na primeira utilização e no reset para as configurações de fábrica, a alteração da senha inicial de acesso à sua configuração, mantendo a exigência de senhas não fracas.

6.4. Acesso a senha inicial: Os produtos ELSYS devem possuir as senhas iniciais de fábrica registradas em etiqueta no corpo do produto e devem permitir que estas senhas sejam restauradas sempre que for realizado o reset do produto para suas configurações iniciais de fábrica.

6.5. Senha no manual do produto: O acesso as funcionalidades do produto relacionadas às senhas definidas pelo usuário para acesso à interface de configurações do produto, não deve permitir o uso de senhas em branco ou fracas e deve ser fornecido no manual do produto, em meio físico ou digital, a informação das quantidades mínima e máxima de caracteres permitidas para definição de senhas e da regra para sua formação.

6.6. Defesa contra quebra da senha: Os produtos ELSYS devem possuir mecanismos de defesa contra tentativas exaustivas de acesso não autorizado (ataques de autenticação por força bruta).

6.7. Codificação segura: Os produtos ELSYS que se utilizam de software embarcado devem atender aos princípios de codificação segura e não deve ter credenciais, senhas e chaves criptográficas definidas no próprio código fonte do software ou firmware (hard-coded) e sempre que o produto necessitar trafegar ou armazenar as senhas, chaves de acesso e credenciais deve utilizar métodos adequados de criptografia ou hashing.

6.8. Expiração de sessão: Todo produto ELSYS deve possuir rotinas de encerramento de sessões inativas dos usuários por períodos determinados sem uso (timeout).

6.9. Portas de comunicação: Todo produto ELSYS deve estar com as configurações iniciais de comunicação de dados (porta de comunicação) não usualmente utilizados por equipamentos de mercado e todas as demais portas devem estar desabilitadas, reduzindo a superfície de ataque do produto.

6.10. Desabilitar supérfluos: Todo produto ELSYS deve permitir ao usuário a possibilidade de desabilitar as funcionalidades e serviços de comunicação não essenciais à operação ou ao gerenciamento do produto, evitando que tais recursos sejam mal utilizados ou explorados como superfície de ataque.

6.11. Recuperação de senhas: Todo produto ELSYS que possuir mecanismo de recuperação de senha, terá controles robustos contra tentativas de roubo de credenciais e estará aderente às diretrizes de Segurança da Informação e Cibernética contidas na Política publicada pela ELSYS sobre esse assunto.

6.12. Correção de falhas: Todo produto ELSYS que apresentar falhas, defeitos ou vícios de fabricação será avaliado, testado e corrigido com soluções de contorno e/ou definitivas sem custos adicionais aos usuários e num prazo razoável suficiente para evitar que tais situações gerem oportunidades para ataques ou exploração maliciosa. A percepção e registro dessas falhas deverá ocorrer preferencialmente em testes e validações realizados pelas equipes internas da ELSYS, mas também será captada pelos canais de atendimento aos clientes quando por eles for identificada.

6.13. Canais de Suporte: A ELSYS manterá disponível aos clientes e pesquisadores, canais específicos para que falhas técnicas, erros, vícios e defeitos de seus produtos sejam comunicados e registrados durante todo o ciclo de vida de cada produto ELSYS.

6.14. Características de Produto: A ELSYS manterá disponível publicamente em sua página institucional da internet todas as condições específicas de modelos, linhas ou categorias de produtos que fabrica e comercializa e que estão dentro do ciclo de vida, incluindo as coberturas gerais mínimas válidas para qualquer consumidor do produto, seja pessoa física ou jurídica.

7. PENALIDADES

7.1. Qualquer atividade que desrespeite as diretrizes estabelecidas nesta Política será tratada como uma violação e deve ser registrada e tratada como um incidente, a fim de apurar as responsabilidades dos envolvidos em procedimento disciplinar, visando aplicação de sanções cabíveis previstas em cláusulas contratuais e na legislação vigente.

7.2. A simples tentativa de burlar quaisquer das diretrizes e controles estabelecidos nesta política, quando constatada, deve ser tratada como uma violação ou incidente de segurança.

8. DISPOSIÇÕES FINAIS

O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com as Normas e Procedimentos aplicáveis pela ELSYS.

9. REVISÃO E APROVAÇÃO

Este documento foi revisado e atualizado pela ELSYS em outubro de 2024 e esta versão passa a vigorar plenamente após sua aprovação e publicação.