nist-800-53-fedramp-fips-compliance-banner

Certificación FIPS 140-2

Thales le ayuda a satisfacer sus necesidades en materia de cumplimiento en seguridad de datos, con productos certificados por FIPS 140-2.

FIPS 140-2

Prueba

La publicación 140-2 del estándar federal de procesamiento de información (FIPS) (FIPS PUB 140-2), comúnmente conocida como FIPS 140-2, es un estándar de seguridad informática del gobierno de EE. UU. que se utiliza para validar módulos criptográficos. FIPS 140-2 fue creado por el NIST y, según el FISMA, es obligatorio para las adquisiciones del gobierno de EE. UU. y Canadá. Muchas organizaciones globales también tienen el mandato de cumplir con este estándar.

Thales ofrece productos de seguridad que han sido puestos a prueba y validados según el riguroso estándar FIPS 140-2, lo cual le ayuda a cumplir con las regulaciones y al mismo tiempo le brinda la confianza que necesita en sus herramientas criptográficas.

  • Descripción general del FIPS 140-2
  • Descripción general del cumplimiento de Thales

Estándar de seguridad

Según la publicación FIPS 140-2:

“[Esta] proporciona un estándar que será utilizado por las organizaciones federales cuando estas organizaciones especifiquen que los sistemas de seguridad basados en criptografía deben usarse para brindar protección a datos confidenciales o valiosos. La protección de un módulo criptográfico dentro de un sistema de seguridad es necesaria para mantener la confidencialidad e integridad de la información protegida por el módulo. Este estándar especifica los requisitos de seguridad que cumplirá un módulo criptográfico.

… Los requisitos de seguridad cubren áreas relacionadas con el diseño seguro y la implementación de un módulo criptográfico. Estas áreas incluyen la especificación del módulo criptográfico; puertos e interfaces de módulos criptográficos; roles, servicios y autenticación; modelo de estados finitos; seguridad física; entorno operativo; gestión de claves criptográficas; interferencia electromagnética/compatibilidad electromagnética (EMI/EMC); autoevaluaciones; garantía de diseño; y mitigación de otros ataques".

Autoridades de certificación

Las autoridades de certificación NIST (Instituto Nacional de Estándares y Tecnología) de EE. UU. y Canadian CSE (Establecimiento de seguridad de las comunicaciones) participan conjuntamente como autoridades de certificación en el CMVP (Programa de validación de módulos criptográficos) para proporcionar validación de módulos criptográficos según el estándar FIPS 140-2.

Para recibir más información, haga clic aquí.

Thales y su compatibilidad con el estándar de seguridad FIPS 140-2

Thales desarrolla subsistemas y productos criptográficos que cumplen con el estándar de seguridad FIPS 140-2. Los productos de Thales que cumplen con el estándar incluyen:

Módulos de seguridad de hardware (HSMs)

  • La familia payShield de HSMs son módulos de seguridad de hardware comprobados y exclusivos de la industria de pagos para emitir credenciales, procesar transacciones y administrar claves.

Cifrado de datos en reposo - Vormetric Data Security Platform

  • En el centro de la plataforma Vormetric Data Security Platform se encuentra el administrador Vormetric Data Security Manager (DSM), el cual proporciona la gestión de políticas y de claves para Vormetric Transparent Encryption, Vormetric Tokenization y Vormetric Application Encryption. Entregado en factores de forma de dispositivo virtual y físico, el DSM ofrece almacenamiento de claves y protección para los datos en reposo.

Otras normativas clave de protección de datos y seguridad

RGPD

REGLAMENTO
ACTIVA AHORA

El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.

PCI DSS

MANDATO
ACTIVA AHORA

Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.

Leyes de notificación de brechas de datos

REGLAMENTO
ACTIVA AHORA

Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".