Solução é o primeiro módulo criptográfico de hardware nacional com certificação FIPS e que atende aos mercados financeiro e de pagamentos
A Kryptus, empresa especializada em criptografia e segurança cibernética, recebeu o certificado FIPS 140-2 para seu módulo criptográfico de hardware (HSM), o kNET. A conquista comprova que o produto atende aos requisitos de segurança estabelecidos pelas normativas do Instituto Nacional de Padrões e Tecnologia (NIST, em inglês), dos Estados Unidos. O aparelho já possui a certificação da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), sendo o único apto ao processamento de transações que segue o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI, em inglês) e do Banco Central do Brasil (BCB).
De acordo com Roberto Gallo, fundador e CEO da Kryptus, a certificação FIPS permitirá que a empresa passe a atender os segmentos de pagamentos e financeiro. “Os dois setores são altamente regulamentados por meio do padrão de segurança de cartão de crédito (PCI, na sigla em inglês), e exigem a certificação FIPS”, explica.
Na visão do executivo, o mercado financeiro vem passando por transformações profundas e sofrendo pressão pela segurança das operações. Para isso, o setor agora poderá contar com o HSM Kryptus kNET, que, com a certificação FIPS 140-2 nível 3, torna-se a única plataforma que pode ser utilizada simultaneamente no processamento de pagamentos ‘clássicos’, regulamentados pelas normas PCI, e nas transações instantâneas com regulamentação do BCB, reduzindo de forma substancial o Custo Total da Posse (TCO, na sigla em inglês) e Tempo de colocação no Mercado (TTM, na sigla em inglês).
Processo para a certificação
O procedimento para obter a certificação é composto por duas etapas principais: o programa de validação de algoritmos criptográficos (CAVP, em inglês), que executa testes de validação sobre os algoritmos criptográficos implementados pelo módulo criptográfico, e o programa de validação de módulos criptográficos (CMVP, em inglês), que executa testes de validação para verificar se o módulo atende aos requisitos de segurança estabelecidos pelo padrão.
Esses programas são executados por laboratórios credenciados do NIST, responsáveis por realizar os ensaios e testes necessários para validar o atendimento das exigências para certificação. Em caso de divergência nos resultados, o laboratório coordena as correções necessárias com o vendedor do equipamento até todos os requisitos serem atendidos.
Após todos os ensaios serem realizados pelo laboratório, toda a documentação e resultados produzidos são submetidos para análise do NIST, que pode solicitar mais informações, testes e correções. Após essa segunda rodada de revisões, se aprovado, o NIST emite o certificado para o módulo criptográfico.