Administração do Ciberespaço da China (ACC) emite novos regulamentos para relatórios Zero Day

ciberespaço da china regulamento falhas críticas zero day

A Administração do Ciberespaço da China (ACC) emitiu um novo e rígido regulamento sobre divulgação de vulnerabilidades, o qual exige que os “white hats” ou especialistas que descobrirem falhas críticas de Zero Day em sistemas de computador devem primeiro relatá-las às autoridades governamentais dentro de dois dias de sua descoberta.

“As informações de vulnerabilidade relevantes devem ser relatadas à plataforma de compartilhamento de informações de vulnerabilidade e ameaças de segurança cibernética do Ministério da Indústria e Tecnologia da Informação dentro de 2 dias. O conteúdo do envio deve incluir o nome do produto, modelo, versão e as características técnicas, danos e escopo da vulnerabilidade que apresentam brechas de segurança em produtos de rede. ” conforme os “Regulamentos sobre o gerenciamento da vulnerabilidade de segurança do produto de rede” publicados pelo ACC.

O Artigo 4 do regulamento também proíbe indivíduos ou organizações de “coletar, vender ou publicar ilegalmente informações sobre vulnerabilidades de segurança de produtos de rede”, enquanto o Artigo 7 incentiva as operadoras de rede e fornecedores de produtos a criar programas de recompensa por bug.

Organizações ou indivíduos estão proibidos de fornecer informações não divulgadas sobre vulnerabilidades de segurança de produtos de rede para organizações no exterior ou indivíduos que não sejam fornecedores de produtos de rede.

As regulamentações devem entrar em vigor a partir de 1º de setembro de 2021.

O governo chinês emitiu na semana passada novas leis de segurança cibernética determinando que qualquer empresa chinesa que forneça serviços a mais de um milhão de usuários deve ser auditada antes de listar suas ações no exterior. As ações implementadas devem ter impacto global no setor.

Fonte: Cyberspace Administration of China (CAC) issued new vulnerability disclosure regulations that oblige experts to report zero-days to the government.

Posts relacionados: Mais empresas de telecomunicações chinesas podem deixar de operar nos EUA / Seginfocast #53 – Livro Contagem Regressiva até Zero Day e Zero-day no Windows 7 and Windows Server 2008 descoberto por acaso