Piden a minoristas retirar dispositivos IoT inseguros

Buscan convencer a los fabricantes de que cumplir con los estándares mínimos de seguridad y privacidad es bueno para los negocios
Autor:
La iniciativa busca que minoristas retiren dispositivos conectados inseguros y exijan a los fabricantes cumplir con estándares mínimos de seguridad y privacidad
Estándares de seguridad

Palabras clave

IoT
Contenido patrocinado: 

Mozilla, Internet Society, Consumers International, ColorOfChange, Open Media & Information Companies Initiative, Common Sense Media, Story of Stuff, Center for Democracy and Technology, Consumer Federation of America, 18 Million Rising, y Hollaback, firmaron una carta para impulsar a los minoristas a apoyar y aplicar públicamente las pautas de seguridad y privacidad mínimas de los dispositivos conectados a Internet de las Cosas (IoT), y dejen de vender aquellos productos inseguros.

El objetivo, es convencer a los fabricantes de que cumplir con los estándares mínimos de seguridad y privacidad es bueno para los negocios, señala Megan Kruse, Directora de Negocios de Online Trust Alliance, una iniciativa de Internet Society.

El documento destaca cinco estándares del Marco de Confianza de Internet de las Cosas, un conjunto más amplio de principios que los fabricantes, revendedores y responsables de políticas pueden usar para ayudar a proteger los dispositivos de IoT y sus datos.

  1. Comunicaciones cifradas: El producto debe utilizar el cifrado para todas sus funciones y capacidades de comunicaciones de red. Esto garantiza que todas las comunicaciones no sean escuchadas o modificadas en tránsito.
  2. Actualizaciones de seguridad: El producto debe admitir actualizaciones automáticas durante un período razonable después de la venta, y debe estar habilitado de forma predeterminada para garantizar que el proveedor puede hacer que las actualizaciones de seguridad estén disponibles para los consumidores, las cuales se verifican y luego se instalan sin problemas.
  3. Contraseñas seguras: Si el producto usa contraseñas para la autenticación remota, debe exigir que se utilicen contraseñas seguras, incluido el requisito de seguridad de la contraseña. Las contraseñas predeterminadas no únicas también deben restablecerse como parte de la configuración inicial del dispositivo para proteger el dispositivo de la vulnerabilidad a ataques de contraseña adivinables.
  4. Administración de vulnerabilidades: El proveedor debe tener un sistema implementado para administrar las vulnerabilidades en el producto, que debe incluir un punto de contacto para reportar vulnerabilidades o un programa equivalente de recompensas de errores para garantizar que los proveedores gestionen activamente las vulnerabilidades a lo largo del ciclo de vida del producto.
  5. Prácticas de privacidad: El producto debe tener una política de privacidad de fácil acceso, en un lenguaje entendible y apropiado para la persona que usa el dispositivo o servicio. Además, debe tener una manera de que el usuario pueda eliminar sus datos y su cuenta. Esto también deberá incluir una política que establezca períodos de retención estándar siempre que sea posible.
Contenido relacionado: