aboutsummaryrefslogtreecommitdiff
path: root/organizacao/comunicacao/infosec.mdwn
blob: fe031ab0b6cf2f635979076e11fcfbbecdf3fba5 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
[[!meta title="Política de segurança da informação"]]

O presente processo estabelece uma série de definições e recomendações relacionadas à segurança da informação circulada por instâncias mantidas pelo Coletivo.

== Política de senhas e chaves ==

Recomenda-se que as pessoas participantes de instâncias de informação mantidas pelo Coletivo assumam uma política de senhas como a seguinte:

  1. Não utilizar a mesma senha para sistemas sensíveis.
  2. Não utilizar senhas frágeis.

Recomenda-se ainda, que sejam utilizadas aplicações como as seguintes:

  * [http://web.monkeysphere.info Monkeysphere] para auxiliar na autenticação de sistemas remotos.
  * [http://point-at-infinity.org/ssss ssss], para o compartilhamento de senhas em sistemas sensíveis.
  * Programas como o [http://www.adel.nursat.kz/apg apg] para a geração de senhas fortes.
  * Programas como o [http://oss.codepoet.no/revelation/wiki/Home Revelation] ou o [http://kedpm.sourceforge.net kedpm] para o armazenamento seguro de senhas.

== Emails suficientemente seguros ==

Define-se como uma conta de email suficientemente segura aquela que utiliza:

  1. [http://en.wikipedia.org/wiki/STARTTLS STARTTLS] nas transmissões para outras contas de email suficientemente seguros.
  2. É acessada apenas através de conexão SSL, seja HTTPS, IMAPS, POPS ou SMTPS.
  3. Criptografia de disco para armazenamento de mensagens no servidor.

A participação em instâncias de comunicação mantidas pelo Coletivo e que não são totalmente públicas requerem o uso de contas de email suficientemente seguros.

== Criptografia ==

Recomenda-se que as pessoas participantes de instâncias de informação mantidas pelo Coletivo:

  1. Armazenem informações internas relacionadas ao mesmo apenas em volumes criptografados. Se não tiverem condições de assim procederem com suas máquinas pessoais, recomenda-se que armazenem tais informações apenas em instâncias de comunicação do Coletivo que possuam transmissão e armazenamento criptografado de dados.

  2. Utilizem o sistema OpenPGP de criptografia assimétrica para proteção, integridade e verificação de procedência de dados sensíveis.

  3. Utilizem canais de comunicação criptografados sempre que possível e que não utilizem canais não-criptografados para tratar remotamente de questões internas ao Coletivo.

== Lista de recomendações e práticas sugeridas ==

Por se tratar de uma questão complexa e sensível mas por contar com documentação dispersa, listas adicionais de recomendações e práticas sugeridas sobre segurança da informação podem ser anexadas ao presente processo.

Eventualmente, recomenda-se que este processo seja atualizado para contemplar progressos neste campo.

== Criação de contas ==

A criação de contas em sistemas mantidos pelo Coletivo deve obedecer o seguinte procedimento:

  1. Priorizar a escolha de senha pelo titular da conta sem que outra pessoa precise conhecê-la, desde que possível.
  2. Enviar para o/a usuário:
     a. Pedido de mudança de senha logo que consiga se autenticar nos sistemas em questão, caso isso seja possível.
     b. Fornecer fingerprints de chaves de criptografia utilizadas para o acesso da conta.
     c. Se possível, as informações da conta utilizando criptografia e para uma conta de email suficientemente seguro do/a usuário.
     d. Uma cópia da lista de recomendações e boas práticas.

== Persistência de dados ==

Informações armazenados num determinado nível de acesso ou segurança (exemplo, disco criptografado) devem, por padrão, permanecer nesse mesmo nível ou serem transferidas para um nível mais seguro, exceto quando constitui informação desclassificada e permitida para descer de nível.

Telefone e outros meios de comunicação privada que não possuam segurança suficiente do conteúdo, da origem e do destinatário da informação devem ser considerados, para todos os efeitos, como meios de comunicação públicos e portanto não serem utilizados para veicular informações sensíveis.

== Dependências ==

A realização deste processo depende da realização dos seguintes processos:

  * [wiki:Comunicacao/ACL Lista de acesso à participação (ACL)].