RELIANOID Conformidade com ISO/IEC 15408 (Critérios Comuns)

Última revisão: Setembro de 2025
Próxima revisão prevista para: Setembro de 2026

Declaração de conformidade ISO/IEC 15408

Alinhamento de Segurança de Critérios Comuns para RELIANOID Balanceador de Carga e Organização

RELIANOID está alinhado com os princípios de ISO / IEC 15408:2022, também conhecido como o Critérios comuns para avaliação de segurança de tecnologia da informação (CC). Este padrão reconhecido internacionalmente permite uma avaliação estruturada das propriedades de segurança de produtos de TI e é frequentemente exigido em aquisições governamentais e de infraestrutura crítica.

Embora o RELIANOID não passou por certificação formal sob Critérios Comuns, nossa controles organizacionais e arquitetura de plataforma de balanceamento de carga estão fortemente alinhados com o Princípios do Nível de Garantia de Avaliação de Critérios Comuns (EAL), particularmente no contexto de implantações em nuvem e no local em ambientes de alta segurança.

O que é ISO / IEC 15408?

A ISO/IEC 15408 fornece uma estrutura para avaliar a segurança de produtos de TI por meio de:

  • Requisitos Funcionais de Segurança (SFRs) – os recursos e proteções que um produto oferece
  • Requisitos de Garantia de Segurança (SARs) – as evidências e os processos que demonstram como esses recursos são implementados com segurança

É amplamente adotado por agências nacionais de segurança cibernética e setores regulamentados como defesa, energia, finanças e compras governamentais.

Escopo do produto e meta de avaliação (TOE)

As TOE abrange tudo RELIANOID Componentes empresariais:

  • Componentes: Dispositivos de hardware, plataforma de software e interfaces de gerenciamento (interface de usuário da Web, CLI, API).
  • Ciclo de vida do LTS: Todas as versões Enterprise contam com Suporte de Longo Prazo. Versão principal atual: v8 (suportado até junho de 2029).
  • Sistema operacional: Rato de biblioteca do Debian.
  • Modelos de implantação: Principalmente no local; também com suporte em ambientes de nuvem e híbridos.
  • Topologias: Autônomo, em cluster e em modo duplo com recuperação de desastres (DR).

Alinhamento Organizacional com Critérios Comuns

RELIANOID segue os principais princípios de garantia e ciclo de vida da ISO/IEC 15408 em nossas práticas internas de desenvolvimento, implantação e operação.

Modelo de alvo e ameaça de segurança

Mantemos um sistema interno Documento de destino de segurança alinhado com a estrutura dos Critérios Comuns, definindo:

  • Ativos protegidos (por exemplo, tráfego de rede, configurações, credenciais)
  • Ameaças abordadas (por exemplo, escalonamento de privilégios, man-in-the-middle, acesso não autorizado)
  • Suposições e considerações ambientais (por exemplo, posicionamento seguro da rede)

Controles de design e desenvolvimento

Nosso Ciclo de Vida de Desenvolvimento de Software Seguro (SSDLC) incorpora:

  • Testes de segurança automatizados diários (SAST, DAST)
  • Verificação de vulnerabilidades de bibliotecas de terceiros
  • Controle formal de mudanças e documentação de lançamento versionada
  • Assinatura de código e verificações de integridade de versão

Mapeamento de Requisitos Funcionais de Segurança (SFR)

RELIANOID O Load Balancer implementa um amplo conjunto de controles equivalentes ao SFR, incluindo:

  • Identificação e Autenticação (FIA): Os usuários são autenticados por meio de senhas, pares de chaves ou SSO. O acesso à API é feito por usuário com tokens gerados; todas as interfaces oferecem suporte a fluxos de autenticação seguros.
  • Controle de acesso (AC/FMT/FDP): O Controle de Acesso Baseado em Funções é aplicado em todos os componentes e interfaces (Web, CLI, API), incluindo controles por objeto em serviços de balanceamento de carga.
  • Auditoria e Responsabilidade (FAU): Os logs de auditoria e do sistema são armazenados por padrão por 7 dias e podem ser exportados ou integrados com plataformas SIEM.
  • Suporte Criptográfico (FCS): Criptografia robusta com chaves de comprimento elevado. TLS v1.2 ou superior por padrão (TLS v1.3 preferencial). Protocolos/cifras legados são desabilitados por padrão e podem ser habilitados manualmente, se necessário. Módulos opcionais validados por FIPS 140.
  • Proteção de Dados do Usuário (FDP): Os dados do usuário são armazenados somente quando necessário e sempre são criptografados em repouso (por exemplo, usuários e senhas).
  • Gestão de Segurança (FMT): O usuário root atua como a conta administrativa principal. Usuários, grupos e permissões adicionais podem ser configurados por meio do módulo RBAC.
  • Proteção das Funções de Segurança TOE (FPT): Inicialização segura, módulos de kernel assinados e acesso ao repositório protegido por GPG são implementados.
  • Proteção de Comunicação (FTP/FTA): Todas as comunicações são criptografadas; o gerenciamento de sessão inclui controles de expiração e reautenticação.

Alinhamento de Requisitos de Garantia de Segurança (SAR)

  • Design e documentação: A documentação interna (módulos, diagramas de arquitetura) está disponível em nosso Base de Conhecimento.
  • Revisões e varreduras de código: Escaneamento de código automatizado e assistido por IA com revisões manuais por pares.
  • Gerenciamento de vulnerabilidades: Varreduras semanais de vulnerabilidades, relatórios trimestrais e lançamentos de patches rastreados por CVE publicados em nosso (History Timeline).
  • Teste Independente: Pentests e varreduras externas em níveis de aplicativo, rede e infraestrutura.
  • Teste formal: Testes de segurança automatizados diários com cobertura expandida a cada ciclo de lançamento.

Processos de Desenvolvimento e Manutenção

  • SSDLC: Requisitos → Design → Implementação → Testes → Validação → Melhoria Contínua. Gerenciado com Git, Gitea e ferramentas de automação interna.
  • Gerenciamento de Mudanças e Configuração: Fluxos de trabalho de aprovação, procedimentos de reversão e documentação de alterações aplicadas em todos os ambientes.
  • Gerenciamento de liberação: As atualizações são empacotadas, testadas e distribuídas com segurança. A validação de pré-produção é realizada antes da promoção para repositórios de produção.

Segurança Operacional

  • Resposta a Incidentes: Procedimentos definidos de escalonamento e resolução com tempo médio de resposta de ~2 minutos.
  • Monitoramento: Métricas em tempo real com sistemas integrados de detecção/prevenção de intrusão. A inteligência sobre ameaças é compartilhada com plataformas da comunidade e do setor.
  • Backup e recuperação de desastres: Backups criptografados semanais com testes de restauração mensais.

Uso em ambientes regulamentados e certificados

Embora não seja formalmente certificado, RELIANOID apoia:

  • Integração em sistemas avaliados por critérios comuns
  • Avaliações de aquisições de clientes em ambientes focados em EAL
  • Documentação estruturada alinhada com os esquemas nacionais (por exemplo, CCN-STIC, NIAP, BSI TR)

Medidas de Garantia e Evidências

Para dar suporte às metas de garantia alinhadas aos Critérios Comuns, fornecemos:

  • Notas de lançamento com registros de alterações detalhados
  • Documentação de design de segurança orientada a ameaças
  • Relatórios de verificação de vulnerabilidade e patch arquivados
  • Guias de implantação segura e listas de verificação de reforço

Alinhamento Organizacional

  • Governança de Segurança: Equipe de conformidade de segurança liderada por CEO, CTO e COO, garantindo desenvolvimento seguro, processos e alinhamento de conformidade.
  • Treinamento de segurança para funcionários: Sessões trimestrais de treinamento e conscientização contínua sobre ameaças do setor.
  • Auditorias de Segurança Interna: Auditorias trimestrais com acompanhamento de remediação. Relatórios disponíveis publicamente.
  • Políticas: Políticas publicadas abrangendo privacidade, resposta a incidentes, continuidade de negócios, segregação global de dados, risco de terceiros, controle de acesso, uso aceitável e tratamento de dados.

Evidência de suporte

  • Notícias recentes RELIANOID Relatório de segurança: Confirmada como a versão mais atualizada.
  • Base de conhecimento: Whitepapers, planilhas de dados e diagramas de arquitetura atualizados: Base de Conhecimento.
  • Declarações de garantia do cliente: Declarações publicadas para setores regulamentados, alinhadas com as regulamentações de segurança cibernética em evolução.

Compromisso com os Princípios dos Critérios Comuns

RELIANOID está empenhado em:

  • Alinhando o desenvolvimento de novos recursos com a metodologia de design de critérios comuns
  • Apoiar os esforços de avaliação liderados pelo cliente
  • Manter um ambiente de desenvolvimento seguro e ciente de ameaças
  • Garantir transparência e integridade em todo o ciclo de vida do produto

Revisões de documentos

DataComentário
10 Julho 2025Publicação inicial do alinhamento de conformidade ISO/IEC 15408
2nd setembro 2025Escopo TOE expandido, mapeamento SFR atualizado, alinhamento SAR, detalhes SSDLC e Ops, governança organizacional e evidências de suporte

Contato e Garantia

Aceitamos solicitações de materiais de avaliação técnica, resumos de metas de segurança ou suporte para projetos de aquisição de critérios comuns.

Entre em contato com nossa equipe de conformidade e segurança

Baixe o último relatório de segurança