Lista de Verificação de Conformidade DFARS para Equipes de Design Eletrônico

O Suplemento de Regulamentação Federal de Aquisição de Defesa (DFARS) é um conjunto de regulamentos desenvolvidos e utilizados pelo Departamento de Defesa dos EUA (DoD) para governar a aquisição de bens e serviços; os regulamentos são projetados para garantir que o DoD adquira itens e serviços de uma maneira que promova a segurança nacional e apoie os objetivos de defesa. Portanto, se sua empresa, independentemente do setor, tem algum envolvimento no fornecimento ao departamento, você deve cumprir com o DFARS. 

Por Que o DFARS é Importante para as Equipes de Design Eletrônico?

Não deve ser surpresa que, em um mundo onde a dependência da tecnologia está proliferando, as equipes de design eletrônico que trabalham em contratos do DoD devem, especialmente, aderir às regras. A não conformidade pode levar a consequências graves, como a rescisão do contrato, multas e danos à reputação; com isso em mente, é de extrema importância que suas equipes entendam e implementem os requisitos do DFARS ao projetar e desenvolver novas placas para proteger informações sensíveis, mitigar riscos e manter uma relação sólida com o DoD. 

Nas duas seções seguintes, você encontrará duas tabelas que servem como uma lista de verificações para considerações que suas equipes devem marcar ao preparar eletrônicos para o DoD. 

Principais Requisitos de Conformidade com o DFARS para Equipes de Design Eletrônico

Há vários elementos-chave para as equipes considerarem quando se trata de DFARS; de forma ampla, estes são delineados por práticas de design seguro, cibersegurança, segurança da cadeia de suprimentos, direitos de dados e controles de exportação—os detalhes dos quais você encontrará na tabela a seguir:

Consideração	Exemplo
Práticas de design seguro	Adotar padrões de codificação segura como OWASP Top 10 para reduzir vulnerabilidades em firmware e software.
	Implementar medidas de segurança de hardware, como inicialização segura, criptografia baseada em hardware e detecção de violação.
	Realizar modelagem de ameaças detalhada para identificar vulnerabilidades e riscos potenciais no design.
	Priorizar sempre componentes com fortes recursos de segurança e evitar aqueles com vulnerabilidades conhecidas.
	Preparar um plano considerando o fim da vida útil de cada componente para abordar as implicações de segurança da obsolescência de componentes.
Cibersegurança	Identificar e proteger Informações Controladas Não Classificadas (CUI) de acordo com a cláusula DFARS 252.204-7012, que pode incluir dados técnicos, código-fonte e documentos de design; a implementação de controles de acesso, criptografia e avaliações regulares de segurança podem auxiliar neste esforço.
	Adira aos padrões de segurança delineados no NIST SP 800-171, incluindo aqueles relacionados a controles de acesso, resposta a incidentes e avaliações de risco.
	Estabeleça planos de resposta a incidentes confiáveis para que equipes em toda a organização possam detectar, responder e relatar incidentes de cibersegurança prontamente, de acordo com a cláusula DFARS 252.204-7012.
	Cumpra com a cláusula de "Serviços de Computação em Nuvem" do DFARS 252.239-7010 e a cláusula 252.204-7008, conhecida como "Conformidade com Controles de Proteção de Informações de Defesa Cobertas", e quaisquer outras que sejam relevantes para a proteção de dados sensíveis.
Segurança da cadeia de suprimentos	Realize a devida diligência suficiente para avaliar e verificar a autenticidade e as práticas de cibersegurança dos fornecedores, bem como garantir que eles cumpram com os padrões e regulamentos necessários. Se os fornecedores existentes não atenderem ao padrão, você deve substituí-los ou elevá-los ao padrão.
	Implemente medidas para prevenir a introdução de componentes falsificados na cadeia de suprimentos; isso pode ser alcançado através de auditorias de fornecedores, rastreabilidade de componentes e ferramentas de detecção de peças falsificadas.
	Avalie e mitigue riscos associados à cadeia de suprimentos; isso pode incluir fatores geopolíticos e interrupções, como guerras, desastres naturais e ameaças cibernéticas.
Direitos de dados	Familiarize-se e familiarize suas equipes com os diferentes tipos de direitos de dados (direitos limitados, direitos ilimitados, etc.) e suas implicações. Certifique-se de que todos entendam como os direitos de dados afetam a propriedade, o uso e a distribuição de dados.
	Marque e manuseie adequadamente as informações fornecidas pelo governo (GFI) para garantir sua segurança e uso apropriado. Implemente procedimentos para controlar o acesso, armazenamento e transmissão.
Controles de exportação	Determine se seus designs ou tecnologia estão sujeitos a controles de exportação sob as Regulamentações Internacionais de Tráfego de Armas (ITAR) ou as Regulamentações de Administração de Exportações (EAR).
	Obtenha as licenças e permissões necessárias para exportar ou transferir tecnologia controlada e implemente procedimentos de controle de exportação, incluindo triagem de pedidos, classificação de itens e obtenção de autorizações necessárias.

Where the World Designs Electronics

Break down silos and enhance collaboration across all aspects of electronics development

Find Out More

Computação em Nuvem e Conformidade com DFARS

Consideração	Exemplo
Seleção de provedor de serviço de nuvem (CSP)	Escolha CSPs que tenham práticas de segurança fortes e possam atender aos requisitos do DFARS; considere fatores como a certificação do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP), localizações de centros de dados e certificações de segurança.
	Considere realmente o uso de CSPs autorizados pelo FedRAMP, que passaram por avaliações de segurança extremamente rigorosas e são considerados em conformidade com os padrões de segurança federais.
Segurança de dados na nuvem	Criptografe dados sensíveis tanto em repouso quanto em trânsito, e tente implementar algoritmos de criptografia fortes e práticas de gestão de chaves em toda a equipe.
	Restrinja o acesso a dados sensíveis apenas a pessoal autorizado, com controles de acesso baseados em função e processos de autenticação multifator.
	Realize avaliações de segurança regularmente para identificar e abordar vulnerabilidades; para isso, você pode realizar varreduras de vulnerabilidade, testes de penetração e auditorias de segurança.
Residência e soberania de dados	Esteja ciente dos requisitos de residência de dados e garanta que os dados sensíveis sejam armazenados em locais aprovados. Não se esqueça de considerar as leis e regulamentos de soberania de dados que podem impactar o armazenamento e a transferência de dados.
	Adira às restrições de transferência de dados e obtenha as aprovações necessárias para fluxos de dados transfronteiriços, implemente controles de transferência de dados e monitore os fluxos de dados para garantir a conformidade com as regulamentações.

Design Better, Together

Experience flexible controls for team management and project visibility.

Explore Solutions

Dicas Práticas para Conformidade com DFARS

DFARS é um padrão multifacetado e em constante mudança, mas é um aspecto essencial do trabalho com o DoD, então é algo com o qual todas as empresas nessa situação devem lidar. Com isso em mente, elaboramos algumas dicas práticas de conformidade que você pode implementar em sua própria empresa para tornar o processo um pouco mais fácil. 

1. Estabeleça um Programa de Conformidade com o DFARS

Encontre um membro responsável da equipe que possa desempenhar o papel de oficial de conformidade com o DFARS; o trabalho dele será supervisionar os esforços de conformidade. Ao mesmo tempo, desenvolva um plano abrangente que delineie procedimentos para a identificação, avaliação e mitigação de riscos do DFARS. Uma vez que esses dois passos tenham sido estabelecidos, certifique-se de que sua equipe realize auditorias periódicas para verificar a aderência aos requisitos e identificar áreas onde você poderia melhorar. 

2. Implemente Medidas Fortes de Cibersegurança

Você também precisará proteger seu sistema e infraestrutura. Certifique-se de que você tenha adesão em toda a empresa às práticas seguras de codificação, como validação de entrada, codificação de saída e tratamento de erros; implemente segmentação de rede, firewalls, sistemas de detecção de intrusão e outras medidas de segurança para proteger dados sensíveis de design e desenvolvimento; e desenvolva e teste regularmente um plano de resposta a incidentes para abordar incidentes prontamente. 

3. Treine Sua Equipe

O software sozinho não pode proteger sua empresa ou equipes. Dado que a cibersegurança é um conceito relativamente novo, é importante que a empresa eduque seus funcionários suficientemente sobre ameaças cibernéticas, melhores práticas, e como proteger informações sensíveis. Tal educação pode ser reforçada treinando os funcionários sobre procedimentos adequados de manuseio de dados, incluindo classificação, rotulagem e controles de acesso. É igualmente importante, como mencionado acima, que as equipes saibam tudo sobre regulamentos de controle de exportação, bem como requisitos de licenciamento e as potenciais consequências da não conformidade. 

4. Adote a Automação

Ferramentas fornecidas por empresas de tecnologia inovadoras podem facilitar todo esse processo. Por exemplo, você poderia implementar ferramentas de prevenção de perda de dados (DLP) para monitorar e controlar o movimento de dados, o que remove o elemento humano e previne transferências e vazamentos não autorizados; usar ferramentas de gerenciamento de informações de segurança e gerenciamento de eventos (SIEM) para coletar, analisar e correlacionar registros de eventos de segurança, o que permite a detecção e resposta a incidentes de forma tempestiva; ou empregar ferramentas de gerenciamento de configuração para automatizar a configuração e implantação de sistemas, o que garante configurações de segurança consistentes e reduz o risco de má configurações. 

Where the World Designs Electronics

Break down silos and enhance collaboration across all aspects of electronics development

Find Out More

Lembre-se de que a aderência às regulamentações DFARS não é apenas sobre conformidade; é também uma jogada estratégica que torna sua empresa elegível para contratos maiores, e, argumentavelmente, melhores através do DoD. A conformidade com essas regulamentações oferece à sua empresa uma fantástica oportunidade de melhorar sua reputação como um parceiro confiável — e, para futuras colaborações, digno de confiança — que mitiga riscos e protege informações sensíveis. 

Não é o processo mais simples, mas vale a pena, e o Altium 365 pode ajudar com o processo por meio de dados de design centralizados; colaboração aprimorada entre equipes internas, fornecedores e parceiros; medidas de segurança robustas, incluindo criptografia de dados e controles de acesso; e integrações de automação de verificação de conformidade. Explore hoje o Altium 365 GovCloud—uma região dedicada do Altium 365 construída sobre a infraestrutura AWS GovCloud—para dar o próximo passo em direção à conformidade com DFARS e fortalecer a segurança do seu processo de design eletrônico.