nist-800-53-fedramp-fips-compliance-banner

Certificação FIPS 140-2

A Thales ajuda a atender suas necessidade de conformidade de segurança de dados com produtos com certificação FIPS 140-2.

FIPS 140-2

Teste

A publicação Federal Information Processing Standard 140-2 (FIPS PUB 140-2), comumente chamada de FIPS 140-2, é uma norma de segurança informática do governo dos EUA usada para validar módulos criptográficos. A FIPS 140-2 foi criada pelo NIST1 e pela FISMA2, e é obrigatória para empresas dos governos americano e canadense. Muitas empresas globais também são obrigadas a cumprir esta norma.

A Thales fornece produtos de segurança que foram testados e validados para a rigorosa norma FIPS 140-2, ajudando a cumprir normas, ao mesmo tempo em que oferece a confiança que você precisa em relação às suas ferramentas criptográficas.

1 https://www.nist.gov/
2 https://csrc.nist.gov/topics/laws-and-regulations/laws/fisma

  • Normas
  • Conformidade

Visão Geral da FIPS 140-2

Segundo a publicação FIPS 140-2:

A norma fornece um padrão que será usado por empresas federais quando especifica que essas empresas devem usar sistemas de segurança baseados em criptografia para fornecer proteção a dados confidencias ou valiosos. A proteção de um módulo criptográfico dentro de um sistema de segurança é necessária para manter a confidencialidade e a integridade das informações protegidas pelo módulo. Esta norma especifica os requisitos de segurança que serão satisfeitos por um módulo criptográfico.

…Os requisitos de segurança cobrem áreas relacionadas ao design e à implementação segura de um módulo criptográfico. Essas áreas incluem especificação de módulos criptográficos; portas e interfaces de módulos criptográficos; funções, serviços e autenticação; modelo de estado finito; segurança física; ambiente operacional; gerenciamento de chaves criptográficas; interferência eletromagnética/compatibilidade eletromagnética (EMI/EMC); autoteste; garantia de projeto; e mitigação de outros ataques.

Autoridades certificadoras

O National Institute of Standards and Technology (NIST) dos EUA e o Communications Security Establishment (CSE) do Canadá participam conjuntamente como autoridades certificadoras do Cryptographic Module Validation Program (CMVP) para fornecer validação de módulos criptográficos de acordo com o padrão FIPS 140-2.

Para mais informações, clique aqui.

Suporte da Thales para a norma de segurança FIPS 140-2

A Thales desenvolve produtos e subsistemas criptográficos que estão em conformidade com a norma de segurança FIPS 140-2. Os produtos da Thales que cumprem a norma incluem:

Módulos de segurança de hardware (HSMs)

Os HSMs Luna da Thales oferecem um ambiente fortalecido e resistente à violação para processamento criptográfico seguro, geração e proteção de chaves, criptografia e muito mais. Disponíveis em três fatores de forma com certificação FIPS 140-2, os HSMs Luna suportam diversos cenários de implantação.

Além disso, os HSMs Luna:

  • Geram e protegem chaves mestras e de autoridade certificadora (AC), fornecendo suporte para PKIs em diversos casos de uso
  • Assinam a criptografia de seu aplicativo para garantir que seu software permaneça seguro, inalterado e autêntico
  • Geram certificados digitais para credenciamento e autenticação de dispositivos eletrônicos proprietários para aplicativos IoT e outras implantações de rede.

A família payShield de HSMs é formada por módulos de segurança de hardware comprovados dedicados à indústria de pagamento para emissão de credenciais, processamento de transações e gerenciamento de chaves.

Criptografia de dados em repouso – CipherTrust Data Security Platform

A parte principal da CipherTrust Data Security Platform é o CipherTrust Manager em conformidade com a norma FIPS140-2, que fornece chaves criptográficas e gerenciamento de políticas para CipherTrust Transparent Encryption, CipherTrust Tokenization e CipherTrust Application Data Protection. Oferecido em formato virtual e físico, o CipherTrust Manager oferece armazenamento de chaves e proteção para dados em repouso.

Recursos relacionados

Proteja seus ativos digitais, cumpra os padrões regulatórios e do setor e proteja a reputação da sua empresa. Saiba como a Thales pode ajudar.

Risk Management Strategies for Digital Processes - White Paper

Risk Management Strategies for Digital Processes with HSMs - White Paper

An Anchor of Trust in a Digital World Business and governmental entities recognize their growing exposure to, and the potential ramifications of, information incidents, such as: Failed regulatory audits Fines Litigation Breach notification costs Market set-backs Brand...

Transaction processing using payShield HSMs - Brochure

Transaction processing using payShield HSMs - Brochure

payShield from Thales is the world’s leading payment HSM, helping to secure an estimated 80% of global point of sale (POS) transactions. As the HSM of choice for payment solution providers and payment technology vendors, it delivers proven integration with all of the leading...

Serviços Thales Data Protection on Demand (DPOD) - Solution Brief

Serviços Thales Data Protection on Demand (DPOD) - Solution Brief

Thales Data Protection on Demand é uma plataforma em nuvem que oferece uma ampla gama de serviços de segurança de hardware e gerenciamento de chaves em nuvem através de um simples mercado online. Com Luna Cloud HSM e serviços de gerenciamento de chave Data Protection on Demand...

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Outros regulamentos importantes de proteção e segurança de dados

GDPR

REGULAMENTO
ATIVO AGORA

Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.

PCI DSS

MANDATO
ATIVO AGORA

Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.

Leis de notificação de violação de dados

REGULAMENTO
ATIVO AGORA

Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.