Certificações, validações e diretrizes de segurança dos produtos para macOS

Este artigo contém referências para certificações de produtos-chave, validações criptográficas e diretrizes de segurança para plataformas macOS. Caso tenha alguma questão, contacte-nos através do endereço de e-mail security-certifications@apple.com.

Validações de módulos criptográficos

Pode encontrar todos os Certificados de validação de conformidade com a norma FIPS 140-2 da Apple na página de fornecedores do CMVP (Programa de validação de módulos criptográficos). Para cada lançamento importante do macOS, a Apple envolve-se ativamente na validação dos módulos CoreCrypto e CoreCrypto Kernel. A validação só pode ser efetuada na versão de lançamento final do módulo e formalmente enviada no lançamento público do SO. O CMVP mantém agora o estado de validação de módulos criptográficos em duas listas separadas, consoante o seu estado atual. Os módulos começam na Lista de implementação sujeita a testes e avançam para a Lista de módulos em processamento.

macOS Mojave

A Apple encontra-se ativamente envolvida na validação dos módulos CoreCrypto v9.0 utilizados no macOS Mojave, disponível no final deste ano.

macOS High Sierra

Versões anteriores

Estas versões anteriores do OS X tinham validações de módulo criptográfico e estão agora arquivadas:

  • OS X Yosemite 10.10
  • OS X Mavericks 10.9
  • OS X Mountain Lion 10.8
  • OS X Lion 10.7
  • OS X Snow Leopard 10.6

Manuais de configuração de segurança

As empresas focadas na segurança disponibilizam orientações bem definidas e controladas acerca da configuração das várias plataformas para uma utilização aprovada. Os Manuais de configuração de segurança disponibilizam uma visão geral das funcionalidades do OS X e do iOS que podem ser utilizadas para melhorar a proteção do dispositivo. Os governos de todo o mundo têm colaborado com a Apple e desenvolvido manuais concebidos para disponibilizar instruções e recomendações para a manutenção de um ambiente mais seguro. 

Para utilizar estes manuais, deve ser um utilizador experiente ou um administrador do sistema. Deve estar familiarizado com a interface do utilizador e ter alguns conhecimentos práticos das ferramentas de gestão da plataforma de destino. Também é uma mais-valia estar familiarizado com conceitos básicos de redes. Determinadas instruções nos manuais são complexas e, caso se desvie das mesmas, pode fazer com que ocorram efeitos adversos ou com que haja uma redução do nível de proteção. Antes da implementação, teste exaustivamente todas as alterações efetuadas às definições do dispositivo.

Saiba mais no Manual de segurança do macOS (PDF).

  macOS High Sierra 10.13                  macOS Sierra 10.12 OS X El Capitan 10.11

Apple
SCAP-On-Apple SCAP-On-Apple SCAP-on-Apple

Reino Unido
(NCSC)
Diretrizes de segurança para dispositivos do utilizador final: macOS 10.13 High Sierra Diretrizes de segurança para dispositivos do utilizador final Diretrizes de segurança para dispositivos do utilizador final

Diretrizes de segurança para dispositivos do utilizador final
 (PDF)

Script de fornecimento do OS X 10.11

EUA
(DISA, NIST, NSA)
STIG do macOS

Estação de trabalho STIG do macOS 10.12

Lista de verificação NIST

Estação de trabalho STIG do OS X 10.11 da Apple

Certificações de segurança

Uma lista com as certificações completas, ativas e publicamente identificadas da Apple.

Certificação ISO 27001 e 27018

A Apple recebeu as certificações ISO 27001 e ISO 27018 para o Sistema de Gestão da Segurança da Informação para a infraestrutura, o desenvolvimento e as operações de apoio aos produtos e serviços Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, ID Apple geridos, Siri e TPC, de acordo com a Declaração de Aplicabilidade v2.1, datada de 11/07/2017. A conformidade da Apple com os padrões ISO foi certificada pelo British Standards Institution. O site do BSI tem certificados de conformidade para as normas ISO 27001 e ISO 27018.

Certificação de critérios comuns

Conforme citado pela comunidade de Critérios comuns, o objetivo passa por ter um conjunto de normas de segurança, aprovadas internacionalmente, que forneçam uma avaliação clara e fidedigna das capacidades de segurança dos produtos de Tecnologias de informação. Ao fornecer uma avaliação independente da capacidade para o cumprimento das normas de segurança de um determinado produto, a Certificação de critérios comuns proporciona aos clientes mais confiança na segurança dos produtos de Tecnologias de informação, permitindo que tomem decisões mais informadas.

Através de um Common Criteria Recognition Arrangement (CCRA – Acordo para o reconhecimento de critérios comuns), as regiões e os países-membros concordaram em reconhecer a certificação de produtos de Tecnologias de informação com o mesmo nível de confiança. Os membros, juntamente com o alcance dos Perfis de proteção, continuam a aumentar anualmente para dar resposta às tecnologias emergentes. Este acordo permite que um responsável pelo desenvolvimento de produtos aplique uma única certificação, de qualquer um dos Esquemas de autorização.

Quem não estiver familiarizado com a reestruturação, relativamente recente, da abordagem da certificação ao abrigo dos novos Critérios comuns deverá ter em consideração que já não existe qualquer referência aos Evaluated Assurance Levels (Níveis de qualidade avaliada) (EAL #). Os Perfis de proteção (PP) anteriores foram arquivados e começaram a ser substituídos por Perfis de proteção específicos centrados em soluções e ambientes concretos. Através da convergência de esforços para garantir a continuidade do reconhecimento mútuo entre todos os membros do CCRA, a International Technical Community (iTC – Comunidade técnica internacional) continua a impulsionar o desenvolvimento e as atualizações dos PP futuros em direção aos Perfis de proteção colaborativos (cPP) que são desenvolvidos desde o início com o envolvimento de vários esquemas.

A partir do início de 2015, a Apple começou a aplicar certificações no âmbito desta nova restruturação dos Critérios comuns com PP selecionados. Na lista que se segue constam as certificações completas, ativas e publicamente identificadas da Apple.

macOS

A Apple encontra-se ativamente envolvida na validação do macOS relativamente ao Perfil de proteção de sistema operativo de finalidade geral. 

Declarações de volatilidade

As organizações governamentais e respetivos fornecedores que tenham de fornecer uma Declaração de volatilidade do fabricante do produto podem obter a mesma enviando um pedido por e-mail para AppleFederal@apple.com com informações sobre a Agência governamental que necessita da declaração, o nome do produto Apple, o número de série do produto e o contacto técnico do governo para o pedido.

Outros sistemas operativos

Saiba mais sobre validações e diretrizes de segurança de produtos para:

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: