Você está visualizando atualmente Quais são os Padrões de Segurança para Criptomoedas? Conheça o CCSS

Quais são os Padrões de Segurança para Criptomoedas? Conheça o CCSS

  • Categoria do post:Segurança

Recentemente, falamos aqui no blog sobre as criptomoedas e os principais ciberataques que as corretoras sofreram nesses últimos anos.

E um dos motivos pelo qual esse tipo de coisa acontece em tal proporção é a falta de padrões de segurança entre empresas desse segmento, facilitando a ação de criminosos.

Pensando nisso, a organização CryptoCurrency Certification Consortium (C4) criou o Padrão de Segurança para Criptomoedas, também chamado de CCSS (CryptoCurrency Security Standard, em inglês), justamente com a finalidade de suprir essa necessidade.

O que é CryptoCurrency Certification Consortium (C4)?

A CryptoCurrency Certification Consortium (C4)1 é uma organização educativa sem fins lucrativos, que fornece certificações ligadas a criptomoedas e blockchain.

A C4 criou o Padrão de Segurança para Criptomoedas (CCSS) que reúne um conjunto de requisitos, técnicas e metodologias para qualquer tipo aplicação que usa criptomoedas – tais como corretoras, aplicações web e soluções de armazenamento.

A organização ressalta, porém, que o CCSS deve ser um utilizado como um complemento a outros padrões de segurança, como o ISO 27001:2013.

Além de estabelecer as condições do CCSS, a C4 também disponibiliza auditores, capacitados por ela, para atribuir a certificação às empresas que as cumprir.

Padrão de Segurança para Criptomoedas (CCSS)

Agora que você já entendeu todo esse contexto, vamos falar sobre como funciona todo o processo de auditoria do CCSS e seus principais requisitos.

Processo CCSS

Imagem: Visão geral do processo de auditoria do CCSS.

A auditoria em si não depende da C4 em si, ela apenas faz a ponte entre as empresas e os profissionais. A revisão dos relatórios e aprovação das certificações é feita por um comitê de auditores. Abaixo você vai entender melhor como isso tudo funciona:

A auditoria

1º passo: Encontrar um auditor

O banco de profissionais aprovados e qualificados da C4 é chamado de CCSSA. A escolha do auditor para o projeto é feita pela própria empresa, que deve analisar o perfil de cada um, verificando se suas outras especializações atendem à necessidade dela, e tomar uma decisão.

2º passo: Definir o escopo

A próxima etapa consiste em uma discussão entre empresa e auditor, para alinhamento de expectativas sobre o acordo, informações sobre o ativo a ser analisado e definição do escopo de trabalho.

Quando isso for definido, o auditor deverá preencher um formulário confirmando seu interesse em dar andamento ao projeto.

3º passo: Revisar a documentação

Depois disso, o próximo passo é enviar a documentação para a revisão do comitê de auditores e determinar qual é o tipo de certificação ideal para cada caso.

Como mencionamos anteriormente, a C4 não se envolve com a auditoria.

4º passo: Executar a auditoria

Finalizando a parte burocrática, é hora de colocar a mão na massa. O auditor inicia a análise, verificando o sistema da aplicação, além dos processos e pessoas envolvidas, e se todos eles cumprem com os requisitos do CCSS.

5º passo: Revisar os resultados

Ao terminar a auditoria, os resultados são encaminhados para o comitê de auditores, que irão verificar a metodologia do teste – e não os resultados em si.

6º passo: Conceder a verificação

Uma vez aprovado o relatório final, a empresa irá receber o Certificado de Compliance com o CCSS.

Os requisitos

São cerca de 10 requisitos para obter a certificação, entre eles temos práticas ligadas a:

-Geração de chaves e derivações

-Configuração de carteiras

-Autenticação no uso de chave

-Criptografia no armazenamento

-Protocolo de Comprometimento de Chave

-Pentest e auditorias de segurança independente

Testes de segurança independentes

Como parte do CCSS, é importante a realização de auditorias de segurança completas e de pentests por terceiros – ou seja, por uma parte independente que não tem envolvimento com a empresa.

Benefícios do CCSS

Além de evitar que algum tipo de ciberataque aconteça e prejudique a empresa, o CCSS também mostra sua preocupação com a integridade dos possíveis clientes, clientes atuais e stakeholders, além da transparência com todos os usuários.

Ou seja, se a sua empresa ou organização atua com criptomoedas e/ou blockchain, o CCSS é uma certificação fundamental para garantir mais segurança e credibilidade.

Para saber mais sobre a importância do Pentest nesse segmento, fale com a Vantico e conheça nossas soluções.

 

1 CryptoCurrency Certification Consortium (C4)