Proteção de Dados e Regulações de Segurança: O que é FIPS 140-2?
O que é o FIPS140-2?
O FIPS 140-2 (Federal Information Processing Standard 140-2) é um padrão de segurança estabelecido pelo governo dos Estados Unidos para avaliar e certificar módulos de segurança de hardware (HSMs) que são usados para criptografar dados sensíveis e proteger sistemas de informações.
Essa certificação é altamente valorizada por organizações que precisam atender aos padrões rigorosos de segurança cibernética exigidos por regulamentações governamentais e setoriais, incluindo a HIPAA (Health Insurance Portability and Accountability Act) e a PCI DSS (Payment Card Industry Data Security Standard).
O FIPS 140-2 estabelece quatro níveis de segurança, com cada nível exigindo um conjunto cada vez mais rigoroso de controles de segurança para proteger as informações. Os níveis mais altos exigem, por exemplo, proteção contra ataques físicos, verificação rigorosa da identidade dos usuários e monitoramento constante do sistema.
Ao escolher um HSM certificado pelo FIPS 140-2, as organizações podem ter certeza de que estão utilizando um dispositivo que atende aos mais altos padrões de segurança e proteção de dados. Isso é especialmente importante em setores como saúde, finanças e governos, onde a proteção de informações confidenciais é de extrema importância.
Os governos federais dos Estados Unidos (NIST) e do Canadá (CSE) adotaram a FIPS PUB 140-2 validation. A seção “Aplicabilidade” da FIPS 140-2 afirma que:
“Este padrão é aplicável a todas as agências federais que usam sistemas de segurança baseados em criptografia para proteger informações confidenciais em sistemas de computador e telecomunicações (incluindo sistemas de voz), conforme definido na Seção 5131 do Information Technology Management Reform Act de 1996, Lei pública 104-106 . Este padrão deve ser usado no projeto e implementação de módulos criptográficos que departamentos e agências federais operam ou são operados por eles sob contrato. Os módulos criptográficos que foram aprovados para uso classificado podem ser usados no lugar dos módulos que foram validados de acordo com este padrão. A adoção e uso desta norma está disponível para organizações privadas e comerciais…”
Casos de uso para o uso de HSMs (Hardware Security Modules):
-
Criptografia de chaves: Os HSMs são frequentemente usados para proteger as chaves criptográficas que são usadas para criptografar dados sensíveis. Isso pode incluir informações de identificação pessoal (PII), informações financeiras e outras informações confidenciais. As chaves são armazenadas no HSM, que garante que elas permaneçam seguras e protegidas contra ameaças externas.
-
Transações financeiras: HSMs são usados em muitos sistemas financeiros para proteger transações e dados de cartões de crédito. Eles garantem que os dados do cartão de crédito sejam criptografados antes de serem transmitidos para os sistemas de pagamento. Além disso, os HSMs ajudam a garantir que as transações financeiras sejam autênticas e protegidas contra fraude.
-
Identidade e acesso: Os HSMs podem ser usados para autenticar usuários e garantir que eles tenham acesso apenas às informações às quais têm direito. Eles podem ser usados em sistemas de autenticação de dois fatores, permitindo que os usuários forneçam uma senha e uma chave criptográfica para acessar os sistemas. Isso ajuda a garantir que apenas usuários autorizados possam acessar informações confidenciais.
-
Certificação digital: HSMs são usados para emitir e armazenar certificados digitais. Esses certificados são usados para garantir a autenticidade de sites, sistemas e documentos digitais. Os HSMs ajudam a garantir que os certificados sejam emitidos e armazenados de maneira segura e que possam ser verificados como autênticos quando necessário.
-
Infraestrutura de chave pública (PKI): HSMs são amplamente utilizados na infraestrutura de chave pública (PKI) para proteger chaves privadas, emissão de certificados e validação de identidade. Eles ajudam a garantir que os certificados sejam emitidos e armazenados de maneira segura e que possam ser verificados como autênticos quando necessário.
Em geral, os HSMs são usados em qualquer situação que exija alta segurança e proteção de dados sensíveis, incluindo transações financeiras, identidade e acesso, certificação digital e criptografia de chaves.