Tabla de contenido
Publicidad
34-009 ESP05 – Hoja de datos – Controlador IEC ciberseguro PCD3.M6893
Gestión de certificados
Generalidades
El controlador PCD3.M6893 está equipado
con tres servicios, CODESYS, servidor HTTPS
y OPC UA, que utilizan certificados de cifrado
digital para garantizar la identidad de su parte de
la comunicación o para comprobar la identidad
del dispositivo. En el primer inicio o al restablecer
la configuración de fábrica, estos servicios
generan un certificado autofirmado. Esto ayuda
en la puesta en marcha del sistema, pero el
procedimiento no es seguro y debe cambiarse
el certificado antes de poner el sistema en
funcionamiento.
No ponga en marcha el dispositivo
PCD3.M6893 con certificados
autofirmados
El uso de certificados autofirmados es práctico
durante el desarrollo, pero los productos no
se deben enviar con certificados autofirmados
a los clientes. Debe crear un certificado inicial
para el producto o disponer de un mecanismo
para que el cliente final aprovisione el producto
y pueda asignar al dispositivo un certificado
corporativo firmado.
Debe informar al cliente sobre los requisitos
de gestión de certificados del producto.
CODESYS
El dispositivo PCD3.M6893 utiliza un RTS de
CODESYS para la funcionalidad de PLC. La
comunicación entre QronoX ECS y el controlador
siempre se realiza de forma cifrada. El dispositivo
genera un certificado inicial autofirmado. Este
certificado se intercambia por un certificado
personalizado a través del shell de PLC en
QronoX ECS. Consulte la ayuda de herramientas
para obtener más información.
Servidor HTTPs/Web
El servidor HTTPs/Web de PCD3.M6893 admite
certificados personalizados. La página de
configuración del sistema del servidor web en
la herramienta de programación permite instalar
un certificado nuevo. La forma recomendada
de hacerlo es permitir que el dispositivo genere
una solicitud de firma de certificado (CSR). Esta
CSR se puede enviar a una entidad emisora
de certificados de confianza (CA) que, a su
vez, emite el certificado de dispositivo. Este
certificado se puede instalar a través de la página
de configuración del sistema de servidor web de
la herramienta.
Consulte la ayuda de herramientas para obtener
más información.
|
16
OPC UA
El servidor OPC UA de PCD3.M6893 puede
satisfacer los estrictos requisitos de seguridad
de la especificación OPC UA. Esto solo se
puede conseguir si se habilita y se usa la
seguridad de la configuración del sistema
(de forma predeterminada la seguridad está
habilitada). Como desarrollador de un producto,
le recomendamos encarecidamente que se
asegure de que esté activada la comunicación de
canal seguro en su producto y que solo habilite
el perfil de seguridad ninguno-ninguno-anónimo
y la opción de aceptar todos los certificados si
está absolutamente seguro de que es necesario.
Tener la seguridad habilitada y desactivar el
perfil de seguridad ninguno-ninguno-anónimo
y la opción de aceptar todos los certificados
hace que todos los clientes de OPC UA que se
conecten a su producto tengan que hacerlo de
forma segura.
Compruebe también los perfiles de seguridad
disponibles para asegurarse de que el tipo
de seguridad necesario coincida con la
configuración de su entorno.
Los certificados de servidor OPC UA, los
certificados de emisor y los certificados de
cliente de confianza se obtienen a través de la
pestaña Files del objeto CODESYS Devices.
Privacidad de datos
Datos almacenados en el dispositivo
El dispositivo PCD3.M6893 almacena los
siguientes elementos de datos:
• Configuración de dispositivo: Dirección IP,
reglas de cortafuegos, configuración de NTP...
• Gestión de usuarios: Cuentas, contraseñas,
roles, permisos, etc.
• Registro de auditoría: Mensajes de registro
del sistema, todas las
acciones de todos los
usuarios...
• CODESYS: Configuración del sistema de
la aplicación PLC y el entorno
de tiempo de ejecución de
CODESYS.
• Tarjeta SD: Copias de seguridad y datos
de usuario
Todos los datos del dispositivo se almacenan
cifrados y se enlazan al dispositivo. La única
excepción son los archivos de copia de
seguridad, que están cifrados pero pueden
transferirse a otros dispositivos y restaurarse
en ellos.
Datos de proyecto almacenados
Utilice el cifrado de proyecto para almacenar los
datos del proyecto. Para ello, vaya a "Security
Screen" (pantalla de seguridad) y establezca
"Encryption" (cifrado) como tecnología de cifrado
de archivos de proyecto. Elija entre contraseña,
llave de seguridad o certificados.
Configuración del dispositivo
La configuración del dispositivo se puede cambiar
con la herramienta de programación y una cuenta
con los derechos de acceso adecuados.
Administración de cuentas
Un administrador de dispositivo o un
administrador de cuentas puede gestionar las
cuentas del dispositivo a través del nodo "Device
User Management" (gestión de usuarios del
dispositivo) de la herramienta de programación.
La gestión de usuarios se carga y descarga como
un solo componente.
Funciones
Cree funciones para definir permisos en el
sistema. Las funcionalidades del sistema
disponibles pueden habilitarse o deshabilitarse,
y se pueden establecer los derechos de acceso.
Perfiles
Cree perfiles para configurar la contraseña y la
configuración de la cuenta. Asigne funciones
a un perfil para establecer los permisos de perfil.
Cuentas
Asigne un perfil a una cuenta. Las cuentas
se pueden bloquear o configurar como activas/
inactivas durante un periodo determinado. Un
usuario o sistema tiene que iniciar sesión con una
cuenta específica para acceder al dispositivo.
Eliminación del registro de auditoría
Las cuentas de administrador de dispositivos
pueden borrar el registro de auditoría completo
con el visor de registro de auditoría de la
herramienta de programación.
Proyectos de la herramienta de programación.
CODESYS
La aplicación PLC se puede cambiar y cargar
con la herramienta de programación. Solo los
administradores de dispositivos pueden hacerlo.
Tarjeta SD
Los datos del sistema de archivos de usuario,
así como los archivos de copia de seguridad
de la tarjeta SD, se pueden gestionar a través
del explorador del sistema de archivos de la
herramienta de programación. El acceso a los
datos de la tarjeta SD está restringido a las
cuentas de administrador de dispositivo.
Borrado de todos los datos/
restablecimiento de la configuración
de fábrica
Todos los datos del dispositivo pueden borrarse
presionando el botón de servicio durante
30 segundos al encender el sistema.
Declaración de privacidad de datos
Puede leer la declaración de privacidad de
Saia-Burgess Controls AG aquí:
https://www.saia-pcd.com/en-gb/privacy-
statement/
Saia-Burgess Controls AG
Publicidad
Tabla de contenido
