Consultoría FIPS 140-2

Los consultores FIPS 140-2 de nuestro equipo son expertos en ayudar a los fabricantes a escribir sus políticas de seguridad o definir los diseños de sus módulos criptográficos para que cumplan los requisitos de la norma, y en dar asistencia durante todo el proceso de certificación FIPS 140-2.

Solicitar información

¿Qué es FIPS 140-2?

FIPS 140-2 es una norma que especifica requisitos relacionados con el diseño seguro y la implementación segura de módulos criptográficos que proporcionan protección para datos sensibles o importantes.

Estos requisitos de seguridad cubren 11 areas relacionadas con el diseño y la implementación de módulos criptográficos. Se definen cuatro niveles de seguridad (Security Level) para cada una de estas áreas.

El Instituto Nacional de Tecnología y Estándares de los Estados Unidos (NIST-USA) y la Fundación para la Seguridad de las Comunicaciones de Canadá (CSEC-Canada) crearon el Programa de Validación de Módulos Criptográficos (CMVP) que valida módulos criptográficos contra los Requisitos de Seguridad de FIPS 140-2 y contra otros estándares criptográficos basados en FIPS.

Los fabricantes de módulos criptográficos utilizan laboratorios CST (Cryptographic and Security Testing) acreditados para probar sus módulos. Los laboratorios a su vez usan los Derived Test Requirements (DTR)), la Guía de Implementación (IG)) y otra documentación del CMVP aplicable para verificar que los módulos cumplen el estándar.

Generalmente las compañías que no poseen una cultura de certificación se ven sobrepasadas por la cantidad de documentación necesaria para pasar la validación, así como por la necesidad de realizar cambios inesperados y dramáticos en sus productos.

No espere y llámenos para obtener más información de nuestro servicio de consultoría FIPS 140-2.

El proceso de FIPS 140-2

El proceso de validación en FIPS 140-2 implica principalmente al fabricante y al laboratorio CST. El NIST y el CST solo están implicados en la validación de los informes enviados por el laboratorio CST.

Antes de que esto ocurra, es posible que el módulo aparezca en la lista de implementación en pruebas (“Cryptographic Module Validation Program FIPS 140-2 Implementation Under Test List”), donde aparecerán las IUT que están siendo probadas por un laboratorio CST.

Para aparecer en esta lista el fabricante deberá enviar al laboratorio todo el paquete de evidencias, incluyendo la política de seguridad no propietaria, la IUT, la máquina de estados finitos del módulo, etc.

Cuando el laboratorio CST ha terminado las pruebas, la IUT entrará en la lista que muestra los módulos en proceso (“Cryptographic Module Validation Program FIPS 140-2 Modules In Process List”). Esta lista detallará el estado del proceso de validación.

Finalmente, cuando la validación termine, la IUT aparecerá listada en la lista de módulos validados (“FIPS 140-2 Cryptographic Module Validation Lists”).

Podemos proporcionarle consultoría para ayudarle a redactar la política de seguridad, realizar un análisis de deficiencias o adaptar sus evidencias a los requisitos FIPS 140-2.

¡Consúltenos acerca de nuestro servicio de consultoría FIPS 140-2 y ponga su producto en la lista ahora mismo!

¿Qué ofrecemos?

  1. Análisis de deficiencias

    Comprobamos el estado actual de su producto y su documentación informándole sobre los cambios que debe realizar antes de pasar por el proceso de desarrollo/certificación.

    Este servicio es muy interesante en FIPS 140-2 dado que los Módulos Criptográficos deben cumplir unos requisitos específicos y tener una clara comprensión de los mismos, evitando problemas en las últimas etapas del desarrollo.

  2. Consultoría

    Si necesita que su módulo criptográfico sea validad FIPS 140-2 podemos ofrecerle el máximo soporte durante el proceso para conseguirlo.

    Escribir una Política de Seguridad o una Máquina de Estado Finito no es una tarea trivial si no está acostumbrado.

  3. Formación

    ¿Necesita su equipo adquirir más conocimientos en FIPS 140-2? Podemos ofrecerle formación personalizada.

    Tras la formación, su equipo podrá redactar la documentación FIPS 140-2 por su cuenta.