Uma Federal Information Processing Standard (FIPS) atualizada, a FIPS 140-3, foi aprovada pelo Secretário de Comércio em março de 2019, definindo um novo padrão de segurança para credenciar módulos criptográficos.
Passando para a versão FIPS 140-2, uma atualização da FIPS 140-1 em 2001; como a primeira empresa a obter uma validação FIPS 140-2 de nível 3 para um módulo de segurança de hardware (HSM), um acelerador criptográfico juntamente com gerenciamento de chaves combinado; a Thales está aqui para ajudar você a navegar e desmistificar este futuro padrão FIPS.
As normas FIPS 140 são um conjunto de requisitos de segurança para módulos criptográficos definidos pelo National Institute of Standards and Technology (NIST) e controladas tanto pelos Estados Unidos como pelo Canadá como parte do Cryptographic Module Validation Program (CMVP). Os módulos com validação FIPS 140 são obrigatórios para proteger chaves e realizar operações criptográficas para muitos aplicativos governamentais. Na verdade, tornou-se o padrão de fato em muitos outros países e no setor privado, particularmente nos setores financeiro e de pagamentos, já que os HSMs com validação FIPS 140 proporcionam confiança e segurança protegendo infraestruturas criptográficas.
A FIPS 140-2 é a versão atual, e existe desde maio de 2001. A norma define um total de 4 níveis de segurança e 11 áreas de design e implementação de produtos criptográficos, incluindo gerenciamento de chaves; interfaces; funções; serviços e autenticação; e sistemas operacionais. Mais informações sobre a FIPS 140-2 podem ser encontradas no post Landing Securely on Regulatory Compliance with Thales Luna HSMs de nosso blog.
A FIPS 140-3 substituirá a FIPS 140-2 e é baseada nas normas internacionais existentes com algumas modificações:
As publicações especiais FIPS 140-3 incluem informações sobre diversos requisitos, incluindo: testes derivados; documentação; políticas de segurança; funções de segurança; parâmetros de segurança; autenticação; e mitigação de ataques não invasivos. Muitas dessas mudanças ainda não estão concluídas, mas algumas das mais interessantes incluem:
A FIPS 140-2 permanecerá em vigor por um tempo. Os módulos ainda podem ser submetidos e validados ao FIPS 140-2 até 22 de setembro de 2021. Os certificados FIPS 140-2 existentes não serão revogados como parte da transição. Na verdade, os módulos com certificação FIPS 140-2 serão válidos por mais cinco anos, até setembro de 2026.
O CMVP começará a aceitar as submissões com FIPS 140-3 somente em 22 de setembro de 2020. Após 22 de setembro de 2021, apenas submissões com FIPS 140-3 serão aceitas
A conformidade FIPS é fundamental para trabalhar em qualquer indústria regulamentada que armazena ou coleta informações confidenciais. A Thales compreende sua importância e tem estado ativamente envolvida em fóruns e grupos de trabalho para ajudar a definir a FIPS 140-3, como o Cryptographic Module User Forum (CMUF) - um grupo estabelecido entre laboratórios, fornecedores e o CMVP para ajudar a identificar melhorias para o CMVP, desenvolver documentos e mapear os requisitos de teste detalhados de acordo com o padrão ISO 24759.
Por enquanto, não são necessárias ações de sua parte. Atualmente, todos os HSMs Thales Luna têm certificação FIPS 140-2 de nível 3, oferecendo chaves de criptografia de alta segurança e proteção de identidade digital em hardware com fatores de confiança invioláveis. A Thales continuará trabalhando para a validação da FIPS 140-3 e seus clientes e parceiros poderão se beneficiar com isso. Como no passado, espera-se que os primeiros a adotar a FIPS 140-3 enfrentem desafios em testes e implementação, mas estamos empenhados em ajudar a esclarecer e desmistificar essa norma. Uma vez que os HSMs Luna tenham sido validados de acordo com a nova norma, garantiremos uma migração fácil.
A conformidade e as certificações sempre formaram uma parte crítica da oferta de produtos da Thales, validamos nossos HSMs Luna não apenas com FIPS 140, mas também com Common Criteria (CC), Electronic Identification, Authentication and Trust Services (eIDAS), Singapore National Information Technology Security Evaluation Scheme (NITES), Brazil ITI e muito mais.
Entre em contato conosco para discutir como a Thales pode auxiliar sua migração para novos produtos validados com FIPS 140-3, e fique atento para mais blogs e informações à medida que os marcos da FIPS 140-3 forem cumpridas.
Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.
Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.
Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.