FIPS 140-3: Entendendo a nova norma de segurança

Novembro 7, 2025
Kaseya
FIPS, Conformidade legal

A FIPS 140-3 é uma norma de segurança utilizada pelos governos dos Estados Unidos e do Canadá para garantir que a criptografia em produtos de TI seja devidamente testada e aprovada. Quando um produto é aprovado na validação, recebe um certificado que indica o nome do produto, a versão e o nível de garantia de segurança, que varia de 1 a 4.

A certificação FIPS 140-3 é frequentemente exigida para agências federais dos EUA e prestadores de serviços que lidam com dados governamentais. Ela também é amplamente adotada em outros setores onde a proteção de dados é fundamental, como saúde, finanças e defesa, para atender às exigências regulatórias ou às expectativas de segurança dos clientes.

Manter a conformidade com produtos certificados FIPS 140-3

Para as organizações que compram tecnologia que precisa atender aos requisitos do FIPS 140-3, o certificado FIPS é a prova de que a criptografia de um produto foi testada e aprovada. Sempre solicite esse certificado ao fornecedor para que você possa confirmar que o produto foi oficialmente validado.

Para os operadores de TI, a conformidade depende da execução das versões e configurações exatas que foram testadas. Mesmo uma pequena alteração, como a atualização para uma versão de software não validada, pode levar à não conformidade.

Pontos-chave a serem considerados

  • Quem geralmente precisa cumprir essas normas: órgãos governamentais, prestadores de serviços, profissionais de saúde, instituições financeiras e fornecedores do setor de defesa.
  • Como confirmar: Solicite o número do certificado FIPS e verifique-o na lista de validação do NIST CMVP.
  • Principal atualização do FIPS 140-2: a nova versão está alinhada aos padrões internacionais ISO/IEC 19790 e aos métodos de teste aprimorados.
  • O que fazer agora: Acompanhe as versões validadas do software, use configurações aprovadas e planeje as atualizações cuidadosamente para manter a conformidade.

Por que o FIPS 140-3 é importante

A norma FIPS 140-3 promove a confiança entre fornecedores e clientes ao confirmar que a criptografia de um produto atende aos padrões de segurança governamentais, ajudando os vendedores a comprovar sua confiabilidade e os compradores a reduzir os riscos de não conformidade.

Ele define quem se qualifica para vender e comprar em mercados regulatórios

As licitações do setor público, os trabalhos na cadeia de suprimentos da defesa e muitas aquisições nas áreas da saúde ou financeira frequentemente exigem a certificação FIPS para qualquer produto que lide com dados confidenciais. Se você é um comprador, a certificação FIPS filtra sua lista de fornecedores e protege você durante as auditorias. Se você é um vendedor, a certificação FIPS é um requisito para concorrer a esses contratos.

Reduz o atrito de auditoria e renovação

Muitas equipes de segurança e conformidade não avaliam a criptografia partindo do zero. Elas procuram o número do certificado FIPS, o nome do módulo, a versão e o nível de garantia. Quando esses detalhes correspondem à versão e às configurações implementadas, as revisões ocorrem mais rapidamente e o número de problemas diminui.

Ele esclarece o que é "bom"

O FIPS 140-3 é um resultado claro e baseado em testes. Ele não diz "Este produto é geralmente seguro". Ele diz: "Este módulo criptográfico, nesta versão, passou nestes testes". Essa precisão ajuda os compradores a verificar as declarações e ajuda os operadores a manter os sistemas dentro do escopo.

Ele impõe a disciplina de versão

A validação é específica da versão. Se o seu ambiente se desviar da versão validada ou se você alternar configurações que rompam o limite validado, você enfraquecerá suas evidências. Manter-se alinhado evita descobertas e reversões de emergência.

Facilita a tomada de decisões mais rápida

Quando o departamento de compras vê — validado pela FIPS 140-3, Certificado n.º XXXX, Módulo Y, Versão Z — as avaliações são mais rápidas. Quando veem “compatível com FIPS” sem nenhum certificado, as equipes de compras muitas vezes precisam buscar comprovantes.

O que o FIPS 140-3 realmente significa

O FIPS 140-3 certifica que as funções criptográficas de um produto, como criptografia e gerenciamento de chaves, foram testadas de forma independente em um laboratório credenciado. O objetivo é garantir que dados confidenciais, como informações governamentais ou de clientes, permaneçam seguros durante a transmissão e o armazenamento.

