Política de Gerenciamento de Vulnerabilidades

1. Introdução

Este documento define como as vulnerabilidades no software DeskCamera são monitoradas, avaliadas e corrigidas. O DeskCamera é um aplicativo local, offline, que transmite a tela para sistemas NVR/VMS dentro da rede local do cliente. Ele não grava vídeo ou áudio e não coleta dados pessoais. Conexões com a infraestrutura em nuvem são opcionais e usadas exclusivamente para licenciamento ou verificação de atualizações. Nenhum dado pessoal é transmitido nessas conexões.

2. Objetivo

Garantir a segurança e a confiabilidade do DeskCamera, minimizando a exposição a vulnerabilidades conhecidas por meio de avaliações estruturadas, correções e atualizações contínuas.

3. Escopo

Aplica-se a todas as versões do software DeskCamera, aos sistemas internos de desenvolvimento, repositórios de código e a todos os componentes de terceiros integrados ao software.

4. Governança e Papéis

  • CTO – Responsável pela política e por revisar vulnerabilidades críticas
  • Equipe de Desenvolvimento – Responsável por monitorar, avaliar e resolver vulnerabilidades
  • Líder de Segurança – Coordena a resposta a vulnerabilidades e a comunicação externa (quando aplicável)

5. Identificação de Vulnerabilidades

  • Monitoramento contínuo de feeds de CVE e alertas de fornecedores
  • Revisões internas de código e uso de ferramentas de análise estática durante o desenvolvimento
  • Relatórios de erros enviados por clientes ou pesquisadores éticos para [email protected]

6. Classificação e Avaliação de Riscos

  • As vulnerabilidades são classificadas como Emergency, Alta, Média ou Baixa com base no CVSS e no impacto nos negócios
  • A pontuação de risco leva em consideração a probabilidade de exploração, impacto funcional e superfície de ataque

7. Processo de Correção

  • Vulnerabilidades Emergency e de Alta gravidade são tratadas em até 5 dias úteis
  • Os patches de segurança são integrados ao próximo lançamento disponível após testes
  • Dependências são atualizadas de forma proativa sempre que riscos conhecidos são identificados

8. Processo de Atualização e Distribuição

  • As compilações são assinadas com um certificado seguro armazenado em mídia USB offline
  • Instaladores atualizados são publicados no site oficial do DeskCamera
  • Os clientes são notificados por meio da seção de Security Advisories (se disponível)

9. Responsabilidades dos Clientes

  • Os clientes são responsáveis por baixar e instalar manualmente as atualizações
  • O DeskCamera não realiza atualizações remotas nem acessa o ambiente do cliente; portanto, os clientes devem seguir as melhores práticas de segurança

10. Revisão e Testes

  • Esta política é revisada anualmente pelo CTO
  • O controle de versões é feito por meio do GitHub
  • As práticas de gerenciamento de vulnerabilidades podem ser atualizadas após incidentes de segurança ou novos relatórios

11. Auditoria e Rastreamento de Alterações

  • Todas as alterações no código e o histórico de acesso são registrados automaticamente por meio do Azure DevOps Server
  • O histórico de commits, atividades de usuários e alterações de permissões são armazenados em banco de dados interno (SQL Server)
  • O histórico de commits do Git é mantido para todas as versões, e o controle de acesso baseado em funções garante rastreabilidade
  • A auditoria segue as recomendações da ISO 27001 e SOC 2 para desenvolvimento seguro de software