¿Qué son Estándares de Seguridad de Criptodivisas (CCSS)?
El Cryptocurrency Security Standard (CCSS) es un marco de seguridad que proporciona directrices y mejores prácticas para proteger los activos y las operaciones de criptomoneda frente a ataques externos de ciberseguridad y fraude interno.
El marco, desarrollado por el CryptoCurrency Certification Consortium (C4), pretende complementar los marcos de seguridad tradicionales de las tecnologías de la información y la comunicación (TIC), como ISO 27001 y PCI DSS.
Según su sitio web oficial, el marco CCSS es un documento vivo que el Comité Directivo del C4 actualiza periódicamente para reflejar las nuevas amenazas a la seguridad y las mejores prácticas. Los controles de seguridad del marco abarcan dos ámbitos principales: la gestión de activos de criptomoneda y las operaciones con criptomoneda.
Gestión de activos:
Este ámbito se centra en la seguridad y la gestión de las claves criptográficas que controlan el acceso a los fondos de criptomoneda de un usuario. Proporciona directrices y mejores prácticas para implementar controles de seguridad que aborden:
- Generación y almacenamiento de claves criptográficas/semillas.
- Transacciones criptográficas.
- Creación y almacenamiento de carteras criptográficas.
Operaciones:
Este dominio se centra en cómo se crean, firman y transmiten las transacciones a la red, cómo se actualizan los sistemas de criptomoneda y cómo se identifican y tratan los incidentes de seguridad. Proporciona directrices y mejores prácticas para implementar controles de seguridad que aborden:
- Protocolos de pago.
- Seguridad de las operaciones del sistema y de la red.
- Seguridad física y de las personas.
- Continuidad de la actividad y planificación de la recuperación en caso de catástrofe.
- Auditorías de seguridad y cumplimiento.
Certificaciones del Estándar de Seguridad de Criptomonedas
El marco CCSS es de código abierto y de uso gratuito para cualquiera, pero C4 ofrece una certificación opcional que permite al propietario de un proyecto o negocio de criptomoneda compartir públicamente su compromiso con la aplicación de prácticas y protocolos de seguridad sólidos.
Para garantizar una amplia cobertura de la seguridad, la CCSS ofrece tres niveles de certificación para los sistemas de información. Los responsables de proyectos y empresas pueden buscar el nivel de certificación que más se ajuste al valor de los activos digitales que manejan sus sistemas, a la complejidad operativa del sistema y al perfil de riesgo asociado.
Certificación de nivel I: Un sistema de información que obtiene la certificación de nivel I ha demostrado mediante una auditoría que ha implantado un conjunto completo de controles de seguridad, dispone de un proceso para gestionar las ciberamenazas y otros riesgos de seguridad, y cuenta con un proceso para responder a los incidentes de seguridad. Este nivel básico garantiza que un sistema de información cumple todas las normas de seguridad esenciales necesarias para respaldar un proyecto de criptomoneda.
Certificación de nivel II: Un sistema de información que logra la certificación de Nivel II ha demostrado a través de una auditoría que ha implementado un conjunto completo de controles de seguridad que cumplen o superan los requisitos del Nivel I de CCSS, incluyendo medidas de seguridad mejoradas diseñadas específicamente para sistemas descentralizados. Los sistemas que cumplen con el Nivel 2 de CCSS o superior, tienen más probabilidades de resistir los ciberataques que dan a los malos actores acceso a los componentes y mecanismos criptográficos que sustentan las criptomonedas.
Certificación de nivel III: Esta certificación avanzada se basa en los requisitos de los Niveles I y II mediante la incorporación de controles de seguridad más estrictos, prácticas avanzadas de gestión de riesgos, auditorías de seguridad periódicas y supervisión continua. Un sistema de información que alcanza el Nivel III de seguridad proporciona protección contra amenazas criptográficas tanto conocidas como emergentes mediante el uso de controles de seguridad mejorados que abordan los requisitos únicos de los sistemas criptográficos descentralizados y distribuidos geográficamente.
Adopción de CCSS
El marco CCSS es un recurso valioso para la gestión de riesgos de criptomoneda y para cualquier persona involucrada en el desarrollo o uso de sistemas, productos y servicios de criptomoneda. La adopción del marco se promueve como una forma de ayudar a reducir el riesgo de robo y fraude, aumentar la confianza de los usuarios y ayudar a que las iniciativas de cumplimiento normativo sean más transparentes.
Sin embargo, según Deloitte, aunque el CCSS existe desde hace casi diez años, muy pocos proyectos afirman adherirse al marco. Durante una revisión de infracciones de criptomoneda de alto perfil, la empresa de contabilidad descubrió que todos los sistemas que sufrieron una infracción incumplían el nivel 1 del CCSS.
En la actualidad, sólo dos entidades figuran en el sitio web oficial como poseedoras de certificaciones de nivel III: Fireblocks Limited y Liminal. Fireblocks es una plataforma de infraestructura como servicio (IaaS) de nivel empresarial para mover, almacenar y emitir activos digitales. Liminal es un proveedor de monederos digitales y almacenamiento como servicio cuyos servicios están diseñados para dar soporte a Web3.
Auditorías de la CCSS
Una auditoría de la CCSS evalúa a las personas, los procesos y la tecnología que respaldan las funciones de la criptomoneda. Cuando se auditan los sistemas de una entidad evaluada, el auditor (conocido como CCSSA) revisará el nivel de cumplimiento de la entidad para cada uno de los siguientes aspectos:
|
|
Auditores CCSS
Los auditores del Estándar de Seguridad de Criptomoneda deben aprobar un examen que demuestra tu conocimiento práctico de cada una de las cuestiones de seguridad mencionadas anteriormente.
La tasa del examen de auditor de la CCSS es de 500 USD y sólo se realiza en inglés. Incluye 100 preguntas de opción múltiple y verdadero/falso que deben responderse en 90 minutos o menos. Para solicitar la certificación es necesario aprobar el examen con una nota del 70%.
La tasa de certificación es de 1000 USD. Tanto el examen como las tasas de certificación deben pagarse en Bitcoin u otra criptomoneda aceptable.