Quais são os Padrões de Segurança para Criptomoedas? Conheça o CCSS

Kaique Bonato

Recentemente, falamos aqui no blog sobre as criptomoedas e os principais ciberataques que as corretoras sofreram nesses últimos anos.

E um dos motivos pelo qual esse tipo de coisa acontece em tal proporção é a falta de padrões de segurança entre empresas desse segmento, facilitando a ação de criminosos.

Pensando nisso, a organização CryptoCurrency Certification Consortium (C4) criou o Padrão de Segurança para Criptomoedas, também chamado de CCSS (CryptoCurrency Security Standard, em inglês), justamente com a finalidade de suprir essa necessidade.

O que é CryptoCurrency Certification Consortium (C4)?

A CryptoCurrency Certification Consortium (C4)¹ é uma organização educativa sem fins lucrativos, que fornece certificações ligadas a criptomoedas e blockchain.

A C4 criou o Padrão de Segurança para Criptomoedas (CCSS) que reúne um conjunto de requisitos, técnicas e metodologias para qualquer tipo aplicação que usa criptomoedas – tais como corretoras, aplicações web e soluções de armazenamento.

A organização ressalta, porém, que o CCSS deve ser um utilizado como um complemento a outros padrões de segurança, como o ISO 27001:2013.

Além de estabelecer as condições do CCSS, a C4 também disponibiliza auditores, capacitados por ela, para atribuir a certificação às empresas que as cumprir.

Padrão de Segurança para Criptomoedas (CCSS)

Agora que você já entendeu todo esse contexto, vamos falar sobre como funciona todo o processo de auditoria do CCSS e seus principais requisitos.

Imagem: Visão geral do processo de auditoria do CCSS.

A auditoria em si não depende da C4 em si, ela apenas faz a ponte entre as empresas e os profissionais. A revisão dos relatórios e aprovação das certificações é feita por um comitê de auditores. Abaixo você vai entender melhor como isso tudo funciona:

A auditoria

1º passo: Encontrar um auditor

O banco de profissionais aprovados e qualificados da C4 é chamado de CCSSA. A escolha do auditor para o projeto é feita pela própria empresa, que deve analisar o perfil de cada um, verificando se suas outras especializações atendem à necessidade dela, e tomar uma decisão.

2º passo: Definir o escopo

A próxima etapa consiste em uma discussão entre empresa e auditor, para alinhamento de expectativas sobre o acordo, informações sobre o ativo a ser analisado e definição do escopo de trabalho.

Quando isso for definido, o auditor deverá preencher um formulário confirmando seu interesse em dar andamento ao projeto.

3º passo: Revisar a documentação

Depois disso, o próximo passo é enviar a documentação para a revisão do comitê de auditores e determinar qual é o tipo de certificação ideal para cada caso.

Como mencionamos anteriormente, a C4 não se envolve com a auditoria.

4º passo: Executar a auditoria

Finalizando a parte burocrática, é hora de colocar a mão na massa. O auditor inicia a análise, verificando o sistema da aplicação, além dos processos e pessoas envolvidas, e se todos eles cumprem com os requisitos do CCSS.

5º passo: Revisar os resultados

Ao terminar a auditoria, os resultados são encaminhados para o comitê de auditores, que irão verificar a metodologia do teste – e não os resultados em si.

6º passo: Conceder a verificação

Uma vez aprovado o relatório final, a empresa irá receber o Certificado de Compliance com o CCSS.

Os requisitos

São cerca de 10 requisitos para obter a certificação, entre eles temos práticas ligadas a:

-Geração de chaves e derivações

-Configuração de carteiras

-Autenticação no uso de chave

-Criptografia no armazenamento

-Protocolo de Comprometimento de Chave

-Pentest e auditorias de segurança independente

Testes de segurança independentes

Como parte do CCSS, é importante a realização de auditorias de segurança completas e de pentests por terceiros – ou seja, por uma parte independente que não tem envolvimento com a empresa.

Benefícios do CCSS

Além de evitar que algum tipo de ciberataque aconteça e prejudique a empresa, o CCSS também mostra sua preocupação com a integridade dos possíveis clientes, clientes atuais e stakeholders, além da transparência com todos os usuários.

Ou seja, se a sua empresa ou organização atua com criptomoedas e/ou blockchain, o CCSS é uma certificação fundamental para garantir mais segurança e credibilidade.

Para saber mais sobre a importância do Pentest nesse segmento, fale com a Vantico e conheça nossas soluções.

¹CryptoCurrency Certification Consortium (C4)

7 estágios do ciclo de vida do gerenciamento de vulnerabilidades

7 fatores para analisar ao escolher um fornecedor de Pentest

A importância do Pentest para APIs e como funciona o teste

5 métricas de cibersegurança que você precisa analisar

3 desafios da cibersegurança e como o PTaaS pode ajudar

A importância do pentest para as healthtechs

A evolução do pentest e 3 motivos para investir em segurança cibernética

Pentest Mobile para Android e iOS

Pentest para Fornecedores SaaS

Pentest para APIs e aplicações Web

Pentest para Auditoria de Smart Contracts

Pentest Ágil para Pequenas Aplicações

Simulação de Phishing

Revisão Segura de Código

Scan de Vulnerabilidades

Gerenciamento de Superfície de Ataque

Programa de Divulgação de Vulnerabilidades

Emulação de Adversários

Modelagem de Ameaças

Threat Intelligence

newsletter

Inside Pentesting 2024 - Tendências e Insights

Quais são os Padrões de Segurança para Criptomoedas? Conheça o CCSS

Kaique Bonato

O que é CryptoCurrency Certification Consortium (C4)?

Padrão de Segurança para Criptomoedas (CCSS)

A auditoria

Os requisitos

Testes de segurança independentes

Benefícios do CCSS

veja também

Outros conteúdos sobre Segurança Cibernética

Vamos começar algo incrível?

Empresa

Links úteis

Navegue

Conteúdos

WhatsApp

E-mail