Certificações, validações e orientações de segurança dos produtos macOS

Este artigo contém referências para as principais certificações de produto, validações criptográficas e orientações de segurança para as plataformas macOS. Em caso de dúvidas, entre em contato conosco pelo e-mail security-certifications@apple.com.

Validações de módulo criptográfico

Todos os Certificados de Validação de Conformidade FIPS 140-2 da Apple podem ser encontrados na página do fornecedor de CMVP. A Apple está ativamente envolvida na validação dos módulos CoreCrypto e CoreCrypto Kernel de cada nova versão principal do macOS. A validação pode ser executada somente em uma versão final do módulo e formalmente enviada após o lançamento público do sistema operacional. Agora, o CMVP mantém o status de validação dos módulos criptográficos em duas listas separadas conforme o status atual deles. Os módulos começam na Implementation Under Test List (Lista de implementação em teste) e continuam na Modules in Process List (Lista de módulos em processo).

macOS Mojave

A Apple está ativamente envolvida na validação dos módulos CoreCrypto 9.0 usados ​​no macOS Mojave, que serão lançados ainda este ano.

macOS High Sierra

Versões anteriores

Estas versões anteriores do OS X tinham validações de módulo criptográfico e agora estão arquivadas:

  • OS X Yosemite 10.10
  • OS X Mavericks 10.9
  • OS X Mountain Lion 10.8
  • OS X Lion 10.7
  • OS X Snow Leopard 10.6

Guias de configuração de segurança

As organizações com foco em segurança oferecem orientações bem definidas e aprovadas sobre como configurar várias plataformas para uso aceitável. Os guias de configuração de segurança fornecem uma visão geral dos recursos do OS X e do iOS que podem ser usados para melhorar a proteção, conhecidos como "fortalecimento de seu dispositivo". Governos do mundo todo colaboraram com a Apple e desenvolveram guias para fornecer instruções e recomendações sobre como manter um ambiente mais seguro. 

Para usar esses guias, você deve ser um usuário experiente ou um administrador de sistema. Você deve estar familiarizado com a interface de usuário e ter algum conhecimento prático das ferramentas de gerenciamento da plataforma de destino. Recomendamos que você se familiarize com os conceitos básicos de rede. Algumas instruções nos guias são complexas, e deixar de segui-las pode resultar em efeitos adversos ou proteção reduzida. Faça testes detalhados das alterações feitas nos ajustes do dispositivo antes da implantação.

Saiba mais no Guia de segurança do macOS (PDF).

  macOS High Sierra 10.13                  macOS Sierra 10.12 OS X El Capitan 10.11

Apple
SCAP-On-Apple SCAP-On-Apple SCAP-on-Apple

Reino Unido
(NCSC)
Orientações de segurança da EUD: macOS 10.13 High Sierra Orientações de segurança dos dispositivos para usuários finais Orientações de segurança dos dispositivos para usuários finais

Orientações de segurança dos dispositivos para usuários finais
 (PDF)

Script de provisionamento do OS X 10.11

EUA
(DISA, NIST, NSA)
STIGs do macOS

STIG para estação de trabalho no macOS 10.12

Lista de verificação do NIST

STIG para estação de trabalho no OS X 10.11 da Apple

Certificações de segurança

Uma lista de certificações da Apple concluídas, ativas e identificadas publicamente.

Certificados ISO 27001 e 27018

A Apple recebeu os certificados ISO 27001 e ISO 27018 para o Sistema de Gestão de Segurança da Informação pela infraestrutura, desenvolvimento e operações que dão suporte aos seguintes produtos e serviços: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, IDs Apple gerenciados, Siri e Schoolwork de acordo com a Declaração de Aplicabilidade 2.1, de 11/7/2017. A conformidade da Apple com os padrões ISO foi certificada pela British Standards Institution. O site da BSI tem certificados de conformidade para ISO 27001 e ISO 27018.

Certificação Common Criteria

Conforme declarado pela comunidade Common Criteria, o objetivo é ter um conjunto de padrões de segurança aprovado internacionalmente que forneça uma avaliação clara e confiável dos recursos de segurança dos produtos de Tecnologia da Informação. Ao fornecer uma avaliação independente sobre a capacidade de um produto de satisfazer os padrões de segurança, a Certificação Common Criteria oferece aos clientes mais confiança na segurança dos produtos de Tecnologia da Informação, levando-os a tomar decisões mais esclarecidas.

Por meio de um Acordo de Reconhecimento de Critérios Comuns (CCRA), os países e regiões membros concordaram em reconhecer a certificação de produtos da Tecnologia da Informação com o mesmo nível de confiança. A associação, com a profundidade e o alcance dos Perfis de proteção, continua crescendo todos os anos para abranger novas tecnologias. Esse acordo permite que um desenvolvedor de produto obtenha uma certificação única em qualquer um dos Esquemas de autorização.

As pessoas que não estão familiarizadas com a reestruturação relativamente recente do método de certificação do novo Common Criteria devem observar que não há mais qualquer referência aos Níveis de garantia de avaliação (EAL#). Os Perfis de proteção (PP) anteriores foram arquivados e começaram a ser substituídos pelo desenvolvimento de Perfis de proteção orientados, com foco em soluções e ambientes específicos. Em um esforço conjunto para garantir o reconhecimento mútuo e contínuo para todos os membros do CCRA, a Comunidade Técnica Internacional (iTC) continua direcionando todos os futuros desenvolvimentos e todas as atualizações de PPs aos Perfis de proteção colaborativos (cPP), que são desenvolvidos com o envolvimento de vários esquemas desde o início.

A Apple começou a buscar certificações de acordo com a nova reestruturação do Common Criteria com PPs selecionados no início de 2015. As certificações identificadas publicamente, ativas e concluídas da Apple estão relacionadas abaixo.

macOS

A Apple está ativamente envolvida na validação do macOS em relação ao Perfil de proteção do sistema operacional de finalidade geral. 

Declarações de volatilidade

As organizações governamentais e seus contratados de apoio que são obrigados a fornecer uma declaração de volatilidade do fabricante do produto podem obtê-la enviando uma solicitação para o e-mail AppleFederal@apple.com contendo a agência governamental solicitante, o nome do produto Apple, o número de série do produto e o contato técnico governamental da solicitação.

Outros sistemas operacionais

Saiba mais sobre segurança, validações e orientações sobre produtos para:

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: