¿Qué es FIPS 140-2?

Productos Digi
Por qué FIPS
Casos prácticos
Resumen en vídeo
Niveles de seguridad FIPS
FIPS 140-3

Si desea asegurarse de que siempre cumple con los cambios de FIPS 140, tenga en cuenta que todo el conjunto de celulares de Digi está validado por FIPS 140-2 mediante una sencilla actualización de firmware utilizando Digi Remote Manager®..

Como Digi ha simplificado la implementación de FIPS 140-2, no sólo nos aseguramos de que su versión de FIPS 140 se mantenga actualizada, sino que nuestro proceso de cifrado siempre al día facilita la implementación. Sólo tiene que actualizar su firmware y sus dispositivos Digi cumplirán al instante con FIPS 140-2 Nivel 1. Eso es todo. Evite quedarse atascado con soluciones caras, costosas y complicadas. Y si necesita asistencia en cualquier punto de su viaje FIPS, los servicios profesionales de Digi pueden ayudarle.

Diagrama de casos de uso de los productos Digi

Digi ha conseguido la validación FIPS para todos los dispositivos Digi basados en el sistema operativo Digi Accelerated Linux (DAL OS), incluidos:

Por qué necesita FIPS 140-2

Si trabaja con los gobiernos de Estados Unidos o Canadá y maneja información sensible o protegida, sus módulos criptográficos deben estar validados según la norma FIPS 140-2. La Ley Federal de Gestión de la Seguridad de la Información (FISMA) exige que las agencias gubernamentales de EE.UU., los contratistas del gobierno de EE.UU. y los terceros que trabajan para agencias federales se adhieran a la norma FIPS 140-2 para proteger los datos confidenciales. De hecho, cualquier contratista de defensa que maneje Información No Clasificada Controlada debe cumplir los requisitos de validación de FIPS y emplear "mecanismos criptográficos" para proteger la confidencialidad. Las organizaciones del sector privado que cumplen normativas como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) también deben superar la validación FIPS 140-2.

FIPS 140-2 sirve de referencia para la eficacia del hardware criptográfico. La validación FIPS 140-2 significa que un producto cumple los rigurosos requisitos de los gobiernos de Estados Unidos y Canadá. Sin embargo, no es sólo para los gobiernos. Los sectores gubernamentales y no gubernamentales de todo el mundo pueden exigir que sus dispositivos de comunicaciones cumplan con FIPS 140-2 como punto de referencia de las mejores prácticas de ciberseguridad. Dado que esta norma unificada ofrece una extraordinaria protección de los datos frente a ciberataques cada vez más sofisticados, constituye una forma cuantificable de reforzar los dispositivos y sistemas frente a las amenazas.

El incumplimiento de las normas FIPS puede acarrear importantes daños financieros y de reputación. Para los sectores regulados, como los organismos públicos y las instituciones financieras, cualquier incumplimiento significativo puede suponer para estas organizaciones la pérdida de negocio, así como sanciones civiles o penales, multas y auditorías gubernamentales.

Casos de uso de FIPS 140-2

La conformidad con FIPS 140-2 garantiza la seguridad de los datos para aplicaciones que transmiten y utilizan datos sensibles pero no clasificados (SBU). Aunque esta norma fue desarrollada y adoptada inicialmente por entidades gubernamentales de Estados Unidos y Canadá, se ha adoptado en otros sectores en los que la ciberseguridad y la privacidad de los datos son fundamentales.

Agencias gubernamentales

La validación FIPS 140-2 es necesaria para todas las entidades gubernamentales, incluidos el FBI, el Departamento de Defensa, la Patrulla de Fronteras de Estados Unidos y otros organismos que manejan Información No Clasificada Controlada (CUI) en cualquier dispositivo. Por ejemplo, el apéndice del Reglamento sobre Tráfico Internacional de Armas (ITAR) destaca las normas FIPS 140-2 exigidas para la transmisión o el almacenamiento de datos técnicos fuera de Estados Unidos.

