Política de Segurança do Produto
Última atualização: 15/05/2026
1. Introdução
A Hitron Technologies projeta e fabrica produtos de rede conectados, incluindo modems a cabo DOCSIS e gateways, ONTs de fibra (PON), roteadores Wi-Fi e dispositivos de acesso fixo sem fio 5G. Levamos a segurança desses produtos muito a sério e agradecemos as denúncias de pesquisadores de segurança, clientes, operadoras e membros do público que identificarem possíveis vulnerabilidades.
Esta política descreve:
- Como comunicar uma suspeita de problema de segurança à Hitron;
- O que você pode esperar de nós após fazer a denúncia;
- As proteções que oferecemos aos pesquisadores de segurança que agem de boa-fé; e
- Os períodos de suporte definidos durante os quais a Hitron se compromete a fornecer atualizações de segurança para os produtos abrangidos.
Esta política é publicada em conformidade com a Lei de 2022 sobre Segurança de Produtos e Infraestrutura de Telecomunicações (PSTI) do Reino Unido, o Regulamento de 2023 sobre Segurança de Produtos e Infraestrutura de Telecomunicações (Requisitos de Segurança para Produtos Conectáveis Relevantes) (conforme alterado), e está alinhada com normas internacionais, incluindo a ETSI EN 303 645, ISO/IEC 29147 (divulgação de vulnerabilidades) e ISO/IEC 30111 (processos de tratamento de vulnerabilidades).
2. Como relatar um problema de segurança
2.1 Contatos para denúncias
| Região | |
|---|---|
| Reino Unido (relatórios regulamentados pela PSTI) | [email protected] |
| Todas as outras regiões | [email protected] |
Se você não tiver certeza de qual endereço deve usar, envie sua denúncia para [email protected] e nós a encaminharemos para o destinatário correto.
Um registro de divulgação legível por máquina é publicado de acordo com a RFC 9116 em:
- https://hitrontech.com/.well-known/security.txt
- https://us.hitrontech.com/.well-known/security.txt
- https://eu.hitrontech.com/.well-known/security.txt
2.2 Comunicação criptografada
Relatórios confidenciais podem ser criptografados usando nossa chave pública PGP, disponível em:
- https://hitrontech.com/.well-known/security-pubkey.asc
- https://us.hitrontech.com/.well-known/security-pubkey.asc
- https://eu.hitrontech.com/.well-known/security-pubkey.asc
ID do usuário principal: Hitron Technologies Product Security
Impressão digital: 7452 2997 F197 DE1A 77C1 671B 6FD7 F578 34B1 9FB3
2.3 O que incluir no seu relatório
Para nos ajudar a classificar e resolver os problemas rapidamente, inclua, sempre que possível:
- Modelo(s) do produto afetado(s) e revisão do hardware;
- Versão do firmware (visível na interface web do produto, em “Status” ou “Informações do sistema”);
- Uma descrição clara da vulnerabilidade e de seu impacto potencial;
- Instruções passo a passo para reproduzir o problema, incluindo quaisquer requisitos de rede necessários;
- Código de prova de conceito, capturas de tela, capturas de pacotes ou registros, conforme o caso;
- Se a questão já foi comunicada a alguma outra parte (CERT, operadora, corretora, etc.);
- Seu nome de preferência (ou pseudônimo) para os agradecimentos e se você deseja permanecer anônimo.
Você pode enviar relatórios em inglês ou francês.
3. O que esperar da Hitron
Ao enviar uma notificação, a Hitron compromete-se a seguir o processo abaixo. Esses compromissos aplicam-se a todas as notificações e constituem a base do nosso cumprimento do Anexo 1, Parágrafo 2, do Regulamento de 2023 sobre Segurança de Produtos e Infraestrutura de Telecomunicações (Requisitos de Segurança para Produtos Conectáveis Relevantes) (conforme alterado), bem como da norma ISO/IEC 29147.
3.1 Agradecimentos
Confirmaremos o recebimento da sua denúncia dentro de três (3) dias úteis.
3.2 Triagem e validação
No prazo de quinze (15) dias úteis a partir do recebimento, forneceremos uma avaliação inicial indicando se a denúncia foi validada, se requer informações adicionais ou se foi considerada fora do âmbito de nossa competência. Durante a triagem, poderemos entrar em contato com você para obter esclarecimentos ou detalhes adicionais sobre a ocorrência.
3.3 Atualizações de status
Até que a questão seja resolvida ou o caso seja encerrado, forneceremos atualizações sobre o andamento pelo menos a cada trinta (30) dias, incluindo qualquer alteração na avaliação da gravidade, no cronograma de correção ou no status da coordenação.
3.4 Metas da resolução
A Hitron envidará todos os esforços comercialmente razoáveis para cumprir os prazos de correção previstos, contados a partir da validação do problema, conforme estabelecido a seguir:
| Gravidade (CVSS v3.1) | Meta |
|---|---|
| Crítico(9,0–10,0) | 30 dias |
| Alto (7,0–8,9) | 60 dias |
| Médio (4,0–6,9) | 90 dias |
| Baixo (0,1–3,9) | 180 dias ou até o próximo lançamento programado |
Esses prazos são meramente indicativos e não vinculativos, podendo ser prorrogados a critério da Hitron, incluindo, entre outras, situações em que a correção exija coordenação com fornecedores de chips, projetos de código aberto de nível superior, operadoras de telecomunicações ou órgãos CERT.
3.5 Divulgação coordenada
Os produtos da Hitron são fornecidos principalmente a operadoras de rede, que os disponibilizam aos usuários finais por meio de um modelo de provisionamento controlado pela operadora. A correção de vulnerabilidades validadas é, portanto, coordenada com a(s) operadora(s) afetada(s) e, quando aplicável, com os órgãos de coordenação do setor relevantes.
A divulgação pública ocorrerá normalmente assim que uma versão de firmware corretiva estiver disponível e tiver sido distribuída às operadoras afetadas. A Hitron adota um prazo padrão de divulgação coordenada de 90 dias a partir da data de validação, o qual poderá ser prorrogado por acordo mútuo quando a correção for significativamente complexa ou quando os prazos de implantação das operadoras exigirem tempo adicional.
4. Proteção para pesquisadores de segurança
A Hitron não iniciará nem apoiará ações judiciais contra pesquisadores de segurança que, de boa-fé:
- Investigar e relatar vulnerabilidades nos produtos da Hitron de acordo com esta política;
- Envidar esforços razoáveis e de boa-fé para evitar violações de privacidade, interrupção do serviço ou destruição de dados;
- Abster-se de acessar dados pertencentes a outros usuários ou operadores além do mínimo necessário para demonstrar a vulnerabilidade;
- Abster-se de divulgar publicamente a vulnerabilidade antes que a Hitron tenha tido uma oportunidade razoável de corrigi-la, em conformidade com a Seção 3.5; e
- Abster-se de extorsão, exigências de pagamento em troca de sigilo ou tráfico de detalhes da vulnerabilidade.
Esta cláusula de isenção de responsabilidade se aplica exclusivamente a ações direcionadas aos produtos e à infraestrutura da Hitron. Ela não autoriza atividades contra redes operadas por clientes da Hitron (por exemplo, operadoras de cabo ou fibra) ou por terceiros. Os pesquisadores devem garantir que seus testes sejam realizados em equipamentos de sua propriedade ou nos quais tenham autorização expressa para testar.
Atualmente, a Hitron não mantém um programa de recompensa por falhas de segurança. Forneceremos uma confirmação por escrito da divulgação aos pesquisadores que a solicitarem para fins de portfólio ou currículo.
5. Fora do escopo
Os seguintes itens são geralmente considerados fora do escopo desta política:
- Relatos de vulnerabilidades em produtos que chegaram ao fim do suporte (ver Seção 7);
- Resultados de scanners automatizados sem impacto comprovável;
- Ataques de negação de serviço contra a infraestrutura ou os produtos da Hitron;
- Engenharia social contra funcionários, clientes ou fornecedores da Hitron;
- Ataques físicos contra escritórios ou instalações da Hitron;
- Problemas que exijam acesso local privilegiado, quando tal acesso for intencional (por exemplo, acesso ao console de depuração em dispositivos abertos com ferramentas não padrão);
- Vulnerabilidades teóricas sem um caminho de ataque comprovado;
- Desvios das melhores práticas (configuração TLS, presença de cabeçalho) sem impacto comprovado na segurança;
- Vulnerabilidades em serviços de terceiros (plataformas em nuvem, sites de parceiros) que não são operados pela Hitron.
Se você não tiver certeza se uma falha está dentro do escopo, por favor, relate-a; preferimos receber um relatório fora do escopo do que deixar passar um problema real.
6. Privacidade e confidencialidade
A Hitron trata todos os relatórios de vulnerabilidade como confidenciais. Não divulgaremos sua identidade, seus dados de contato ou os detalhes técnicos do seu relatório fora da Hitron sem o seu consentimento explícito, exceto quando for necessário para a correção coordenada (por exemplo, com operadoras afetadas ou órgãos CERT sob embargo) ou quando exigido por lei.
As informações pessoais fornecidas em relação a uma denúncia são tratadas de acordo com a Política de Privacidade da Hitron, disponível em https://hitrontech.com/legal/privacy-policy/.
7. Suporte para atualizações de segurança de produtos
A Hitron se compromete a fornecer atualizações de segurança para os produtos conectáveis de consumo abrangidos durante os períodos de suporte definidos listados abaixo. Esses períodos são publicados em conformidade com o Anexo 1, parágrafo 3 (período de suporte definido) do Regulamento de 2023 sobre Segurança de Produtos e Infraestrutura de Telecomunicações (Requisitos de Segurança para Produtos Conectáveis Relevantes) (conforme alterado) e têm início a partir da data em que o produto é disponibilizado pela primeira vez no mercado relevante.
De acordo com a PSTI:
- O período de suporte definido para qualquer produto não será reduzido após a publicação.
- Caso o período de suporte seja prorrogado, o novo período será publicado assim que for razoavelmente possível.
- Dentro do período de suporte definido, a Hitron avaliará e tratará das questões de segurança que afetem o produto e, quando a correção for viável, emitirá atualizações de firmware por meio do canal de distribuição apropriado (normalmente a operadora de rede ou o provedor de serviços).
7.1 Períodos de assistência definidos (Reino Unido / produtos regulamentados pela PSTI)
| Produto | Suporte definido até (DD/MM/AAAA) |
|---|---|
| CHITA | 31/12/2026 |
7.2 Distribuição de atualizações
Os produtos da Hitron são normalmente fornecidos a operadoras de rede (operadoras de TV a cabo, provedores de internet de fibra óptica e operadoras de redes móveis), que gerenciam a distribuição de firmware aos usuários finais por meio de sistemas de provisionamento controlados pelas próprias operadoras. Quando uma atualização de segurança é lançada, a Hitron a disponibiliza à operadora em questão; a implantação subsequente para os usuários finais é regida pela cadência de atualizações da própria operadora.
8. Informações legais da PSTI do Reino Unido
Esta seção reúne as informações legais e os prazos que a Hitron é obrigada a definir e publicar nos termos do Regulamento de 2023 do Reino Unido sobre Segurança de Produtos e Infraestrutura de Telecomunicações (Requisitos de Segurança para Produtos Conectáveis Relevantes) (conforme alterado) .
- Ponto de contato para notificação de problemas de segurança: [email protected]
- Compromisso de confirmação de recebimento: no prazo de três (3) dias úteis após o recebimento (Seção 3.1).
- Compromisso de atualização de status: pelo menos a cada trinta (30) dias até a resolução (Seção 3.3).
- Período mínimo definido para atualizações de segurança: consulte a tabela na Seção 7.1.
- Senhas: os produtos Hitron sujeitos ao regime PSTI não utilizam senhas padrão universais. Os dispositivos são fornecidos com credenciais padrão exclusivas para cada dispositivo ou exigem credenciais definidas pelo usuário na primeira configuração, em conformidade com os requisitos de senha do PSTI.
Uma declaração de conformidade acompanha os produtos abrangidos, conforme exigido pela regulamentação.
Para mais informações sobre o regime do PSTI: https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
9. Atualizações desta Política
A Hitron poderá atualizar esta política periodicamente. Alterações significativas serão indicadas na data da última atualização, no topo da página. Os períodos de suporte definidos, uma vez publicados, não serão reduzidos.
10. Contato
Para todas as questões relacionadas à segurança do produto:
- Geral / Internacional: [email protected]
- Reino Unido (PSTI): [email protected]
Aceitam-se envios criptografados; consulte a Seção 2.2 para obter a chave pública.