Institucional

A fim de reforçar a segurança das redes e dispositivos, a ANATEL introduziu o ATO-77 em janeiro de 2021 estabelecendo uma série de requisitos de segurança para equipamentos de telecomunicações, visando a minimizar vulnerabilidades por meio de atualizações de software ou recomendações de configuração.

O escopo do ATO-77 abrange uma ampla gama de requisitos aplicados aos equipamentos terminais com conexão à Internet (CPE) e dispositivos de infraestrutura de redes de telecomunicações.

Em março de 2023, a ANATEL também publicou o ATO Nº 2436, que estabelece os requisitos e critérios técnicos a serem verificados na Avaliação da Conformidade dos produtos para telecomunicações na certificação destes, sendo esta aprovação obrigatória a partir de Março de 2024 para a homologação de cada produto na ANATEL.

1 - Política de Segurança Cibernética

A Datacom em conformidade com o ATO-77 e ao ATO-2436 desenvolve seus produtos seguindo os princípios de Security by Design e apresenta a seguir uma visão geral dos principais requisitos de segurança cibernética presente em seus produtos.

Estão dentro do escopo desta política os produtos CPE’s  (Equipamento local do cliente):

• Cable modem;
• Modem xDSL;
• ONU, ONT;
• Roteador ou modem destinados  ao acesso fixo sem fio (FWA - Fixed Wireless Access);
• Roteador ou modem destinados ao acesso fixo à banda larga via satélite; e
• Roteador ou ponto de acesso sem fio.

1.1 Principais Requisitos

1.1.1 Complexidade das Senhas

Os seguintes requisitos de complexidade de senhas são aplicados tanto nas contas de usuário como nas senhas de redes WiFi quando disponíveis.

• No mínimo um caracter maiúsculo (ex: A,B,C,D,...);
• No mínimo um caracter minúsculo (ex: a,b,c,d,...);
• No mínimo um caracter numérico (ex: 1,2,3,4,...);
• No mínimo um caracter especial (ex: !,@,#,$,...);
• No mínimo 8 dígitos;
• Cada produto possui uma senha default única diferente entre todos os produtos;
• Não são permitidas senhas fracas ou em branco.

1.1.2 Mecanismos de Segurança

• Os produtos possuem sua configuração de fábrica de forma restritiva, ou seja, protocolos estão desativados por padrão,como o UPnP, DMZ, Port Forwarding entre outros.  O usuário deve habilitar estas funcionalidades apenas se necessário para sua aplicação.
• Os arquivos de configuração salvos como backup são protegidos por criptografia.
• Timeouts para sessões inativas estão pré-configurados nos produtos.

1.2 Atualização de Software e Vulnerabilidades

A Datacom disponibiliza a seus clientes o documento denominado Release Notes. Este documento é divulgado a cada versão de software lançado comercialmente e contêm todas as correções, melhorias, vulnerabilidades e novas funcionalidades implementadas, bem como a compatibilidade entre diferentes Hardwares, Software e Sistema de Gerência.

As atualizações de software são garantidas por, no mínimo, 2 anos após o lançamento ou enquanto o produto estiver sendo distribuído no mercado, sendo aplicável a opção que mais se estender. Essas atualizações serão sem custos adicionais aos clientes.

2 - Canal de Comunicação com Público Geral

A Datacom disponibiliza abaixo o canal de comunicação exclusivo com todos os usuários de seus produtos possam reportar vulnerabilidades detectadas ou questionamentos referentes a segurança dos produtos comercializados.

Através do link https://www.datacom.com.br/pt/fale-conosco, selecione a opção: Suporte - Vulnerabilidade de Segurança (ATO - No77).

2.1 Recomendações Gerais

Ao relatar uma vulnerabilidade, a Datacom recomenda que:

• A vulnerabilidade seja descrita com o máximo de informação possível.
• Indicar o(s) produto(s) no qual a vulnerabilidade foi detectada.
• É possível encaminhar a descrição da vulnerabilidade em português ou inglês.
• Falha em alguma funcionalidade ou comportamento incorreto deve seguir o procedimento padrão de chamado com a equipe de Suporte Datacom.

2.2 O que esperar da Datacom

A equipe responsável pela Segurança Cibernética dos produtos Datacom garante:

• Analisar e responder a vulnerabilidade relatada em um prazo máximo de 10 dias.
• Caso confirmada a vulnerabilidade, um prazo será divulgado para sua correção.
• A vulnerabilidade quando corrigida será divulgada através do Release Notes do produto e o nome do autor será divulgado se assim aceitar.

3 - Compromisso da Datacom

A Datacom está fortemente empenhada em atender aos requisitos de cibersegurança em seus produtos. Essa conformidade reforça a segurança das redes dos clientes, tornando-as mais resilientes contra ameaças cibernéticas.

4 - Vulnerabilidades Detectadas e Corrigidas

As vulnerabilidades detectadas são apresentadas abaixo a para que qualquer usuário possa analisar e determinar se é aplicável ao seu ambiente de rede.