Contratistas públicos

Además de las agencias gubernamentales estadounidenses, los contratistas de la Administración deben utilizar dispositivos validados por FIPS 140-2 para cifrar y proteger los datos confidenciales de ciberataques cada vez más sofisticados. Los contratistas de defensa, por ejemplo, están obligados a emplear criptografía validada por FIPS para proteger la confidencialidad de la información no clasificada controlada en todos los dispositivos móviles y de sobremesa.

Seguridad pública y aplicación de la ley

Las organizaciones de seguridad pública que envían datos confidenciales constituyen un caso de uso clave para la utilización de dispositivos validados por FIPS 140-2. En particular, los organismos encargados de hacer cumplir la ley deben utilizar FIPS 140-2 en el manejo de cualquier dato transferido de forma inalámbrica. Los agentes del orden y su personal acceden al Sistema de Información de Justicia Penal (CJIS) federal, lo que implica el uso de información no clasificada controlada.

Instituciones financieras

La norma FIPS 140-2 se aplica a los sectores regulados que recopilan, almacenan y transfieren datos confidenciales. Esto incluye operaciones financieras gubernamentales como el IRS y la Reserva Federal, así como muchos bancos y servicios financieros del sector privado. Estas organizaciones utilizan los requisitos de FIPS 140-2 para garantizar que sus datos y comunicaciones se ajustan a las normas de seguridad reguladas.

Sanidad/Medicina

Dado que los profesionales de la salud manejan datos confidenciales de los pacientes, la validación FIPS 140-2 es cada vez más necesaria para los dispositivos y el software utilizados en los sistemas sanitarios y médicos. El cumplimiento de estas normas ayuda a salvaguardar las historias clínicas electrónicas, los dispositivos médicos y los sistemas de comunicación frente a las ciberamenazas, garantizando la privacidad de los pacientes y la integridad de la información sanitaria crítica.

Otras industrias

El cumplimiento de la norma FIPS 140-2 es un objetivo para una serie de sectores en los que es necesario cifrar los datos. La norma FIPS 140-2 proporciona un punto de referencia para garantizar el cumplimiento de requisitos específicos. Aunque la norma no es obligatoria fuera de las aplicaciones gubernamentales, médicas y financieras, puede utilizarse para el cifrado de datos en la fabricación, el transporte, los servicios públicos, el control de aeropuertos y otros casos de uso.

Vídeo de validación FIPS 140-2

FIPS 140-2 tiene 4 niveles de seguridad crecientes

El NIST ha desarrollado cuatro niveles cualitativos de seguridad, que se resumen a continuación y que pretenden cubrir una amplia gama de aplicaciones y entornos potenciales

Nivel de seguridad 1

El módulo criptográfico debe proporcionar funciones de seguridad esenciales. Los módulos de nivel 1 suelen implementarse en software y no requieren protecciones especiales de hardware.

Nivel de seguridad 2

El nivel 2 añade el requisito de revestimientos o sellos a prueba de manipulaciones para detectar la manipulación física o el acceso no autorizado al módulo. El nivel 2 también exige una autenticación basada en funciones.

Nivel de seguridad 3

Además de revestimientos o precintos a prueba de manipulaciones, el nivel 3 requiere mecanismos que respondan activamente a los intentos de manipulación física. Los módulos de nivel 3 también requieren una carcasa físicamente robusta.

Nivel de seguridad 4

En el Nivel 4, el módulo criptográfico debe detectar y responder a los intentos de manipulación en tiempo real, pudiendo inutilizar el módulo si se detecta una manipulación. El nivel 4 requiere una seguridad física rigurosa, incluida la protección contra ataques ambientales.

FIPS 140-3

La evolución de FIPS incluye ahora FIPS 140-3. Hay algunos cambios técnicos importantes, pero el más significativo es la migración de las normas de seguridad desarrolladas internamente a un conjunto de normas desarrolladas y mantenidas por el organismo internacional ISO. Digi se ha comprometido a realizar la transición a FIPS 140-3 como parte de una versión de firmware antes de la expiración prevista de FIPS 140-2 en septiembre de 2026.