Recentemente, falamos aqui no blog sobre as criptomoedas e os principais ciberataques que as corretoras sofreram nesses últimos anos.
E um dos motivos pelo qual esse tipo de coisa acontece em tal proporção é a falta de padrões de segurança entre empresas desse segmento, facilitando a ação de criminosos.
Pensando nisso, a organização CryptoCurrency Certification Consortium (C4) criou o Padrão de Segurança para Criptomoedas, também chamado de CCSS (CryptoCurrency Security Standard, em inglês), justamente com a finalidade de suprir essa necessidade.
O que é CryptoCurrency Certification Consortium (C4)?
A CryptoCurrency Certification Consortium (C4)1 é uma organização educativa sem fins lucrativos, que fornece certificações ligadas a criptomoedas e blockchain.
A C4 criou o Padrão de Segurança para Criptomoedas (CCSS) que reúne um conjunto de requisitos, técnicas e metodologias para qualquer tipo aplicação que usa criptomoedas – tais como corretoras, aplicações web e soluções de armazenamento.
A organização ressalta, porém, que o CCSS deve ser um utilizado como um complemento a outros padrões de segurança, como o ISO 27001:2013.
Além de estabelecer as condições do CCSS, a C4 também disponibiliza auditores, capacitados por ela, para atribuir a certificação às empresas que as cumprir.
Padrão de Segurança para Criptomoedas (CCSS)
Agora que você já entendeu todo esse contexto, vamos falar sobre como funciona todo o processo de auditoria do CCSS e seus principais requisitos.
Imagem: Visão geral do processo de auditoria do CCSS.
A auditoria em si não depende da C4 em si, ela apenas faz a ponte entre as empresas e os profissionais. A revisão dos relatórios e aprovação das certificações é feita por um comitê de auditores. Abaixo você vai entender melhor como isso tudo funciona:
A auditoria
1º passo: Encontrar um auditor
O banco de profissionais aprovados e qualificados da C4 é chamado de CCSSA. A escolha do auditor para o projeto é feita pela própria empresa, que deve analisar o perfil de cada um, verificando se suas outras especializações atendem à necessidade dela, e tomar uma decisão.
2º passo: Definir o escopo
A próxima etapa consiste em uma discussão entre empresa e auditor, para alinhamento de expectativas sobre o acordo, informações sobre o ativo a ser analisado e definição do escopo de trabalho.
Quando isso for definido, o auditor deverá preencher um formulário confirmando seu interesse em dar andamento ao projeto.
3º passo: Revisar a documentação
Depois disso, o próximo passo é enviar a documentação para a revisão do comitê de auditores e determinar qual é o tipo de certificação ideal para cada caso.
Como mencionamos anteriormente, a C4 não se envolve com a auditoria.
4º passo: Executar a auditoria
Finalizando a parte burocrática, é hora de colocar a mão na massa. O auditor inicia a análise, verificando o sistema da aplicação, além dos processos e pessoas envolvidas, e se todos eles cumprem com os requisitos do CCSS.
5º passo: Revisar os resultados
Ao terminar a auditoria, os resultados são encaminhados para o comitê de auditores, que irão verificar a metodologia do teste – e não os resultados em si.
6º passo: Conceder a verificação
Uma vez aprovado o relatório final, a empresa irá receber o Certificado de Compliance com o CCSS.
Os requisitos
São cerca de 10 requisitos para obter a certificação, entre eles temos práticas ligadas a:
-Geração de chaves e derivações
-Configuração de carteiras
-Autenticação no uso de chave
-Criptografia no armazenamento
-Protocolo de Comprometimento de Chave
-Pentest e auditorias de segurança independente
Testes de segurança independentes
Como parte do CCSS, é importante a realização de auditorias de segurança completas e de pentests por terceiros – ou seja, por uma parte independente que não tem envolvimento com a empresa.
Benefícios do CCSS
Além de evitar que algum tipo de ciberataque aconteça e prejudique a empresa, o CCSS também mostra sua preocupação com a integridade dos possíveis clientes, clientes atuais e stakeholders, além da transparência com todos os usuários.
Ou seja, se a sua empresa ou organização atua com criptomoedas e/ou blockchain, o CCSS é uma certificação fundamental para garantir mais segurança e credibilidade.
Para saber mais sobre a importância do Pentest nesse segmento, fale com a Vantico e conheça nossas soluções.