Seguridad del producto Preguntas Frecuentes

¿Cuál es el propósito del Grupo de Trabajo de Seguridad de Productos?

El propósito del Grupo de Trabajo de Seguridad de Productos es desarrollar un programa de certificación de seguridad de productos basado en las mejores prácticas de seguridad, capacidades técnicas y regulaciones de seguridad de productos existentes utilizadas para garantizar la seguridad de los dispositivos de IoT y, en última instancia, otorgar una marca reconocida por los consumidores de que los productos que que están utilizando satisfacen un umbral de seguridad básico y pueden ser respaldados por los reguladores como si cumplieran los requisitos de seguridad aplicables. Se emplean laboratorios de pruebas autorizados para entregar esta marca a escala.

¿Qué es la seguridad del producto y en qué se diferencia de la seguridad del protocolo?

Estándares tales como Zigbee y Matter definir requisitos para la seguridad de los protocolos de red. El Grupo de Trabajo de Seguridad de Productos los complementa creando un programa de certificación para la seguridad de los productos en su conjunto, incluidas características de seguridad como el arranque seguro que son inherentes al producto pero que no forman parte de un protocolo de red. Además, este programa está disponible para productos que no implementan ningún protocolo estandarizado por la Alliance.

¿Por qué necesitamos el Grupo de Trabajo de Seguridad de Productos cuando el otro Alliance ¿Las tecnologías ya tienen requisitos de seguridad para sus certificaciones?

La certificación de seguridad del producto difiere sustancialmente de las pruebas funcionales y de interoperabilidad empleadas por nuestros otros grupos de trabajo. En el caso de la seguridad del producto, los evaluadores deben verificar no sólo que un producto funcione e interopere correctamente, sino también que pueda resistir ciertos ataques hostiles. Por tanto, la certificación de seguridad de productos requiere diferentes habilidades y métodos.

Por ejemplo, un producto con una contraseña de administrador conocida o una puerta trasera puede pasar pruebas funcionales y de interoperabilidad, pero no pruebas de seguridad del producto.

¿Por qué el Alliance ¿Necesita crear una certificación de seguridad del producto?

Los ataques contra los sistemas de IoT siguen creciendo en número, sofisticación e impacto. Esos ataques explotan cualquier posible vulnerabilidad más allá del alcance tradicional de los protocolos de conectividad, que generalmente se limitan a asegurar la puesta en servicio y los datos en tránsito.

Están empezando a surgir programas nacionales de certificación/etiquetado de seguridad cibernética (por ejemplo, Singapur y Finlandia) y los gobiernos están respondiendo con normas y reglamentos; para enumerar algunos que ya existen o en proceso:

• EE. UU.: NIST IR 8259, NIST IR 8425, NIST SP 800-213 y varias leyes
• UE: Ley de seguridad cibernética, Directiva sobre equipos de radio (RED) revisada y Ley de resiliencia cibernética
• Estándares de referencia como IEC 62443 y ETSI EN 303 645
• Reino Unido – Ley de infraestructura de telecomunicaciones y seguridad de productos de 2022
• Singapur, Finlandia, China, etc.

La continua divergencia de requisitos y la proliferación de diferentes programas de certificación generarán altos costos y complejidad para demostrar la seguridad del producto antes de su comercialización, especialmente para los actores globales. 

El AllianceLa ambición de es remediar esta situación aprovechando sus fortalezas y experiencia: proporcionando un programa de certificación con valor de mercado desarrollado en un proceso de estandarización impulsado por el consenso, informado por las mejores prácticas de seguridad, capacidades técnicas y regulaciones de seguridad de productos existentes.

Cómo hace el Connectivity Standards Alliance ¿La certificación de seguridad del producto se relaciona con los estándares nacionales, regionales e internacionales en esta área?

La certificación de Seguridad de Productos se basa en los requisitos incluidos en los estándares nacionales, regionales e internacionales relacionados con la seguridad de los productos de IoT. Esperamos que los productos que reciben el Alliance La certificación de seguridad del producto también cumplirá con estos otros estándares, simplificando el proceso de certificación tanto para los fabricantes de productos como para los consumidores.

¿Cuántas Alliance ¿Las empresas miembro participan en el grupo de trabajo de seguridad de productos?

En el momento del lanzamiento de la especificación de seguridad de dispositivos IoT Product Security 1.0, había casi 200 Connectivity Standards Alliance Empresas miembros Promotoras y Participantes representadas en el Grupo de Trabajo de Seguridad del Producto.

¿Cuáles son las características y requisitos de seguridad que se incluyen en la especificación y que deben ser certificados por el Alliance? ¿Qué significa o implica un producto seguro bajo esta marca?

La Especificación de seguridad de dispositivos IoT de Product Security incluye docenas de disposiciones de seguridad de productos específicas. Los fabricantes de dispositivos IoT deben dar fe de su cumplimiento de dichas disposiciones, proporcionando justificaciones y pruebas a un laboratorio de pruebas aceptado certificado con experiencia en evaluación de seguridad y experiencia en la certificación de productos relacionados con esta especificación.

• Los requisitos específicos incluyen
• Identidad única para cada dispositivo IoT
• Sin contraseñas predeterminadas codificadas
• Almacenamiento seguro de datos confidenciales en el Dispositivo
• Comunicaciones seguras de información relevante para la seguridad.
• Actualizaciones de software seguras durante todo el período de soporte
• Proceso de desarrollo seguro, incluida la gestión de vulnerabilidades.
• Documentación pública sobre seguridad, incluido el período de soporte.

En conjunto, estos requisitos brindan garantía de que se han cumplido los requisitos de seguridad fundamentales.

Si está certificado, ¿se requiere que la Marca Verificada de Seguridad del Producto esté en el dispositivo o en el embalaje?

No, la Marca Verificada será opcional para que los Fabricantes de Dispositivos la coloquen en el dispositivo o en el embalaje. Pueden pasar por el programa de certificación y reclamar la certificación sin mostrar la marca.