Um certificado FIPS é específico para um produto e uma versão. Cada certificado lista o nome do módulo, o número da versão e o nível de garantia, que varia de 1 (básico) a 4 (máximo). A validação se aplica somente à configuração testada. A alteração de configurações ou a atualização de componentes pode colocar o produto fora de seu escopo validado.

"Validado" significa que o produto passou por um processo oficial aprovado pelo governo. "Compatível" ou "compatível com FIPS" significa que o fornecedor afirma seguir o padrão, mas não passou pela validação. Para ambientes regulamentados, a validação é o que importa.

FIPS 140-3 vs. 140-2

A mudança para a norma 140-3 é importante porque padroniza as práticas globais de testes. Isso facilita a verificação e a comparação dos resultados de certificação, ajudando os compradores e as equipes de conformidade a avaliar a segurança dos fornecedores com mais rapidez.

TópicoFIPS 140-2FIPS 140-3O que você deve fazer
ReconhecimentoPadrão mais antigo dos EUA e do CanadáVersão atual alinhada com a ISO/IEC 19790Prefira certificados 140-3 quando necessário
EvidênciasVaria de acordo com o laboratório e o produtoDetalhes mais claros sobre o certificado (nome, versão, nível)Capturar o número do certificado, o nome e a versão do produto
OperaçõesMenos prescritivo em relação à configuraçãoMais específico sobre documentação e comportamento operacionalAlinhar as configurações e atualizações às definições certificadas

Como verificar uma reivindicação FIPS 140-3

A verificação de uma reivindicação FIPS 140-3 é simples quando você sabe o que procurar e onde encontrá-la.

  1. Solicite provas: Solicite o número do certificado FIPS, o nome do produto/módulo, a versão, o nível de garantia e a plataforma compatível.
  2. Verifique o banco de dados: Verifique a lista de validação do NIST CMVP e confirme se os detalhes correspondem exatamente.
  3. Confirme o ambiente: Certifique-se de que sua implementação execute a mesma versão e configuração que aparece no certificado.
  4. Use uma linguagem clara: Nos questionários, use frases como "FIPS 140-3 validado (Cert #XXXX), operando na versão [X.X] conforme listado no CMVP".

Isso protege tanto os compradores quanto os fornecedores de descobertas de auditoria causadas por versões incompatíveis ou declarações não verificáveis.

Operando de forma alinhada ao FIPS

Para manter a conformidade após a validação:

  • Mantenha um inventário de todos os softwares e hardwares no escopo, observando suas versões certificadas.
  • Padronize as configurações para que correspondam à configuração validada e evite alterações não aprovadas.
  • Aplique as atualizações cuidadosamente e confirme se elas afetam o módulo validado e, em seguida, verifique novamente a certificação, se necessário.
  • Mantenha os PDFs do certificado FIPS com seus relatórios de postura para que você possa responder rapidamente a auditorias e RFPs.

A consistência entre o que é certificado e o que é implementado é fundamental para manter a conformidade.

Onde o RMM se encaixa

As plataformas de monitoramento e gerenciamento remoto (RMM) são essenciais para a manutenção de ambientes em conformidade com a norma FIPS, pois proporcionam às equipes de TI visibilidade, controle e comprovação documentada da conformidade em sistemas distribuídos. O Kaseya VSA 10 e o Datto RMM automatizam grande parte do trabalho manual envolvido no rastreamento de software validado, na aplicação de configurações seguras e no registro de evidências para auditorias.

Inventário de ativos e versões

Identifique as versões de software e firmware em execução no seu ambiente e registre quais são mapeadas para os módulos validados.

Linhas de base de políticas

Aplique as configurações de segurança aprovadas em todos os dispositivos e evite alterações não autorizadas que possam afetar a validação.

Controle de patches e alterações

Preparar e documentar as atualizações para evitar a quebra do alinhamento com as configurações certificadas.

Evidências e relatórios

Gere relatórios prontos para o cliente que mostrem os dispositivos em escopo, as versões e a postura de conformidade, juntamente com todas as exceções registradas.

Observação: A partir de novembro de 2025, a versão SaaS do VSA 10 incorporará criptografia validada pela norma FIPS 140-3, o mais alto padrão governamental para garantia de criptografia nos EUA e no Canadá. A versão local do VSA 10 seguirá em janeiro de 2026, com o Datto RMM previsto para adotar a mesma estrutura certificada pela FIPS 140-3 ainda em 2026. 

Playbooks que você pode executar hoje

O Kaseya VSA 10 e o Datto RMM podem ser usados para criar fluxos de trabalho repetíveis que ajudam as equipes a manter operações alinhadas com a norma FIPS no dia a dia. Esses manuais transformam requisitos complexos de conformidade em tarefas gerenciáveis e automatizadas que melhoram a visibilidade, a consistência e a preparação para auditorias.

  • Verificação de prontidão: execute varreduras de descoberta para identificar todos os terminais e aplicativos que lidam com dados regulamentados. Marque-os em seu RMM para acompanhar quais sistemas estão sujeitos aos requisitos FIPS.
  • Fechamento de lacunas: Use o gerenciamento de políticas para padronizar as configurações e aplicar as configurações de criptografia validadas. Defina alertas automáticos para versões ou configurações não aprovadas.
  • Operar: Monitore continuamente por meio de painéis de controle e ferramentas de correção. Teste as atualizações antes da implementação para garantir que os módulos validados não sejam afetados. As alterações registradas mantêm o seu registro de conformidade.
  • Atualizar: Quando surgirem auditorias ou solicitações de propostas, exporte relatórios de conformidade do seu RMM com listas de versões, históricos de patches e certificados FIPS para uma verificação rápida.

Armadilhas comuns e soluções fáceis

Até mesmo equipes de TI experientes podem perder o alinhamento da conformidade por meio de pequenos descuidos. Estes são os erros mais comuns a serem observados e como corrigi-los rapidamente.

  • Suponha que as declarações de marketing sejam iguais à certificação: Sempre verifique os números dos certificados.
  • Ignorar as especificidades da versão: A validação FIPS está vinculada a versões e ambientes exatos.
  • Permitir o desvio de configuração: A alteração das configurações sem documentação quebra as cadeias de evidências.
  • Mistura de componentes aprovados e não aprovados: Mantenha os módulos não FIPS separados ou documente claramente as exceções.

Perguntas frequentes

Essas são as perguntas que a maioria dos líderes de TI e provedores de serviços fazem ao avaliar os requisitos do FIPS e alinhar suas operações ao padrão.

  • Precisamos do FIPS 140-3 se não formos uma agência governamental?

Se seus clientes ou parceiros lidam com dados governamentais ou regulamentados, é possível que sim. Muitos contratos agora estendem os requisitos FIPS para toda a cadeia de suprimentos.

  • "Compatível com FIPS" é o mesmo que "validado por FIPS"?

Não. "Validado" significa oficialmente testado e listado. "Conformidade" é autodeclarado e não verificado.

  • Como faço para confirmar rapidamente a reivindicação de um fornecedor?

Verifique a lista de validação do CMVP e faça a correspondência com o nome do produto, a versão e o número do certificado.

  • O que mudou em relação à norma 140-2 que afeta as compras e as operações?

O FIPS 140-3 alinha-se aos padrões internacionais, acrescenta regras de documentação mais claras e simplifica a verificação.

  • Em que meu RMM pode ajudar?

As ferramentas RMM ajudam a manter a visibilidade, aplicar configurações e documentar evidências, mas não substituem a certificação. Você ainda precisa de módulos criptográficos validados.

Trazendo a conformidade com o FIPS 140-3 para as operações diárias

O FIPS 140-3 não é apenas uma especificação técnica - é um requisito comercial que define quem pode vender, atender ou fazer parcerias com clientes regulamentados. Saber como verificar e manter a conformidade ajuda a reduzir o atrito da auditoria, fortalecer a confiança do fornecedor e manter sua organização qualificada para contratos de alto valor.

Com a atualização da Kaseya de novembro de 2025, que traz criptografia certificada pela norma FIPS 140-3 para a versão SaaS do VSA 10, os clientes ganham ferramentas que estão em conformidade com as normas governamentais mais recentes e tornam mais eficiente a operação segura em ambientes regulamentados. A certificação FIPS para a versão local do VSA 10 seguirá em janeiro de 2026, com o Datto RMM previsto para adotar a mesma estrutura certificada pela FIPS 140-3 ainda em 2026. 

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

Conformidade com o ITAR: o que é, a quem se aplica e o que as equipes de TI devem fazer

De acordo com o Relatório Kaseya sobre a Situação dos MSP de 2026, a conformidade regulatória e a prestação de contas estão entre os dez principais serviços

Leia a postagem do blog
Histórico do DSGVO Hero

RGPD para equipes de TI e MSPs: o que você precisa saber e fazer

A aplicação do RGPD já não é um risco teórico. As autoridades europeias de proteção de dados aplicaram multas no valor de mais de 1,2 bilhão de euros em

Leia a postagem do blog