- A Connectivity Standards Alliance lançou a IoT Device Security Specification 1.0 e o rótulo Product Security Verified (PSV Mark) para certificar a segurança de dispositivos IoT domésticos.
- Dispositivos que cumprirem a especificação poderão obter o PSV Mark após passar por um processo de certificação, com previsão de primeiros lançamentos nesta temporada de festas.
- Exige identidade única, ausência de senhas padrão, armazenamento e comunicações seguras, atualizações seguras e gestão de vulnerabilidades, entre outros requisitos de segurança.
- O programa é voluntário e busca reconhecimento em governos, facilitando certificação única para vender em mercados diferentes.
- Participam empresas como Google, Amazon, Signify (Philips Hue) e fabricantes de chips como Arm, Infineon e NXP; haverá banco de dados público e API para verificação das certificações.
A Connectivity Standards Alliance (CSA), organização responsável pelo padrão Matter, anunciou uma nova etiqueta de produto para facilitar a avaliação da segurança de dispositivos de casa inteligente. O objetivo é criar uma certificação global de cibersegurança para IoT de consumo.
A CSA apresentou a Especificação de Segurança de Dispositivos IoT 1.0, um padrão de base e um programa de certificação. Dispositivos que cumprirem o requisito poderão ostentar o Selo PSV, indicativo de que passaram por requisitos para resistir a ataques e invasões, protegendo a privacidade do usuário.
PSV Mark como nova referência global
A iniciativa visa oferecer uma certificação reconhecida internacionalmente, simplificando a conformidade para fabricantes que atuam em vários mercados. Empresas como Google, Amazon, Signify ( Philips Hue) e diversos fabricantes de chips participam do desenvolvimento.
Segundo Tobin Richardson, CEO da CSA, produtos com PSV podem surgir já nesta temporada de compras. O selo também permitirá acessar informações adicionais via código, URL ou QR colocado no rótulo.
A exigência mínima envolve o IoT Device Security Specification 1.0 e a passagem por um laboratório autorizado para certificação. Entre os requisitos: identidade única do dispositivo, ausência de senhas padrão, armazenamento seguro de dados e atualizações seguras.
Escopo e requisitos técnicos
A certificação cobre, entre outros itens, armazenamento e transmissão segura de informações, gestão de vulnerabilidades e documentação pública sobre suporte de segurança. O programa é voluntário e se aplica a lâmpadas, interruptores, termostatos e câmeras, entre outros.
A CSA afirma que o PSV Mark já foi reconhecido pela Agência de Segurança Cibernética de Singapura e busca reconhecimento mútuo com programas nos EUA, UE e Reino Unido. A expectativa é facilitar a venda em diferentes regiões com um único processo.
Implementação e próximos passos
Para obter o PSV Mark, fabricantes devem responder a um questionário e apresentar evidências. A CSA planeja recertificações a cada três anos e prevê inclusão de um processo de resposta a incidentes para correção de falhas antes da recertificação.
A CSA também planeja manter um banco de dados público de produtos certificados e oferecer uma API com informações sobre o status de segurança. A ideia é permitir que plataformas de casas inteligentes alertem usuários sobre o estado de cada dispositivo.
Contexto regulatório e impactos
A iniciativa se soma à aprovação pela FCC de um programa de rotulagem de cibersegurança para IoT nos EUA. Os dois programas são voluntários e não substituem outras certificações, mas visam ampliar padrões de segurança em escala global.
Especialistas destacam que a certificação não elimina vulnerabilidades, mas estabelece um conjunto mínimo de salvaguardas. A CSA prevê atualização contínua da especificação e um processo de recertificação periódico para acompanhar evoluções do setor.
Entre na conversa da comunidade