La Alianza de Estándares de Conectividad (CSA) ha publicado la versión 1.1 de su programa de certificación de seguridad del producto para reforzar la certificación de seguridad en sistemas IoT y facilitar a los fabricantes el cumplimiento de requisitos internacionales de ciberseguridad. La actualización busca responder al aumento de la escala y la complejidad de los ataques contra entornos conectados, al tiempo que establece una base común de confianza para consumidores y reguladores.
El programa pretende reducir la fragmentación entre estándares y normativas de distintos mercados mediante un proceso de certificación más unificado. Entre sus objetivos figura disminuir la duplicación de evidencias que deben aportar los fabricantes cuando certifican productos en varias regiones, una carga que suele incrementar la complejidad operativa y documental de estos procesos.
Alcance ampliado para sistemas IoT completos
La versión 1.1 amplía de forma relevante el alcance inicial del programa, que estaba centrado principalmente en dispositivos. La nueva especificación cubre ahora sistemas IoT completos, una categoría que puede incluir dispositivos IoT, aplicaciones IoT, procesos remotos IoT y pasarelas IoT.
Esta ampliación responde a la necesidad de evaluar entornos conectados más complejos, en los que la seguridad no depende únicamente del dispositivo físico. La inclusión de aplicaciones, procesos remotos y gateways permite abordar de manera más completa los componentes que intervienen en el funcionamiento de un sistema IoT.
La actualización incorpora además dos niveles de garantía de seguridad. El Nivel-1 se basa en una autoevaluación del proveedor revisada por un laboratorio de pruebas autorizado (ATL, por sus siglas en inglés). El nuevo Nivel-2 exige una evaluación independiente y pruebas funcionales realizadas por un ATL, con el objetivo de ofrecer un mayor grado de confianza en los resultados de seguridad.
Compatibilidad con requisitos de la UE y Singapur
El programa de certificación de seguridad del producto 1.1 incorpora cobertura para los requisitos de ciberseguridad asociados a los estándares armonizados de la Directiva de Equipos Radioeléctricos de la Unión Europea, conocida como RED. También contempla el programa de etiquetado de ciberseguridad de Singapur, lo que amplía su utilidad para fabricantes que operan en mercados con marcos regulatorios diferenciados.
La nueva versión del programa avanza en el objetivo de hacer más práctico el cumplimiento de estándares externos y regulaciones de seguridad de producto para la industria global del IoT. Además, la versión 1.1 amplía el alcance del programa e introduce vías de certificación con mayor nivel de confianza, en línea con las tendencias regulatorias internacionales.
La CSA mantiene disponible la especificación Product Security 1.1 para los desarrolladores interesados. Para optar a la certificación, las organizaciones deben convertirse en miembros de la Alianza y seguir el proceso y la política de certificación definidos por el programa.