Notificando a Foxit sobre problemas de segurança

A Foxit leva a segurança muito a sério e tem como objetivo oferecer as soluções mais seguras do setor para manter o sistema e os dados do cliente em segurança. A segurança vem em muitas formas:

A segurança é uma das muitas razões pelas quais indivíduos, empresas e OEMs procuram as soluções da Foxit para suas necessidades de PDF.

Segurança do Documento

O PhantomPDF permite que os autores de documentos criem documentos PDF e apliquem várias medidas de segurança, incluindo criptografia, controle de acesso, assinaturas digitais e redação (a remoção permanente do conteúdo). A facilidade de uso e o poder desses recursos fornecidos pelo PhantomPDF permite que usuários individuais e organizações mantenham suas informações privadas e confidenciais.

Criptografia

Os padrões de segurança suportados pelo PhantomPDF incluem:

  • Padrão de criptografia avançada de 256 bits (AES)
  • Padrão de criptografia ARC-FOUR de 128 bits (ARC4)

Controle de acesso

Os usuários do PhantomPDF podem compartilhar documentos com facilidade, aplicando senhas a documentos para impedir a visualização não autorizada. Além disso, eles podem especificar o controle de acesso de modo a impedir efetivamente alterações nos documentos, restringir a impressão ou alterar documentos.

Assinaturas Digitais

Com o PhantomPDF, os usuários podem assinar documentos com facilidade, usando o mais amplo conjunto de certificados digitais. Isso é possível graças à forte integração com o sistema operacional subjacente, permitindo que qualquer certificado reconhecido pelo sistema operacional seja utilizado pelo PhantomPDF. Uma vez devidamente preparada, a assinatura digital é alinhada com exclusividade e capaz de identificar o signatário. O certificado do signatário é vinculado por criptografia ao documento durante a etapa de assinatura através da chave privada mantida exclusivamente por esse signatário. Essas assinaturas digitais estão em conformidade com o padrão de PDF aberto e são validadas pelo PhantomPDF, juntamente com a autenticidade dos documentos assinados por meio de uma troca de informações de protocolo com as autoridades de certificação por criptografia.

Redação

O conjunto de ferramentas de redação do PhantomPDF ajuda os usuários a proteger suas informações sensíveis ou confidenciais. Com as ferramentas de redação, os usuários podem remover permanentemente informações textuais e gráficas dos documentos. Após a redação, não há informações residuais no documento que possam ser recuperadas de alguma forma.

Segurança de aplicativos

Além da segurança de documentos, na Foxit, reconhecemos que o software em si pode ser alvo de ataques, por isso levamos a segurança dos nossos aplicativos muito a sério. Assim, há tempos adotamos medidas e processamos as principais práticas recomendadas do setor para garantir a segurança dos nossos aplicativos; também introduzimos recursos no próprio software para que os usuários possam se proteger ainda mais em situações especializadas.

Práticas recomendadas de segurança

Todas as soluções de PDF da Foxit são desenvolvidas sob supervisão de um processo interno que incorpora várias práticas recomendadas do setor. Essas práticas de engenharia de software abrangem as fases de design, desenvolvimento, teste e verificação. Além disso, simulamos vetores de ataque conhecidos em ambientes automatizados, garantindo que as vulnerabilidades de segurança sejam descobertas e corrigidas imediatamente no processo de desenvolvimento interno. Além disso, temos uma equipe dedicada de especialistas experientes em segurança, a quem foi atribuída a responsabilidade exclusiva de monitorar, solucionar problemas e verificar a execução de todo o processo.

Execução autorizada de JavaScript

O padrão de PDF permite que fragmentos de código JavaScript sejam incorporados em arquivos PDF. Esses fragmentos de código são dinâmicos por natureza e podem ser executados quando os documentos PDF são visualizados pelos usuários. Essa execução pode ter efeitos adversos para o usuário e pode ser considerada uma preocupação de segurança em organizações com alto nível de padrões de segurança. Para garantir total segurança em tais situações, o PhantomPDF e o Foxit Reader permitem que a execução do JavaScript seja desativada para usuários individuais ou para toda a organização através do uso do conjunto de ferramentas de implantação corporativa do PhantomPDF e do Foxit Reader.

Prevenção de ataques entre domínios

A Foxit reconhece os riscos inerentes associados ao acesso a recursos entre domínios, uma provisão no próprio padrão do PDF, mas que costumava ser usada por invasores na época para inserir fragmentos de códigos mal-intencionados ou outros recursos no sistema de um usuário. Assim, o PhantomPDF e o Foxit Reader desativaram esse acesso por padrão e recomendam que os usuários não habilitem essa opção, exceto em um ambiente em que a segurança possa ser integralmente garantida por outros meios.

Alertas de segurança

Para certos arquivos PDF sofisticados que precisam executar operações avançadas no ambiente do usuário, o PhantomPDF ou o Foxit Reader podem reconhecer que algumas dessas operações representam um risco mais elevado, alertar o usuário e buscar uma confirmação antes de continuá-las. Exemplos incluem:

  • Invocar acesso entre domínios
  • Executar certos tipos de métodos JavaScript
  • Injetar dados
  • Injetar scripts
  • Reproduzir multimídia herdada incorporada.

Esses alertas são implementados para ser o menos invasivos possível para o usuário, permitindo que o usuário confie no documento e, portanto, ignore todas as outras confirmações.

A Foxit tem um relacionamento profissional muito próximo com indivíduos e grupos de pesquisa em segurança cibernética para descobrir e ativamente aplicar soluções para as vulnerabilidades encontradas nos produtos da Foxit (por exemplo, Zero Day Initiative (Trend Micro), Cisco Talos e profissionais como mr_me). A tecnologia da Foxit é usada por gigantes da tecnologia, como Google, Microsoft e Amazon. Nesses projetos, a tecnologia usada no Foxit Reader/PhantomPDF foi rigorosamente inspecionada por clientes e inspetores de segurança de terceiros. A Foxit tem um excelente histórico que aplica soluções para todas as vulnerabilidades encontradas no intervalo de tempo recomendado por pesquisadores de segurança. O tempo médio de aplicação de patches de soluções (~90 dias) é melhor do que o da média do setor (100~120 dias). A Foxit tem uma equipe dedicada de resposta de segurança trabalhando 24 horas por dia, 7 dias por semana, para monitorar e responder a problemas críticos de segurança. A Foxit também tem um procedimento de “caminho verde” para patches críticos de segurança.

Segurança da nuvem

Os serviços em nuvem fornecidos pela Foxit aprimoram os recursos e a experiência do usuário da solução de produtividade do usuário final da Foxit. A disponibilidade, o desempenho e a segurança desses serviços são constantemente monitorados.

Segurança do data center

Todos os serviços em nuvem da Foxit são gerenciados pelo prestador de serviços de nuvem de nossa confiança, o Amazon Web Services (AWS), um data center ANSI de nível 4 que mantém controles rigorosos de verificação de acesso ao data center, tolerância a falhas, controles ambientais e segurança. Somente funcionários aprovados e autorizados da Foxit, funcionários de provedores de serviços em nuvem e prestadores de serviços com uma área de negócios legítima e documentada têm permissão para acessar o site seguro de Virgínia, nos EUA.

Criptografia de dados e segurança

Os serviços de nuvem da Foxit foram projetados com privacidade e segurança em alta prioridade. A transmissão de informações entre os usuários e os serviços de nuvem da Foxit é totalmente protegida por criptografia AES de 256 bits no protocolo de transporte HTTPS.

Funcionários da Foxit e fornecedores de confiança só acessam dados dos clientes para executar algumas funções de negócios e de suporte, ou conforme exigido por lei. A Foxit não fornece acesso direto nem sistemático a dados armazenados de clientes a nenhum governo.

Operação fora da grade

A Foxit oferece a usuários e organizações a opção de operar o software em modo “fora da grade” completo, em que nenhum acesso ao serviço de nuvem é executado pelo software instalado pelos usuários. Esse recurso oferece implementação adicional e flexibilidade operacional para organizações com alto nível de necessidades de segurança.

Implantação e administração

Reforço de segurança

Ao oferecer recursos relacionados à segurança e opções de configuração, como desativação da execução do JavaScript, acesso a recursos entre domínios e ativação da operação “fora da grade”, a Foxit deixou seu software mais robusto contra ataques e pode reduzir ou eliminar a necessidade de atualizações de segurança fora de banda, bem como reduzir a urgência de atualizações agendadas com regularidade. Isso leva à flexibilidade operacional, bem como à redução do custo total de propriedade (TCO), especialmente em grandes organizações com alto nível de requisitos de segurança.

Suporte parar Citrix e virtualização de aplicativos

O PhantomPDF é compatível com Citrix XenApp, Citrix XenDesktop, Microsoft App-V e outros ambientes de virtualização. Isso permite que as organizações efetivamente forneçam acesso remoto seguro aos usuários.

Suporte para objetos da política de grupos do Windows Server

Os objetos de grupo (GPO) do Windows Server permitem que os administradores de TI automatizem o gerenciamento um-para-muitos de sistemas informatizados. O PhantomPDF oferece suporte a modelos ADM (Administrativo do Microsoft Active Directory) certificados para Política de Grupos, permitindo que o administrador ofereça instalação de software sob demanda e reparo automático de aplicativos.

Suporte para Microsoft SCCM e SCUP

O PhantomPDF e o Foxit Reader também têm suporte para Microsoft System Center Configuration Manager (SCCM) para garantir que os desktops Windows estejam sempre atualizados com patches de segurança.

Além disso, o suporte para catálogos Microsoft System Center Updates Publisher (SCUP) permite que os administradores de TI automatizem atualizações para as instalações do software PhantomPDF e Foxit Reader em toda a organização.

Conclusão

A Foxit fornece uma proteção de segurança de alto nível no setor para usuários com diferentes necessidades de funções de PDF, bem como organizações de diferentes tamanhos e áreas de atuação. Nós reconhecemos que suas informações e seus fluxos de trabalho são sensíveis e precisam da máxima proteção. Com a Foxit, você tem um fornecedor confiável, que não apenas desenvolve um software de PDF sem compromisso, como também o protege em todas as áreas de acordo com as práticas recomendadas do setor.