Home Seguridad Conformidad con la Orden Ejecutiva 14028 de EE.UU.

Conformidad con la Orden Ejecutiva 14028 de EE.UU.

Estimados clientes y colaboradores:

Estamos encantados de anunciar la conformidad con la Orden Ejecutiva (OE) 14028 de EE.UU., “Mejora de la ciberseguridad de la nación”. Este hito pone de manifiesto nuestro compromiso inquebrantable con la mejora de la seguridad y la resiliencia de nuestros productos, así como nuestro apoyo a los colaboradores que prestan servicios al Gobierno de Estados Unidos.

A fin de ajustarnos a las directrices de la OE 14028, hemos puesto en marcha una serie de iniciativas clave, entre las que se incluyen normas, procedimientos y criterios para lo siguiente:

  1. Maintain a secure software development environment, including actions such as:
    • Utilizar un entorno de compilación independiente.
    • Auditar las relaciones de confianza.
    • Utilizar la autenticación multifactor basada en el riesgo y el control de acceso a repositorios de código fuente.
    • Cifrar los datos críticos.
    • Supervisar las operaciones y las alertas y responder a los incidentes cibernéticos.
    • Proporcionar a las agencias del Gobierno federal de EE.UU. pruebas que acrediten la conformidad con los procesos anteriores cuando así se solicite.
  2. Ejecutar regularmente herramientas automatizadas para comprobar:
    • El mantenimiento de cadenas de suministro de código fuente de confianza para garantizar la integridad del código.
    • La identificación y corrección de las posibles vulnerabilidades detectadas en el código base.
    • La entrega de pruebas de la ejecución de las herramientas automatizadas a las agencias del Gobierno federal de EE.UU. cuando así lo soliciten.
  3. Mantener y realizar auditorías periódicas de datos precisos y actualizados y de la procedencia (es decir, el origen) del código y los componentes de software internos y de terceros.
  4. Implantar un programa de divulgación de vulnerabilidades con procesos de notificación y divulgación.
  5. Certificar la conformidad con las prácticas de desarrollo de software seguro con certificados de software seguro.
  6. Garantizar, en la medida de lo posible, la integridad y procedencia del software de código abierto que se utilice en cualquier parte de nuestros productos.
  7. Establecer procesos internos para generar certificados de software y otros artefactos, como la lista de materiales de software (SBOM, por sus siglas en inglés), para los productos de Fiery vendidos al Gobierno federal de EE.UU., y cargarlos en el Repositorio de certificados de software y artefactos (RSAA, por sus siglas en inglés) de CISA.

Preguntas frecuentes

¿Qué es la OE 14028?

La OE 14028 es una orden ejecutiva del presidente de Estados Unidos emitida en 2021. Esta orden ejecutiva es una respuesta ante el creciente número de ciberataques contra organismos gubernamentales e infraestructuras críticas de Estados Unidos. Su objetivo consiste en ayudar al Gobierno de Estados Unidos y al sector privado a colaborar a fin de protegerse mejor frente a estas amenazas. Un aspecto importante de la OE 14028 radica en el establecimiento de un marco para mejorar la seguridad de la cadena de suministro de software.

¿Por qué es importante la OE 14028 para Fiery?

Los colaboradores de Fiery comercializan activamente productos y servicios para el Gobierno de EE.UU, por lo que todo el software de Fiery debe cumplir esta orden ejecutiva.

¿A qué productos de Fiery afecta la OE 14028?

Todas las aplicaciones de software de Fiery desarrolladas a partir del 14 de septiembre de 2022

¿Cuándo comenzarán los organismos del Gobierno de EE.UU. a exigir el cumplimiento de la OE 14028?

A partir del 11 de junio de 2024,
“las agencias deberán recoger las cartas de certificación no publicadas de los proveedores de software para ‘software crítico’ en un plazo de 3 meses tras la aprobación del formulario común”. El formulario común se aprobó el 11/3/2024.

¿Cómo gestiona la OE 14028 las actualizaciones de las versiones de software existentes?

El software existente que sufra modificaciones por cambios de versión importantes (por ejemplo, que utilice un esquema de versionado semántico de Mayor.Menor.Parche, o que el número de versión del software pase de 2.5 a 3.0 después del 14 de septiembre de 2022) se verá afectado y deberá cumplir esta Orden Ejecutiva. El software de Fiery sigue un esquema de versionado de tres dígitos, Mayor.Menor.Parche, que se aplica de forma incremental. Por ejemplo, en la versión 1.0.2, 1 es la versión Mayor, 0 es la versión Menor y 2 indica los parches o actualizaciones de seguridad. Para fines de cumplimiento con la OE 14028, el software de Fiery únicamente tiene en cuenta la versión mayor. Las actualizaciones de software menores (por ejemplo, CWS 7.1.0) y los parches (por ejemplo, CWS 7.1.1) no están incluidos en el ámbito de aplicación de esta orden ejecutiva.

¿Cómo gestiona la OE 14028 los productos de software como servicio (SaaS)?

El software cuyo código recibe cambios constantes por parte del proveedor (como los productos de software como servicio u otros productos que utilizan la entrega o el despliegue continuos) se verá afectado y deberá cumplir esta orden ejecutiva.

¿Existen más requisitos necesarios para demostrar la conformidad, aparte de los certificados de software seguro?

Si así lo solicita cualquier agencia gubernamental de EE.UU., podemos demostrar la conformidad con las prácticas de desarrollo de software seguro (SSDP) y proporcionar los elementos de apoyo correspondientes, como la lista de materiales de software (SBOM) para el producto.

¿Incluirá la certificación de software seguro de Fiery el software de terceros incluido con el servidor de impresión Fiery? Por ejemplo, software de Adobe o software de Microsoft.

No. El fabricante del software de terceros es responsable de proporcionar la certificación de sus productos.

¿Y el software de código abierto incluido con los servidores de impresión Fiery?

El software de código abierto de terceros incluido con los servidores de impresión Fiery queda fuera del ámbito de esta normativa.

Para obtener más información acerca de nuestras iniciativas en materia de ciberseguridad, visite nuestro sitio web en https://www.fiery.com/security/