nist-800-53-fedramp-fips-compliance-banner

FIPS-140-2-Zertifizierung

Thales unterstützt Sie mit FIPS-140-2-zertifizierten Produkten dabei, Ihre Anforderungen an die Datensicherheit zu erfüllen.

FIPS 140-2

Test

Die Federal Information Processing Standard (FIPS) Publication 140-2 (FIPS PUB 140-2), allgemein als FIPS 140-2 bezeichnet, ist ein Computersicherheitsstandard der US-Regierung, der zur Validierung kryptographischer Module verwendet wird. FIPS 140-2 wurde vom NIST1 entwickelt. Gemäß FISMA2 ist seine Einhaltung für US-amerikanische und kanadische Regierungsbehörden bei der Beschaffung obligatorisch. Zudem sind viele globale Organisationen verpflichtet, diesen Standard zu erfüllen.

Thales liefert Sicherheitsprodukte, die nach dem strengen Standard FIPS 140-2 getestet und validiert wurden. Dies hilft Ihnen bei der Einhaltung von Vorschriften und gibt Ihnen gleichzeitig das nötige Vertrauen in Ihre kryptographischen Tools.

1 https://www.nist.gov/
2 https://csrc.nist.gov/topics/laws-and-regulations/laws/fisma

  • Bestimmungen
  • Einhaltung von Vorschriften

Übersicht zu FIPS 140-2

Gemäß FIPS Publication 140-2:

Handelt es sich um einen Standard, der von Bundesorganisationen verwendet wird, wenn diese Organisationen festlegen, dass kryptographische Sicherheitssysteme zum Schutz sensibler oder wertvoller Daten verwendet werden sollen. Der Schutz eines kryptographischen Moduls innerhalb eines Sicherheitssystems ist notwendig, um die Vertraulichkeit und Integrität der durch das Modul geschützten Informationen zu wahren. Dieser Standard spezifiziert die Sicherheitsanforderungen, die von einem kryptographischen Modul erfüllt werden müssen.

... Die Sicherheitsanforderungen umfassen Bereiche, die sich auf den sicheren Entwurf und die Implementierung eines kryptographischen Moduls beziehen. Zu diesen Bereichen gehören die Spezifikation kryptographischer Module, kryptographische Modulanschlüsse und Schnittstellen, Rollen, Dienste und Authentifizierung, das Finite-Status-Modell, physische Sicherheit, die Betriebsumgebung, kryptographische Schlüsselverwaltung, elektromagnetische Interferenz/elektromagnetische Kompatibilität (EMI/EMC), Selbsttests, Design Assurance und der Schutz vor sonstigen Angriffen.

Zertifizierungsstellen

Das US-amerikanische National Institute of Standards and Technology (NIST) und das kanadische Communications Security Establishment (CSE) nehmen gemeinsam als Zertifizierungsstellen am Cryptographic Module Validation Program (CMVP) teil, um die Validierung kryptographischer Module gemäß dem Standard FIPS 140-2 zu gewährleisten.

Für weitere Informationen klicken Sie bitte hier.

Unterstützung des Sicherheitsstandards FIPS 140-2 durch Thales

Thales entwickelt kryptographische Produkte und Subsysteme, die dem Sicherheitsstandard FIPS 140-2 entsprechen. Zu den Produkten von Thales, die diesen Standard erfüllen, gehören:

Hardware-Sicherheitsmodule (HSM)

Luna-HSM von Thales bieten eine gehärtete, manipulationssichere Umgebung unter anderem für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz sowie Verschlüsselung. Luna-HSM sind in drei nach FIPS 140-2 zertifizierten Formfaktoren erhältlich und unterstützen zahlreiche unterschiedliche Bereitstellungsszenarien.

Außerdem können Sie mit Luna-HSM:

  • Schlüssel für Root- und Zertifizierungsstellen erstellen und schützen und so PKI in unterschiedlichen Anwendungsfällen unterstützen
  • Ihren Anwendungscode signieren, damit sichergestellt ist, dass Ihre Software sicher, unverändert und authentisch bleibt.
  • digitale Zertifikate für die Berechtigungsprüfung und Authentifizierung proprietärer elektronischer Geräte für IoT-Anwendungen und sonstige Netzwerkbereitstellungen erstellen.

Die HSM der payShield-Familie sind bewährte Hardware-Sicherheitsmodule, die speziell für die Zahlungsindustrie entwickelt wurden, um Berechtigungsnachweise auszustellen, Transaktionen zu verarbeiten und Schlüssel zu verwalten.

Data-at-Rest-Verschlüsselung – CipherTrust Data Security Platform

Im Mittelpunkt der CipherTrust Data Security Platform steht der FIPS-140-2-konforme CipherTrust Manager, der die kryptographische Schlüssel- und Richtlinienverwaltung für CipherTrust Transparent Encryption, CipherTrust Tokenization und CipherTrust Application Data Protection bereitstellt. Der CipherTrust Manager ist als virtuelle und physische Appliance erhältlich und bietet Schlüsselspeicherung und Schutz für Data-at-Rest.

Zugehörige Ressourcen

Sichern Sie Ihre digitalen Bestände, halten Sie gesetzliche und branchenspezifische Bestimmungen ein und schützen Sie den Ruf Ihres Unternehmens. Erfahren Sie, wie Thales Sie dabei unterstützen kann.

Risk Management Strategies for Digital Processes - White Paper

Risk Management Strategies for Digital Processes with HSMs - White Paper

An Anchor of Trust in a Digital World Business and governmental entities recognize their growing exposure to, and the potential ramifications of, information incidents, such as: Failed regulatory audits Fines Litigation Breach notification costs Market set-backs Brand...

Transaction processing using payShield HSMs - Brochure

Transaction processing using payShield HSMs - Brochure

payShield from Thales is the world’s leading payment HSM, helping to secure an estimated 80% of global point of sale (POS) transactions. As the HSM of choice for payment solution providers and payment technology vendors, it delivers proven integration with all of the leading...

Thales Data Protection on Demand Services - Solution Brief

Thales Data Protection on Demand Services - Solution Brief

Thales Data Protection on Demand (DPoD) is a cloud-based platform that provides a wide range of Cloud HSM and key management services through a simple online marketplace. With DPoD’s extensive platform of Luna Cloud HSM, CipherTrust Key Management, payment, and partner-led...

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Andere wichtige Datenschutz- und Sicherheitsvorschriften

DSGVO

VERORDNUNG
JETZT AKTIV

Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.

PCI-DSS

MANDAT
JETZT AKTIV

Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.

Gesetze zur Benachrichtigung bei Datenverletzungen

VERORDNUNG
JETZT AKTIV

Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.