Definición y propósito

ETSI EN 303 645 describe disposiciones de alto nivel para los aspectos de seguridad de los dispositivos de consumo y sus servicios asociados, con un enfoque en los dispositivos IoT. El propósito es proporcionar protección contra amenazas cibernéticas comunes para los consumidores y garantizar la privacidad de sus datos personales.

Órgano de Gobierno

El órgano de gobierno de este estándar es el Instituto Europeo de Normas de Telecomunicaciones (ETSI).

Última actualización

La versión V2.1.1 de ESTI EN 303 645 se lanzó en 2020.

Aplicable a

ETSI EN 303 645 se aplica principalmente a dispositivos IoT de consumo. Esto incluye dispositivos como juguetes conectados para niños, cámaras inteligentes, wearables, rastreadores de salud, sistemas de automatización y alarma para el hogar conectados, y otros productos IoT relacionados para uso del consumidor.

Controles y requisitos

Algunas disposiciones clave para el cumplimiento de ESTI EN 303 645 incluyen:

• No Contraseñas Universales por Defecto: Los dispositivos IoT no deben tener contraseñas universales por defecto.
• Implementar un Mecanismo para Gestionar los Informes de Vulnerabilidades: Los proveedores deben tener un mecanismo claro para permitir la notificación de vulnerabilidades de seguridad.
• Mantener el Software Actualizado: Los fabricantes deben asegurarse de que el software sea actualizable de manera segura.
• Almacenar Credenciales y Datos Sensibles de Seguridad de Manera Segura: Los datos almacenados en los dispositivos deben ser apropiadamente seguros.
• Comunicarse de Forma Segura: Los dispositivos y servicios IoT deben usar cifrado adecuado cuando sea necesario.
• Minimizar las Superficies de Ataque Expuestas: Los puertos y servicios innecesarios deben ser deshabilitados, y el hardware no debe exponer innecesariamente el acceso.
• Garantizar la Integridad del Software: El software en los dispositivos IoT debe ser verificado utilizando mecanismos de arranque seguro.
• Garantizar que los Datos Personales estén Protegidos: Los datos personales procesados por dispositivos y servicios IoT deben ser manejados de acuerdo con las regulaciones de protección de datos aplicables.
• Hacer los Sistemas Resilientes ante Cortes: Los dispositivos y servicios deben permanecer operativos e informar a los usuarios de cualquier pérdida de funcionalidad (por ejemplo, pérdida de red o de energía).
• Examinar los datos de telemetría del sistema: Asegúrese de que cualquier telemetría (por ejemplo, datos de uso o errores) se examine en busca de anomalías de seguridad.
• Facilite a los consumidores eliminar los datos personales: Los usuarios deben tener un método claro para eliminar sus datos personales de un dispositivo/servicio.
• Facilite la instalación y el mantenimiento de los dispositivos: Los dispositivos deben ser fáciles de instalar y contar con una guía de mantenimiento clara.
• Validar los datos de entrada: Los datos pasados a través de APIs o entre redes deben ser validados.

Consulte la documentación oficial de ESTI EN 303 645 V2.1.1 para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

Normalmente, ESTI EN 303 645 implicaría una evaluación de terceros o una revisión interna, examinando los dispositivos IoT y sus servicios asociados para garantizar la alineación con el estándar. La frecuencia de las auditorías depende de las políticas del fabricante y de cualquier mandato regulatorio que pueda aplicarse a ellos. Sin embargo, se recomiendan auditorías regulares, especialmente después de actualizaciones o cambios significativos en el producto.

La duración de una auditoría depende de la complejidad del dispositivo o servicio IoT, la profundidad de la auditoría y el número de dispositivos/servicios que se estén evaluando.