Definición y propósito

El propósito de ETSI TS 103 645 es establecer una base de seguridad que proteja la privacidad y la seguridad de los consumidores asegurando que los dispositivos IoT se diseñen con ciertas disposiciones críticas de seguridad desde el principio. La norma define disposiciones para proteger los dispositivos IoT de amenazas y vulnerabilidades comunes, promoviendo así la confianza del consumidor en la tecnología IoT.

Órgano Gobernante

ETSI TS 103 645 fue desarrollada y es mantenida por el Instituto Europeo de Normas de Telecomunicaciones (ETSI), una Organización Europea de Normalización reconocida.

Última actualización

ETSI TS 103 645 fue publicada en febrero de 2019. ESTI TS 103 645 V2.1.2 se lanzó en junio de 2020.

Se aplica a

ETSI TS 103 645 se aplica a dispositivos IoT de consumo, que son ampliamente utilizados por individuos en entornos domésticos. Esto puede abarcar desde electrodomésticos inteligentes y sistemas de seguridad hasta dispositivos portátiles y juguetes conectados.

Controles y requisitos

La norma incluye una serie de disposiciones de alto nivel centradas en los resultados, tales como:

• No contraseñas predeterminadas: Todas las contraseñas de los dispositivos IoT deben ser únicas y no restablecibles a ningún valor predeterminado universal de fábrica.
• Implementar un medio para gestionar informes de vulnerabilidades: Un punto de contacto público como parte de una política de divulgación de vulnerabilidades.
• Mantener el software actualizado: Actualizaciones de software oportunas y seguras.
• Almacenar de manera segura los parámetros de seguridad sensibles: Almacenamiento seguro de credenciales y datos sensibles a la seguridad.
• Comunicación segura: Cifrado de datos sensibles a través de redes.
• Minimizar las superficies de ataque expuestas: Todas las funciones del dispositivo y las capacidades de acceso remoto deben ser revisadas y minimizadas.
• Garantizar la integridad del software: El software en los dispositivos IoT debe ser verificado utilizando mecanismos de arranque seguro.
• Proteger los datos personales: Cualquier dato personal recopilado o procesado debe ser protegido.
• Garantizar la resiliencia del sistema ante interrupciones: Los dispositivos deben ser resilientes y recuperarse de interrupciones.
• Examinar los datos de telemetría del sistema: Si se recopilan diagnósticos, estos datos deben ser examinados para detectar anomalías de seguridad.

Consulte la documentación oficial de ESTI TS 103 645 V2.1.2 para obtener detalles sobre los controles y requisitos.

Tipo de auditoría, frecuencia y duración

Cumplir con ETSI TS 103 645 puede implicar procesos de autoevaluación o certificación por terceros, donde los dispositivos IoT son evaluados en función de los requisitos del estándar. Dada la naturaleza en rápida evolución de IoT y las amenazas de seguridad relacionadas, es prudente realizar revisiones periódicas; sin embargo, el estándar no especifica una frecuencia.

La duración de las comprobaciones de cumplimiento o los procesos de certificación dependerá de la complejidad del dispositivo, la cantidad de dispositivos que se estén evaluando y la profundidad de los requisitos de seguridad que se estén aplicando.