Certificaciones, validaciones y pautas de seguridad de productos para iOS

En este artículo, se incluyen referencias de certificaciones, validaciones criptográficas y pautas de seguridad de productos clave para las plataformas iOS. Ponte en contacto con nosotros mediante security-certifications@apple.com si tienes alguna pregunta.

Validaciones de módulos criptográficos

Todos los certificados de validación de conformidad con los estándares FIPS 140-2 de Apple se encuentran en la página de proveedores de CMVP. Apple se compromete activamente con la validación de los módulos CoreCrypto y CoreCrypto Kernel para todas las versiones principales de iOS. La validación solo puede realizarse con la versión final del módulo y puede presentarse formalmente en el momento del lanzamiento al público del sistema operativo. Actualmente, el CMVP mantiene el estado de validación de módulos criptográficos en dos listas separadas según su estado actual. Los módulos comienzan en lalista de implementaciones en prueba y, luego, continúan con la lista de módulos en proceso.

iOS 12

Apple participa activamente en la validación de los módulos CoreCrypto v9.0 que se usan en iOS 12, que estará disponible próximamente.

Versiones anteriores

Las siguientes versiones anteriores de iOS tenían validaciones de módulos criptográficos y, actualmente, se encuentran archivadas:

  • iOS 8
  • iOS 7

Guías de configuración de seguridad

Las organizaciones dedicadas a la seguridad ofrecen pautas bien definidas y estudiadas sobre cómo configurar diversas plataformas para un uso aceptable. En las guías de configuración de seguridad, se ofrece una descripción general de las funciones de iOS y macOS que puedes usar para mejorar la protección, lo que se conoce como “refuerzo del dispositivo”. Los gobiernos de todo el mundo colaboraron con Apple en el desarrollo de guías destinadas a ofrecer instrucciones y recomendaciones para mantener un entorno más seguro. 

Para usar estas guías, debes ser un usuario experimentado o un administrador de sistemas, estar familiarizado con la interfaz de usuario y tener conocimientos prácticos básicos sobre las herramientas de administración de la plataforma elegida. Resulta útil estar familiarizado con los conceptos esenciales sobre las redes. Algunas de las instrucciones de las guías son complejas, por lo que desviarse de ellas puede tener efectos adversos o puede reducir la protección. Prueba exhaustivamente los cambios realizados en la configuración del dispositivo antes de implementarlos.

Obtén más información en la Guía de seguridad de iOS (PDF).

Certificaciones de seguridad

Una lista de certificaciones de Apple completas, activas e identificadas públicamente.

Certificación ISO 27001 y 27018

Apple recibió la certificación ISO 27001 e ISO 27018 para soluciones de sistema de administración de seguridad de la información para la infraestructura, el desarrollo y las operaciones que admitan los siguientes productos y servicios: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, Apple ID administrados, Siri y Tareas Escolares, de acuerdo con la Declaración de aplicabilidad v2.1 del 11/7/2017. La British Standards Institution (BSI) certificó el cumplimiento de Apple con las normas ISO. El sitio web de la BSI tiene certificados de cumplimiento de ISO 27001 e ISO 27018.

Certificación Common Criteria

El objetivo, como se indica en la comunidad de Common Criteria, es que un conjunto de estándares de seguridad aprobados a nivel internacional brinde una evaluación precisa y confiable de las capacidades de seguridad de los productos de las tecnologías de la información. Al proporcionar una valoración independiente sobre la capacidad de un producto para cumplir con los estándares de seguridad, la certificación Common Criteria aporta a los clientes más confianza con respecto a la seguridad de los productos de tecnología de la información y los ayuda a tomar decisiones con más criterio.

Mediante el acuerdo de reconocimiento Common Criteria (CCRA, Common Criteria Recognition Arrangement), los países miembros aceptaron reconocer la certificación de los productos de tecnología de la información con el mismo nivel de confianza. La membresía, junto con la profundidad y la amplitud de los perfiles de protección, continúa creciendo anualmente para afrontar la tecnología emergente. Mediante este acuerdo se permite que el programador de un producto busque una sola certificación de acuerdo con cualquier esquema de autorización.

Los perfiles de protección (PP) anteriores se archivaron y comenzaron a reemplazarse por el desarrollo de PP específicos destinados a soluciones y entornos determinados. En un esfuerzo conjunto para asegurar el reconocimiento mutuo y continuo entre todos los miembros del CCRA, la Comunidad Técnica Internacional (iTC) continúa impulsando el desarrollo y las actualizaciones de los PP futuros hacia los perfiles de protección colaborativos (cPP), en cuyo desarrollo intervienen varios esquemas desde el primer momento.

Apple comenzó a buscar certificaciones de acuerdo con esta modificación del nuevo estándar Common Criteria con PP selectos a principios de 2015. A continuación, se indica la lista de certificaciones completas, activas e identificadas públicamente de Apple. 

iOS 11

 

Perfil de protección

VID

Finalización

Dispositivo móvil

PP_MD_v3.1

10851

2018.03.30

Agente MDM

EP_MDM_Agent_v3.0

10851

2018.03.30

Agente WLAN

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

Cliente VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

Software de aplicación (Contactos)

PP_APP_v1.2

10915

ETA:2018.08

Navegador (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:2018.08

Versiones anteriores

Las versiones anteriores de iOS tenían certificaciones que ahora están archivadas:

  • iOS 10
  • iOS 9

Por lo general, se espera que las actualizaciones de las versiones principales de los perfiles de protección que publica la comunidad de Common Criteria sigan una cadencia de entre 12 y 18 meses con requisitos funcionales de seguridad (SFR, Security Functional Requirements) adicionales o actualizados.

En el portal de Common Criteria, encontrarás una lista completa de los perfiles de protección (PP) y los perfiles de protección colaborativos (cPP) junto con las fechas de caducidad correspondientes. También puedes encontrarlos en el esquema que elijas, como la Asociación Nacional de Garantía de la Información (NIAP), que es el esquema estadounidense.

Aprobación para uso gubernamental

Información de países selectos que aprobaron dispositivos para uso gubernamental.

Gobierno de Australia


Como se resumió a partir del texto de la página de la Lista de productos evaluados (EPL):

Australian Signals Directorate (ASD) tiene una Lista de productos evaluados (EPL) que incluye productos de seguridad de ICT evaluados por el ASD para su uso en las agencias gubernamentales de Australia y Nueva Zelanda.

Producto: iOS 9
Tipo de producto: Productos móviles
Estado del producto: Finalizado
Nivel de seguridad: Evaluado por el ASD
Versión: 9.3.5 o posterior
Guía: PDF en inglés

Gobierno del Reino Unido


Como se resumió a partir del texto de la página de Seguridad de productos comerciales (CPA): Productos con Foundation Grade de la NCSC:

La CPA evalúa los productos comerciales estándares y a sus desarrolladores según la seguridad publicada y los estándares de desarrollo. Un producto de seguridad que es evaluado y obtiene un resultado exitoso recibe la certificación Foundation Grade. Esto significa que se demostró que el producto tiene una buena práctica de seguridad comercial y que es apto para entornos con amenazas menores.

  • La certificación CPA tiene validez por dos años y permite que los productos se actualicen durante ese tiempo a medida que se requieran definiciones de vulnerabilidades y actualizaciones. 
  • La certificación CPA es aceptada por el catálogo de la OTAN y reconocida como una de las evaluaciones necesarias para el catálogo de la UE.
  • La NCSC proporciona información sobre Foundation Grade.

Gobierno de Estados Unidos


Como se expresa en la página de Soluciones comerciales para clasificados (CSfC):

Con mayor frecuencia, los clientes gubernamentales de Estados Unidos exigen el uso inmediato de las tecnologías de software y hardware comerciales más modernas del mercado en los sistemas de seguridad nacional (NSS, National Security Systems) para poder alcanzar los objetivos de su misión. Como consecuencia, la División de Seguridad de la Información (IAD, Information Assurance Directorate) de la Agencia de Seguridad Nacional/Servicio Central de Seguridad (NSA/CSS, National Security Agency/Central Security Service) está desarrollando nuevas formas de aprovechar las tecnologías emergentes para brindar soluciones de seguridad de la información de forma más oportuna, a fin de satisfacer los requisitos en constante evolución de los clientes.

El programa CSfC de la NSA/CSS se estableció para permitir que se usen productos comerciales en las soluciones de protección de datos confidenciales de los NSS compuestas por varios niveles. Esto posibilitará la comunicación segura basada en estándares comerciales en una solución que se puede implementar en meses (en lugar de años).

Un creciente número de ámbitos clasificados quieren implementar las soluciones de Apple, pero estas se retuvieron debido a motivos relacionados con las certificaciones de los productos. La búsqueda de Apple de certificaciones Common Criteria respecto de los PP que se indican más arriba dio lugar a la incorporación y la disponibilidad de los productos Apple en la Lista de componentes de CSfC.

Una vez que se inicien las certificaciones Common Criteria adicionales de Apple respecto de cada PP relacionado, los componentes de Apple pertinentes se enviarán para que se incluyan en la Lista de componentes de CSfC y se agregarán más abajo.

Lista de componentes de CSfC

Los siguientes productos Apple cumplen los requisitos para que se usen en una solución de CSfC:

Agregar los productos de Apple a la lista de productos de tu país

Un creciente número de gobiernos solicitaron que los productos Apple se incluyeran en sus programas, que son similares al CPA, EPA y CSfC. Si eres un agente autorizado del programa de soluciones de tu gobierno y te interesa incorporar productos Apple en tu propia lista de productos, comunícate con nosotros mediante la siguiente dirección: security-certifications@apple.com.

Otros sistemas operativos

Obtén más información sobre seguridad de los productos, validaciones y pautas para lo siguiente:

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: