La ioXt Alliance, Internet of Secure Things Alliance, gestisce un programma di valutazione della security compliance per i dispositivi connessi e ha la mission di costruire la fiducia nell’Internet of Things attraverso requisiti di sicurezza e privacy multi-stakeholder, internazionali, armonizzati e standardizzati, programmi di conformità dei prodotti e trasparenza pubblica di tali requisiti e programmi.
ioXt Alliance riunisce oltre 300 membri in vari settori, tra cui Google, Amazon, Facebook, T-Mobile, Comcast, Zigbee Alliance, Z-Wave Alliance, Legrand, Resideo, Schneider Electric e molti altri.
Con così tante aziende coinvolte, ioXt copre una vasta gamma di tipi di dispositivi e poiché la maggior parte degli smart device sono gestiti tramite app, ha deciso di ampliare la copertura per includere le app mobili.
La ioXt Alliance ha pertanto annunciato l’espansione del suo ioXt Compliance Program con un nuovo Mobile Application Profile con requisiti aggiuntivi per le applicazioni VPN (Virtual Private Network).
Il nuovo ioXt Mobile Application Profile fornisce un insieme minimo di best practice commerciali per tutte le app connesse al cloud che girano su dispositivi mobili. Questa security baseline è pensata per aiutare a mitigare le minacce comuni e ridurre la probabilità di vulnerabilità significative.
Il profilo per app mobili, ha spiegato Google sull’Android Developers Blog, sfrutta gli standard esistenti e i principi stabiliti da OWASP MASVS e dalla VPN Trust Initiative, e permette agli sviluppatori di differenziare le capacità di sicurezza intorno alla crittografia, all’autenticazione, alla sicurezza della rete e alla qualità del programma di disclosure delle vulnerabilità.
Il profilo, ha aggiunto Google, fornisce anche un quadro per valutare i requisiti specifici della categoria dell’app che possono essere applicati in base alle caratteristiche in essa contenute. Per esempio, un’app IoT deve solo certificarsi sotto il Mobile Application Profile, mentre un’app VPN deve essere conforme al profilo mobile e in più all’estensione VPN.
Come parte degli sforzi per aumentare il livello di sicurezza nei loro prodotti, Afero, Comcast, ExpressVPN, Leviton, NordVPN, OpenVPN Community, McAfee, Private Internet Access e VPN Private hanno collaborato con la ioXt Alliance per testare e certificare diverse applicazioni mobili e piattaforme VPN.
Anche Google si è impegnata, certificando Google One, il primo prodotto testato in laboratorio a scatola bianca a ricevere la certificazione ioXt.
Il programma di certificazione di ioXt Alliance si basa su otto principi fondamentali che definiscono la sicurezza del prodotto, la sua aggiornabilità e la trasparenza verso il consumatore. Questi principi sono riconducibili ai regolamenti di sicurezza globali e forniscono un metodo personalizzabile per affrontare segmenti di mercato specifici, regolamenti locali e requisiti del canale per fornire una sicurezza ragionevole.
I dispositivi dei settori smart home, smart building, connected cellular e mobile application che soddisfano o superano i requisiti nella loro categoria di prodotto assegnata ricevono l’etichetta ioXt SmartCert.
