Certificaciones, validaciones y pautas de seguridad de productos para macOS

Este artículo incluye referencias de certificaciones de productos clave, validaciones criptográficas y pautas de seguridad para las plataformas macOS. Si tienes alguna pregunta, comunícate con nosotros enviando un correo electrónico a security-certifications@apple.com.

Validaciones de módulos criptográficos

Todos los certificados de validación de conformidad con los estándares FIPS 140-2 de Apple se encuentran en la página de proveedores de CMVP. Apple se compromete activamente con la validación de los módulos CoreCrypto y CoreCrypto Kernel para todas las nuevas versiones de macOS. La validación solo puede realizarse con la versión final del módulo y puede presentarse formalmente en el momento del lanzamiento al público del sistema operativo. Actualmente, el CMVP mantiene el estado de validación de módulos criptográficos en dos listas separadas según su estado actual. Los módulos comienzan en lalista de implementaciones en prueba y, luego, continúan con la lista de módulos en proceso.

macOS Mojave

Apple participa activamente en la validación de los módulos CoreCrypto v9.0 que se usan en macOS Mojave, que estará disponible próximamente.

macOS High Sierra

Versiones anteriores

Estas versiones anteriores de OS X tenían validaciones del módulo criptográfico y, actualmente, se encuentran archivadas:

  • OS X Yosemite 10.10
  • OS X Mavericks 10.9
  • OS X Mountain Lion 10.8
  • OS X Lion 10.7
  • OS X Snow Leopard 10.6

Guías de configuración de seguridad

Las organizaciones dedicadas a la seguridad ofrecen pautas bien definidas y estudiadas sobre cómo configurar diversas plataformas para un uso aceptable. En las guías de configuración de seguridad, se ofrece una descripción general de las funciones de OS X y iOS que puedes usar para mejorar la protección o “reforzar el dispositivo”. Los gobiernos de todo el mundo colaboraron con Apple en el desarrollo de guías destinadas a ofrecer instrucciones y recomendaciones para mantener un entorno más seguro. 

Para usar estas guías, debes ser un usuario experimentado o un administrador del sistema. Debes estar familiarizado con la interfaz de usuario y tener cierto nivel de conocimiento práctico sobre las herramientas de administración para la plataforma en cuestión. Resulta útil estar familiarizado con los conceptos esenciales sobre las redes. Algunas de las instrucciones de las guías son complejas, por lo que desviarse de ellas puede tener efectos adversos o puede reducir la protección. Prueba exhaustivamente los cambios realizados en la configuración del dispositivo antes de implementarlos.

Obtén más información en la Guía de seguridad de macOS (PDF en inglés).

  macOS High Sierra 10.13                  macOS Sierra 10.12 OS X El Capitan 10.11

Apple
SCAP-on-Apple SCAP-on-Apple SCAP-on-Apple

Reino Unido
(NCSC)
Guía de seguridad para dispositivos de usuarios finales: macOS 10.13 High Sierra Guía de seguridad para dispositivos de usuarios finales Guía de seguridad para dispositivos de usuarios finales

Guía de seguridad para dispositivos de usuarios finales
 (PDF en inglés)

Aprovisionamiento de scripts de OS X 10.11

Estados Unidos
(DISA, NIST, NSA)
STIG de macOS

STIG de la estación de trabajo de macOS 10.12

Lista de verificación NIST

STIG de la estación de trabajo de Apple OS X 10.11

Certificaciones de seguridad

Una lista de certificaciones de Apple completas, activas e identificadas públicamente.

Certificación ISO 27001 y 27018

Apple recibió la certificación ISO 27001 e ISO 27018 para soluciones de sistema de administración de seguridad de la información para la infraestructura, el desarrollo y las operaciones que admitan los siguientes productos y servicios: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, Apple ID administrados, Siri y Tareas Escolares, de acuerdo con la Declaración de aplicabilidad v2.1 del 11/7/2017. La British Standards Institution (BSI) certificó el cumplimiento de Apple con las normas ISO. El sitio web de la BSI tiene certificados de cumplimiento de ISO 27001 e ISO 27018.

Certificación Common Criteria

El objetivo, como se indica en la comunidad de Common Criteria, es que un conjunto de estándares de seguridad aprobados a nivel internacional brinde una evaluación precisa y confiable de las capacidades de seguridad de los productos de las tecnologías de la información. Al proporcionar una valoración independiente sobre la capacidad de un producto para cumplir con los estándares de seguridad, la certificación Common Criteria aporta a los clientes más confianza con respecto a la seguridad de los productos de tecnología de la información y los ayuda a tomar decisiones con más criterio.

Mediante el acuerdo de reconocimiento Common Criteria (CCRA, Common Criteria Recognition Arrangement), los países y las regiones miembros aceptaron reconocer la certificación de los productos de tecnología de la información con el mismo nivel de confianza. La membresía, junto con la profundidad y la amplitud de los perfiles de protección, continúa creciendo anualmente para afrontar la tecnología emergente. Mediante este acuerdo se permite que el programador de un producto busque una sola certificación de acuerdo con cualquier esquema de autorización.

Quienes no estén familiarizados con la modificación reciente del enfoque de certificación según el nuevo estándar Common Criteria deben tener en cuenta que ya no hay referencias sobre los niveles de seguridad evaluados (EAL#). Los perfiles de protección (PP) anteriores se archivaron y comenzaron a reemplazarse por el desarrollo de PP específicos destinados a soluciones y entornos determinados. En un esfuerzo conjunto para asegurar el reconocimiento mutuo y continuo entre todos los miembros del CCRA, la Comunidad Técnica Internacional (iTC) continúa impulsando el desarrollo y las actualizaciones de los PP futuros hacia los perfiles de protección colaborativos (cPP), en cuyo desarrollo intervienen varios esquemas desde el primer momento.

Apple comenzó a buscar certificaciones de acuerdo con esta modificación del nuevo estándar Common Criteria con PP selectos a principios de 2015. A continuación, se indica la lista de certificaciones completas, activas e identificadas públicamente de Apple.

macOS

Apple participa activamente en la validación de macOS frente al perfil de protección del sistema operativo de propósito general. 

Declaraciones de volatilidad

Las organizaciones gubernamentales y los contratistas auxiliares que deban proporcionar una declaración de volatilidad del fabricante del producto pueden obtener una enviando una solicitud por correo electrónico a AppleFederal@apple.com. Allí deben especificar la agencia gubernamental solicitante, el nombre del producto de Apple, el número de serie del producto y el contacto técnico del Gobierno.

Otros sistemas operativos

Obtén más información sobre seguridad de los productos, validaciones y pautas para lo siguiente:

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: