Padrões e Frameworks em Gestão e Controles de Segurança, Risco e Privacidade

Frameworks do NIST para Segurança

NIST - National Institute of Standards and Technology, Governo dos EUA.

• NIST Cybersecurity Framework (CSF)
  Version 1.1, 16/abr/2018 (para programa/sistema de gestão de segurança). Framework for Improving Critical Infrastructure Cybersecurity. Também disponível em Português.
• NIST Privacy Framework
  Version 1.0, 16/01/2020.
• NIST Risk Management Framework (RMF)
  ou https://csrc.nist.gov/projects/risk-management
• NIST SP 800-37
  Rev. 2, dez/2018 - Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy.
• NIST SP 800-53
  Rev. 5.1, 10/12/2020 - Security and Privacy Controls for Information Systems and Organizations. Baixar SP_800-53 v5.1 (PDF).
• NIST SP 800-53B
  10/12/2020  - Control Baselines for Information Systems and Organizations. Baixar SP 800-53B (PDF).
• NIST SP 800-171
  Rev. 2 - Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations.

Frameworks do CIS para Segurança

CIS - Center for Internet Security.

• CIS Controls
  Conjunto de ações (controles) priorizadas para proteger organizações e dados contra vetores conhecidos de ciberataques.
  Inicialmente publicado pelo SANS Institute ("SANS 20"), a publicação foi transferida em 2015 para o CIS.
  Até a versão 7, eram 20 controles, que os tornavam conhecidos como "CIS 20". Na versão 8, lançada em maio de 2021, foram reestruturados em 18 controles, distribuídos em 3 Grupos de Implementação (IG), contemplando focos atuais como nuvem, mobile e trabalho remoto. As salvaguardas de cada controle são mapeadas em uma das 5 funções de segurança: Identify, Protect, Detect, Respond e Recover.
  1. CIS Control 1: Inventory and Control of Enterprise Assets
  2. CIS Control 2: Inventory and Control of Software Assets
  3. CIS Control 3: Data Protection
  4. CIS Control 4: Secure Configuration of Enterprise Assets and Software
  5. CIS Control 5: Account Management
  6. CIS Control 6: Access Control Management
  7. CIS Control 7: Continuous Vulnerability Management
  8. CIS Control 8: Audit Log Management
  9. CIS Control 9: Email Web Browser and Protections
  10. CIS Control 10: Malware Defenses
  11. CIS Control 11: Data Recovery
  12. CIS Control 12: Network Infrastructure Management
  13. CIS Control 13: Network Monitoring and Defense
  14. CIS Control 14: Security Awareness and Skills Training
  15. CIS Control 15: Service Provider Management
  16. CIS Control 16: Application Software Security
  17. CIS Control 17: Incident Response Management
  18. CIS Control 18: Penetration Testing
  Há mapeamentos do CIS Controls v8 com outros frameworks de segurança: NIST Cybersecurity Framework (CSF), NST SP 800-53 Rev.5, NIST SP 800-171 Rev.2, Cybersecurity Maturity Model Certification (CMMC), CSA Cloud Controls Matrix v4, MITRE Enterprise ATT&CK v8.2.
• CIS Benchmarks
  Mais de 100 guias de configuração para famílias de produtos de mais de 25 fabricantes, para proteger sistemas contra as ameaças cibernéticas atuais em evolução. Cobre sistemas operacionais, software servidor, provedores de nuvem, dispositivos de rede, software desktop, impressoras multifuncionais, dispositivos móveis etc.

Normas ISO para Segurança

Série ISO/IEC 27000 (ex 17799, BS 7799) - Gestão de Segurança da Informação

O Padrão Britânico (British Standard) 7799 (BS7799) originou-se de um código de prática do Governo do Reino Unido (Department of Trade and Industry - DTI) de 1993, depois publicado como padrão em 1995 pelo British Standards Institution (BSi) e revisado em 1999. Quando foi inicialmente publicado como um padrão internacional ISO em dezembro de 2000, BS7799 parte 1 (BS7799-1) se tornou ISO 17799, porque um padrão chamado ISO 7799 já existia.

Em outubro de 2005, British Standard BS 7799 parte 2 (BS7799-2) foi adotado pela ISO e re-identificado, iniciando a nova série 27000 de padrões internacionais para segurança da informação, lançado como norma ISO/IEC 27001:2005.

De 2001 a 2004, a norma internacional ISO 17799 (BS7799-1) passou por ampla revisão, culminando na nova versão ISO/IEC 17799:2005 publicada em junho de 2005. E em julho de 2007, o padrão 17799:2005 foi renumerado para 27002:2005 (através do ISO/IEC 17799:2005/Cor.1:2007), integrando a nova série 27000.

No Brasil, a ABNT publica as normas localizadas ABNT NBR ISO/IEC.

• ISO/IEC 27000 series - Information technology -- Security techniques (ISO JTC 1/SC 27 - IT Security techniques):
  • ISO/IEC 27000:2018 - Information security management systems (ISMS) -- Overview and vocabulary.
  • ABNT NBR ISO/IEC 27001:2013 - Sistemas de gestão de segurança da informação (SGSI) - Requisitos [Em Português]
    ISO/IEC 27001:2013 [BS7799-2]: information security management systems (ISMS) - Requirements.
    Requisitos (shall/deve) para se implementar um sistema de gestão de segurança da informação.
    ISO Guide 72:2001 similar to ISO 9000 & ISO 14000. Based on revised 17799 and 13335, British Standard 7799 Part 2.
  • ABNT NBR ISO/IEC 27002:2013 - Código de prática para controles de segurança da informação [Em Português]
    ISO/IEC 27002:2013 [BS7799-1] - Code of practice for information security controls.
    ISO/IEC 27002:2005 = ISO 17799:2005 = BS7799-1:2005. Recomendações (should/convém) de controles para segurança da informação.
  • ABNT NBR ISO/IEC 27003:2017 - Diretrizes para implantação de um sistema de gestão da segurança da informação [Em Português]
    ISO/IEC 27003:2017 - Information security management system implementation guidance.
  • ABNT NBR ISO/IEC 27004:2016 - Gestão da segurança da informação – Medição [Em Português]
    ISO/IEC 27004:2016 - Information security management -- Measurement.
  • ABNT NBR ISO/IEC 27005:2018 - Gestão de riscos de segurança da informação [Em Português]
    ISO/IEC 27005:2018 - Information security risk management [BS 7799-3].
  • ABNT NBR ISO/IEC 27014:2013 - Governança de segurança da informação [Em Português]
    ISO/IEC 27014:2020 - Governance of information security.
  • ABNT NBR ISO/IEC 27017:2016 - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem [Em Português]
    ISO/IEC 27014:2015 - Code of practice for information security controls based on ISO/IEC 27002 for cloud services.
• Auditoria
  • ISO/IEC 27006:2015 - Requirements for bodies providing audit and certification of information security management systems.
  • ISO/IEC 27007:2017 - Guidelines for information security management systems auditing.
  • ISO/IEC TS 27008:2019 - Guidelines for the assessment of information security controls.
• Segmentos específicos
  • ISO/IEC 27010:2015 - Information security management for inter-sector and inter-organizational communications.
  • ISO/IEC 27011:2016 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002.
  • ISO/IEC 27013:2015 - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1.
  • ISO/IEC TR 27015:2012 - Information security management guidelines for financial services.
  • ISO/IEC TR 27016:2014 - Information security management -- Organizational economics.
  • ISO/IEC 27017:2015 - Code of practice for information security controls based on ISO/IEC 27002 for cloud services.
  • ISO/IEC TR 27019:2017 - Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry.
• ISO/IEC 27000-series
  From Wikipedia, the free encyclopedia. Wikipedia: ISO/IEC 27000.
  Wikipedia: ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems (ISMS) -- Requirements.
  Wikipedia: ISO/IEC 27002:2005 (anteriormente 17799:2005) - Code of practice for information security management. Boa orientação prática sobre ISMS.
  Wikipedia: ISO/IEC 27003.
  Wikipedia: ISO/IEC 27004.
  Wikipedia: ISO/IEC 27005.
  Wikipedia: ISO/IEC 27006 - Requirements for bodies providing audit and certification of information security management systems. Um guia para o processo de certificação/registro.
• ISO 27001 security
  This website is dedicated to the latest international standards for information security management. ISO 27000 series, Other standards, FAQ, Books, Links.
• ISO 27001 Portal Informativo [Em Português]
  Por Integrity.
• ISO 27000 Directory
  Information Portal for ISO 27000 series: 27001, 27002, 27004, 27005. A Short History of the ISO 27000 Standards.
• Norma de Segurança BS7799 [Em português]
  Introdução e FAQ sobre a Norma de Segurança BS7799 (British Standart 7799) e sua versão brasileira denominada NBR ISO/IEC 17799, homologada pela ABNT. Por InformaBR, portal informativo sobre administração e segurança da informação.
• ISO 17799 Standard: ISO17799 Compliance & Positioning
  By Risk Associates.

