Kryptus obtém primeiro HSM nacional com certificações FIPS e ICP-Brasil

A Kryptus conquistou, em 4 de fevereiro de 2020, a certificação FIPS 140-2 em seu módulo criptográfico de hardware (HSM), o kNET, atestando o atendimento aos requisitos de segurança estabelecidos pelas normativas definidas pelo Instituto Nacional de Padrões e Tecnologia (NIST, em inglês), dos Estados Unidos, considerada a certificação que define os padrões internacionais para módulos criptográficos. O aparelho já possui a certificação da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), que define os padrões nacionais, e se torna o primeiro HSM brasileiro a estar de acordo com as normas nacionais e internacionais.

“Essa homologação dupla ICP-Brasil e FIPS 140-2 coloca o kNET em uma posição única no mercado”, diz Roberto Gallo, fundador e CEO da Kryptus.

O certificado habilita o kNET para ser vendido a órgãos públicos e empresas nacionais e internacionais que exigem a certificação FIPS no processo de compra. “Este certificado é um atestado de qualidade e segurança do kNET para nossos clientes, reforçando a confiança sobre os seus negócios e trazendo novas oportunidades no mercado internacional”, diz Lucas Martins, gerente de desenvolvimento na Kryptus.

De acordo com o head de cibersegurança da Kryptus, Rafael Cividanes, a certificação FIPS irá trazer diversas oportunidades para a empresa, como igualar-se aos principais líderes globais de produtos criptográficos, em nível de compliance, e permitir que a Kryptus passe a atender o segmento de pagamentos e financeiros. “Os dois setores, inclusive o de pagamentos, por meio do padrão de segurança de cartão de crédito, o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI, em inglês), são altamente regulamentados e exigem a certificação FIPS”, diz Rafael.

“A certificação também abre portas para que o kNET esteja presente em diversas empresas ao redor do mundo, principalmente nos Estados Unidos, que emite a certificação, e nas nações da América Latina, onde boa parte dos países exigem certificação FIPS como requisito obrigatório na compra de equipamentos criptográficos do tipo HSM”, diz Cividanes.

“Além disso, a certificação coloca a Kryptus um passo à frente no processo de auditoria WebTrust que vem sendo realizado na ICP-Brasil”, diz Lucas. O WebTrust é a certificação necessária para emissão de certificados SSL, utilizado para autenticar e proteger a comunicação com sites na internet.

A auditoria está sendo realizada na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), que também emite uma certificação de normas de padrões definidos pelo Instituto Nacional de Tecnologia da Informação (ITI) em nível nacional, e tem como objetivo garantir que outras autoridades certificadoras da hierarquia ICP-Brasil se regularizem tecnicamente para as emissões das cadeias ICP-Brasil V10, para certificados SSL, e V11, para certificados de assinatura de código, com o objetivo de serem reconhecidos de forma automática pelos principais navegadores da internet.

“Foram vários anos de trabalho intenso e muitos milhões de reais investidos. Toda a equipe está muito orgulhosa!”, diz Gallo.

Para saber mais sobre a solução, entre em contato com a Kryptus.

Processo para a certificação

O procedimento para conseguir a certificação tem duas etapas principais: o programa de validação de algoritmos criptográficos (CAVP, em inglês), que executa testes de validação sobre os algoritmos criptográficos implementados pelo módulo criptográfico, e o programa de validação de módulos criptográficos (CMVP, em inglês), que executa testes de validação para verificar se o módulo atende os requisitos de segurança estabelecidos pelo padrão.

Esses programas são executados por laboratórios credenciados do NIST, responsáveis por realizar os ensaios e testes necessários para validar o atendimento dos requisitos para certificação. Em caso de divergência nos resultados, o laboratório coordena as revisões necessárias com vendor do equipamento até todos os requisitos serem atendidos.

Após todos ensaios serem realizados pelo laboratório, toda documentação e resultados produzidos são submetidos para análise do NIST, que pode solicitar mais informações, testes e correções. Após essa segunda rodada de revisões, se aprovado, o NIST emite o certificado para o módulo criptográfico.

Kryptus

A Kryptus S/A é um Solution Provider em segurança da informação criada em 2003, em Campinas, que cresce de forma consistente há mais de uma década, focando em ações de longo prazo nos planos científico e tecnológico, de entendimento de missão de seus clientes e nas linhas de negócio que desenvolve.

No Brasil e na América Latina, a Kryptus S/A, em conjunto com a sua parceira estratégica Kudelski Security, atua com um portfólio que vai desde pesquisa e desenvolvimento avançados a serviços consultivos regulares.