Certificações, validações e diretrizes de segurança de produtos para iOS

Este artigo contém referências para certificações de produtos-chave, validações criptográficas e diretrizes de segurança para plataformas iOS. Caso tenha alguma questão, contacte-nos através do endereço de e-mail security-certifications@apple.com.

Validações de módulos criptográficos

Pode encontrar todos os Certificados de validação de conformidade com a norma FIPS 140-2 da Apple na página de fornecedores do CMVP (Programa de validação de módulos criptográficos). Para cada lançamento importante do iOS, a Apple envolve-se ativamente na validação dos módulos CoreCrypto e CoreCrypto Kernel. A validação só pode ser efetuada na versão de lançamento final do módulo e formalmente enviada no lançamento público do SO. O CMVP mantém agora o estado de validação de módulos criptográficos em duas listas separadas, consoante o seu estado atual. Os módulos começam na Lista de implementação sujeita a testes e avançam para a Lista de módulos em processamento.

iOS 12

A Apple encontra-se ativamente envolvida na validação dos módulos CoreCrypto v9.0 utilizados no iOS 12, disponível no final deste ano.

Versões anteriores

Estas versões anteriores do iOS tinham validações de módulo criptográfico e estão agora arquivadas:

  • iOS 8
  • iOS 7

Manuais de configuração de segurança

As empresas focadas na segurança disponibilizam orientações bem definidas e controladas acerca da configuração das várias plataformas para uma utilização aprovada. Os Manuais de configuração de segurança disponibilizam uma visão geral das funcionalidades do macOS e do iOS que podem ser utilizadas para melhorar a proteção do dispositivo. Os governos de todo o mundo têm colaborado com a Apple e desenvolvido manuais concebidos para disponibilizar instruções e recomendações para a manutenção de um ambiente mais seguro. 

Para utilizar estes manuais, deve ser um utilizador experiente ou um administrador do sistema, estar familiarizado com a interface do utilizador e ter alguns conhecimentos práticos das ferramentas de gestão da plataforma de destino. Também é uma mais-valia estar familiarizado com conceitos básicos de redes. Determinadas instruções nos manuais são complexas e, caso se desvie das mesmas, pode fazer com que ocorram efeitos adversos ou com que haja uma redução do nível de proteção. Antes da implementação, teste exaustivamente todas as alterações efetuadas às definições do dispositivo.

Saiba mais no Manual de segurança do iOS (PDF).

Certificações de segurança

Uma lista com as certificações completas, ativas e publicamente identificadas da Apple.

Certificação ISO 27001 e 27018

A Apple recebeu as certificações ISO 27001 e ISO 27018 para o Sistema de Gestão da Segurança da Informação para a infraestrutura, o desenvolvimento e as operações de apoio aos produtos e serviços Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, ID Apple geridos, Siri e TPC, de acordo com a Declaração de Aplicabilidade v2.1, datada de 11/07/2017. A conformidade da Apple com os padrões ISO foi certificada pelo British Standards Institution. O site do BSI tem certificados de conformidade para as normas ISO 27001 e ISO 27018.

Certificação de critérios comuns

Conforme citado pela comunidade de Critérios comuns, o objetivo passa por ter um conjunto de normas de segurança, aprovadas internacionalmente, que forneçam uma avaliação clara e fidedigna das capacidades de segurança dos produtos de Tecnologias de informação. Ao fornecer uma avaliação independente da capacidade para o cumprimento das normas de segurança de um determinado produto, a Certificação de critérios comuns proporciona aos clientes mais confiança na segurança dos produtos de Tecnologias de informação, permitindo que tomem decisões mais informadas.

Através de um Common Criteria Recognition Arrangement (CCRA – Acordo para o reconhecimento de critérios comuns), as regiões e os países-membros concordaram em reconhecer a certificação de produtos de Tecnologias de informação com o mesmo nível de confiança. Os membros, juntamente com o alcance dos Perfis de proteção, continuam a aumentar anualmente para dar resposta às tecnologias emergentes. Este acordo permite que um responsável pelo desenvolvimento de produtos aplique uma única certificação, de qualquer um dos Esquemas de autorização.

Os Perfis de proteção (PP) anteriores foram arquivados e começaram a ser substituídos por Perfis de proteção específicos centrados em soluções e ambientes concretos. Através da convergência de esforços para garantir a continuidade do reconhecimento mútuo entre todos os membros do CCRA, a International Technical Community (iTC – Comunidade técnica internacional) continua a impulsionar o desenvolvimento e as atualizações dos PP futuros em direção aos Perfis de proteção colaborativos (cPP) que são desenvolvidos desde o início com o envolvimento de vários esquemas.

A partir do início de 2015, a Apple começou a aplicar certificações no âmbito desta nova restruturação dos Critérios comuns com PP selecionados. Na lista que se segue constam as certificações completas, ativas e publicamente identificadas da Apple. 

iOS 11

 

Perfil de proteção

VID

Conclusão

Dispositivo móvel

PP_MD_v3.1

10851

30/03/2018

Agente MDM

EP_MDM_Agent_v3.0

10851

30/03/2018

Agente WLAN

PP_WLAN_CLI_EP_v1.0

10851

30/03/2018

Cliente VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10/05/2018

Software de aplicação (Contactos)

PP_APP_v1.2

10915

Previsão:08/2018

Navegador (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

Previsão:08/2018

Versões anteriores

Versões anteriores do iOS tiveram certificações que estão agora arquivadas:

  • iOS 10
  • iOS 9

Uma vez publicadas as principais atualizações da versão dos Perfis de proteção pela comunidade de Critérios comuns, espera-se que as mesmas acompanhem, no prazo de 12 a 18 meses, os Requisitos funcionais de segurança (SFR) atualizados ou adicionais.

No Portal de critérios comuns, está disponível uma lista completa de Perfis de proteção (PP) e Perfis de proteção colaborativos (cPP), juntamente com as respetivas datas de validade. Também os pode localizar no seu esquema de escolha, como a National Information Assurance Partnership (NIAP – Parceria nacional de segurança da informação) que é o esquema dos EUA.

Aprovação para utilização por parte do governo

Informações de regiões e de países selecionados que aprovaram dispositivos para utilização por parte do governo.

Governo da Austrália


Conforme resumido na página EPL – Evaluated Products List (Lista de produtos avaliados):

O Australian Signals Directorate (ASD – Direção de sinais da Austrália) mantém a Evaluated Products List (EPL – Lista de produtos avaliados) dos produtos de segurança da ICT avaliados pela ASD para utilização nas agências governamentais da Austrália e da Nova Zelândia.

  • Os produtos na EPL são certificados para fins específicos.
  • Os produtos na EPL poderão ser utilizados para criar redes e sistemas seguros, conforme descrito no Information Security Manual (ISM – Manual de segurança da informação) do governo da Austrália.
  • Os produtos são certificados ao abrigo dos internacionalmente reconhecidos Critérios comuns (CC) da ISO 15408. O Portal de critérios comuns apresenta uma lista de outros produtos com certificação mutuamente reconhecida que também pode ser utilizada.
  • O departamento de certificação da Australasian Certification Authority (ASD – Autoridade de certificação da Australásia), fiscaliza o Australasian Information Security Evaluation Program (AISEP – Programa de avaliação da segurança da informação da Australásia) que gere o teste dos produtos por parte de instalações de avaliações comerciais licenciadas.
  • A EPL apresenta também uma lista das Avaliações criptográficas da ASD.

Produto: iOS 9
Tipo de produto: produtos móveis
Estado do produto: concluído
Nível de segurança: avaliado pela ASD
Versão: 9.3.5 ou superior
Manual: PDF

Governo do Reino Unido


Conforme resumido na página Commercial Product Assurance - products at foundation grade (Segurança dos produtos comerciais – produtos com a classificação básica) da NCSC:

A CPA avalia os programadores e os produtos comerciais, assim que estes ficam disponíveis, relativamente às normas de segurança e desenvolvimento. Um produto de segurança que tenha uma avaliação com êxito obtém a certificação Foundation Grade (Classificação básica). Isto significa que o produto conseguiu demonstrar boas práticas de segurança comercial e que é adequado para ambientes com níveis baixos de ameaças.

  • A certificação da CPA é válida por dois anos e permite que os produtos sejam atualizados durante a duração da certificação, uma vez que são necessárias as vulnerabilidades e as atualizações. 
  • A certificação da CPA é aceite pelo catálogo da NATO e reconhecida como uma das avaliações necessárias para o catálogo da UE.
  • A Foundation Grade (Classificação básica) é explicada com mais pormenor pela NCSC.

Governo dos EUA


Conforme descrito na página Commercial Solutions for Classified (Soluções comerciais para informações classificadas):

Os clientes do governo dos EUA exigem, cada vez mais, a utilização imediata das tecnologias de hardware e de software mais recentes no mercado, no âmbito dos Sistemas de segurança nacional (NSS), com o propósito de alcançar os objetivos da missão. Consequentemente, o Information Assurance Directorate (IAD – Conselho de segurança da informação) da National Security Agency/Central Security Service (NSA – Agência de segurança nacional/CSS – Serviço de segurança central) está a desenvolver novas formas de tirar partido das tecnologias emergentes, de forma a disponibilizar soluções de segurança da informação mais oportunas para os requisitos dos clientes que evoluem rapidamente.

O programa CSfC da NSA/CSS foi estabelecido para permitir a utilização de produtos comerciais em soluções estratificadas, protegendo os dados classificados da NSS. Assim, será possível comunicar de forma segura com base em normas comerciais numa solução que pode ser posta em prática em meses e não em anos.

Um número crescente de ambientes classificados pretende implementar soluções da Apple, mas têm sido impedidos por motivos de certificação dos produtos. A aplicação das Certificações de critérios comuns por parte da Apple, face aos Perfis de proteção mencionados acima, permitiu que os produtos Apple fossem incluídos e disponibilizados na Lista de componentes do CSfC.

Uma vez que as Certificações de critérios comuns dos produtos Apple começaram a opor-se aos perfis de proteção, os componentes da Apple correspondentes serão submetidos a aceitação por parte da Lista de componentes do CSfC e adicionados abaixo.

Lista de componentes do CSfC

Os seguintes produtos Apple são elegíveis para serem utilizados numa solução CSfC:

Adicionar produtos Apple à sua Lista de produtos

Um número crescente de ambientes governamentais solicitou que os produtos Apple fossem submetidos aos respetivos programas, semelhantes à CPA, EPL e às CSfC. Se for um agente autorizado do programa de soluções do seu governo e estiver interessado em ter produtos Apple na sua Lista de produtos equivalente, contacte-nos através do endereço de e-mail security-certifications@apple.com.

Outros sistemas operativos

Saiba mais sobre validações e diretrizes de segurança de produtos para:

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: