Portal de confiança do cliente

Acesso a informações e recursos relacionados às políticas, aos padrões e aos programas de segurança das informações da Symantec para a proteção de dados dos clientes.

Resumos dos programas de segurança

A confiança é fundamental para os nossos negócios

Compromisso com a proteção da privacidade e dos dados pessoais

A proteção dos seus ativos mais importantes é a nossa prioridade. A Symantec mantém a vigilância na proteção dos dados e na privacidade dos indivíduos que ela representa.

  • Os dados e a sua proteção são a prioridade de tudo o que fazemos: nossas práticas são centradas na segurança, conformidade e responsabilidade, o que nos permite proteger os ativos mais importantes de nossos clientes.
  • Estamos em conformidade com o GDPR (Regulamento Geral de Proteção de Dados da União Europeia) e com a proteção dos direitos de privacidade.
  • A privacidade é um direito humano fundamental, e a proteção de dados pessoais, sejam nossos, de nossos clientes ou parceiros, é parte do nosso compromisso com a responsabilidade corporativa.
Gerenciamento de certificações globais

Departamento de Confiança do cliente

O Departamento de Confiança do cliente tem um papel importante para atender às necessidades de diligência dos clientes durante e depois do processo de vendas, garantindo que eles recebam insights suficientes sobre as políticas de segurança das informações, as práticas e a segurança de produtos da Symantec. Essa equipe, que faz parte do GSO (Departamento de Segurança Global), colabora com as equipes de Vendas, Jurídica e de Produtos para responder aos questionários de avaliação da segurança das informações ("ISA") ou para fornecer documentação de segurança do produto (como certificações ISO 27001, relatórios de auditorias SOC, evidências do teste de penetração ou resultados das verificações de vulnerabilidades).

Saiba mais

Certificações de segurança

Declaração de Privacidade

A Declaração de Privacidade da Symantec descreve os tipos de informações que coletamos através dos sites da Symantec, como podemos usar essas informações e com quem podemos compartilhá-las. Nossa Declaração de privacidade descreve as medidas que adotamos para proteger a segurança das informações. Nós também informamos como você pode nos contatar para atualizar suas informações, remover seu nome de nossas listas de correspondência ou obter respostas a dúvidas que você possa ter sobre nossas práticas de privacidade na Symantec.

Learn More

Políticas e padrões de segurança das informações

As políticas e os padrões de segurança das informações da Symantec estão de acordo com os padrões da indústria, como o ISO, CSA, NIST /IEC 27001, SOC 2 e PCI. Essas políticas e padrões são avaliados e atualizados (conforme necessário) anualmente. Os domínios de segurança das informações abaixo estão cobertos pelas políticas e padrões de segurança das informações da Symantec:

  • Conformidade e gerenciamento de riscos
  • Treinamento e conscientização sobre segurança
  • Segurança de funcionários
  • Classificação e proteção de dados
  • Gerenciamento de chaves e criptografia
  • Resposta e gerenciamento de incidentes de segurança
  • Gerenciamento de riscos à cadeia de suprimentos
  • Controle lógico de acesso
  • Segurança do datacenter e do local de trabalho
  • Segurança de endpoints
  • Arquitetura e segurança da nuvem
  • Gerenciamento de mudanças
  • Gerenciamento de ativos
  • Desenvolvimento de produtos e segurança de operações
  • Resiliência comercial e recuperação após desastres
  • Backup e recuperação de dados
  • Uso aceitável e administração de mídias
  • Gerenciamento de patches e vulnerabilidades
  • Monitoramento da segurança

Missão

A equipe mundial de profissionais de certificação da Symantec promove ativamente a conscientização das práticas recomendadas globais em certificação e oferece orientação e suporte essenciais às nossas equipes de produto para guiá-las através dos canais comerciais e técnicos necessários a fim de obter e manter as certificações dos produtos da Symantec.

 

Certificações da Symantec

Common Criteria

O Common Criteria Recognition Arrangement (CCRA) internacional reúne 26 países que concordam em aceitar uma abordagem unificada das avaliações de produtos de tecnologia da informação e de perfis de proteção para fiabilidade e segurança das informações. Esse acordo beneficia os governos dos países membros e outros clientes de produtos de TI ao estabelecer mais clareza nas decisões de aquisições, mais precisão nas avaliações, melhor equilíbrio da segurança e dos recursos e acesso mais rápido aos produtos da indústria.

Como base para os padrões internacionais ISO/IEC15408 e ISO/IEC 18045, o Common Criteria é um modelo no qual:

  • agências governamentais, militares e outros usuários podem especificar seus requisitos funcionais e de garantia da segurança através do uso de perfis de proteção,
  • fornecedores podem implementar os atributos de segurança dos seus produtos e/ou fazer declarações sobre esses atributos,
  • e laboratórios de teste podem avaliar os produtos a fim de determinar se eles realmente cumprem as declarações feitas sobre eles.

Fonte: Common Criteria IT Security Evaluation & National Information Assurance Partnership

Consulte também National Information Assurance Policy e Common Criteria para obter informações adicionais.

Exibir mais

 

Federal Identity, Credential and Access Management (FICAM)

O FICAM TFS é uma estrutura de identificação unificada do Governo Federal dos EUA. Ele inclui orientação, processos e infraestrutura de suporte para permitir a entrega segura e eficaz de serviços online para cidadãos e empresas.

Com certificação NSL IDEF. IDEF é a Identity Ecosystem Framework, versão 1.0. Trata-se de uma certificação válida e ativa que se aplica aos mercados comercias e ao setor público.

Os seguintes pacotes de certificação e Login seguro do Norton se aplicam ao programa FICAM executado pela GSA.  Consulte este site para obter uma lista de provedores de identidade aprovados.

Para obter informações adicionais, entre em contato com Adam Madlin.

Publicação do Federal Information Processing Standard 140-2 (FIPS 140-2)

Status do produto - FIPS 140-2

A validação FIPS 140-2 é essencial para qualquer fornecedor que venda criptografia no mercado do governo federal. Se o produto de TI utiliza alguma forma de criptografia, ele provavelmente precisará da validação FIPS 140-2 do Cryptographic Module Validation Program (CMVP), executado conjuntamente pelo Instituto Nacional de Padrões e Tecnologia (NIST), nos Estados Unidos, e pelo Communications Security Establishment (CSE, Instituto de Segurança das Comunicações), no Canadá, para poder ser vendido e instalado em órgãos federais ou instalações do Departamento de Defesa (DoD).

O FIPS 140-2 descreve os requisitos de confidencialidade, mas de uso não confidencial (SBU, na sigla em inglês), que os produtos de TI devem cumprir de acordo com o Governo Federal dos EUA. A norma foi publicada pelo NIST, foi adotada pela CSE, e é administrada conjuntamente por esses dois órgãos sob a denominação de CMVP.

A norma define os requisitos de segurança que devem ser cumpridos por um módulo de criptografia usado em um sistema de segurança que protege informações não confidenciais dentro dos sistemas de TI. Há quatro níveis de segurança que vão do Nível 1 (mais baixo) ao Nível 4 (mais elevado). Esses níveis pretendem cobrir uma ampla gama de possíveis aplicativos e ambientes nos quais os módulos de criptografia podem ser implementados. Os requisitos de segurança abrangem as áreas relacionadas à segurança do projeto e da implementação de um módulo de criptografia. Essas áreas incluem projeto e documentação básicos, interfaces do módulo, serviços e cargos autorizados, segurança física, segurança do software, segurança do sistema operacional, gerenciamento de chaves, algoritmos de criptografia, interferência eletromagnética/compatibilidade eletromagnética (EMI/EMC) e autotestes.  Consulte este site para obter informações adicionais relacionadas aos requisitos do FIPS 140-2, incluindo links do NIST.

Lista de produtos validados da Symantec

Abaixo encontra-se a lista de produtos da Symantec com status que indica se o produto listado está:

  • Validado pelo FIPS 140-2
    • O produto usa um módulo de criptografia existente (da Symantec ou de terceiros) e passou por um processo de validação de “marca própria”
  • Em conformidade
    • O produto usa um módulo de terceiro validado, mas não obteve explicitamente uma validação privada do NIST
  • N/A
    • O produto não contém um módulo de criptografia
  • No momento, não
    • O produto tem um módulo de criptografia, mas não está validado pelo FIPS 140-2 no momento

A lista abaixo inclui uma linha de produtos em movimento, de modo que não há garantia de precisão, mas tentamos mantê-la atualizada com o status atual/status do FIPS 140-2 por produto. A Symantec não garante que todos os seus produtos de software e hardware, serviços ou soluções de appliance estejam em conformidade com os requisitos do FIPS 140-2 ou validados por ele.

Em caso de dúvidas quanto ao status do FIPS 140-2/conteúdo aqui contido, ou para constatar o status atualizado do FIPS de um produto, entre em contato conosco.

Produtos da Symantec em conformidade com o FIPS

Nome do produto da Symantec Status Tem módulo de criptografia Tipo de módulo de criptografia
Data Center Security 6.6 Conformidade com o FIPS Sim SSL aberto com BSAFE (Certificado nº 1.058)
IT Management Suite 8.0 Conformidade com o FIPS Sim  
Critical System Protection 7.x Conformidade com o FIPS Sim  

Exibir mais

 

Produtos da Symantec validados pelo FIPS

Nome do produto da Symantec Status Tem módulo de criptografia Tipo de módulo de criptografia
Data Loss Prevention 12.5 Validado pelo FIPS Sim Symantec Java Cryptographic Module (certificado de validação nº 2.138)
Symantec DLP Cryptographic Module (certificado de validação nº 2.318)
Data Loss Prevention 14.0 Validado pelo FIPS Sim Symantec Java Cryptographic Module (certificado de validação nº 2.138)
Symantec DLP Cryptographic Module (certificado de validação nº 2.318)
Data Loss Prevention 15.0 Validado pelo FIPS Sim Symantec Java Cryptographic Module (certificado de validação nº 3.082)
Symantec DLP Cryptographic Module (certificado de validação nº 2.318)
Criptografia - Desktop Email Encryption 10.3 Validado pelo FIPS Sim Symantec PGP SDK 4.2.1 (certificado nº 1.684)
Criptografia - Drive Encryption 10.3 Validado pelo FIPS Sim Symantec PGP SDK 4.2.1 (certificado nº 1.684)  
Criptografia - Endpoint Encryption 11.1.1 Validado pelo FIPS Sim PGP Cryptographic Engine 4.3
Criptografia - File Share Encryption 10.3 Validado pelo FIPS Sim Symantec PGP SDK 4.2.1 (certificado nº 1.684)  
Criptografia - Gateway Email Encryption 3.3 Validado pelo FIPS Sim Symantec PGP SDK 4.2.1 (certificado nº 1.684)
Criptografia - Management Server 3.3 Validado pelo FIPS Sim Symantec PGP SDK 4.2.1 (certificado nº 1.684)
Criptografia - Mobile Encryption Validado pelo FIPS Sim Symantec PGP SDK 4.2.1 (certificado nº 1.684)
Criptografia - PGP Command Line 10.3 Validado pelo FIPS Sim Symantec PGP SDK 4.2.1 (certificado nº 1.684)
Criptografia - PGP Key Management Client Access 10.3 Validado pelo FIPS Sim Symantec PGP SDK 4.2.1 (certificado nº 1.684)
Criptografia - PGP Key Management Server 3.3 Validado pelo FIPS Sim Symantec PGP SDK 4.2.1 (certificado nº 1.684)
Endpoint Protection 12.1 Validado pelo FIPS Sim Symantec Java Cryptographic Module, versão 1.2 (Certificado nº 2.138) BSAFE
(Certificado nº 1.786)
Endpoint Protection Small Business Edition 12.1 Validado pelo FIPS Sim Java Cryptography Module 1.3
Messaging Gateway 10.5 Validado pelo FIPS Sim Symantec Scanner Cryptographic Module; Symantec Control Center Cryptographic Module
Empacotador SSL aberto e RSA BSAFE
Mobility Suite - Hosted Validado pelo FIPS Sim OpenSSL
Mobility Suite - On Premise Validado pelo FIPS Sim OpenSSL
Symantec Insight for Private Cloud Validado pelo FIPS Sim Usa dois OpenSSL

Exibir mais

 

Produtos da Symantec sem FIPS

Nome do produto da Symantec Status Tem módulo de criptografia Tipo de módulo de criptografia
Control Compliance Suite - AM N/A Não  
Cyber Security DeepSight Intelligence Datafeed N/A Não  
Cyber Security DeepSight Intelligence Portal N/A Não  
Endpoint Protection Small Business Edition 2013 N/A Não Open SSL 0.98
Mail Security for Domino 8.1 N/A Não  
Mail Security for MS Exchange 7.5 N/A Não  
Login seguro do Norton No momento, não Sim Criptografia Java
Protection Engine 7.5 N/A Não  
Protection for Sharepoint Servers 6.0 N/A Não  
Symantec Embedded Security: Critical System Protection 1.0 No momento, não Sim OpenSSL
Validation and ID Protection Service (VIP) No momento, não Sim OpenSSL de modo FIPS

Exibir mais

Federal Risk and Authorization Management Program (FedRAMP)

Produto da Symantec Status
Symantec VIP Em andamento
Email Security for Government: SMG Autorizado

 

O Federal Risk and Authorization Management Program, ou FedRAMP, é um programa extensivo do governo que oferece uma abordagem padronizada para avaliações de segurança, autorizações e controle contínuo de produtos e serviços de nuvem. Essa abordagem usa uma estrutura do tipo “faça uma vez, use muitas vezes” que oferece uma economia estimada entre 30% e 40% das despesas governamentais, bem como o tempo e o pessoal necessários para levar a cabo avaliações de segurança redundantes da agência. O FedRAMP é o resultado da estreita colaboração com especialistas em segurança cibernética e nuvem das seguintes entidades americanas: Administração de Serviços Gerais (GSA), Instituto Nacional de Padrões e Tecnologia (NIST), Departamento de Segurança Interna (DHS), Departamento de Defesa (DOD), Agência de Segurança Nacional (NSA), Gabinete de Administração e Orçamento (OMB), Conselho Federal de Gerentes Executivos de TI (CIO) e seus setores, bem como do setor privado.

Metas

  • Acelerar a adoção de soluções de nuvem seguras por meio da reutilização de avaliações e autorizações.
  • Aumentar a confiança na segurança das soluções de nuvem e obter autorizações de segurança uniformes usando um conjunto básico de padrões estabelecidos a ser usado para a aprovação de produtos de nuvem dentro ou fora do FedRAMP.
  • Garantir a aplicação uniforme das práticas de segurança existentes, aumentar a confiança nas avaliações de segurança.
  • Aumentar a automação e os dados em tempo quase real para controle contínuo.

Benefícios

  • Aumentar a reutilização das avaliações de segurança existentes nas agências.
  • Economizar custo, tempo e recursos significativos (“faça uma vez, use muitas vezes”).
  • Melhorar a visibilidade da segurança em tempo real.
  • Oferecer uma abordagem uniforme para o gerenciamento com base em riscos.
  • Melhorar a transparência entre o governo e os provedores de serviços em nuvem (CSPs).
  • Reforçar a credibilidade, a confiabilidade, a uniformidade e a qualidade do processo de autorização de segurança do Governo Federal.

Principais integrantes

Há três principais integrantes no processo do FedRAMP: agências, CSPs e organizações de avaliação terceirizadas (3PAOs). As agências são responsáveis por selecionar um serviço na nuvem, utilizar o processo do FedRAMP e exigir que os CSPs cumpram os requisitos do FedRAMP. Os CSPs oferecem o serviço na nuvem propriamente dito a uma agência e deve cumprir todos os requisitos do FedRAMP antes de implementar os serviços. As 3PAOs realizam avaliações iniciais e periódicas nos sistemas do CSP de acordo com os requisitos do FedRAMP, fornecem provas da conformidade e desempenham um papel contínuo em garantir que os CSPs cumpram os requisitos.  As autorizações provisórias do FedRAMP (P-ATOs) devem incluir uma avaliação realizada por uma 3PAO acreditada a fim de garantir um processo de avaliação consistente.

Principais processos

O FedRAMP autoriza os sistemas na nuvem em um processo em três fases:

  1. Avaliação da segurança: o processo de avaliação da segurança usa um conjunto padronizado de requisitos de acordo com a FISMA usando um conjunto básico de controles 800-53 do NIST para conceder as autorizações de segurança.
  2. Uso e autorização: as agências federais visualizam os pacotes de autorização de segurança no repositório do FedRAMP e os utilizam para conceder uma autorização de segurança em suas próprias agências.
  3. Avaliação e autorização contínuas: após a concessão da autorização, atividades contínuas de avaliação e autorização devem ser concluídas para manter a autorização de segurança.

Governança

O FedRAMP é um programa extensivo do governo com contribuições provenientes de vários departamentos, agências e setores do governo. O principal órgão de tomada de decisões do programa é o Conselho de Autorização Conjunta (JAB), composto pelos CIOs do DoD, DHS e GSA.  Além do JAB, o OMB, o Conselho Federal de CIO, o NIST, o DHS e o Gabinete de Gestão do Programa (PMO) FedRAMP desempenham funções-chave na execução eficaz do FedRAMP.

 

Voluntary Product Accessibility Templates

A Symantec tem o compromisso de desenvolver soluções de tecnologia que sejam acessíveis a pessoas de todas as habilidades. Por isso utilizamos o Voluntary Product Accessibility Template (VPAT™),  que foi desenvolvido pelo Information Technology Industry Council para ajudar os funcionários governamentais e outros compradores a avaliar os recursos de acessibilidade de nossos produtos e serviços.

Contudo, a divulgação de um VPAT não constitui uma certificação da Symantec de que a compra de qualquer eletrônico ou tecnologia da informação cumprirá os requisitos da Seção 508 do Rehabilitation Act de 1973 (29 U.S.C. § 794 (d)).

Para obter mais informações sobre o programa VPAT da Symantec, entre em contato.