Validaciones de módulos criptográficos
Todos los certificados de validación de conformidad con los estándares FIPS 140-2 de Apple se encuentran en la página de proveedores de CMVP. Apple se compromete activamente con la validación de los módulos CoreCrypto y CoreCrypto Kernel para todas las versiones principales de iOS. La validación solo puede realizarse con la versión final del módulo y puede presentarse formalmente en el momento del lanzamiento al público del sistema operativo. Actualmente, el CMVP mantiene el estado de validación de módulos criptográficos en dos listas separadas según su estado actual. Los módulos comienzan en lalista de implementaciones en prueba y, luego, continúan con la lista de módulos en proceso.
iOS 12
- Módulos criptográficos FIPS v9.0 para ARM de Apple
- Dispositivos compatibles con iOS 12
- Guía del oficial criptográfico para el cumplimiento de los estándares FIPS 140-2 v9.0 para ARM (PDF en inglés)
- N.º 3433: módulo CoreCrypto v9.0 para ARM de Apple
- Certificado
- Política de seguridad (PDF en inglés)
- Referencia del CMVP
- N.º 3438: módulo CoreCrypto Kernel v9.0 para ARM de Apple
- Certificado
- Política de seguridad (PDF en inglés)
- Referencia del CMVP
Validación relacionada (módulo en proceso)
iOS 11
- Módulos criptográficos FIPS v8.0 de Apple
- Dispositivos compatibles con iOS
- Guía del oficial criptográfico para el cumplimiento de los estándares FIPS 140-2 para ARM (PDF en inglés)
- CoreCrypto n.º 3148: Certificado de módulo y política de seguridad
- CoreCrypto Kernel n.º 3147: Certificado de módulo y política de seguridad
Validación relacionada
Versiones anteriores
Las siguientes versiones anteriores de iOS tenían validaciones de módulos criptográficos y, actualmente, se encuentran archivadas:
- iOS 10
- iOS 9
- iOS 8
- iOS 7
Guías de configuración de seguridad
Las organizaciones dedicadas a la seguridad ofrecen pautas bien definidas y estudiadas sobre cómo configurar diversas plataformas para un uso aceptable. En las guías de configuración de seguridad, se ofrece una descripción general de las funciones de iOS y macOS que puedes usar para mejorar la protección, lo que se conoce como “refuerzo del dispositivo”. Los gobiernos de todo el mundo colaboraron con Apple en el desarrollo de guías destinadas a ofrecer instrucciones y recomendaciones para mantener un entorno más seguro.
Para usar estas guías, debes ser un usuario experimentado o un administrador de sistemas, estar familiarizado con la interfaz de usuario y tener conocimientos prácticos básicos sobre las herramientas de administración de la plataforma elegida. Resulta útil estar familiarizado con los conceptos esenciales sobre las redes. Algunas de las instrucciones de las guías son complejas, por lo que desviarse de ellas puede tener efectos adversos o puede reducir la protección. Prueba exhaustivamente los cambios realizados en la configuración del dispositivo antes de implementarlos.
Obtén más información en la Guía de seguridad de iOS (PDF).
Alemania (BSI)
Guía de seguridad de referencia de iOS (Grundschutz iOS)
Guía de implementación de iOS (Umsetzungshinweise iOS)
Reino Unido (NCSC)
Guía para dispositivos de usuarios finales para iOS y macOS
Estados Unidos (DISA, NIST, NSA)
Apple iOS 12 STIG
SCAP-on-Apple
CIS: Center for Internet Security
CIS iOS
Australia (ASD)
Guía de refuerzo de iOS (en inglés)
Guía de refuerzo de iOS (PDF en inglés)
Guía de refuerzo de iOS (iBook en inglés)
Nueva Zelanda (GCSB)
Guía de refuerzo de iOS (en inglés)
Guía de refuerzo de iOS (PDF en inglés)
Guía de refuerzo de iOS (iBook en inglés)
Certificaciones de seguridad
Una lista de certificaciones de Apple completas, activas e identificadas públicamente.
Certificación ISO 27001 y 27018
Apple recibió la certificación ISO 27001 e ISO 27018 para soluciones de sistema de administración de seguridad de la información para la infraestructura, el desarrollo y las operaciones que admitan los siguientes productos y servicios: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, Apple ID administrados, Siri y Tareas Escolares, de acuerdo con la Declaración de aplicabilidad v2.1 del 11/7/2017. La British Standards Institution (BSI) certificó el cumplimiento de Apple con las normas ISO. El sitio web de la BSI tiene certificados de cumplimiento de ISO 27001 e ISO 27018.
Certificación Common Criteria
El objetivo, como se indica en la comunidad de Common Criteria, es que un conjunto de estándares de seguridad aprobados a nivel internacional brinde una evaluación precisa y confiable de las capacidades de seguridad de los productos de las tecnologías de la información. Al proporcionar una valoración independiente sobre la capacidad de un producto para cumplir con los estándares de seguridad, la certificación Common Criteria aporta a los clientes más confianza con respecto a la seguridad de los productos de tecnología de la información y los ayuda a tomar decisiones con más criterio.
Mediante el acuerdo de reconocimiento Common Criteria (CCRA, Common Criteria Recognition Arrangement), los países y las regiones miembros aceptaron reconocer la certificación de los productos de tecnología de la información con el mismo nivel de confianza. La membresía, junto con la profundidad y la amplitud de los perfiles de protección, continúa creciendo anualmente para afrontar la tecnología emergente. Mediante este acuerdo se permite que el programador de un producto busque una sola certificación de acuerdo con cualquier esquema de autorización.
Los perfiles de protección (PP) anteriores se archivaron y comenzaron a reemplazarse por el desarrollo de PP específicos destinados a soluciones y entornos determinados. En un esfuerzo conjunto para asegurar el reconocimiento mutuo y continuo entre todos los miembros del CCRA, la Comunidad Técnica Internacional (iTC) continúa impulsando el desarrollo y las actualizaciones de los PP futuros hacia los perfiles de protección colaborativos (cPP), en cuyo desarrollo intervienen varios esquemas desde el primer momento.
Apple comenzó a buscar certificaciones de acuerdo con esta modificación del nuevo estándar Common Criteria con PP selectos a principios de 2015. A continuación, se indica la lista de certificaciones completas, activas e identificadas públicamente de Apple.
iOS 12
Perfil de protección |
VID |
Finalización |
|
Dispositivo móvil |
2019.03 |
||
Agente MDM |
2019.03 |
||
Agente WLAN |
2019.03 |
||
Cliente VPN |
2019.03 |
||
Software de aplicación (Contactos) |
2019.02 |
||
Navegador (Safari) |
ETA: 2019.03 |
iOS 11
|
Perfil de protección |
VID |
Finalización |
Dispositivo móvil |
2018.03.30 |
||
Agente MDM |
2018.03.30 |
||
Agente WLAN |
2018.03.30 |
||
Cliente VPN |
2018.05.10 |
||
Software de aplicación (Contactos) |
2018.09.13 |
||
Navegador (Safari) |
2018.11.09 |
Versiones anteriores
Las versiones anteriores de iOS tenían certificaciones que ahora están archivadas:
- iOS 10
- iOS 9
Por lo general, se espera que las actualizaciones de las versiones principales de los perfiles de protección que publica la comunidad de Common Criteria sigan una cadencia de entre 12 y 18 meses con requisitos funcionales de seguridad (SFR, Security Functional Requirements) adicionales o actualizados.
En el portal de Common Criteria, encontrarás una lista completa de los perfiles de protección (PP) y los perfiles de protección colaborativos (cPP) junto con las fechas de caducidad correspondientes. También puedes encontrarlos en el esquema que elijas, como la Asociación Nacional de Garantía de la Información (NIAP), que es el esquema estadounidense.
Aprobación para uso gubernamental
Información de países y regiones selectos que aprobaron dispositivos para uso gubernamental.
Gobierno de Australia
Como se resumió a partir del texto de la página de la Lista de productos evaluados (EPL):
Australian Signals Directorate (ASD) tiene una Lista de productos evaluados (EPL) que incluye productos de seguridad de ICT evaluados por el ASD para su uso en las agencias gubernamentales de Australia y Nueva Zelanda.
- Los productos que se encuentran en la EPL están certificados con propósitos específicos.
- Los productos que se encuentran en la EPL se pueden usar para crear redes y sistemas seguros, como se describe en el Manual de seguridad de la información (ISM) del gobierno australiano.
- Los productos están certificados según el estándar internacionalmente reconocido Common Criteria (CC) ISO 15408. En el portal de CC, se incluyen otros productos con certificados de reconocimiento mutuo que también se pueden usar.
- La oficina de certificaciones del ASD, Australasian Certification Authority, supervisa el Programa de Evaluación de Seguridad de la Información de Australasia (AISEP, Australasian Information Security Evaluation Program) que administra las pruebas de los productos que realizan los servicios habilitados de evaluaciones comerciales.
- La EPL también incluye las Evaluaciones criptográficas del ASD.
Producto: iOS 9
Tipo de producto: Productos móviles
Estado del producto: Finalizado
Nivel de seguridad: Evaluado por el ASD
Versión: 9.3.5 o posterior
Guía: PDF en inglés
Gobierno del Reino Unido
Como se resumió a partir del texto de la página de Seguridad de productos comerciales (CPA): Productos con Foundation Grade de la NCSC:
La CPA evalúa los productos comerciales estándares y a sus desarrolladores según la seguridad publicada y los estándares de desarrollo. Un producto de seguridad que es evaluado y obtiene un resultado exitoso recibe la certificación Foundation Grade. Esto significa que se demostró que el producto tiene una buena práctica de seguridad comercial y que es apto para entornos con amenazas menores.
- La certificación CPA tiene validez por dos años y permite que los productos se actualicen durante ese tiempo a medida que se requieran definiciones de vulnerabilidades y actualizaciones.
- La certificación CPA es aceptada por el catálogo de la OTAN y reconocida como una de las evaluaciones necesarias para el catálogo de la UE.
- La NCSC proporciona información sobre Foundation Grade.
Gobierno de Alemania
Como se expresa en la página de comunicación móvil:
Descripción general
Los smartphones y tablets ofrecen una serie de beneficios tanto en la vida profesional como en la privada y se han convertido en un compañero constante en todas las situaciones de la vida. Sin embargo, cuando se trata de información confidencial, el uso de la tecnología de la comunicación y la TI móvil suele ser a costas de la seguridad.
Las soluciones de comunicación móvil segura para su uso en la administración federal siempre deben tener como objetivo cumplir con los requisitos del trabajo móvil moderno, así como los elevados requisitos de seguridad del procesamiento de datos confidenciales.
Con el fin de garantizar la seguridad del suministro para la administración federal, también es importante encontrar varios proveedores. En el folleto “Secure mobile work: problem definition, technical requirements and solutions based on the requirements for mobile devices in the federal administration” (Trabajo móvil seguro: definición de problemas, requisitos técnicos y soluciones basadas en los requisitos de los dispositivos móviles en la administración federal), se brinda información detallada.
SecurePIM Government SDS
Sistema operativo: iOS
Aprobación hasta VS-NfD
Fabricante: virtual solution AG
Dispositivos iOS más recientes (iPhone, iPad con la versión de iOS ≥ 12)
Gobierno de Estados Unidos
Como se expresa en la página de Soluciones comerciales para clasificados (CSfC):
Con mayor frecuencia, los clientes gubernamentales de Estados Unidos exigen el uso inmediato de las tecnologías de software y hardware comerciales más modernas del mercado en los sistemas de seguridad nacional (NSS, National Security Systems) para poder alcanzar los objetivos de su misión. Como consecuencia, la División de Seguridad de la Información (IAD, Information Assurance Directorate) de la Agencia de Seguridad Nacional/Servicio Central de Seguridad (NSA/CSS, National Security Agency/Central Security Service) está desarrollando nuevas formas de aprovechar las tecnologías emergentes para brindar soluciones de seguridad de la información de forma más oportuna, a fin de satisfacer los requisitos en constante evolución de los clientes.
El programa CSfC de la NSA/CSS se estableció para permitir que se usen productos comerciales en las soluciones de protección de datos confidenciales de los NSS compuestas por varios niveles. Esto posibilitará la comunicación segura basada en estándares comerciales en una solución que se puede implementar en meses (en lugar de años).
Un creciente número de ámbitos clasificados quieren implementar las soluciones de Apple, pero estas se retuvieron debido a motivos relacionados con las certificaciones de los productos. La búsqueda de Apple de certificaciones Common Criteria respecto de los PP que se indican más arriba dio lugar a la incorporación y la disponibilidad de los productos Apple en la Lista de componentes de CSfC.
Una vez que se inicien las certificaciones Common Criteria adicionales de Apple respecto de cada PP relacionado, los componentes de Apple pertinentes se enviarán para que se incluyan en la Lista de componentes de CSfC y se agregarán más abajo.
Lista de componentes de CSfC
Los siguientes productos Apple cumplen los requisitos para que se usen en una solución de CSfC:
Agregar los productos de Apple a la lista de productos de tu país
Un creciente número de gobiernos solicitaron que los productos Apple se incluyeran en sus programas, que son similares al CPA, EPA y CSfC. Si eres un agente autorizado del programa de soluciones de tu gobierno y te interesa incorporar productos Apple en tu propia lista de productos, comunícate con nosotros mediante la siguiente dirección: security-certifications@apple.com.
Otros sistemas operativos
Obtén más información sobre seguridad de los productos, validaciones y pautas para lo siguiente: