Home Segurança Conformidade com a ordem executiva 14028 do governo dos EUA

Conformidade com a ordem executiva 14028 do governo dos EUA

Prezados clientes e parceiros,

Temos o orgulho de anunciar a conformidade com a ordem executiva (EO) 14028 dos EUA, “Melhorando a segurança cibernética da nação”. Esse marco ressalta nosso compromisso inabalável de melhorar a segurança e a resiliência de nossos produtos e nosso apoio a parceiros que atendem ao governo dos EUA.

Implementamos várias iniciativas importantes para nos alinhar às diretivas da EO 14028, incluindo padrões, procedimentos e critérios para os seguintes pontos:

  1. Maintain a secure software development environment, including actions such as:
    • Usar um ambiente de compilação separado
    • Auditar relações de confiança
    • Uso de uma autenticação de vários fatores baseada em risco e de acesso condicional a um repositório de fontes
    • Criptografar dados importantes
    • Monitorar operações e alertas e responder a incidentes cibernéticos
    • Fornecer artefatos às agências do governo federal dos EUA a fim de comprovar a conformidade com os processos acima, quando solicitado
  2. Executar ferramentas automatizadas com frequência para:
    • Verificar a manutenção de cadeias de suprimento de código-fonte confiáveis, garantindo assim a integridade do código
    • Identificar e corrigir possíveis vulnerabilidades conhecidas na base de código
    • Fornecer evidências da execução dessas ferramentas automatizadas para as agências do governo federal dos EUA, quando solicitado
  3. Manter e auditar regularmente os dados para garantir que sejam precisos e estejam atualizados, bem como confirmar a procedência (ou seja, a origem) de códigos e componentes de software internos e de terceiros.
  4. Implementação de um programa de divulgação de vulnerabilidades que inclui processos de relatórios e divulgações.
  5. Atestar a conformidade com as práticas de desenvolvimento de software seguro por meio das “certificações de software seguro”.
  6. Garantir, na medida do possível, a integridade e a procedência do software de código aberto usado em qualquer um de nossos produtos.
  7. Estabelecer processos internos para gerar certificações de software e outros artefatos (como SBOMs) referentes a produtos Fiery vendidos para o governo federal dos EUA e fazer o upload para o Repositório de certificações e artefatos de software (RSAA) da CISA.

Perguntas frequentes

O que é a EO 14028?

A EO 14028 é uma ordem executiva emitida em 2021 pelo presidente dos Estados Unidos. A ordem EO 14028 é uma resposta ao crescente número de ataques cibernéticos contra agências governamentais dos EUA e infraestruturas vitais. Seu objetivo é auxiliar os esforços conjuntos do governo dos EUA e do setor privado em melhorar a proteção contra essas ameaças. Um aspecto importante da EO 14028 é que ela estabelece uma estrutura para melhorar a segurança da cadeia de suprimentos de software.

Por que a EO 14028 é importante para a Fiery?

Os parceiros da Fiery trabalham ativamente com a venda de produtos e serviços para o governo dos EUA e exigem que todos os softwares da Fiery estejam em conformidade com essa ordem executiva.

Quais produtos Fiery são afetados pela EO 14028?

Todos os aplicativos de software Fiery desenvolvidos após 14 de setembro de 2022

Quando as agências governamentais dos EUA começarão a exigir a conformidade com a EO 14028?

A partir de 11 de junho de 2024
, “as agências deverão reunir as cartas de certificação não publicadas pelos fornecedores de software referentes a ‘softwares vitais’ dentro de três meses após a aprovação do formulário comum”. O formulário comum foi aprovado em 11/03/2024

Como a EO 14028 lida com atualizações das versões de software existentes?

Os softwares existentes que tenham recebido atualizações importantes de versão (por exemplo, de acordo com um esquema de controle de versão semântico “principal>secundária>correção”, ou um salto do número de versão do software de 2.5 para 3.0 após 14 de setembro de 2022) serão afetados e deverão estar em conformidade com esta ordem executiva. Os softwares Fiery seguem um esquema de controle de versão de três dígitos (principal>secundária>correção) aplicado de forma incremental. Por exemplo, na v1.0.2: “1” representa a versão principal, “0” representa a versão secundária e “2” representa correções ou atualizações de segurança. Para fins de conformidade com a EO 14028, o software Fiery considera apenas a versão principal. Atualizações secundárias de software (por exemplo, CWS 7.1.0) e correções (por exemplo, CWS 7.1.1) estão fora do escopo desta ordem executiva.

Como a EO 14028 lida com produtos SAS (Software como serviço)?

Softwares cujo código recebe alterações contínuas do produtor (como produtos de “software como serviço” ou outros produtos que usam o sistema de entrega/implantação contínua) são afetados e devem estar em conformidade com esta ordem executiva.

Existem outros requisitos para garantir a conformidade além das certificações de software seguro?

Mediante solicitação de qualquer agência governamental dos EUA, poderemos comprovar nossa conformidade com as práticas de desenvolvimento de software seguro (SSDP) por meio do fornecimento de artefatos relacionados, como a lista de materiais de software (SBOM) do produto.

As certificações de software seguro da Fiery incluirão softwares de terceiros que fazem parte do pacote do DFE Fiery, como por exemplo, o Adobe SW ou Microsoft SW?

Não. É responsabilidade do fabricante de software terceirizado fornecer a certificação de seus produtos.

E quanto a softwares de código aberto incluídos nos DFEs Fiery?

Softwares de código aberto de terceiros incluídos nos DFEs Fiery estão fora do escopo deste regulamento.

Para obter mais informações sobre nossas iniciativas de segurança cibernética, acesse nosso site: https://www.fiery.com/security/