ANATEL: nova CP sobre diretrizes para realização de auditorias em fornecedores de produtos e equipamentos para as prestadoras de telecom

01/02/2024
ANATEL: nova CP sobre diretrizes para realização de auditorias em fornecedores de produtos e equipamentos para as prestadoras de telecom

A Agência Nacional de Telecomunicações (ANATEL) disponibilizou, em 29/01/2024, a Consulta Pública nº 75/2024 com objetivo de receber contribuições para o aprimoramento da proposta de Procedimento Operacional contendo diretrizes para realização de auditoria em fornecedores de produtos e equipamentos para as prestadoras de serviços de telecomunicações.

A auditoria tem como finalidade a comprovação de implementação da Política de Segurança Cibernética (PSC) estabelecida pelo Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT Ciber), conforme dispõe o artigo 7º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações. As contribuições e sugestões dos interessados na presente Consulta Pública devem ser encaminhadas até o dia 07/04/2024, por meio do Sistema Participa ANATEL.

Conforme o texto da Minuta de Ato o Procedimento Operacional aplicar-se-á às prestadoras dos serviços de telecomunicações, aos fornecedores de produtos de telecomunicações para essas prestadoras e aos Organismos de Certificação Designados (OCD) no exercício de suas funções como agentes do processo de auditoria da Política de Segurança Cibernética (PSC) do fornecedor de produtos para telecomunicações às prestadoras”. O referido procedimento deverá ser adotado conjuntamente com “Política de Segurança Cibernética de fornecedores de produtos e equipamentos de telecomunicações para as prestadoras” (Despacho Decisório Nº 16/2023/COQL/SCO e seu Anexo)

Confira abaixo as principais propostas de diretrizes trazidas pela Consulta Pública nº 75/2024:

  1. Entidades habilitadas para realização das auditorias

A condução das auditorias poderá ser realizada por: (i) Organismos de Certificação Designados (OCD) pela Anatel habilitados pela Agência para esta atividade; (ii) empresas independentes que possuam acreditação concedida por entidade membro do IAF (International Accreditation Forum) com escopo que contemple os itens da Política de Segurança Cibernética; ou (iii) entidades que integram esquemas de certificação desenvolvidos por organismos ou fóruns de normatização técnica internacionalmente reconhecidos que contemplem os itens da Política de Segurança Cibernética.

Destaca-se que o responsável por contratar a entidade habilitada para a realização da auditoria será o fornecedor de produtos de telecomunicações para as prestadoras, podendo transferir ou compartilhar tal responsabilidade com o fabricante do produto.

  • Comprovação de implementação da Política de Segurança Cibernética pelo fornecedor

Para fins de comprovação da implementação da PSC aprovada pelo GT-Ciber, o fornecedor deverá apresentar à entidade habilitada que conduzirá o procedimento de auditoria a Cópia de sua Política de Segurança Cibernética e demonstrarevidências elencadas na presente Proposta de Diretrizes para Auditoria, como:

  • Security by design – fases de concepção, projeto, desenvolvimento e fabricação de produtos e serviços focadas na mitigação de vulnerabilidades e no incremento da segurança cibernética dos equipamentos e de seus usuários;
  • Security by default – configuração padrão de fábrica que preze pela segurança dos usuários e dos serviços;
  • Privacy by design – garantia da confidencialidade, integridade e autenticidade dos dados pessoais processados, transmitidos ou armazenados pelos produtos produzidos;
  • Política clara de suporte do fornecedor ao produto – transparência na política de suporte ao produto elaborada pelo fornecedor e como ela é aplicada, sobretudo quanto à disponibilização de atualizações de software/firmware para correção de vulnerabilidades de segurança;
  • Atualizações de segurança – atualizações com o objetivo de correção ou mitigação de vulnerabilidades identificadas em seus produtos;
  • Canal para notificações de vulnerabilidades – canal de comunicação que possibilite aos clientes, usuários finais e terceiros notificarem ao fornecedor ou fabricante as vulnerabilidades de segurança identificadas nos produtos;
  • Processo de divulgação coordenada de vulnerabilidades (CVD) – tal processo de CVD provê informações, como o detalhamento das opções de comunicação segura (ex.: chave PGP para e-mail, formulário seguro via HTTPS, etc.);
  • Canal de suporte para informar vulnerabilidades identificadas e medidas de mitigação – canal público de suporte, por meio de página na internet, para informar e manter histórico de novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e correções de segurança, por exemplo.

O Procedimento Operacional de auditoria resultará na elaboração de relatório(s) que descreva(m) a avaliação de cada item da política do fornecedor e sua conformidade ou não, de modo a evidenciar a aderência do fornecedor à PSC.

A comprovação da implementação da PSC será dada por meio de atestado ou conjunto de atestados de auditorias emitidos por entidades habilitadas em favor do fabricante dos produtos, desde que abranjam a totalidade dos itens da PSC aprovada pelo GT-Ciber.

  • Casos omissos

As hipóteses que não foram reguladas pelo referido Procedimento serão decididas administrativamente, pelas Superintendências competentes da Anatel, de acordo com cada caso concreto, observando os princípios do contraditório e ampla defesa dos agentes envolvidos.

A equipe de Telecom & Audiovisual do Souto Correa continuará acompanhando os desdobramentos do tema. Para maiores informações, estamos à disposição.

Sou assinante
Sou assinante