X

Faça mais Tecnologia de discos com criptografia automática e norma FIPS 140-2

Os discos rígidos com criptografia automática (SED) da Seagate são validados como em conformidade com o padrão FIPS 140-2 Nível 2 para dados cruciais, mas não confidenciais.

Perguntas frequentes

O que é FIPS 140-2?

FIPS (Federal Information Processing Standard, padrão federal de processamento de informações) 140-2 é uma norma do governo dos Estados Unidos que descreve a criptografia e os requisitos de segurança relacionados com produtos de TI que deve atender ao uso crucial, mas não confidencial.

O que o FIPS 140-2 especifica?

O padrão garante que um produto utiliza práticas de segurança rígidas, como métodos e algoritmos de criptografia fortes e aprovados. Também especifica como os indivíduos ou outros processos devem ser autorizados a fim de utilizar o produto e como módulos ou componentes devem ser concebidos para interagir de forma segura com outros sistemas.

Por que a criptografia é necessária?

Unidades de disco rígido são constantemente descartadas (devolvidas para reparo, garantia e contratos de aluguel expirados, reaproveitadas para outras tarefas de armazenamento ou vendidas), perdidas ou roubadas. Quando os dados desprotegidos saem do controle do proprietário e são comprometidos, a empresa enfrenta a perda de receita, de participação no mercado e da confiança do cliente. Pode até mesmo ser objeto de sanções civis devido à violação dos regulamentos de privacidade de dados. Isso pode ser catastrófico para qualquer organização, principalmente para pequenas e médias empresas.

  • A Seagate estima que 50 mil discos contendo terabytes de dados deixam as centrais de dados diariamente.
  • A IBM calcula que 90% dos discos devolvidos para reparo ou substituição na garantia contêm dados legíveis.

Segundo especialistas do setor, como o Ponemon Institute, o custo médio por violação de dados aumenta a cada ano e foi, em média, 6,6 milhões de dólares em 2008 ou 202 dólares por registro comprometido.1

O Ponemon Institute estima ainda que 81% dos laptops contêm dados cruciais e até 10% de todos os laptops são perdidos ou roubados durante sua vida útil. Além disso, estima-se que a cada semana 12 mil laptops são perdidos ou roubados só em aeroportos dos Estados Unidos. O custo médio para uma empresa quando um laptop com dados sensíveis ainda não criptografados desaparece é de quase 50.000 dólares. Em casos extremos, os custos podem ser cerca de 1 milhão de dólares.2

Quais são os diferentes níveis associados com FIPS 140-2?

O FIPS 140-2 define quatro níveis de segurança. A validação FIPS 140-2 especificará o nível de segurança ao qual o produto adere.

  • Nível 1, normalmente utilizado para produtos com criptografia somente de software; impõe requisitos de segurança muito limitados. Todos os componentes devem ser de grau de produção e vários tipos graves de insegurança devem estar ausentes.
  • Nível 2 requer autenticação com base na função. (Autenticação de usuário individual não é necessária.) Também requer a habilidade de detectar adulteração física usando bloqueios físicos ou selos invioláveis.
  • Nível 3 acrescenta resistência à adulteração física para a desmontagem ou modificação, tornando-se extremamente difícil de hackear. Se for detectada adulteração, o dispositivo deve ser capaz de apagar os parâmetros críticos de segurança. O Nível 3 também inclui gerenciamento de chaves e proteção de criptografia robusta, autenticação com base em identidade e separação física ou lógica entre as interfaces pelas quais os parâmetros críticos de segurança entram e saem.
  • Nível 4 inclui proteção contra adulterações avançada e é designado para produtos que operam em ambientes fisicamente desprotegidos.


Qual o nível de validação FIPS 140-2 a Seagate obteve?

Os dispositivos de armazenamento de disco com criptografia automática (SED) da Seagate® são validados como em conformidade com FIPS 140-2 Nível 2.

Por que a Seagate obteve validação FIPS 140-2 Nível 2?

Organizações de todos os tipos estão cada vez exigindo mais que os dados em repouso sejam criptografados para se protegerem contra perda ou roubo. A validação FIPS 140-2 Nível 2 é vista como uma marca de segurança e qualidade e certifica a todos os compradores que os SEDs FIPS da Seagate atendem às exigências do governo federal dos EUA para produtos de segurança.

Que tipos de produtos são relevantes para o FIPS 140-2?

O FIPS 140-2 é aplicável a qualquer produto que possa armazenar ou transmitir dados cruciais. Isso inclui produtos de hardware como criptografadores de links, discos rígidos, pendrives ou outros meios de armazenamento removíveis. Também inclui produtos de software que criptografam dados em trânsito ou enquanto estiverem armazenados.

Preciso realmente de tanta segurança? A senha do sistema operacional não é suficiente?

A segurança do sistema operacional como uma senha pode ser facilmente contornada através da remoção de um disco rígido e montagem em outro computador. Descobriu-se que mesmo senhas de disco rígido ATA no BIOS são vulneráveis, se não forem usadas com algo como um disco SED da Seagate. A criptografia dos dados no disco rígido ou outro meio de armazenamento é uma forma bem comprovada de proteção.

Que organizações ou empresas exigem conformidade com FIPS 140-2?

Nos Estados Unidos, o National Institute of Standards and Technology (Instituto Nacional de Padrões e Tecnologia) exige que todas as agências federais usem produtos com validação FIPS 140-2 Nível 2™ para proteger os dados designados como cruciais, mas não confidenciais em computadores e sistemas de telecomunicações (incluindo sistemas de voz). 3 No Canadá, o Communications Security Establishment (CSE - Estabelecimento de Segurança das Comunicações) exige que as agências federais usem módulos de criptografia com validação FIPS 140-2 Nível 2 para proteger os dados designados como informações protegidas(A ou B) em computadores e sistemas de telecomunicações (incluindo sistemas de voz). A validação FIPS 140 também é um precursor necessário para um produto de criptografia ser listado na lista de produtos pré-qualificados ITS do governo canadense. 3 No Reino Unido, o Communications-Electronics Security Group (Grupo de Segurança de Eletrônicos e Comunicações) recomenda a utilização de módulos criptográficos com validação FIPS 140. 4

Empresas civis em todo o mundo que são contratadas por organizações do governo federal dos EUA, Canadá ou Reino Unido que exigem conformidade de criptografia FIPS 140-2 também são obrigadas a estarem em conformidade. Além disso, as empresas comerciais, especialmente em finanças, saúde, educação e infraestrutura (segurança nacional) verticais, estão cada vez mais exigindo conformidade FIPS 140-2 em todo o mundo. Essas empresas querem seguir o mais alto padrão em proteção de dados. Elas reconhecem o rigor associado a uma certificação FIPS-140, descobrem ser esse o padrão referencial para segurança e escolhem seguir essa norma para suas próprias necessidades de criptografia.

O que é validação FIPS 140-2?

Validação FIPS 140-2 é um programa de certificação e teste que verifica se um produto atende aos padrões FIPS 140-2. O NIST estabeleceu o CMVP (Programa de Validação de Módulo Criptográfico) para validar produtos em relação a esses requisitos.

O que é necessário para obter uma certificação FIPS 140-2?

Para ter validação FIPS 140-2™, um produto deve aderir aos requisitos de implementação e design declarados e ser testado e aprovado por um dos 13 laboratórios independentes credenciados pelo NIST.

Qual padrão FIPS 140 é o atual?

As 140 publicações FIPS numeradas são uma série de normas de segurança que especificam os requisitos para módulos de criptografia. O FIPS 140-1 foi publicado em 1994, mas foi suplantado pelo FIPS 140-2, que é o padrão atual e foi publicado em 2001. O FIPS 140-3 é uma nova versão do padrão que vem sendo desenvolvida desde 2005. A proposta foi emitida em dezembro de 2009, mas provavelmente vai levar um ano ou mais para substituir o FIPS 140-2.

Existe uma lista de produtos que têm validação FIPS 140-2?

O NIST mantém uma lista de todos os produtos comercialmente disponíveis com validação FIPS 140-2. Acesse http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm .

Por que o FIPS 140-2 é importante para os parceiros de vendas da Seagate?

Os parceiros de vendas da Seagate podem usar a validação FIPS 140-2 como uma ferramenta de marketing eficaz para demonstrar os recursos críticos de segurança e a qualidade que outros produtos não têm. É um diferencial importante para compradores preocupados com segurança hoje.

Notas de rodapé:

1 Ponemon Institute, 2008 Annual Study: U.S. Cost of a Data Breach, fevereiro de 2009, www.ponemon.org, como citado em Data-breach costs rising, study finds, Ellen Messmer, Network World, 02/02/09.

2 Intel Study: Stolen Laptops Cost to Business; eWeek, 23 de abril de 2009; Ponemon Institute Study, abril de 2009.

3 http://csrc.nist.gov/groups/STM/cmvp/index.html/

4 www.cesg.gov.uk/

Etiqueta:

Produtos relacionados
Enterprise Performance 10K HDD
Enterprise Performance 10K HDD

Servidores para atividades cruciais e arrays de armazenamento externo. Opções SED e FIPS.

Enterprise Capacity 3.5 HDD
Enterprise Capacity 3.5 HDD

O disco rígido SED nearline de 6 TB mais rápido do mundo para armazenamento de dados em lote.

Pulsar - principal
Seagate Pulsar SAS SSD

Computação em nuvem e aplicações para centrais de dados com volume de leitura intenso.

ARTIGOS DE EXPLICAÇÕES TÉCNICAS RELACIONADOS
Tecnologia de discos com criptografia automática e norma FIPS 140-2

SEDs FIPS da Seagate atendem aos requisitos federais dos EUA para produtos de segurança.

Mais
Tecnologia de discos com criptografia automática e norma FIPS 140-2

SEDs FIPS da Seagate atendem aos requisitos federais dos EUA para produtos de segurança.

Mais
RECURSOS RELACIONADOS
A Seagate é líder mundial no fornecimento de dispositivos de armazenamento e discos rígidos usados no armazenamento e na computação em nuvem.
A demanda por dispositivos de armazenamento em um mundo de dados conectado

Ecossistemas de dados em nuvem requerem capacidade de armazenamento digital

Mais