Benefícios da certificação incluem reconhecimento mundial dos certificados emitidos pela Infraestrutura de Chaves Públicas Brasileira, cujo HSM central é um kNET da Kryptus
Depois de cinco anos de espera, a Kryptus, uma empresa com sede em Campinas (SP) que desde 2003 fornece soluções em segurança da informação (principalmente com base em criptografia), está comemorando o recebimento da certificação FIPS para um de seus produtos. É o hardware security module (HSM) kNET, equipamento projetado especificamente para o armazenamento de chaves criptográficas – um verdadeiro cofre eletrônico.
O equipamento já tinha outra certificação, que é a ICP Brasil (MCT7 NSH3). A FIPS, no entanto, não só complementa a ICP Brasil como também atende à norma PCI. Assim, a dupla certificação deflagra para a empresa uma transformação cujas dimensões são difíceis de calcular: com essa certificação, a Kryptus se torna a primeira empresa brasileira a entrar num mercado onde estão concorrentes muito maiores, como Thales, Utimaco e IBM, por exemplo.
O mercado global para HSMs não é nada pequeno: ele será de US$ 1,3 bilhão este ano, segundo estimativas da consultoria americana Market Insights. Vem crescendo a uma taxa média 10,8% ao ano e deverá alcançar US$ 2,7 bilhões ao final de 2026.
O certificado
Concedido à Kryptus pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA dia 4 de Fevereiro, o certificado FIPS, ou Federal Information Processing Standard, é a norma de segurança computacional do governo americano para módulos criptográficos como o kNET. A concessão do certificado tem impacto muito positivo para a empresa em várias dimensões. A principal, naturalmente, é a dos negócios: a Kryptus ganha a possibilidade de comercializar o kNET para o setor financeiro, onde somente dispositivos com a certificação FIPS são globalmente aceitos. Nesse setor, o domínio é de players como a francesa Thales, por exemplo, que no Brasil tem mais de 90% do mercado na opinião de Roberto Gallo, presidente da Kryptus.
Certificados SSL brasileiros
Na dimensão da internet brasileira, a chegada desse certificado significa que os certificados SSL para servidores do governo, emitidos por autoridades certificadoras brasileiras (como o Serpro, por exemplo) passarão a ser reconhecidos por organismos como a Web Trust. Em outras palavras, dentro de pouco tempo os navegadores deixarão de emitir avisos como “esta conexão não é confiável” ou “o certificado de segurança do site não é confiável”, no acesso a servidores web do governo federal.
Esses certificados SSL, embora funcionais e perfeitos, não foram até agora reconhecidos porque a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil ainda não tinha passado pela auditoria da Web Trust. Como o HSM central da ICP é um kNET, faltava a certificação para que a auditoria pudesse aprovar a cadeia e a certificação. Após a auditoria, que já está solicitada pelo ICP, os atuais produtores de navegadores (Microsoft, Apple e Google, por exemplo) deverão inserir os dados da infraestrutura brasileira em seus repositórios de confiança, para que haja o reconhecimento automático dos certificados SSL da ICP-Brasil. Isso encerrará o aparecimento das mensagens de erro.
E-Cyber
Por coincidência, um dia após a concessão do FIPS, o governo federal publicou o decreto que aprova a Estratégia Nacional de Segurança Cibernética – E-Ciber. Roberto Gallo, comemora também a publicação porque uma das recomendações do documento é que sejam adotadas soluções nacionais de criptografia que ao mesmo tempo atendam aos padrões internacionais. Como é o caso do kNET, ele observa.
A certififcação FIPS, explica Roberto Gallo, é extremamente importante no mercado de cibersegurança porque atende atualmente qualquer tipo de avaliação: “As compras nessa área acontecem no geral por três motivos: compliance, aversão a risco e novos negócios, e o HSM é nesses casos matéria prima fundamental. Ele atende as três possibilidades”.
Para os negócios da Kryptus, Gallo considera que foi dado um passo muito grande, porque a certificação abre todas as possibilidades de venda ao mercado norte-americano, inclusive ao governo. Abre também as portas para vendas ao setor financeiro, que sempre exige certificações PCI, FIPS ou ambos – agora o kNET já tem as duas. “Mas o principal mercado é o financeiro”, explica o presidente da empresa. A expectativa dele é que neste ano as vendas da empresa já sejam 300% superiores às de 2019.
Para alcançar esse crescimento, Gallo aposta inclusive nas transformações que o mercado financeiro vem sofrendo e que favorecem a criação de muitas fintechs. “Com a certificação FIPS, o kNET se torna a única plataforma que pode ser utilizada simultaneamente no processamento de pagamentos ‘clássicos’, regulamentados pelas normas PCI, e nas transações instantâneas com regulamentação BACEN”. Além disso, a disponibilidade do equipamento no Brasil reduz muito tanto o TCO (total cost of ownership) e o ‘time to market’, que no caso das fintechs precida ser mutio curto, diz o CEO da empresa.
18 meses de testes
A certificação obtida pela Kryptus começou cinco anos atrás. Nesse intervalo de tempo, um ano e meio foram consumidos em testes na rede de laboratórios do NIST. Os testes são feitos não somente para verificação dos algoritmos de criptografia adotados pela empresa em seu equipamento como, também, para conferir se ele atende a todas as normas de segurança física e eletrônica em sua construção.
