aboutsummaryrefslogtreecommitdiff
path: root/coletivo/comunicacao/infosec.md
blob: ce06d8eb78fb6bb94c5eb95ddef0476a3cf19207 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
# Política de segurança da informação

O presente processo estabelece uma série de definições e recomendações
relacionadas à segurança da informação circulada por instâncias mantidas pelo
Coletivo.

Política de senhas e chaves
---------------------------

Recomenda-se que as pessoas participantes de instâncias de informação mantidas
pelo Coletivo assumam uma política de senhas como a seguinte:

1. Não utilizar a mesma senha para sistemas sensíveis.
2. Não utilizar senhas frágeis.

Recomenda-se ainda, que sejam utilizadas aplicações como as seguintes:

* [http://web.monkeysphere.info Monkeysphere] para auxiliar na autenticação de sistemas remotos.
* [http://point-at-infinity.org/ssss ssss], para o compartilhamento de senhas em sistemas sensíveis.
* Programas como o [http://www.adel.nursat.kz/apg apg] para a geração de senhas fortes.
* Programas como o [http://oss.codepoet.no/revelation/wiki/Home Revelation] ou
  o [http://kedpm.sourceforge.net kedpm] para o armazenamento seguro de senhas.

Emails suficientemente seguros
------------------------------

Define-se como uma conta de email suficientemente segura aquela que utiliza:

1. [http://en.wikipedia.org/wiki/STARTTLS STARTTLS] nas transmissões para
   outras contas de email suficientemente seguros.
2. É acessada apenas através de conexão SSL, seja HTTPS, IMAPS, POPS ou SMTPS.
3. Criptografia de disco para armazenamento de mensagens no servidor.

A participação em instâncias de comunicação mantidas pelo Coletivo e que não
são totalmente públicas requerem o uso de contas de email suficientemente
seguros.

Criptografia
------------

Recomenda-se que as pessoas participantes de instâncias de informação mantidas
pelo Coletivo:

1. Armazenem informações internas relacionadas ao mesmo apenas em volumes
   criptografados. Se não tiverem condições de assim procederem com suas máquinas
   pessoais, recomenda-se que armazenem tais informações apenas em instâncias de
   comunicação do Coletivo que possuam transmissão e armazenamento criptografado
   de dados.

2. Utilizem o sistema OpenPGP de criptografia assimétrica para proteção,
   integridade e verificação de procedência de dados sensíveis.

3. Utilizem canais de comunicação criptografados sempre que possível e que não
   utilizem canais não-criptografados para tratar remotamente de questões internas
   ao Coletivo.

Lista de recomendações e práticas sugeridas
-------------------------------------------

Por se tratar de uma questão complexa e sensível mas por contar com
documentação dispersa, listas adicionais de recomendações e práticas sugeridas
sobre segurança da informação podem ser anexadas ao presente processo.

Eventualmente, recomenda-se que este processo seja atualizado para contemplar
progressos neste campo.

Criação de contas
-----------------

A criação de contas em sistemas mantidos pelo Coletivo deve obedecer o seguinte procedimento:

1. Priorizar a escolha de senha pelo titular da conta sem que outra pessoa
   precise conhecê-la, desde que possível.
2. Enviar para o/a usuário:
   a. Pedido de mudança de senha logo que consiga se autenticar nos sistemas em
      questão, caso isso seja possível.
   b. Fornecer fingerprints de chaves de criptografia utilizadas para o acesso da conta.
   c. Se possível, as informações da conta utilizando criptografia e para uma
      conta de email suficientemente seguro do/a usuário.
   d. Uma cópia da lista de recomendações e boas práticas.

Persistência de dados
---------------------

Informações armazenados num determinado nível de acesso ou segurança (exemplo,
disco criptografado) devem, por padrão, permanecer nesse mesmo nível ou serem
transferidas para um nível mais seguro, exceto quando constitui informação
desclassificada e permitida para descer de nível.

Telefone e outros meios de comunicação privada que não possuam segurança
suficiente do conteúdo, da origem e do destinatário da informação devem ser
considerados, para todos os efeitos, como meios de comunicação públicos e
portanto não serem utilizados para veicular informações sensíveis.

Dependências
------------

A realização deste processo depende da realização dos seguintes processos:

* [ACL Lista de acesso à participação (ACL)](/organizacao/comunicacao/acl.html).