Skip to main content
ISO/IEC 27001 certifica el sistema de gestión de seguridad de la información de una organización, no un dispositivo. ZeroKeyUSB no está “certificado ISO 27001”. Esta página indica cómo el dispositivo está diseñado para apoyar controles concretos de ISO/IEC 27002:2022, para que pueda formar parte de la evidencia de tu SGSI.

Control principal: 5.17 Información de autenticación

El control 5.17 de ISO/IEC 27002:2022 cubre el manejo seguro de la información de autenticación — contraseñas, PINs y claves.
ZeroKeyUSB ayuda a las organizaciones a proteger la información de autenticación guardando las credenciales offline, cifradas y fuera del ordenador, reduciendo la exposición a fugas de contraseñas del navegador, malware, sesiones compartidas y compromiso de la nube.

Apoyo control a control

Control (27002:2022)TemaCómo lo apoya ZeroKeyUSB
5.15Control de accesoLa posesión física + el PIN maestro controlan todo acceso a credenciales; nada es alcanzable sin el dispositivo y el PIN.
5.16Gestión de identidadCada credencial es una identidad guardada distinta; el propio dispositivo lleva un serial único del elemento seguro.
5.17Información de autenticaciónLas credenciales están cifradas en reposo (AES-128, clave en el elemento seguro), nunca en poder del host ni de una nube; el PIN se guarda solo como hash con sal.
5.18Derechos de accesoEl acceso es todo-o-nada por dispositivo+PIN y se concede por credencial solo ante una acción física deliberada.
8.5Autenticación seguraPIN con límite de ritmo (backoff persistente), comparación a tiempo constante y soporte para contraseñas fuertes, únicas y aleatorias y segundos factores TOTP.
8.24Uso de criptografíaAES-128 para datos en reposo, ECDSA P-256 para autenticidad del firmware, SHA-256 para el hash del PIN y un TRNG hardware para todo el material de claves.

Evidencia que un auditor puede verificar

  • Firmware open-source — la lógica de cifrado, PIN y arranque es inspeccionable (ver Software).
  • Custodia de clave — la clave AES se genera en y nunca sale del ATECC608A.
  • Sin salida de datos — no existe interfaz de red; no se transmite nada.
  • Límites documentados — el Modelo de amenazas indica las fronteras, lo que apoya una evaluación de riesgos honesta.

Declaración sugerida para un SGSI

ZeroKeyUSB está diseñado para apoyar controles de ISO/IEC 27001 e ISO/IEC 27002 de información de autenticación (5.17), control de acceso (5.15/5.18), autenticación segura (8.5) y uso de criptografía (8.24). Se usa como control técnico dentro del SGSI de la organización; no está certificado en sí mismo.