consulta pública - requisitos de segurança e conformidade

Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação

Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060

Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 1/11

MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO

CONSULTA PÚBLICA – REQUISITOS DE SEGURANÇA E CONFORMIDADE PARA SERVIÇO DE

CORREIO ELETRÔNICO | EPING

CONTRIBUIÇÕES DA BRASSCOM, ASSOCIAÇÃO BRASILEIRA DAS EMPRESAS DE

TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

São Paulo, 26 de fevereiro de 2016

INTRODUÇÃO

A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e

Comunicação, entidade que congrega seleto grupo de empresas fornecedoras de software,

hardware, soluções e serviços de tecnologia da informação e comunicação (TIC), tem como missão

trabalhar em prol do desenvolvimento do setor, disseminando seu alcance e potencializando seus

efeitos sobre a economia e o bem-estar social.

Em estreita sintonia com as tendências de mercado e com as principais preocupações no

âmbito governamental, a Brasscom sente-se honrada pela oportunidade de contribuir na

Consulta Pública, ora em andamento, sobre os requisitos de segurança e conformidade para

serviço de Correio Eletrônico da Administração Pública Federal (APF), em linha com o espírito de

aperfeiçoar a gestão da segurança da informação e comunicação no âmbito do Governo Federal.

Neste ínterim, a Brasscom parabeniza o Ministério do Planejamento, Orçamento e Gestão (MPOG)

e demais órgãos que compõem o Sistema de Administração dos Recursos de Tecnologia da

Informação (SISP), pela iniciativa de dialogar com o setor produtivo na busca do melhor

entendimento para a implementação das diretrizes traçadas pelo Decreto Presidencial nº

8135/2013.

IMPORTÂNCIA DE PADRÕES GLOBAIS NA SEGURANÇA DA INFORMAÇÃO

Cientes que a informação é atualmente considerada como ativo estratégico tanto para

organizações privadas quanto para os Governos ao redor do mundo, entendemos que a gestão

da segurança da informação e comunicação e a proteção destas, ante as tentativas de violação

por parte de atores não autorizados, tornou-se um desafio global. Neste sentido, para se alcançar

o sucesso na implementação de meios para garantir a segurança da informação e comunicação

no âmbito do Governo Federal, torna-se essencial a adoção de medidas alinhadas com as práticas

empregadas mundialmente, ou, do contrário, o Brasil corre o risco de isolamento, aumentando

os desafios para o desenvolvimento e manutenção da higidez e da inviolabilidade da informação

pública, bem como inibindo o crescimento do setor de TIC no País.




Sabemos que os sistemas de TIC são compostos por hardwares e softwares desenvolvidos

e produzidos com base em padrões internacionais de tecnologia com apenas algumas mínimas

variações de acordo com o país ou região. No tocante às comunicações de dados, é a aderência

aos padrões internacionais que garante a interoperabilidade no âmbito da infraestrutura digital

global. Por esta razão, empresas de todo o mundo têm acesso aos mercados globais para seus

produtos de TIC. Assim sendo, é recomendável que os processos para avaliação de segurança de

produtos de TIC a serem adotados pelo Governo Federal harmonizem-se com os padrões de

avaliação empregados internacionalmente, promovendo eficiência, gerando maior

desenvolvimento da indústria nacional, bem como crescimento dos investimentos em pesquisa e

inovação no setor de TIC no Brasil.

Em relação à gestão da segurança da informação e comunicação no âmbito da APF, desde

a publicação do Decreto Presidencial nº 8.135/2013 e da subsequente Portaria Interministerial nº

141, de 2 de maio de 2014, a Brasscom tem se manifestado no sentido de alertar para a sua

complexidade e oferecer sugestões de abordagem. Neste contexto, reiteramos que o Common

Criteria (CC), padrão de certificação global internacionalmente reconhecido, é o processo de

certificação que melhor atende às questões centrais de segurança da informação no âmbito da

APF, tanto em função da sua generalidade e abertura para acomodar especificidades, quanto em

razão do caráter essencialmente descentralizado do ecossistema de suas entidades certificadoras

e da sua aceitação por diversos países.

O Common Criteria Recognition Arrangement (CCRA) é o acordo multilateral que prevê

o reconhecimento mútuo de produtos avaliados pelos Governos signatários. Os produtos são

avaliados por laboratórios competentes e licenciados de forma independente. Os certificados

para produtos avaliados podem ser emitidos por uma série de Entidades Certificadoras, as quais

garantem que as avaliações executadas, para determinado produto, em um cenário de uso

específico, sejam realizadas de acordo com a metodologia de testes do CC.

O CC está baseado na Norma ISO/IEC 15.408, definida por órgão internacional1 ao qual o

Brasil é signatário, e configura-se como uma linguagem comum que permite a avaliação de

características de segurança e parâmetros de garantia de produtos de TIC, incluindo hardware,

firmware e software. O processo de avaliação testa a funcionalidade de um determinado produto

de segurança de TIC e se as medidas de garantia aplicáveis a esses produtos atendem às

exigências específicas. Esta certificação é utilizada em países como Alemanha, França e Índia,

1 International Organization for Standardization (ISO) - A lista de países membros está disponível em

http://www.iso.org/iso/home/about/iso_members.htm. Ressaltamos que o Brasil está representado na ISO (Organização

Internacional de Normatização) desde 1940, por intermédio da ABNT (Associação Brasileira de Normas Técnicas), que é

membro fundadora da ISO, a qual por sua vez é membro da IEC (International Electrotechnical Commission).

http://www.iso.org/iso/home/about/iso_members.htm




dentre outros, como uma alternativa isenta e aceitável de certificação de soluções de tecnologia

da informação e comunicação a serem contratadas pelos Governos.

A adoção da já citada Norma ISO/IEC é funcional e valiosa, dado que fornece requisitos,

especificações, diretrizes e características que podem ser usados de forma consistente para

assegurar que os materiais, produtos, processos e serviços são adequados para os fins a que se

destinam. A utilização de Normas Internacionais garante que os produtos e serviços são seguros,

confiáveis e de boa qualidade. Para o setor de TIC, tratam-se de ferramentas estratégicas que

otimizam recursos, assim como ampliam a competitividade nacional. Assim, ressaltamos a

eficiência e economicidade que a adoção por parte da APF ao CC trará ao país, sobretudo em

matéria financeira, uma vez que a criação de uma certificação local gerará mais custos e dificultará

a oferta de produtos de TIC por um maior número de empresas ao Governo Federal.

Observamos que os documentos elaborados pelo MPOG disponibilizados nesta Consulta

Pública reproduzem os denominados “Protection Profiles”, trasladados do referido padrão

internacional para o português. Este documento, objeto da presente consulta pública, é elaborado

por órgão competente da APF, para tratar de aspectos técnicos das soluções de TIC a serem

adquiridas por qualquer órgão da APF, incluindo os requisitos de segurança e conformidade de

equipamentos, softwares e soluções, bem como cenários de uso e questões organizacionais dos

órgãos contratantes, visando a inexistência de qualquer vínculo com agências governamentais de

outras jurisdições, o que seria, em tese, plenamente aderente às necessidades específicas da APF.

Entretanto, há que se ponderar que a replicação de um sistema de certificação internacional em

âmbito pátrio, que já conta com uma expressiva lista de entidades certificadoras, públicas e

privadas, de diversos países, é um esforço desproporcional em relação ao benefício almejado.

Outros países, em situação similar à do Brasil, já aderiram ao padrão Common Criteria,

especificando Protection Profiles específicos para suas necessidades de segurança nacional. Pela

escala do seu mercado doméstico, o Brasil, caso aderisse a este ecossistema global, teria

condições e legitimidade técnica e econômica de aspirar, inclusive, a receber investimentos para

o estabelecimento de um centro global de certificação. A orientação adotada pelo Governo

Federal nesta matéria não aproveita tal oportunidade, e, em consequência, deverá enfrentar o

risco da inviabilização econômico-financeira da estratégia em curso.

Outrossim, verificamos que o texto da Consulta Pública ora em discussão reitera, em seu

bojo, a imposição de abertura do código fonte do software relativo ao serviço de correio

eletrônico. Em oportunidades anteriores a Brasscom posicionou-se sobre esta questão,

ressaltando que tal medida gera insegurança jurídica em relação à proteção da propriedade

intelectual e aos direitos autorais dos fornecedores de software, hardware e firmware. Tais

provedores, que investem expressivos montantes em pesquisa, desenvolvimento e inovação

tecnológica e têm seus negócios lastreados na proteção da propriedade intelectual, podem se ver

desestimulados a fornecer para o poder público brasileiro. Tal situação seria altamente

desvantajosa para o Brasil, principalmente ante a constatação que as tecnologias de invasão e

violação da segurança da informação evoluem em velocidade e sofisticação frenéticas. O possível




alijamento quanto ao acesso ao estado da arte em termos de tecnologia da informação,

comunicação e gestão de segurança, por conta de debilidade na proteção da propriedade

intelectual consubstanciada em software e firmware, é altamente prejudicial aos melhores

interesses públicos do País. Destarte, não faz sentido a insistência na obrigatoriedade da abertura

de código fonte e o detalhamento de possíveis procedimentos de auditoria, enquanto não for

equacionado e superado o obstáculo da insegurança jurídica quanto à proteção da propriedade

intelectual dos provedores de software, hardware e firmware que venham a fornecer para a APF.

Destacamos também o excessivo foco na abordagem brasileira sobre o processo de

auditoria de programas e equipamentos, em detrimento dos riscos de segurança digital advindos

de pessoas, processos e forma de utilização de determinado item tecnológico. De modo a

assegurar os objetivos aprimorados de segurança em dados e sistemas de informação e

comunicação, torna-se imperativo a atenção em relação à gestão de risco de segurança.

Conforme posicionamento anterior, a construção de efetiva segurança da informação passa por

uma visão holística assentada em três importantes pilares: (i) emprego massivo de encriptação,

para garantir a segurança tanto na comunicação quanto no armazenamento de dados; (ii)

segurança dos sistemas e da Infraestrutura; e (iii) governança e operação da segurança.

NOTAÇÃO DAS ALTERAÇÕES PROPOSTAS E RESPECTIVAS JUSTIFICATIVAS

Este documento apresenta propostas de alteração do texto submetido à consulta pública

que são acompanhadas de sucintas justificativas e comentários sobre aspectos restritivos nos

itens relacionados ao ADA (Alvo de Avaliação), ao fazer uma comparação dos documentos do

ePING/MPOG aos Protection Profiles/CC. Algumas circunstâncias aludidas neste documento,

referentes à dinâmica dos negócios no mundo digital, demandariam textos substantivamente

mais extensos, para se tornarem compreensíveis. No intuito de melhor fundamentar as

proposições manifestadas neste documento, a Brasscom se coloca à disposição para

esclarecimentos adicionais ou mais detalhados.

Na dicção dos dispositivos transcritos da minuta dos Requisitos de Segurança e

Conformidade para Serviço de Correio Eletrônico, objeto desta Consulta Pública, adota-se a

seguinte notação:

Fragmento de texto taxado

Propõe-se a eliminação do fragmento de texto da minuta do documento;

Fragmento de texto sublinhado

Propõe-se que o fragmento de texto seja acrescentado à minuta do documento.

[...]

Refere-se à manutenção do fragmento de texto original da minuta do

documento.




PARTE 1 – INTRODUÇÃO

A1.2 Descrição Organizacional do Serviço

O ADA (Alvo de Avaliação) é um serviço de correio eletrônico, com as seguintes

funcionalidades:

[...]

Para a prestação deste serviço estarão disponíveis uma caixa postal por usuário e

catálogo(s) com endereços eletrônicos de contatos e usuários do serviço.

Os usuários e/ou as mensagens deverão ser classificados em, no mínimo, três níveis de

confidencialidade ou restrição ao compartilhamento, desde não-confidencial até

confidencialidade-máxima, em função do cargo ocupado pelo servidor público, ou outro critério

a ser adotado posteriormente. Os requisitos de hospedagem, processamento, armazenamento e

segurança podem ser modulados para cada classe de confidencialidade estabelecida.

Para os graus de confidencialidade mais restritivos, O o serviço estará será hospedado em

uma infraestrutura, física ou virtual, administrada por entidades de governo e será utilizado por

funcionários da administração pública federal.

Para os graus de confidencialidade menos restritivos, o serviço poderá ser hospedado em

infraestrutura de terceiros, física ou virtual, por intermédio de contratos de prestação de serviços

tecnológicos lastreados em acordo de níveis de serviço (ANS) compatíveis com os requisitos de

confidencialidade e restritividade, podendo ser administrados pelos provedores dos serviços

contratados ou por entidades de governo, sendo, em qualquer caso, utilizado por funcionários

da administração pública federal.

Outras funcionalidades que complementam ou estendem o Serviço poderão estar

presentes, mas não estarão no escopo do ADA.

Serviços de AntiSpam, Antivírus e DDOS poderão ser objeto de contratos de prestação de

serviços tecnológicos especializados, lastreados em acordo de níveis de serviço (ANS) compatíveis

com os requisitos de confidencialidade e restritividade.

Justificativas

(1) Conceito de classificação de dados - É importante atrelar o trabalho de classificação

de dados do Governo Federal com serviços de Correio Eletrônico, para que

mensagens sejam classificadas com a mesma tipologia. Em dados classificados como

“não sensíveis”, sugerimos não excluir a possibilidade de armazenar em provedores

externos. Uma opção de critério para classificação de dados nesta situação poderá




ser o próprio cargo ocupado pelo servidor público, uma vez que nem todos os

funcionários públicos necessitam dos mesmos níveis de segurança. Sua função

determina sua propensão a manipular mensagens atreladas a contextos de

segurança nacional.

(2) Hospedagem do serviço - Também no mesmo parágrafo sugerimos incluir que a

hospedagem do serviço seja feita em infraestrutura física ou virtual, de modo a não

restringir as possibilidades que os avanços das tecnologias empregadas em

datacenters oferecem, em termos de utilização mais eficiente das plataformas de

hardware, em especial de processamento.

(3) Subcontratação de hospedagem - É igualmente importante facultar a utilização de

diferentes modelos de contratação, com acordos de níveis de serviços adequados

aos requisitos, como forma de aproveitar o avanço do estado da arte e reduzir custos

operacionais.

(4) Componentes de AntiSpam, Antivírus e DDOS – Recomenda-se que a APF coteje a

possibilidade de utilizar serviços em nuvem para esses componentes, de forma

independente ao trabalho de classificação de dados para o servidor de caixas postais,

visto que esses componentes possuem características técnicas que viabilizam seu

uso sem comprometer a privacidade das mensagens, desde que os acordos de níveis

de serviço sejam satisfatórios para a APF.

A1.3 Descrição Técnica do Serviço

O ADA será um serviço de correio eletrônico acessível pela Internet através de navegador

e/ou aplicativo-cliente específico desenvolvido para os sistemas operacionais de interesse, desde

que os recursos de segurança presentes no aplicativo-cliente sejam compatíveis ou superiores

aos recursos de segurança disponíveis nos navegadores Web. O usuário terá acesso a todas as

funcionalidades apenas após autenticação. As mensagens do correio eletrônico poderão ser

assinadas digitalmente e criptografadas no envio das mensagens, permitindo a descriptografia

desencriptação na recepção e a verificação da assinatura digital.

[...]

O ADA, deverá empregar, tanto na sua implementação quanto na interoperabilidade com

os serviços de acesso e na integração dos seus componentes, protocolos baseados em padrões




internacionais abertos, em especial, que estejam em conformidade com RFCs2 emitidas pela IETF3,

tais como: (1) RPC para acesso via aplicativos; (2) SMTP; (3) HTTP4/HTTPS5; (4) RPC com túnel

sobre HTTP; (5) Web Services Application Programming Interface, API, para estender

funcionalidades do ADA para outros serviços e sistemas; (6) SIP6/RTP7; (7) outros protocolos

aplicáveis; (8) novos protocolos padronizados aplicáveis que vierem a ser publicados no futuro.

Justificativas

(1) Aplicativos-clientes: Com a proliferação dos dispositivos móveis de acesso à Internet,

tais como smartphones, tablets e wearables, e a proliferação dos respectivos

sistemas e plataformas operacionais, é importante que a APF não se veja impedida

de adotar as inovações trazidas no âmbito da Transformação Digital.

(2) Protocolos de acesso: É vital garantir a perfeita interoperabilidade entre o ADA e a

infraestrutura de comunicação global na qual estará inserido, sob pena de

isolamento da plataforma e dos serviços de correio eletrônico. Adicionalmente, o

uso de protocolos baseados em padrões abertos garante a independência da APF

com relação a um fornecedor específico, garantindo melhores preços e continuidade

tecnológica a longo prazo, além de facilitar a integração com outros componentes

de tecnologia.

2 Sigla em inglês para “Request for Comments”, documento que integra o IETF e traz especificações de um protocolo ou

tecnologia. As RFCs são publicadas toda vez que um comitê do IETF chega a um resultado consolidado entre as partes

interessadas.

3 Sigla em inglês para “Internet Engineering Task Force” e se refere a uma instituição que desenvolve e promove as normas

da Internet. Em seu site www.ietf.org encontramos as especificações de diversos protocolos associados à implementação

e operação da Internet.

4 Sigla em inglês para “Hyper Text Transfer Protocol”, ou seja, “Protocolo de Transferência de Hipertexto” que é definido

como um protocolo de comunicação entre sistemas da informação que permite a transferência de dados entre redes de

computadores, principalmente na Internet.

5 Sigla em inglês para “Hyper Text Transfer Protocol Secure”, ou seja, “Protocolo de Transferência de Hipertexto Seguro”

que é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS.

Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se

verifique a autenticidade do servidor e do cliente por meio de certificados digitais.

6 Sigla em inglês para “Session Initiation Protocol”, ou seja, “Protocolo de Iniciação e Sessão” que é um protocolo para

sinalização de sessões multimídia, largamente utilizado nas telecomunicações atualmente, o qual é apto a estabelecer,

modificar e terminar estes tipos de sessões.

7 Sigla em inglês para “Real Time Transport Protocol”, ou seja, “Protocolo de Transporte em Tempo Real”, e determina um

formato de pacote padrão para o envio de áudio e vídeo pela Internet.

http://www.ietf.org/




A1.3.1 – Ativos de Informação

A arquitetura descrita para o serviço é genérica para abranger diversos sistemas de

correio.

[...]

Servidor de Envio e Recepção de Mensagens é o responsável pelo roteamento das

mensagens internas e para serviços de e-mail externos. Ele se comunica com o Servidor de

Armazenamento de Mensagens, com o Servidor de Diretório para autenticação, resolução de

endereços de recipientes e expansão de listas de recipientes e com o Servidor AntiSpam e

AntiVirus para verificação das mensagens e com o Servidor de Aplicação.

Justificativa

Resolução de endereços de recipientes e expansão de listas de recipientes são

funcionalidades básicas do servidor de correio eletrônico que não foram incorporadas na

definição original.

PARTE 2 - PROBLEMAS DE SEGURANÇA

A2.1. Pressupostos

Neste item são citadas as condições de segurança que se supõe que existam no ambiente

de TI do ADA mas que não se limitam ao escopo do ADA. Desta forma, ameaças não direcionadas

diretamente ao ADA serão tratadas por outros ativos, fora do escopo da avaliação.

[...]

7 - Assume-se que o ADA esteja hospedado em uma zona desmilitarizada de rede (ZDM),

e que possua ativos que tornem o ambiente de rede em que o ADA está hospedado seguro contra

ataques comuns advindos de outras redes. Entre os ativos de rede que podem ser usados para

este fim se destacam sistemas de filtro de conteúdo, sistemas de prevenção de perda de dados

(DLP), Firewall, e sistemas de prevenção de intrusão (IPS).

7-A O servidor de armazenamento de caixas postais de correio eletrônico deverá ser

hospedado ou em um provedor externo de serviços com os níveis adequados de segurança ou

na rede interna da APF.

[...]




Além dos pressupostos específicos identificados nos itens anteriores, cabe destacar outras

características ou ações de segurança que estão fora do escopo de avaliação do ADA, mas

contribuem de forma indireta, porém significativa, para a segurança na utilização do ADA.

São exemplos dessas características ou ações: Definição de políticas de segurança;

Estabelecimento de uma estrutura de gerenciamento da segurança da informação; [...] e Promover

a conformidade com requisitos legais e contratuais [ABNT NBR ISO/IEC 27002, 2013].

Em adição aos pressupostos dispostos e exemplificados, os seguintes pressupostos

relacionados ao ADA devem ser também considerados: (a) Inclusão em contrato de suporte 24x7;

(b) Possibilidade de efetivar atualizações de versões de todos os fornecedores que entregam seus

componentes, garantindo a segurança da operação, atualizações de software e o SLA14 de

prestação de serviços de suporte técnico; (c) Possuir serviços de backup e recuperação de dados

que possibilitam o retorno de mensagens individuais.

Justificativas

(1) Armazenamento de Caixas Postais de Correio Eletrônico: É necessário que o servidor

de armazenamento de caixas postais de correio eletrônico seja hospedado ou em

um provedor externo de serviços com os níveis adequados de segurança ou na rede

interna da APF. Armazená-lo em uma rede desmilitarizada pode acarretar em

exploração de falhas de serviços permitidos que comprometa a segurança das

mensagens. Para os demais componentes da arquitetura, não há problemas em

hospedá-los em uma rede ZDM15.

(2) Pressupostos adicionais: Recomendamos a inclusão no documento dos

pressupostos adicionais supracitados relacionados ao ADA, uma vez que são

importantes medidas para garantir a segurança das informações e comunicação do

serviço de correio eletrônico da APF.

14 Um Acordo de Nível de Serviço (ANS ou SLA, do inglês “Service Level Agreement”) é um acordo firmado entre a área

de TI e seu cliente interno, que descreve o serviço de TI, suas metas de nível de serviço, além dos papéis e

responsabilidades das partes envolvidas no acordo.

15 ZDM ou DMZ (sigla em inglês para “DeMilitarized Zone” ou “Zona Desmilitarizada”), é uma sub-rede que, dependendo

da ocasião, pode ser uma sub-rede física ou lógica que contém e expõe serviços externos de uma organização para acesso

a uma rede maior não confiável, por exemplo, a Internet. Recomendamos o uso do termo em inglês, como é conhecido

internacionalmente e pelo setor.

https://pt.wikipedia.org/wiki/L%C3%ADngua_inglesa




PARTE 3 - OBJETIVOS DE SEGURANÇA

A3 - Objetivos de segurança

[...]

Devem ser descritos todos os objetivos de segurança do perfil de proteção para um tipo

de ADA e eventuais objetivos de segurança adicionais para uma implementação específica de

ADA.

São objetivos de segurança do ADA:

(1) Prevenir acesso não-autorizado para objetos armazenados no seu servidor de caixas

postais, baseados na identidade dos usuários. Assim sendo, o ADA deverá prover

mecanismos de controle de acesso para caixas de correio privadas e diretórios

públicos para que apenas pessoas autorizadas possam ler, modificar ou deletar

mensagens e documentos;

(2) Prover a capacidade de rejeitar conexões SMTP17 baseado no endereço IP ou

hostname do servidor remoto, usando listas brancas e negras configuradas pelo

administrador, com o objetivo de reduzir o nível de SPAM. O ADA deverá ainda ser

capaz de estabelecer o nível de reputação dos servidores SMTP remotos, utilizando

estes níveis em configurações de bloqueio de entrada de SPAMs, se desejado;

(3) Ser capaz de restringir a entrega e roteamento de correio eletrônico para grupos de

distribuição, permitindo a entrega de mensagens para grupos de distribuição apenas

oriundas de usuários autenticados e autorizados. Adicionalmente, o administrador

deverá ser capaz de configurar quais usuários podem enviar mensagens a

determinados grupos de distribuição;

(4) Permitir a restrição de fluxo de mensagens baseados nos seguintes atributos:

emissores, destinatários (incluindo CCs), assunto, classificação, cabeçalho, nome do

anexo, tamanho do anexo e também por palavras-chave contidas no assunto ou

corpo da mensagem. Adicionalmente, o ADA deverá restringir, de acordo com as

17 Sigla em inglês para “Simple Mail Transfer Protocol”, ou seja, “Protocolo de transferência de correio simples”, que é o

protocolo padrão para envio de e-mails através da Internet.




premissas do administrador, determinados tipos de anexos baseado em seu MIME-

TYPE18;

(5) Ser capaz de enviar comandos de limpeza total (wipe) para dispositivos móveis

compatíveis, visando garantir a remoção de mensagens em dispositivos perdidos

e/ou de pessoas afastadas;

(6) Garantir o controle e gestão dos dispositivos, através de soluções de MDM19, como

parte das premissas essenciais de garantia de segurança do ADA.

Justificativa

Os objetivos supracitados são fundamentais para o pleno funcionamento e garantia da

segurança das informações e comunicação do serviço de correio eletrônico da APF.

CONSIDERAÇÕES FINAIS

Reiteramos nosso interesse e disposição, no melhor espírito público, para oferecer

contribuições relevantes sobre a regulamentação do Decreto Presidencial nº 8.135/2013,

registrando protestos pela estima e consideração.

18 Sigla em inglês para “Multipurpose Internet Mail Extensions”, que se refere à um padrão da Internet para o formato das

mensagens de correio eletrônico. Este padrão estende o formato de protocolo de transferência do correio simples (SMTP)

dos e-mails para inserir diferentes tipos de conteúdo, sendo eles em texto ou não.

19 Sigla em inglês para “Mobile Device Management” que é o termo utilizado pelo mercado para administração de

dispositivos móveis, como smartphones, tablets, laptops e computadores desktops.

consulta pública - requisitos de segurança e conformidade

Technology