Padrões de Segurança para Criptomoedas

Por que confiar em nós

O Padrão de Segurança de Criptomoeda (CCSS – do Inglês Cryptocurrency Security Standard) é uma estrutura de segurança que fornece diretrizes e práticas recomendadas para proteger ativos e operações de criptomoeda contra ataques externos de segurança cibernética e fraudes internas. Desse modo, saiba como funcionam e o que são Padrões de Segurança para Criptomoedas no artigo abaixo.

O que são os Padrões de Segurança de Criptomoeda (CCSS)?

A estrutura, que foi desenvolvida pelo CryptoCurrency Certification Consortium (C4), destina-se a complementar as estruturas tradicionais de segurança de tecnologia da informação e comunicação (ICT – do Inglês, information and communication technology), como a ISO 27001 e a PCI DSS.

De acordo com o site oficial, a estrutura CCSS é um documento vivo que é atualizado regularmente pelo Comitê Diretor do C4 para refletir novas ameaças à segurança e práticas recomendadas. Os controles de segurança da estrutura abrangem dois domínios principais: gerenciamento de ativos de criptomoeda e operações de criptomoeda.

Gerenciamento de ativos:

Esse domínio se concentra na proteção e no gerenciamento das chaves criptográficas que controlam o acesso aos fundos de criptomoeda de um usuário. Ele fornece diretrizes e práticas recomendadas para a implementação de controles de segurança que abordam:


  • Geração e armazenamento de chaves criptográficas/semente.
  • Transações criptográficas.
  • Criação e armazenamento de carteiras criptográficas.

Operações:

Esse domínio se concentra em como as transações são criadas, assinadas e transmitidas para a rede, como os sistemas de criptomoeda são atualizados e como os incidentes de segurança são identificados e tratados. Ele fornece diretrizes e práticas recomendadas para a implementação de controles de segurança que abordam:


  • Protocolos de pagamento.
  • Segurança das operações do sistema e da rede.
  • Segurança física e de pessoas.
  • Continuidade dos negócios e planejamento de recuperação de desastres.
  • Auditorias de segurança e conformidade.

Certificações de padrão de segurança de criptomoeda

A estrutura CCSS é de código aberto e gratuita para qualquer pessoa usar, mas a C4 oferece uma certificação opcional que permite que projetos de criptomoeda bem estabelecidos ou novos ou que proprietários de empresas compartilhem publicamente seu compromisso com a implementação de práticas e protocolos de segurança robustos.

Para garantir uma ampla gama de cobertura de segurança, o CCSS oferece três níveis de certificação para sistemas de informação. Os gerentes de projeto e de negócios podem buscar o nível de certificação mais alinhado com o valor dos ativos digitais que seus sistemas manipulam, a complexidade operacional do sistema e o perfil de risco associado.

Certificação de Nível I: um sistema de informações que obtém a certificação de Nível I demonstrou, por meio de uma auditoria, que implementou um conjunto abrangente de controles de segurança, tem um processo para gerenciar ameaças cibernéticas e outros riscos de segurança e tem um processo para responder a incidentes de segurança. Esse nível básico garante que um sistema de informações atenda a todos os padrões de segurança essenciais necessários para dar suporte a um projeto de criptomoeda.

Certificação de Nível II: um sistema de informações que obtém a certificação Nível II demonstrou, por meio de uma auditoria, que implementou um conjunto abrangente de controles de segurança que atendem ou excedem os requisitos do CCSS Nível I, incluindo medidas de segurança aprimoradas projetadas especificamente para sistemas descentralizados. Os sistemas que estão em conformidade com o CCSS Nível 2 ou superior têm maior probabilidade de resistir a ataques cibernéticos que dão aos malfeitores acesso aos componentes e mecanismos criptográficos que sustentam as criptomoedas.

Certificação de nível III: essa certificação avançada baseia-se nos requisitos dos Níveis I e II, incorporando controles de segurança mais rigorosos, práticas avançadas de gerenciamento de riscos, auditorias de segurança regulares e monitoramento contínuo. Um sistema de informações que atinge o Nível III de segurança oferece proteção contra ameaças de criptografia conhecidas e emergentes, usando controles de segurança aprimorados que atendem aos requisitos exclusivos de sistemas criptográficos descentralizados e geograficamente distribuídos.

Adoção do CCSS

A estrutura CCSS é um recurso valioso para o gerenciamento de riscos de criptomoedas e para qualquer pessoa envolvida no desenvolvimento ou uso de sistemas, produtos e serviços de criptomoedas. A adoção da estrutura está sendo promovida como uma forma de ajudar a reduzir o risco de roubo e fraude, aumentar a confiança do usuário e ajudar a tornar as iniciativas de conformidade normativa mais transparentes.

No entanto, de acordo com a Deloitte, embora o CCSS já exista há quase dez anos, pouquíssimos projetos estão reivindicando a adesão à estrutura. Durante uma análise de violações de criptomoedas de alto perfil, a empresa de contabilidade descobriu que todos os sistemas que sofreram uma violação não estavam em conformidade com o CCSS Nível 1.

Atualmente, apenas duas entidades estão listadas no site oficial como tendo recebido certificações de Nível III: Fireblocks Limited e Liminal. A Fireblocks é uma plataforma de infraestrutura como serviço (IaaS – do Ingês, infrastructure-as-a-service) de nível empresarial para movimentação, armazenamento e emissão de ativos digitais. A Liminal é uma carteira digital e um provedor de armazenamento como serviço cujos serviços são projetados para oferecer suporte à Web3.

Auditorias de CCSS

Uma auditoria CCSS avalia as pessoas, os processos e a tecnologia que dão suporte às funções de criptomoeda. Quando os sistemas de uma entidade avaliada são auditados, o auditor (conhecido como CCSSA) analisará o nível de conformidade da entidade em relação a cada aspecto abaixo:


  • Geração de chaves/sementes;
  • Armazenamento de chaves/sementes;
  • Uso de chaves/sementes;
  • Criação de carteiras;
  • Backup da carteira;
  • Controle de acesso à carteira;
  • Transferências de carteira;
  • Assinatura de transações;
  • Verificação de transações
    Privacidade da transação;
  • Controle de acesso à Blockchain;
  • Monitoramento de Blockchain;
  • Gerenciamento de forks de Blockchain;
  • Atualizações de software de Blockchain;
  • Uso do módulo de segurança de hardware (HSM – do Inglês, Hardware Security Module);
  • Segurança física;
  • Segurança de rede;
  • Segurança de aplicações;
  • Segurança operacional;
  • Gerenciamento de riscos;
  • Resposta a incidentes;
  • Auditoria;
  • Conformidade;
  • Treinamento;
  • Comunicação;
  • Gerenciamento de fornecedores;
  • Continuidade dos negócios;
  • Recuperação de desastres;
  • Gerenciamento de riscos de terceiros;
  • Prova de reserva;
  • Política de comprometimento de chaves.

Auditores CCSS

Os auditores dos Padrões de Segurança de Criptomoeda devem ser aprovados em um exame que demonstra seu conhecimento prático de cada preocupação de segurança acima.

A taxa do exame de auditor do CCSS é de US$ 500 e o exame é realizado somente em inglês. Ele inclui 100 perguntas de múltipla escolha e verdadeiro/falso que devem ser respondidas em 90 minutos ou menos. É necessário obter uma nota mínima de 70% para solicitar a certificação.

A taxa de certificação em si é de US$ 1.000. As taxas do exame e da certificação devem ser pagas em Bitcoin ou em outra criptomoeda aceitável.

Margaret Rouse
Technology expert
Margaret Rouse
Especialista em Tecnologia

Margaret é uma premiada redatora e professora conhecida por sua habilidade de explicar assuntos técnicos complexos para um público empresarial não técnico. Nos últimos vinte anos, suas definições de TI foram publicadas pela Que em uma enciclopédia de termos tecnológicos e citadas em artigos do New York Times, Time Magazine, USA Today, ZDNet, PC Magazine e Discovery Magazine. Ela ingressou na Techopedia em 2011. A ideia de Margaret de um dia divertido é ajudar os profissionais de TI e de negócios a aprenderem a falar os idiomas altamente especializados uns dos outros.