Seguridad y protección

Protección desde el diseño y seguridad en profundidad

Un enfoque holístico para garantizar la confidencialidad, la integridad y la disponibilidad de los datos y el software de los vehículos conectados.

Programar una demostración
Seguridad y protección

Protección en todos los niveles

Functional Safety Icon
Seguridad funcional

Comprobaciones de redundancia y seguridad integradas para garantizar la seguridad del conductor y la funcionalidad del vehículo en todo momento.

Más información →
Cybersecurity icon
Ciberseguridad

Seguridad sofisticada y de varios niveles que utiliza los enfoques más recientes para identificar, detener y mitigar rápidamente el impacto de los ciberataques.

Más información →
Bootloaders Icons
Protección de datos

La privacidad y la seguridad de los datos están integradas en todas las soluciones, desde el software y el firmware del vehículo hasta el cifrado en la nube.

Más información →
Operation icon
Operaciones

Principios operativos que siguen rigurosos procedimientos internos y las mejores prácticas de la industria para mantener a todos los clientes seguros y protegidos.

Más información →

Seguridad funcional

Certificado ISO 26262 y clasificación ASIL-D

El único producto de actualización de software inalámbrico con certificación ISO 26262 (por UL) y con una clasificación ASIL-D para implementar actualizaciones de software y firmware en cualquier ECU con seguridad y confianza.

Controles de estado seguro del vehículo

Comprobaciones de «estado seguro» personalizables para garantizar que los vehículos de carretera estén en un estado seguro (no en movimiento) antes y después de realizar cualquier actualización del software de la ECU que pueda suponer un peligro para la seguridad humana.

Comprobaciones de garantía del firmware

El sistema de Sibros garantiza que solo se puedan instalar versiones válidas de software o firmware firmados por OEM para mitigar los riesgos de una configuración incorrecta de los parámetros o de la intrusión de malware.

Comprobaciones de ECU no programadas

Monitorización continua de las ECU para garantizar que estén programadas de forma completa y correcta y que funcionen según lo previsto.

Pruebas de concepto

Garantizamos la seguridad funcional de todos los productos y conceptos nuevos mediante exhaustivas pruebas y análisis de conceptos antes de su lanzamiento al cliente.

Ciberseguridad

Certificado ISO 21434

Como uno de los primeros y únicos proveedores de plataformas de vehículos conectados con la certificación ISO 21434, Sibros lidera la integración de prácticas sólidas de ciberseguridad para garantizar los niveles más altos de seguridad, protección y confianza de los clientes.

Certificado ISO 27034

Sibros ha desarrollado meticulosamente un marco de seguridad de aplicaciones que es seguro por diseño y que cumple con los estrictos protocolos de seguridad descritos en la norma ISO 27034.

Cumplimiento de las normas WP.29 R155, R156 y R169

Características y mecanismos tecnológicos para los sistemas de gestión de ciberseguridad (CSMS) y los sistemas de gestión de actualizaciones de software (SUMS) para ayudar a los OEM a alcanzar los requisitos R155, R156 y R169 cumplimiento normativo.

Más información →

Conformidad con AIS-189 y AIS-190

Características y mecanismos tecnológicos para los sistemas de gestión de ciberseguridad (CSMS) y los sistemas de gestión de actualizaciones de software (SUMS) para ayudar a los fabricantes de equipos originales de la India a cumplir con las normas AIS-189 y AIS-190.

Más información →

Estándar de ciberseguridad IEEE Uptane

Nuestros sistemas emplean el marco Uptane, resistente a compromisos, diseñado para proporcionar ciberseguridad multicapa y protección contra amenazas contra actores malintencionados para actualizaciones de software inalámbricas en vehículos terrestres.

Comunicación segura

Utilización de HTTPS/MQTTS para garantizar un intercambio de datos seguro y fiable entre los vehículos y la nube.

Múltiples puntos de firma

Aprobación y autenticación de comandos y actualizaciones para requerir claves de firma en varios puntos de acceso y usuarios a fin de evitar la manipulación y el uso no autorizado.

Identificadores de versión únicos

Todas las versiones de software, paquetes de actualizaciones, cambios en el sistema y vehículos asociados utilizan identificadores únicos para garantizar la coherencia, la transparencia, la verificación y la trazabilidad.

Protección completa contra ciberataques

El enfoque de seguridad y autenticación multicapa de Sibros protege contra una multitud de actividades malintencionadas, como el espionaje, la solicitud de borrado, la recuperación lenta, los ataques de congelación, los ataques de reversión y más.

Protección de datos

Cumplimiento del RGPD

Cumplimiento de los derechos de privacidad y datos de los usuarios tal como se describe en el Reglamento General de Protección de Datos (GDPR) de la UE y otros estándares internacionales de protección de datos comparables.

Cumplimiento de la CCPA

Cumplimiento de los requisitos de consentimiento del cliente y derecho a usar para la recopilación y el almacenamiento de datos, tal como se describe en la Ley de privacidad del consumidor de California.

ISO 27001

Certificado en sistemas de gestión de seguridad de la información y mejores prácticas que protegen todas las formas de información y protegen la integridad, la confidencialidad y la disponibilidad de los datos.

TISAX

Cumplimiento de la norma europea de automoción para un enfoque coherente de los sistemas de seguridad de la información empresarial.

Operaciones

SOC 2 tipo II

Certificación del Instituto Estadounidense de Contadores Públicos Públicos Públicos Públicos (AICPA) para los controles internos y la eficacia de la forma en que protegemos los datos de los clientes.

ISO 9001:2015

Certificado en sistemas de gestión de calidad (QMS) y marcos para mejorar continuamente los productos y servicios que le ofrecemos.

Respuesta a incidentes y gestión de riesgos

Nuestro comité de riesgos dedicado supervisa la detección, la evaluación y la documentación de las posibles amenazas según las pautas descritas en nuestra Política de respuesta a incidentes.

Formación continua del personal

Se requiere una comunicación y capacitación continuas en toda la organización sobre todos los nuevos procedimientos operativos, los temas de cumplimiento obligatorio y las mejores prácticas relacionadas.

Incorporación y desconexión seguras

Todos los empleados se someten a un exhaustivo proceso de selección, que incluye múltiples entrevistas, una verificación de antecedentes penales y una formación introductoria. Al salir, el acceso de los empleados a los sistemas, servicios y aplicaciones de la empresa se desactiva inmediatamente.

Cumplimiento de la normativa global

Cumplimiento de los estándares internacionales de ciberseguridad, protección de datos y seguridad funcional.

Cumple con la norma UNECE WP.29

Listo para usar con procesos y mecanismos para cumplir con los requisitos de los sistemas de gestión de ciberseguridad (CSMS) y los sistemas de gestión de actualizaciones de software (SUMS).

Más información →

Certificado ISO 26262

Uno de los únicos productos de actualización de software OTA del mercado con una clasificación de seguridad funcional ASIL-D, que permite a los OEM gestionar con confianza y seguridad los paquetes de actualización de software y firmware para cada ECU durante todo el ciclo de vida del vehículo.

Más información →

Cumple con el RGPD

Cumplimiento de los derechos de privacidad y datos de los usuarios tal como se describe en el Reglamento General de Protección de Datos (GDPR) de la UE y otros estándares internacionales de protección de datos comparables.

Más información →

Cumple con la CCPA

Controles de seguridad, ciberseguridad de nivel automotriz y mejores prácticas de información para garantizar el cumplimiento de la protección de datos de la CCPA.

Más información →

Seguridad y confianza en la nube

Las soluciones de Sibros se han sometido a exhaustivas revisiones técnicas de arquitectura de nube por parte de los proveedores de nube más acreditados del mundo y utilizan los mismos principios, prácticas y tecnologías de seguridad en los que confían las empresas más grandes del mundo.

GCP

El probado sistema operativo Android Automotive, las aplicaciones de Google y los servicios en la nube de Google utilizan un sistema de defensa de seguridad de varios niveles que incluye cifrado avanzado para la transferencia y el almacenamiento de datos, equipos de detección y respuesta a amenazas las 24 horas del día, los 7 días de la semana, y claves de seguridad resistentes a la suplantación de identidad.

AWS

El conjunto de servicios web nativos de Amazon, que incluye AWS IoT, Amazon RDS, Amazon S3 y Amazon Kinesis, utiliza el cifrado automático de datos, los controles de seguridad de redes y aplicaciones y la detección y el análisis de vulnerabilidades para garantizar la privacidad y la protección de los datos.

Cumplimiento de la normativa global

Cumplimiento de los estándares internacionales de ciberseguridad, protección de datos y seguridad funcional.

Cumple con la norma UNECE WP.29

Listo para usar con procesos y mecanismos para cumplir con los requisitos de los sistemas de gestión de ciberseguridad (CSMS) y los sistemas de gestión de actualizaciones de software (SUMS).

Más información →

Certificado ISO 26262

Uno de los únicos productos de actualización de software OTA del mercado con una clasificación de seguridad funcional ASIL-D, que permite a los OEM gestionar con confianza y seguridad los paquetes de actualización de software y firmware para cada ECU durante todo el ciclo de vida del vehículo.

Más información →

Cumple con el RGPD

Cumplimiento de los derechos de privacidad y datos de los usuarios tal como se describe en el Reglamento General de Protección de Datos (GDPR) de la UE y otros estándares internacionales de protección de datos comparables.

