Certificaciones de seguridad de productos, validaciones y directrices para iOS

Este artículo contiene referencias a certificados de producto claves, validaciones criptográficas y directrices de seguridad para las plataformas iOS. Ponte en contacto con nosotros en security-certifications@apple.com si tienes alguna pregunta.

Validaciones de módulos criptográficos

Todos los certificados de validación de conformidad con FIPS 140-2 de Apple se encuentran en la página de proveedores del CMVP. Apple participa de forma activa en la validación de los módulos CoreCrypto y CoreCrypto Kernel para las versiones principales de iOS. La validación solo se puede realizar en una versión final de lanzamiento del módulo y solo se puede enviar formalmente en el lanzamiento público de OS. El CMVP ahora mantiene el estado de validación de los módulos criptográficos en dos listas separadas en función de su estado actual. Los módulos empiezan en la lista de implementaciones en prueba y después pasan a la lista de módulos en curso.

iOS 12

Apple participa de forma activa en la validación de los módulos CoreCrypto v9.0 usados en iOS 12, cuyo lanzamiento está previsto en los próximos meses.

iOS 10

Versiones anteriores

Estas versiones anteriores de iOS tenían validaciones de módulos criptográficos y ahora están archivadas:

  • iOS 8
  • iOS 7

Guías de configuración relacionadas con la seguridad

Las organizaciones dedicadas a la seguridad ofrecen directrices definidas y aprobadas acerca de cómo configurar diversas plataformas para un uso adecuado. Las guías de configuración relacionadas con la seguridad ofrecen una descripción general de las prestaciones de macOS e iOS que puedes utilizar para mejorar la protección o reforzar el dispositivo. Gobiernos de todo el mundo han colaborado con Apple en el desarrollo de guías destinadas a ofrecer instrucciones y recomendaciones para mantener un entorno más seguro. 

Para utilizar estas guías deberías ser un usuario experimentado o un administrador de sistemas, estar familiarizado con la interfaz de usuario y tener conocimientos prácticos básicos acerca de las herramientas de administración de la plataforma elegida. Además, resulta útil estar familiarizado con los conceptos básicos relacionados con las redes. Algunas de las instrucciones de las guías son complejas y desviarse de estas puede conllevar efectos adversos o una reducción de la protección. Comprueba exhaustivamente los cambios realizados en los ajustes de los dispositivos antes de implantarlos.

Obtén más información acerca de la Guía de seguridad de iOS (PDF).

Certificaciones de seguridad

Lista de certificaciones de Apple completadas, activas e identificadas públicamente.

Certificación ISO 27001 y 27018

Apple ha recibido las certificaciones ISO 27001 e ISO 27018 del sistema de gestión de contenido de seguridad por la infraestructura, el desarrollo y las operaciones que ofrecen asistencia a estos productos y servicios: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, ID de Apple gestionados, Siri y Tareas de acuerdo con la declaración de aplicabilidad v 2.1 del 11 de julio de 2017. La British Standards Institution ha certificado el cumplimiento por parte de Apple de la norma ISO. El sitio web de la BSI tiene el certificado de cumplimiento para ISO 27001 e ISO 27018.

Certificación Common Criteria

El objetivo, como se indica en la comunidad de Common Criteria, está enfocado a un conjunto de estándares de seguridad aprobado internacionalmente para proporcionar una evaluación clara y fiable de las capacidades de seguridad de los productos que pertenecen a las tecnologías de la información. Al proporcionar una valoración independiente sobre la capacidad de un producto para cumplir los estándares de seguridad, la certificación Common Criteria aporta a los clientes más confianza en la seguridad de los productos tecnológicos y les permite tomar decisiones mejor fundamentadas.

Mediante el acuerdo de reconocimiento de Common Criteria (CCRA), países y regiones miembros han acordado reconocer la certificación de productos que pertenecen a las tecnologías de la información con el mismo nivel de confianza. Al igual que la profundidad y el alcance de los perfiles de protección, los miembros continúan aumentando año a año para hacer frente a la tecnología emergente. Este acuerdo permite que los desarrolladores de productos trabajen para lograr una sola certificación en virtud de cualquiera de los esquemas de autorización.

Los perfiles de protección (PP) antiguos obtenidos se han comenzado a sustituir por perfiles de protección específicos centrados en soluciones y entornos concretos. En un esfuerzo conjunto por garantizar el reconocimiento mutuo continuado de todos los miembros de CCRA, la comunidad técnica internacional (iTC) continúa impulsando todo el desarrollo y las actualizaciones de perfiles de protección futuros hacia los perfiles de protección colaborativos (cPP) que se desarrollan desde el inicio con la aplicación de varios esquemas.

A principios de 2015, Apple comenzó a trabajar para obtener las certificaciones en virtud de esta nueva reestructuración de Common Criteria con perfiles de protección seleccionados. A continuación, se incluyen las certificaciones de Apple completadas, activas e identificadas públicamente. 

iOS 11

 

Perfil de protección

VID

Finalización

Dispositivo móvil

PP_MD_v3.1

10851

30.03.2018

Agente MDM

EP_MDM_Agent_v3.0

10851

30.03.2018

Agente WLAN

PP_WLAN_CLI_EP_v1.0

10851

30.03.2018

Cliente de VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10.05.2018

Software de aplicación (Contactos)

PP_APP_v1.2

10915

ETA:08.2018

Navegador (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:08.2018

Versiones anteriores

Versiones anteriores de iOS que han tenido certificaciones y ahora están archivadas:

  • iOS 10
  • iOS 9

Se espera que las principales actualizaciones de las versiones publicadas para perfiles de protección por la comunidad Common Criteria sigan una cadencia de entre 12 y 18 meses con requisitos funcionales de seguridad (SFR) adicionales o actualizados.

En el portal de Common Criteria se encuentra una lista completa de los perfiles de protección (PP) y los perfiles de protección colaborativos (cPP), junto con sus fechas de validez. También puedes encontrarlos dentro del esquema elegido como National Information Assurance Partnership (NIAP), que es el esquema de Estados Unidos.

Aprobado para uso gubernamental

Información de una selección de países y regiones que tienen dispositivos aprobados para uso gubernamental.

Gobierno australiano


Como se resumen en la página EPL - Lista de productos evaluados:

La directiva australiana de señales (ASD) mantiene una lista de productos evaluados (EPL), que incluye los productos de seguridad TIC evaluados por ella misma para su uso en las agencias gubernamentales australiana y neozelandesa.

Producto: iOS 9
Tipo de producto: productos móviles
Estado del producto: finalizado
Nivel de garantía: evaluado por la ASD
Versión: 9.3.5 o superior
Guía: PDF

Gobierno de Reino Unido


Como se ha resumido en la página de NCSC Garantía de productos comerciales - productos con certificación básica:

Esta garantía (CPA) evalúa los productos comerciales disponibles para la venta y a sus desarrolladores con respecto a los estándares de desarrollo y seguridad publicados. Los productos de seguridad con una evaluación positiva obtienen una certificación básica (Foundation Grade). Esto significa que el producto se ha evaluado y ha demostrado contar con una buena seguridad comercial, y es adecuado para entornos de bajo riesgo.

  • La certificación CPA es válida durante 2 años y permite actualizar los productos durante el periodo de validez de la certificación, conforme surjan nuevas vulnerabilidades y se requieran actualizaciones. 
  • El catálogo de la OTAN acepta la certificación CPA. Además, está reconocida como una de las evaluaciones necesarias para el catálogo de la UE.
  • La NCSC explica la certificación básica con más detalle.

Gobierno de EE. UU.


Como se indica en la página del programa de soluciones comerciales para entornos clasificados:

Los clientes gubernamentales de EE. UU. requieren cada vez más el uso inmediato de las tecnologías de hardware y software comercial más modernas del mercado de sistemas de seguridad nacional (NSS) a fin de alcanzar sus objetivos. Así pues, la directiva de garantía de la información (IAD) de la Agencia de Seguridad Nacional/Servicio de Seguridad Central (NSA/CSS) está desarrollando nuevas formas de aprovechar las tecnologías emergentes para ofrecer soluciones de IA de forma más puntual para desarrollar rápidamente los requisitos de los clientes.

El programa de soluciones comerciales para entornos clasificados (CSfC) de NSA/CSS se ha establecido para permitir que los productos comerciales se usen en soluciones en capas que protegen los datos NSS clasificados. Esto proporcionará la capacidad de establecer la comunicación de forma segura en función de estándares comerciales en una solución que se puede obtener en meses, no en años.

Un número cada vez mayor de entornos clasificados quiere implantar soluciones de Apple, pero este proceso se ha detenido en espera de la certificación de los productos. Con la búsqueda de Apple de certificaciones Common Criteria en contraposición a los perfiles de protección indicados anteriormente, los productos Apple activados se incluirán y estarán disponibles en la Lista de componentes de CSfC.

Una vez que las certificaciones adicionales Common Criteria para los productos Apple hayan comenzado para cada perfil de protección relacionado, los componentes de Apple correspondientes se enviarán para su inclusión en la lista de componentes de CSfC y se añadirán a continuación.

Lista de componentes de CSfC

Los siguientes productos de Apple se pueden usar con una solución CSfC:

Agregar productos Apple a tu lista de productos

Un número cada vez mayor de entornos gubernamentales está solicitando que se envíen los productos Apple a sus programas, de forma similar a lo que sucede con CPA, EPL y CSfC. Si eres agente autorizado de un programa de soluciones gubernamentales y estás interesado en que se incluyan los productos Apple en la lista de productos equivalentes, ponte en contacto con nosotros en security-certifications@apple.com.

Otros sistemas operativos

Para obtener más información sobre seguridad del producto, validaciones e instrucciones, consulta:

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: