Un Estándar Federal de Procesamiento de Información (FIPS) actualizado, FIPS 140-3, fue aprobado por el Secretario de Comercio en marzo de 2019, definiendo un nuevo estándar de seguridad para acreditar módulos criptográficos.
Habiendo sido actualizado a FIPS 140-2 desde FIPS 140-1 en 2001: siendo la primera empresa en lograr una validación FIPS 140-2 Nivel 3 para un Módulo de seguridad de hardware (HSM), un acelerador criptográfico junto con una administración combinada de claves y, como el proveedor de HSMs con la mayor cantidad de validaciones NIST FIPS, Thales está aquí para ayudarle a navegar y desmitificar este futuro estándar FIPS.
Los estándares FIPS 140 son un conjunto de requisitos de seguridad para módulos criptográficos definidos por el Instituto Nacional de Estándares y Tecnología (NIST) y son gestionados por Estados Unidos y Canadá, como parte del Programa de validación de módulos criptográficos (CMVP). Los módulos validados por FIPS 140 son obligatorios para proteger claves y realizar operaciones criptográficas para muchas aplicaciones gubernamentales. De hecho, se ha convertido en el estándar de facto en muchos otros países y en el sector privado, particularmente en las industrias financiera y de pagos, ya que los HSMs validados por FIPS 140 brindan confianza al asegurar las infraestructuras criptográficas.
FIPS 140-2 es la versión actual y existe desde mayo de 2001. Define un total de 4 niveles de seguridad y 11 áreas de diseño e implementación de productos criptográficos que incluyen la administración de claves; interfaces; roles; servicios y autenticación; así como sistemas operativos. Puede encontrar más información sobre FIPS 140-2 en la publicación del blog Landing Securely on Regulatory Compliance with Thales Luna HSMs.
FIPS 140-3 sustituirá a FIPS 140-2 y se basa en estándares internacionales existentes con algunas modificaciones:
Las publicaciones especiales de FIPS 140-3 incluyen información sobre una variedad de requisitos que incluyen: pruebas derivadas; documentación; políticas de seguridad; funciones de seguridad; parámetros de seguridad; autenticación; y mitigación de ataques no invasivos. Muchos de estos cambios aún no están finalizados, pero algunos de los cambios más interesantes incluyen:
FIPS 140-2 estará disponible por un tiempo. Los módulos aún se pueden enviar y validar a FIPS 140-2 hasta el 22 de septiembre de 2021. Los certificados FIPS 140-2 existentes no se revocarán como parte de la transición. De hecho, los módulos con certificación FIPS 140-2 serán válidos durante cinco años más hasta septiembre de 2026.
CMVP comenzará a aceptar presentaciones FIPS 140-3 solo el 22 de septiembre de 2020. Después del 22 de septiembre de 2021, solo se aceptarán presentaciones FIPS 140-3.
El cumplimiento de FIPS es fundamental para trabajar en cualquier industria regulada que almacene o recopile información confidencial. Thales es consciente de su importancia y ha participado activamente en foros y grupos de trabajo para ayudar a definir FIPS 140-3, como el Foro de usuarios del módulo criptográfico (CMUF), un grupo establecido entre laboratorios, proveedores y CMVP para ayudar a identificar mejoras para CMVP, así como desarrollar documentos y mapear Requisitos de prueba detallados en ISO 24759.
Por el momento, no es necesario que se realice ninguna acción. Hoy día, cada uno de los HSMs Luna de Thales se encuentra validado por FIPS 140-2 Nivel 3, lo que ofrece una clave de cifrado de alta seguridad y protección de identidad digital en raíces de confianza de hardware a prueba de manipulaciones indebidas. Thales continuará trabajando hacia la validación FIPS 140-3 y permitirá que sus clientes y socios se beneficien de la validación. Igual que en el pasado, se espera que los primeros usuarios de FIPS 140-3 enfrenten desafíos en las pruebas y la implementación, pero estamos comprometidos a ayudar a aclarar y desmitificar el FIPS 140-3. Una vez que los HSMs de Luna hayan sido validados con el nuevo estándar, aseguraremos una migración fácil.
El cumplimiento y las certificaciones siempre han formado una parte fundamental de la oferta de productos de Thales, validando nuestros HSMs Thales Luna no solo para FIPS 140, sino también para Common Criteria (CC), Identificación Electrónica, Autenticación y Servicios de Confianza (eIDAS), Seguridad Nacional de Tecnología de la Información de Singapur Esquema de evaluación (NITES), ITI de Brasil y más.
Comuníquese con nosotros para analizar cómo Thales puede respaldar su migración a nuevos productos validados por FIPS 140-3 y busque más blogs e información a medida que se cumplen las metas de FIPS 140-3.
El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.
Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.
Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".