Más información →

Cumple con la CCPA

Controles de seguridad, ciberseguridad de nivel automotriz y mejores prácticas de información para garantizar el cumplimiento de la protección de datos de la CCPA.

Seguridad y confianza en la nube

Las soluciones de Sibros se han sometido a exhaustivas revisiones técnicas de arquitectura de nube por parte de los proveedores de nube más acreditados del mundo y utilizan los mismos principios, prácticas y tecnologías de seguridad en los que confían las empresas más grandes del mundo.

GCP

El probado sistema operativo Android Automotive, las aplicaciones de Google y los servicios en la nube de Google utilizan un sistema de defensa de seguridad de varios niveles que incluye cifrado avanzado para la transferencia y el almacenamiento de datos, equipos de detección y respuesta a amenazas las 24 horas del día, los 7 días de la semana, y claves de seguridad resistentes a la suplantación de identidad.

Más información →

AWS

El conjunto de servicios web nativos de Amazon, que incluye AWS IoT, Amazon RDS, Amazon S3 y Amazon Kinesis, utiliza el cifrado automático de datos, los controles de seguridad de redes y aplicaciones y la detección y el análisis de vulnerabilidades para garantizar la privacidad y la protección de los datos.

Más información →

Seguridad de sistemas de vehículos

Seguro y protegido por su diseño desde cero.

Ciberseguridad estándar Uptane

La plataforma Deep Connected de Sibros utiliza un marco resistente a las concesiones diseñado para proporcionar protección contra amenazas y ciberseguridad OTA de nivel automotriz.

Múltiples puntos de firma

La aprobación y la autenticación de los comandos y las actualizaciones requieren claves de firma en varios puntos de acceso y usuarios para evitar la manipulación y el uso no autorizado.

Identificadores de versión únicos

Todas las versiones de software, paquetes de actualizaciones, cambios en el sistema y vehículos asociados utilizan identificadores únicos para garantizar la coherencia, la transparencia, la verificación y la trazabilidad.

Pruebas de concepto

Garantizamos la seguridad funcional de todos los productos y conceptos nuevos mediante exhaustivas pruebas y análisis de conceptos antes de su lanzamiento al cliente.

Seguridad operacional

Una solución es tan segura como las personas que la respaldan.

Certificado SOC 2 tipo I

Procedimientos y prácticas internos de acuerdo con los cinco criterios de los servicios de confianza: disponibilidad, confidencialidad, privacidad, seguridad e integridad del procesamiento

(Tipo II en curso)

Certificado ISO 9001:2015

Utilizamos sistemas de gestión de calidad establecidos para mejorar continuamente nuestros productos, operaciones y relaciones con los clientes.

Incorporación y desincorporación

Todos los empleados se someten a un exhaustivo proceso de selección, que incluye múltiples entrevistas, una verificación de antecedentes penales y una formación introductoria. Al salir, el acceso de los empleados a los sistemas, servicios y aplicaciones de la empresa se desactiva inmediatamente.

Capacitación del personal

Comunicación y educación periódicas sobre los nuevos procedimientos de seguridad operativa, la capacitación en cumplimiento y las mejores prácticas relacionadas.

Respuesta a incidentes

Tenemos un comité de riesgos dedicado que supervisa la detección, la evaluación y la documentación de las posibles amenazas según las pautas descritas en nuestra Política de respuesta a incidentes.

Preguntas frecuentes Seguridad y protección

Ecosistema/Fundación

What is Sibros’ general security approach?

Sibros follows an approach of security designed from the ground up and built into the DNA of the product. This includes in-vehicle secure communications and secure storage / HSM integrations.

What are management best practices regarding access to the system? How do we ensure background checks of employees?

All access needs authorization and is granted on a need-to-know basis. All employees are background checked as part of their onboarding process.

What are Sibros’ security compliance and certifications?

Our solution is assessed to TISAX, SSAE 16/18 SOC 2 Type 2, ISO 26262 (ASIL-D) in place with ISO 27001, ISO 21434, and ISO 24089 in progress. Sibros also addresses and supports security regulations such as UNECE WP.29 R155 and R156, with AIS 189, AIS 190 under review; as well as privacy regulations such as GDPR and CCPA, with Indian DPDP under review.

Privacidad por diseño

What is the coverage for incidents?

Sibros has a very well defined incident management process, and security incident management and breach response processes.

What security/function is implemented inside the target ECU or client?

Support for 0x27 and key exchange, secure storage and symmetric key handling to be determined by target ECU.

What is the Sibros Armor framework?

Sibros Armor includes the following checks and failsafes: 

  • 2-way authentication of communication between vehicle and cloud
  • Device provisioning framework incorporating secure integrations with manufacturing 
  • DeviceID and Vehicle Identification (VIN) with a data abstraction framework that incorporates Privacy by Design
  • Role-based Access Control (RBAC)
  • Approval workflow for deployments and changes for systems
  • SSO and MFA for user authentication
  • In-vehicle secure communications
  • Secure storage / HSM integrations
Is Sibros a data controller or a data processor in the framework of the GDPR?

Sibros acts as a data processor. The OEM is the data controller.

What happens when changes are made?

All changes for cloud and firmware are reviewed.

How is data in transit secured?

The following are used: 

  • MQTT(s) over Mutual TLS 
  • HTTPS over TLS
How are vulnerabilities assessed?

With the following reviews and assessments: 

  • Components vulnerability review (firmware and cloud software)
  • Cloud infrastructure vulnerability review (cloud software)
  • OWASP IOT ASVS assessment (firmware)
  • Cloud posture assessments
  • AWS GuardDuty, GCP SCC, and other cloud threat assessment tooling
How does Sibros link devices and data?

Sibros primarily uses a Globally Unique Identifier (GUID) to create a link between device identification information such as Vehicle Identification Number (VIN) / Electronic Serial Number (ESN) and the data collected by Deep Logger, Deep Updater, and Deep Commander.

Registrador profundo

How could a breach affect Deep Logger and Deep Commander and what preventive measures has Sibros taken?

Security is designed into the solution. Additionally, it is assessed to TISAX, SSAE 16/18 SOC 2 Type 2, ISO 26262 in place with ISO 27001, ISO 21434, and ISO 24089 in progress.

Could an infected ECU use Deep Logger to send attacks to the cloud? If so, what has been done to mitigate this risk?

Log files are archived and optionally compressed. They are also handled securely and not directly uploaded into the system. The only reference information is in the system, and the S3 bucket is only used for storage of files that are uploaded as GUID’s (Globally Unique Identifiers).

Actualizador profundo

Examples of automotive cybersecurity incidents that can be mitigated using Sibros’ OTA solution?
  • Drop request: Attacks that block network traffic (in-vehicle or outside) to prevent vehicles from updating software
  • Eavesdrop: Attacks that listen to network traffic to reverse-engineer ECU firmware.
  • Freeze attack: Indefinitely sends an ECU the last known update, even if there may be newer updates on the repository.
  • Mixed-bundles: Attackers force ECUs to install incompatible software updates to cause ECU interoperability failure.
  • Slow-retrieval: Slows down delivery of ECU updates so that a known security vulnerability can be exploited.
  • Partial-bundle: Causes some ECUs to not install the latest updates by dropping traffic to these ECUs.
  • Rollback: Causes an ECU to install outdated software with known vulnerabilities. 
  • Arbitrary software: Attackers use compromised repository keys to release an arbitrary combination of new images to cause ECUs to fail.
  • Mix-and-match: Most severe of all attacks installing arbitrary software on ECU to modify vehicle performance.
What are the differences between OTA systems with or without Uptane?

Uptane is the first security framework for automotive OTA updates that provides serious compromise resilience, meaning that it can withstand attacks on servers, networks, keys, or devices. The differences are as follows:

  • A single server that is compromised cannot compromise more of the system.
  • It is possible to recover from a single key compromise.
  • The complete vehicle IP address is not readily accessible.
  • Network security is not the only security control.
  • Delivery authenticity is validated separately from firmware authenticity.
  • Vehicle manifest and vehicle component authenticity are validated.
  • Component and ECU rollback and replacement attacks are easily detected and remediated.
What are the security considerations/measures when integrating Deep Updater in the TCU (external communication device)?

The following measures are taken:

  • Device provisioning
  • HSM integration
  • In-vehicle secure communications 
  • Provisioning of EOL integrations and device provisioning 
  • Uptane keys and component replacements

Nube

What validations for cloud security are in place?

The following are used: 

  • Static analysis of code (SAST)
  • Secrets review 
  • Dependency checking (vulnerability assessments)
  • OWASP Top 10 
  • OWASP API Top 10
  • OWASP IOT ASVS
  • CI/CD review of SBOM
Haciendo clic «Aceptar todas las cookies», acepta el almacenamiento de cookies en su dispositivo para mejorar la navegación del sitio, analizar el uso del sitio y ayudar en nuestras iniciativas de marketing. Vea nuestro Política de privacidad para obtener más información.
DenegarAceptar
Productos
Soluciones
Empresa
Recursos
¿Está listo para empezar?
Demo del libro
Póngase en contacto con nosotros
Derechos de autor @ 2024 Sibros Technologies Inc.
Todos los derechos reservados.
Conéctese