Certificações, validações e orientações de segurança dos produtos iOS

Este artigo contém referências para as principais certificações de produto, validações criptográficas e orientações de segurança para as plataformas iOS. Em caso de dúvidas, entre em contato conosco pelo e-mail security-certifications@apple.com.

Validações de módulo criptográfico

Todos os Certificados de Validação de Conformidade FIPS 140-2 da Apple podem ser encontrados na página do fornecedor de CMVP. A Apple está ativamente envolvida na validação dos módulos CoreCrypto e CoreCrypto Kernel de cada nova versão principal do iOS. A validação pode ser executada somente em uma versão final do módulo e formalmente enviada após o lançamento público do sistema operacional. Agora, o CMVP mantém o status de validação dos módulos criptográficos em duas listas separadas conforme o status atual deles. Os módulos começam na Implementation Under Test List (Lista de implementação em teste) e continuam na Modules in Process List (Lista de módulos em processo).

iOS 12

A Apple está ativamente envolvida na validação dos módulos CoreCrypto 9.0 usados ​​no iOS 12, que serão lançados ainda este ano.

Versões anteriores

Estas versões anteriores do iOS tinham validações de módulo criptográfico e agora estão arquivadas:

  • iOS 8
  • iOS 7

Guias de configuração de segurança

As organizações com foco em segurança oferecem orientações bem definidas e aprovadas sobre como configurar várias plataformas para uso aceitável. Os guias de configuração de segurança fornecem uma visão geral dos recursos do macOS e do iOS que podem ser usados para melhorar a proteção, conhecidos como "fortalecimento de seu dispositivo". Governos do mundo todo colaboraram com a Apple e desenvolveram guias para fornecer instruções e recomendações sobre como manter um ambiente mais seguro. 

Para usar esses guias, você deve ser um usuário experiente ou um administrador de sistema, estar familiarizado com a interface de usuário e ter algum conhecimento prático das ferramentas de gerenciamento da plataforma de destino. Recomendamos que você se familiarize com os conceitos básicos de rede. Algumas instruções nos guias são complexas, e deixar de segui-las pode resultar em efeitos adversos ou proteção reduzida. Faça testes detalhados das alterações feitas nos ajustes do dispositivo antes da implantação.

Saiba mais no Guia de segurança do iOS (PDF).

Certificações de segurança

Uma lista de certificações da Apple concluídas, ativas e identificadas publicamente.

Certificados ISO 27001 e 27018

A Apple recebeu os certificados ISO 27001 e ISO 27018 para o Sistema de Gestão de Segurança da Informação pela infraestrutura, desenvolvimento e operações que dão suporte aos seguintes produtos e serviços: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, IDs Apple gerenciados, Siri e Schoolwork de acordo com a Declaração de Aplicabilidade 2.1, de 11/7/2017. A conformidade da Apple com os padrões ISO foi certificada pela British Standards Institution. O site da BSI tem certificados de conformidade para ISO 27001 e ISO 27018.

Certificação Common Criteria

Conforme declarado pela comunidade Common Criteria, o objetivo é ter um conjunto de padrões de segurança aprovado internacionalmente que forneça uma avaliação clara e confiável dos recursos de segurança dos produtos de Tecnologia da Informação. Ao fornecer uma avaliação independente sobre a capacidade de um produto de satisfazer os padrões de segurança, a Certificação Common Criteria oferece aos clientes mais confiança na segurança dos produtos de tecnologia da informação, levando-os a tomar decisões mais esclarecidas.

Por meio de um Acordo de Reconhecimento de Critérios Comuns (CCRA), os países e regiões membros concordaram em reconhecer a certificação de produtos da Tecnologia da Informação com o mesmo nível de confiança. A associação, com a profundidade e o alcance dos Perfis de proteção, continua crescendo todos os anos para abranger novas tecnologias. Esse acordo permite que um desenvolvedor de produto obtenha uma certificação única em qualquer um dos Esquemas de autorização.

Os Perfis de proteção (PP) anteriores foram arquivados e começaram a ser substituídos pelo desenvolvimento de Perfis de proteção orientados, com foco em soluções e ambientes específicos. Em um esforço conjunto para garantir o reconhecimento mútuo e contínuo para todos os membros do CCRA, a Comunidade Técnica Internacional (iTC) continua direcionando todos os futuros desenvolvimentos e todas as atualizações de PPs aos Perfis de proteção colaborativos (cPP), que são desenvolvidos com o envolvimento de vários esquemas desde o início.

A Apple começou a buscar certificações de acordo com a nova reestruturação do Common Criteria com PPs selecionados no início de 2015. As certificações identificadas publicamente, ativas e concluídas da Apple estão relacionadas abaixo. 

iOS 11

 

Perfil de proteção

VID

Conclusão

Dispositivo móvel

PP_MD_v3.1

10851

30/3/2018

Agente MDM

EP_MDM_Agent_v3.0

10851

30/3/2018

Agente WLAN

PP_WLAN_CLI_EP_v1.0

10851

30/3/2018

Cliente VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10/5/2018

Software de aplicativo (Contatos)

PP_APP_v1.2

10915

ETA: agosto de 2018

Navegador (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA: agosto de 2018

Versões anteriores

Versões anteriores do iOS tiveram certificações que agora estão arquivadas:

  • iOS 10
  • iOS 9

Em geral, espera-se que as principais atualizações de versão para Perfis de proteção publicadas pela comunidade Common Criteria sigam um ritmo de 12 a 18 meses com Requisitos Funcionais de Segurança (SFRs) adicionais ou atualizados.

No portal do Common Criteria, você encontra uma lista completa dos Perfis de proteção (PPs) e dos Perfis de proteção colaborativos (cPPs) com as respectivas datas de validade. Você também pode encontrá-los no esquema de sua preferência, como o National Information Assurance Partnership (NIAP), que é o esquema dos EUA.

Aprovado para uso pelo governo

Informações de países e regiões específicos que possuem dispositivos aprovados para uso governamental.

Governo australiano


Conforme resumo feito na página da EPL (Lista de Produtos Avaliados):

A Agência de Inteligência da Austrália (ASD) mantém a Lista de Produtos Avaliados (EPL) de produtos de segurança ICT avaliados pela ASD para uso nas agências governamentais da Austrália e da Nova Zelândia.

  • Os produtos da EPL são certificados para fins específicos.
  • Os produtos da EPL podem ser usados para construir sistemas e redes de segurança conforme descrito no Manual de Segurança da Informação (ISM) do governo australiano.
  • Os produtos são certificados de acordo com a norma ISO 15408 reconhecida internacionalmente Critérios Comuns (CC). O Portal CC relaciona outros produtos com certificação mutuamente reconhecida que também podem ser usados.
  • O escritório de certificação da ASD, que é a Autoridade de Certificação da Austrália e da Ásia, supervisiona o Programa de Avaliação de Segurança da Informação da Austrália e da Ásia (AISEP) que administra os testes dos produtos em estabelecimento de avaliação comercial licenciadas.
  • A EPL também indica as Avaliações Criptográficas da ASD.

Produto: iOS 9
Tipo de produto: produtos móveis
Status do produto: concluído
Nível de garantia: avaliado pela ASD
Versão: 9.3.5 ou superior
Guia: PDF

Governo do Reino Unido


Conforme resumos na página Garantia do produto comercial – produtos foundation grade da NCSC:

A CPA avalia desenvolvedores e produtos comerciais prontos para uso de acordo com os padrões de segurança e desenvolvimento publicados. Um produto de segurança que é avaliado com êxito ganha a certificação Foundation Grade. Isso significa que o produto comprovou uma boa prática de segurança comercial e é adequado para ambientes de ameaças menores.

  • A certificação CPA é válida por dois anos e permite que os produtos sejam atualizados durante esse período de validade conforme as vulnerabilidades forem constatadas e as atualizações forem necessárias. 
  • A certificação CPA é aceita pelo catálogo da OTAN e reconhecida como uma das avaliações necessárias para o catálogo da União Europeia.
  • A Foundation Grade é explicada detalhadamente pela NCSC.

Governo dos EUA


Conforme estabelecido na página do programa Commercial Solutions for Classified:

Cada vez mais, os clientes do governo dos EUA exigem o uso imediato das tecnologias de software comercial e hardware mais modernas do mercado nos sistemas de segurança nacional (NSS) para atingir os objetivos da missão. Como resultado, a Secretaria de Garantia da Informação (IAD) da Agência de Segurança Nacional/Serviço Central de Segurança (NSA/CSS) está desenvolvendo novas maneiras de aproveitar as tecnologias emergentes para oferecer soluções mais pontuais de garantia da informação (IA) para requisitos de cliente que mudam rapidamente.

O programa Commercial Solutions for Classified (CSfC) da NSA/CSS foi estabelecido para permitir que produtos comerciais sejam usados em soluções segmentadas que protegem dados confidenciais do NSS. Isso oferece a capacidade de estabelecer uma comunicação segura e baseada em padrões comerciais em uma solução que pode ser implantada em meses, e não em anos.

Um número crescente de ambientes sigilosos deseja implantar soluções da Apple, mas há resistência por causa de certificação de produto. A busca da Apple por Certificações Common Criteria para os perfis de proteção descritos acima permitiu aos produtos Apple entrarem e ficarem disponíveis na Lista de componentes CSfC.

Quando as Certificações Common Criteria de produtos Apple forem iniciadas para cada perfil de proteção relacionado, os componentes correspondentes da Apple serão enviados para aceitação na Lista de componentes CSfC e adicionados à tabela abaixo.

Lista de componentes CSfC

Os seguintes produtos Apple estão qualificados para serem usados ​​em uma solução CSfC:

Adicionar produtos Apple à Lista de produtos

Um número crescente de ambientes governamentais tem solicitado que os produtos Apple sejam enviados para programas semelhantes ao CPA, EPL e CSfC. Se você for um agente autorizado do programa de soluções de seu governo e estiver interessado em adquirir produtos Apple na sua Lista de produtos equivalente, entre em contato conosco pelo e-mail security-certifications@apple.com.

Outros sistemas operacionais

Saiba mais sobre segurança, validações e orientações sobre produtos para:

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: