Segurança do Produto AMD
Descreve a abordagem da AMD para gerenciamento de vulnerabilidades, divulgação coordenada e mitigação de riscos corporativos.
Preparando-se para a Lei de Resiliência Cibernética da UE com a AMD
A Lei de Resiliência Cibernética da União Europeia (CRA da UE) representa um avanço significativo no estabelecimento de requisitos de segurança cibernética para produtos no nosso mundo cada vez mais digital. Como líder em computação de alto desempenho, a AMD participa ativamente do processo de padronização para ajudar a moldar requisitos que aprimorem a segurança cibernética e, ao mesmo tempo, possibilitem a inovação.
A AMD está totalmente comprometida em atender a todos os requisitos aplicáveis da Lei de Resiliência Cibernética (CRA, Cyber Resilience Act) da UE e em garantir que os clientes que operam na UE implementem tecnologias AMD em conformidade com a CRA. Nosso investimento contínuo em design seguro de produtos, gerenciamento de vulnerabilidades e processos de conformidade nos posiciona para atender aos requisitos da CRA à medida que entrarem em vigor.
O que é a CRA da UE?
A CRA visa proteger consumidores e empresas, introduzindo requisitos obrigatórios de segurança cibernética para fabricantes e varejistas de produtos com componentes digitais. Essa proteção se estende por todo o ciclo de vida do produto e se aplica a dispositivos conectados, com algumas exceções para produtos já cobertos por regulamentações existentes.
A CRA se aplica diretamente a microprocessadores e FPGAs com recursos relacionados à segurança, bem como a produtos finais, como servidores, notebooks, dispositivos incorporados e do consumidor.
Principais cronogramas
Seu caminho para a conformidade
Obter a conformidade com a CRA é fundamental para qualquer empresa que opere na UE, pois garante o acesso legal ao mercado da UE e constrói confiança com os clientes, demonstrando um forte compromisso com a segurança cibernética durante todo o ciclo de vida do produto. Como a CRA é baseada em riscos, a primeira etapa é realizar uma avaliação de risco dos seus produtos. A avaliação de risco informa quais ameaças podem se aplicar ao produto e, consequentemente, orienta os requisitos de segurança cibernética que devem ser atendidos para alcançar a conformidade.
Seu caminho para a conformidade depende do resultado da avaliação de risco. Os processos de segurança de produtos, a documentação e as práticas de divulgação da AMD são projetados para complementar suas avaliações de risco da CRA.
A abordagem da AMD para possibilitar a inovação sob a CRA consiste em três pilares:
Conformidade
Os clientes da AMD podem implementar com confiança os produtos líderes do setor da AMD em mercados regulamentados pela UE.
Capacidade
O acesso a recursos de segurança de última geração possibilita executar até mesmo as aplicações mais críticas.
Comunicação
A AMD mantém os clientes informados por meio de documentação de longo prazo e relatórios de vulnerabilidades.
Conformidade
Conformidade dos produtos AMD nos termos da CRA
De acordo com a CRA, os produtos são categorizados com base nas funcionalidades relacionadas à segurança cibernética ou na função e no nível de risco de segurança cibernética que o produto representa. Essa classificação determina as etapas que os fabricantes devem seguir para obter conformidade. Com base nas atuais estruturas da CRA, os produtos AMD estão previstos para se enquadrarem nas seguintes categorias:
- Padrão: A maioria das ferramentas de desenvolvimento padrão da AMD
- Classe I (importante):
- Processadores e FPGAs com recursos de segurança
- Certas soluções incorporadas e componentes de software essenciais para a segurança
Certas normas verticais dentro da CRA ainda estão sendo finalizadas por organismos de normalização. A AMD está participando ativamente desses desenvolvimentos e atualizará as orientações assim que as normas finais forem publicadas. A AMD seguirá todas as regras e regulamentações necessárias da CRA com base nessas classificações, fornecendo produtos em conformidade que podem servir como base para o seu desenvolvimento.
Capacidade
Recursos de segurança de última geração com produtos AMD
A segurança deve ser considerada ao longo de todo o ciclo de vida do produto para maximizar a proteção de um sistema. Por exemplo, desenvolver soluções de segurança no nível de aplicativo e tolerantes a falhas, implantadas em um dispositivo que não inicializa com segurança, é como construir uma mansão sobre uma base de areia. A AMD e nossos clientes têm papéis distintos para desempenhar no desenvolvimento de sistemas que abordam a segurança. Também é importante reconhecer que nenhum sistema está completamente imune a ataques. Com tempo, energia, recursos e dinheiro suficientes, qualquer sistema pode ser comprometido. A segurança tem tudo a ver com o gerenciamento de riscos e com o investimento que o cliente quer fazer para gerenciá-los.
A AMD emprega as melhores práticas de classe mundial para estabelecer a confiabilidade de seus chips, software e ferramentas de desenvolvimento. As contramedidas projetadas para auxiliar na proteção contra uma infinidade de vetores de ataque são integradas ao chip. A inicialização ou configuração segura de nossos produtos emprega uma raiz de confiança de hardware com autenticidade, confidencialidade e integridade incorporadas.
Daqui para frente, os requisitos específicos de projeto estabelecidos pela CRA estão sendo incorporados à metodologia de projeto da AMD. Para obter mais informações sobre tecnologias de segurança específicas da AMD, entre em contato com o representante de vendas local da AMD.
Comunicação
Documentação
Para maximizar a segurança durante todo o ciclo de vida do produto, a CRA exige a documentação de vários aspectos importantes, incluindo a Avaliação de risco, uma Declaração de conformidade da UE, uma Lista de materiais de software (SBOM) e informações sobre o Período de suporte, que estabelece o período mínimo durante o qual um fornecedor planeja manter a conformidade com a CRA. A AMD está atualmente revisando seus processos existentes e consolidados para garantir a conformidade com os requisitos de documentação da CRA.
Relatórios de vulnerabilidades
Como membro da CNA (CVE Numbering Authority, autoridade de numeração CVE), a AMD já segue práticas coordenadas de divulgação de vulnerabilidades e procura responder rápida e adequadamente aos problemas relatados. A AMD aproveitará essa experiência comprovada para atender aos requisitos específicos de gerenciamento de vulnerabilidades da CRA. Para obter mais informações, acesse Segurança do produto AMD.
Compromisso da AMD
Se você nunca precisou considerar a segurança cibernética nos requisitos dos seus produtos, esta nova legislação pode trazer desafios desconhecidos. Com mais de 50 anos de experiência em aplicações críticas, a AMD possui o conhecimento especializado para ajudar você a lidar com essas mudanças, oferecendo tecnologias que atendem aos requisitos da CRA.
