nist-800-53-fedramp-fips-compliance-banner

Certificazione FIPS 140-2

Thales ti aiuta a soddisfare le tue esigenze di conformità alla sicurezza dei dati con i prodotti certificati FIPS 140-2.

FIPS 140-2

Test

La pubblicazione FIPS (Federal Information Processing Standard) 140-2 (FIPS PUB 140-2), comunemente indicata come FIPS 140-2, è uno standard di sicurezza informatica del governo degli Stati Uniti utilizzato per convalidare i moduli crittografici. FIPS 140-2 è stato creato da NIST1 e, conformemente a FISMA2, è obbligatorio per gli appalti del governo statunitense e canadese. Molte aziende globali hanno anche l’obbligo di soddisfare questo standard.

Thales fornisce prodotti di sicurezza che sono stati testati e convalidati rispetto al rigoroso standard di conformità della crittografia FIPS 140-2. Questi prodotti ti aiutano a rispettare le normative, dandoti la fiducia di cui hai bisogno nei tuoi strumenti crittografici.

1 https://www.nist.gov/
2 https://csrc.nist.gov/topics/laws-and-regulations/laws/fisma

  • Regolamento
  • Conformità

Panoramica del FIPS 140-2

Secondo la pubblicazione FIPS 140-2:

[FIPS PUB 140-2] fornisce uno standard da utilizzare nelle aziende federali quando queste specificano che, al fine di proteggere dati sensibili o preziosi, debbano essere utilizzati sistemi di sicurezza basati sulla crittografia. La protezione di un modulo crittografico all’interno di un sistema di sicurezza è necessaria per mantenere la riservatezza e l’integrità delle informazioni protette dal modulo. Questo standard specifica i requisiti di sicurezza che saranno soddisfatti da un modulo crittografico.

[...] I requisiti di sicurezza coprono le aree relative alla progettazione sicura e all'implementazione di un modulo crittografico. Queste aree includono la descrizione del modulo crittografico; porte e interfacce del modulo crittografico; ruoli, servizi e autenticazione; modello a stati finiti; sicurezza fisica; ambiente operativo; gestione delle chiavi crittografiche; interferenza elettromagnetica/compatibilità elettromagnetica (EMI/EMC); autotest; garanzia di progettazione e mitigazione di altri attacchi.

Autorità di certificazione

Il NIST (National Institute of Standards and Technology) statunitense e il CSE (Communications Security Establishment) canadese partecipano congiuntamente nelle vesti di autorità di certificazione al CMVP (Cryptographic Module Validation Program, Programma di convalida del modulo criptografico) per fornire la convalida dei moduli crittografici secondo lo standard FIPS 140-2.

Per ulteriori informazioni, clicca qui.

Assistenza di Thales relativa allo standard di sicurezza FIPS 140-2

Thales sviluppa prodotti crittografici e sottosistemi conformi allo standard di sicurezza FIPS 140-2. I prodotti di Thales conformi allo standard includono:

Hardware security module (HSM)

Gli HSM Luna di Thales forniscono un ambiente temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure. Disponibili in tre fattori di forma certificati secondo lo standard FIPS 140-2, gli HSM Luna supportano svariati tipi di deployment.

Inoltre, gli HSM Luna:

  • Generano e proteggono chiavi di root e CA, supportando le PKI in numerosi casi d’uso
  • Firmano il codice delle applicazioni in modo da garantire che il tuo software sia sicuro, inalterato e autentico
  • Creano certificati digitali per le credenziali e l’autenticazione di dispositivi elettronici proprietari per applicazioni IoT e altri deployment di rete

La gamma di HSM payShield sono HSM comprovati concepiti per il settore dei pagamenti che consentono il rilascio di credenziali, la lavorazione delle transazioni e la gestione delle chiavi.

Crittografia dei dati a riposo – CipherTrust Data Security Platform

Al centro della CipherTrust Data Security Platform vi è la soluzione CipherTrust Manager, conforme allo standard FIPS 140-2, che fornisce la gestione dei criteri e delle chiavi crittografiche per CipherTrust Transparent Encryption, CipherTrust Tokenization e CipherTrust Application Data Protection. Disponibile in fattori di forma virtuali o fisici, CipherTrust Manager archivia le chiavi e protegge i dati a riposo.

Risorse correlate

Proteggi le tue risorse digitali, rispetta le normative e gli standard di settore e salvaguarda la reputazione della tua azienda. Scopri come Thales può aiutarti.

Risk Management Strategies for Digital Processes - White Paper

Risk Management Strategies for Digital Processes with HSMs - White Paper

An Anchor of Trust in a Digital World Business and governmental entities recognize their growing exposure to, and the potential ramifications of, information incidents, such as: Failed regulatory audits Fines Litigation Breach notification costs Market set-backs Brand...

Transaction processing using payShield HSMs - Brochure

Transaction processing using payShield HSMs - Brochure

payShield from Thales is the world’s leading payment HSM, helping to secure an estimated 80% of global point of sale (POS) transactions. As the HSM of choice for payment solution providers and payment technology vendors, it delivers proven integration with all of the leading...

Thales Data Protection on Demand Services - Solution Brief

Thales Data Protection on Demand Services - Solution Brief

Thales Data Protection on Demand (DPoD) is a cloud-based platform that provides a wide range of Cloud HSM and key management services through a simple online marketplace. With DPoD’s extensive platform of Luna Cloud HSM, CipherTrust Key Management, payment, and partner-led...

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Altre norme fondamentali sulla protezione dei dati e sulla sicurezza

RGPD

REGOLAMENTO
ACTIVA ORA

Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.

PCI DSS

MANDATO
ACTIVA ORA

Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.

Leggi sulla notifica delle violazioni dei dati

REGOLAMENTO
ACTIVA ORA

I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".