Compromiso seguro por diseño | CISA

resumen

Se trata de un compromiso voluntario que se centra en productos y servicios de software empresarial, incluido el software local, los servicios en la nube y el software como servicio (SaaS). El compromiso no incluye productos físicos como dispositivos IoT y productos de consumo, aunque las empresas que quieran demostrar avances en estas áreas pueden hacerlo.

Al participar en este compromiso, los fabricantes de software se comprometen a hacer un esfuerzo de buena fe para trabajar hacia los objetivos que se enumeran a continuación durante el año siguiente. En el caso de que un fabricante de software pueda lograr un progreso tangible hacia el objetivo, el fabricante debe documentar públicamente cómo logró ese progreso dentro del año posterior a la firma del compromiso. Cuando un fabricante de software no puede lograr un progreso tangible, se le anima a que, dentro del año siguiente a la firma del compromiso, comparta con CISA cómo está trabajando para lograr el objetivo y los desafíos que enfrenta. En aras de una transparencia radical, se anima al fabricante a documentar públicamente su enfoque para que otros puedan aprender. Este compromiso es voluntario y no es legalmente vinculante.

El compromiso se estructura con siete objetivos. Cada objetivo contiene los estándares clave por los que los fabricantes se comprometen a trabajar, así como contexto y ejemplos para lograr el objetivo y demostrar un progreso mensurable. Para permitir una variedad de enfoques, los fabricantes de software que participan en el Compromiso tienen discreción para determinar cómo pueden cumplir y demostrar mejor los criterios básicos para cada objetivo. Mostrar un progreso mensurable en los productos de un fabricante puede adoptar diversas formas, como tomar medidas en todos los productos de un fabricante o seleccionar un grupo de productos para abordar primero y publicar una hoja de ruta para otros productos.

CISA reconoce y aplaude a los fabricantes de software que ya han cumplido o superado estos objetivos. En tal caso, cuando el fabricante de software realmente cumple o supera un objetivo, debe describir públicamente cómo lo hace. En estos casos, CISA agradece los esfuerzos adicionales para superar los objetivos del compromiso.

Este compromiso busca complementar y aprovechar las mejores prácticas de seguridad de software existentes, incluidas las desarrolladas por CISA, NIST, otras agencias federales y las mejores prácticas internacionales y de la industria. CISA continúa apoyando la adopción de medidas complementarias que mejoren la seguridad a través del diseño.