O Padrão de Segurança de Criptomoeda (CCSS – do Inglês Cryptocurrency Security Standard) é uma estrutura de segurança que fornece diretrizes e práticas recomendadas para proteger ativos e operações de criptomoeda contra ataques externos de segurança cibernética e fraudes internas. Desse modo, saiba como funcionam e o que são Padrões de Segurança para Criptomoedas no artigo abaixo.
O que são os Padrões de Segurança de Criptomoeda (CCSS)?
A estrutura, que foi desenvolvida pelo CryptoCurrency Certification Consortium (C4), destina-se a complementar as estruturas tradicionais de segurança de tecnologia da informação e comunicação (ICT – do Inglês, information and communication technology), como a ISO 27001 e a PCI DSS.
De acordo com o site oficial, a estrutura CCSS é um documento vivo que é atualizado regularmente pelo Comitê Diretor do C4 para refletir novas ameaças à segurança e práticas recomendadas. Os controles de segurança da estrutura abrangem dois domínios principais: gerenciamento de ativos de criptomoeda e operações de criptomoeda.
Gerenciamento de ativos:
Esse domínio se concentra na proteção e no gerenciamento das chaves criptográficas que controlam o acesso aos fundos de criptomoeda de um usuário. Ele fornece diretrizes e práticas recomendadas para a implementação de controles de segurança que abordam:
Operações:
Esse domínio se concentra em como as transações são criadas, assinadas e transmitidas para a rede, como os sistemas de criptomoeda são atualizados e como os incidentes de segurança são identificados e tratados. Ele fornece diretrizes e práticas recomendadas para a implementação de controles de segurança que abordam:
Certificações de padrão de segurança de criptomoeda
A estrutura CCSS é de código aberto e gratuita para qualquer pessoa usar, mas a C4 oferece uma certificação opcional que permite que projetos de criptomoeda bem estabelecidos ou novos ou que proprietários de empresas compartilhem publicamente seu compromisso com a implementação de práticas e protocolos de segurança robustos.
Para garantir uma ampla gama de cobertura de segurança, o CCSS oferece três níveis de certificação para sistemas de informação. Os gerentes de projeto e de negócios podem buscar o nível de certificação mais alinhado com o valor dos ativos digitais que seus sistemas manipulam, a complexidade operacional do sistema e o perfil de risco associado.
Certificação de Nível I: um sistema de informações que obtém a certificação de Nível I demonstrou, por meio de uma auditoria, que implementou um conjunto abrangente de controles de segurança, tem um processo para gerenciar ameaças cibernéticas e outros riscos de segurança e tem um processo para responder a incidentes de segurança. Esse nível básico garante que um sistema de informações atenda a todos os padrões de segurança essenciais necessários para dar suporte a um projeto de criptomoeda.
Certificação de Nível II: um sistema de informações que obtém a certificação Nível II demonstrou, por meio de uma auditoria, que implementou um conjunto abrangente de controles de segurança que atendem ou excedem os requisitos do CCSS Nível I, incluindo medidas de segurança aprimoradas projetadas especificamente para sistemas descentralizados. Os sistemas que estão em conformidade com o CCSS Nível 2 ou superior têm maior probabilidade de resistir a ataques cibernéticos que dão aos malfeitores acesso aos componentes e mecanismos criptográficos que sustentam as criptomoedas.
Certificação de nível III: essa certificação avançada baseia-se nos requisitos dos Níveis I e II, incorporando controles de segurança mais rigorosos, práticas avançadas de gerenciamento de riscos, auditorias de segurança regulares e monitoramento contínuo. Um sistema de informações que atinge o Nível III de segurança oferece proteção contra ameaças de criptografia conhecidas e emergentes, usando controles de segurança aprimorados que atendem aos requisitos exclusivos de sistemas criptográficos descentralizados e geograficamente distribuídos.
Adoção do CCSS
A estrutura CCSS é um recurso valioso para o gerenciamento de riscos de criptomoedas e para qualquer pessoa envolvida no desenvolvimento ou uso de sistemas, produtos e serviços de criptomoedas. A adoção da estrutura está sendo promovida como uma forma de ajudar a reduzir o risco de roubo e fraude, aumentar a confiança do usuário e ajudar a tornar as iniciativas de conformidade normativa mais transparentes.
No entanto, de acordo com a Deloitte, embora o CCSS já exista há quase dez anos, pouquíssimos projetos estão reivindicando a adesão à estrutura. Durante uma análise de violações de criptomoedas de alto perfil, a empresa de contabilidade descobriu que todos os sistemas que sofreram uma violação não estavam em conformidade com o CCSS Nível 1.
Atualmente, apenas duas entidades estão listadas no site oficial como tendo recebido certificações de Nível III: Fireblocks Limited e Liminal. A Fireblocks é uma plataforma de infraestrutura como serviço (IaaS – do Ingês, infrastructure-as-a-service) de nível empresarial para movimentação, armazenamento e emissão de ativos digitais. A Liminal é uma carteira digital e um provedor de armazenamento como serviço cujos serviços são projetados para oferecer suporte à Web3.
Auditorias de CCSS
Uma auditoria CCSS avalia as pessoas, os processos e a tecnologia que dão suporte às funções de criptomoeda. Quando os sistemas de uma entidade avaliada são auditados, o auditor (conhecido como CCSSA) analisará o nível de conformidade da entidade em relação a cada aspecto abaixo:
Privacidade da transação;
Auditores CCSS
Os auditores dos Padrões de Segurança de Criptomoeda devem ser aprovados em um exame que demonstra seu conhecimento prático de cada preocupação de segurança acima.
A taxa do exame de auditor do CCSS é de US$ 500 e o exame é realizado somente em inglês. Ele inclui 100 perguntas de múltipla escolha e verdadeiro/falso que devem ser respondidas em 90 minutos ou menos. É necessário obter uma nota mínima de 70% para solicitar a certificação.
A taxa de certificação em si é de US$ 1.000. As taxas do exame e da certificação devem ser pagas em Bitcoin ou em outra criptomoeda aceitável.