Requisitos de resposta a incidentes de segurança – Programa Raiz Confiável da Microsoft

Definições

  1. "Um comprometimento" significa um incidente direto ou indireto, afetando a AC, a sub-AC ou as raízes não inscritas, que resulta em uma degradação real ou potencial da postura de segurança da PKI, que inclui problemas de hardware, software ou acesso físico.

  2. "Incidente de Segurança" ou "Incidente" significa qualquer um dos seguintes que ocorrem na AC ou em uma sub-AC:

    1. Um compromisso de chave privada.
    2. Um certificado emitido incorretamente.
    3. Uma violação conhecida ou razoavelmente conhecível, relatada publicamente.
    4. Qualquer comprometimento físico da infraestrutura de CAs (por exemplo, falha de controle de acesso físico, comprometimento de construção ou falha do HVAC no data center).
    5. Qualquer outro problema que a Microsoft identifique como colocando em questão a integridade ou confiabilidade da AC.

  3. "Circunstância(s) Excepcional(is)" significa um incidente(s) no qual a Microsoft acredita que a PKI está comprometida a ponto de afetar a postura de segurança de um grande número de clientes da Microsoft.

Responsabilidades da Autoridade Certificadora (AC) no caso de um incidente

Todos os ACs devem ter pelo menos um contato ou endereço alternativo monitorado 24 horas por dia, 7 dias por semana, destinado ao gerenciamento de incidentes.

No caso de um incidente de segurança, a AC deve:

  1. Notifique a Microsoft assim que for prático, mas no máximo 24 horas a partir do momento da descoberta de incidentes de segurança, concluindo as seguintes perguntas abaixo e enviando as respostas concluídas para msroot@microsoft.com. O formulário requer as seguintes informações (se conhecidas na época):

    • Quem detectou o incidente.
    • Se disponível, quem perpetrou o incidente.
    • Quando a autoridade de certificação descobriu o incidente.
    • Onde o incidente ocorreu.
    • Quais Raízes, sub-CAs e o número de certificados de usuário final que foram afetados pelo incidente.
    • O que a AC acredita ser a causa subjacente do incidente.
    • Quais medidas corretivas a AC tomou ou tomará que a AC acredita que abordarão a causa subjacente do incidente.
    • Qualquer outra informação que a AC acredita ser apropriada.
    • Qualquer outra informação que a Microsoft solicitou quando respondeu à notificação inicial.
    • Qualquer informação ou ação que a AC solicita à Microsoft para melhorar a segurança ou reduzir o incômodo para os usuários finais.

  2. A pedido da Microsoft, a AC deve fornecer uma lista de todos os certificados que foram emitidos incorretamente como resultado do incidente.

  3. A pedido da Microsoft, a AC deve fornecer à Microsoft relatórios periódicos em um intervalo especificado pela Microsoft. Se a Microsoft não fizer uma solicitação específica, a AC deverá fornecer à Microsoft uma atualização a cada 24 horas até que o incidente seja corrigido.

  4. Depois que o incidente for resolvido, a AC deverá fornecer um relatório final de incidentes de segurança à Microsoft que inclua:

    • Uma lista de certificados e domínios envolvidos na violação.
    • Como a AC detectou o incidente? Se a AC não detectou a violação, quem detectou e por que a AC não detectou?
    • Se houve uma incompatibilidade nos relatórios ao longo do tempo, por quê?
    • Descrição detalhada da exploração.
    • Detalhes sobre qual infraestrutura foi comprometida.
    • Detalhes sobre como a infraestrutura foi comprometida.
    • Uma linha do tempo detalhada dos eventos.
    • A interpretação da Autoridade Certificadora (AC) sobre quem cometeu a violação.
    • A vulnerabilidade foi detectada pela operação normal das Autoridades Certificadoras? Se não foi, por favor explique por quê.
    • A vulnerabilidade foi descoberta na auditoria mais recente? Em caso afirmativo, forneça informações se a vulnerabilidade foi corrigida. Se a vulnerabilidade não tiver sido corrigida, forneça informações sobre o motivo para não fazer isso.
    • Essa vulnerabilidade foi detectada pela auditoria mais recente? Se não foi, por favor explique por quê.
    • Se a vulnerabilidade foi detectada na auditoria mais recente, ela foi corrigida? Caso contrário, explique por quê.
    • Quais alterações nas políticas de CP/CPS a AC fará?
    • Descrição detalhada de como o problema foi fechado.

  5. Se solicitado pela Microsoft, um relatório completo e detalhado técnico e investigativo sobre o comprometimento.

Direitos da Microsoft em caso de incidente

No caso de um incidente de segurança, a Microsoft pode, a seu exclusivo critério, fazer qualquer um dos seguintes procedimentos:

  1. Em uma circunstância excepcional, remova e/ou desautorize imediatamente qualquer certificado que a AC ou qualquer sub-AC tenha registrado no Programa; caso contrário, poderá remover e/ou desautorizar qualquer certificado depois de fornecer um aviso de sete dias à AC.
  2. A Microsoft pode tomar medidas incluindo, mas não se limitando a, marcar arquivos assinados por certificados comprometidos como malware, bloquear a navegação na Web para sites atendidos com certificados de Autenticação de Servidor comprometidos, etc.
  3. Solicite que a AC faça relatórios específicos em um intervalo periódico a serem determinados pela Microsoft.
  4. Especifique uma data de conclusão para a AC enviar à Microsoft um relatório final de Incidente de Segurança.
  5. Comunique-se com terceiros afetados.
  6. Exija que a AC empregue, às custas da AC, um investigador terceirizado para investigar o Incidente de Segurança e preparar o relatório final do Incidente de Segurança.
  7. Desqualificar qualquer Auditoria de Qualificação e exigir que a AC execute uma nova Auditoria de Qualificação às custas exclusivas da AC.

Responsabilidades da Microsoft no caso de um incidente de segurança

Caso a Microsoft exerça qualquer um dos direitos descritos acima, a Microsoft fará:

  1. Notifique a AC, por escrito, de suas intenções sete dias antes da ação da Microsoft, exceto em Circunstâncias Excepcionais, nesse caso, a Microsoft fará esforços razoáveis para se comunicar com a AC antes de tomar medidas; E

  2. Permitir que a AC proponha um curso alternativo de ação, nesse caso, a Microsoft considerará alternativas razoáveis, mas reserva-se o direito de rejeitar tais propostas se considerar que o curso de ação proposto não é do melhor interesse de seus clientes.

  • Last updated on