---

Padrões para Segurança de Aplicações e TIC

ISO/IEC 15408 - Common Criteria (CC)

O Common Criteria for Information Technology Security Evaluation / Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação (abreviado como Common Criteria ou CC) é a base para o padrão internacional ISO/IEC 15408 em segurança da informação. É originado dos padrões para critérios de avaliação de segurança do Departamento de Defesa dos Estados Unidos (TSEC), Canadá (CTCSEC) e Europa (ITSEC, França, Alemanha, Países Baixos e Reino Unido). O CC é um framework padronizado de critérios para especificação, implementação e avaliação de requisitos e propriedades de segurança em sistemas de informação e produtos de TI.

O rigor da avaliação é medido em sete níveis, Evaluation Assurance Level, EAL1 a EAL7. Cada EAL consiste em um pacote ou conjunto de requisitos de segurança, Security Assurance Requirements (SARs).

• Common Criteria - The Common Criteria Portal
  The Common Criteria for Information Technology Security Evaluation (CC), and the companion Common Methodology for Information Technology Security Evaluation (CEM) are the technical basis for an international agreement, the Common Criteria Recognition Agreement (CCRA).
  For Consumers, Developers, Experts.
• Common Criteria
  From Wikipedia, the free encyclopedia. Common Criteria (CC): Key Concepts, History, Mutual Recognition Arrangement, Some Thoughts, External links.
  Evaluation Assurance Level (EAL).
• ISO/IEC 15408-1:2009
  Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model.
• ISO/IEC Freely Available Standards - ISO/IEC 15408
  ISO/IEC 15408: Information technology -- Security techniques -- Evaluation criteria for IT security.
  • ISO/IEC 15408-1:2009 (ZIP) Part 1: Introduction and general model. 3rd edition.
  • ISO/IEC 15408-2:2008 (ZIP) Part 2: Security functional requirements. 3rd edition.
  • ISO/IEC 15408-3:2008 (ZIP) Part 3: Security assurance requirements. 3rd edition.
• The Common Criteria Evaluation and Validation Scheme (CCEVS)
  The National Information Assurance Partnership (NIAP) is a U.S. Government initiative originated to meet the security testing needs of both information technology (IT) consumers and producers. NIAP is operated by the National Security Agency (NSA).
  International Standard ISO/IEC 17799:2000 Code of Practice for Information Security Management - Frequently Asked Questions (FAQ) (PDF), nov-2002.
  The Common Criteria (CC) project was formerly maintained by NIST Computer Security Division.
• The Common Criteria ISO/IEC 15408 - The Insight, Some Thoughts, Questions and Issues (PDF)
  SANS Institute whitepaper. By Ariffuddin Aizuddin, 2001.

Common Criteria Evaluation and Validation Scheme (CCEVS) & Rainbow Series

• The Common Criteria Evaluation and Validation Scheme (CCEVS)
  Por National Information Assurance Partnership (NIAP), uma iniciativa do Governo dos E.U.A.
• Rainbow Series
  From Wikipedia, the free encyclopedia.
• Rainbow Series Library
  A Rainbow Series (às vezes conhecida como os Livros Arco-íris) é uma série de padrões e guias de segurança de computadores publicada pelo governo dos Estados Unidos nos anos 1980 e 90. Eles foram originalmente publicados pelo Centro de Segurança de Computadores do Departamento de Defesa (DoD) dos EUA, e depois pelo National Computer Security Center.
  The Rainbow Series is six-foot tall stack of books on evaluating "Trusted Computer Systems" according to the National Security Agency (NSA). The term "Rainbow Series" comes from the fact that each book is a different color. The main book, upon which all other expound, was the Orange Book.
  Nota (2003): Partes da Rainbow Series (e.g. o Orange book e o Red Book) foram suplantadas pelo Common Criteria Evaluation and Validation Scheme (CCEVS).
  Formato: ASCII Text. Disponível em Federation of American Scientists (FAS), Intelligence Resource Program. Alternativa: csrc.nist.gov.
• The Orange Book Site - Dynamoo.com
  First published in 1983, the US Department of Defense Trusted Computer System Evaluation Criteria, (DOD-5200.28-STD) known as the Orange Book was a de facto standard for computer security, now superseded by the Common Criteria Evaluation and Validation Scheme (CCEVS). Orange Book was part of NSA/DoD Rainbow Series.
  Orange Book Summary.
  USA Department of Defense Standard: Trusted Computer System Evaluation Criteria (DoD 5200.28-STD).

Padrões Abertos para Segurança de Aplicações Web

• Web Application Security Scanner Evaluation Criteria (WASSEC)
  Por Web Application Security Consortium (WASC).
  Veja também Software Assurance Maturity Model (SAMM).
• Application Security Verification Standard (ASVS)
  Por Open Web Application Security Project (OWASP).

---

Padrões de Criptografia de Chave-Pública e Assinatura Digital

Public-Key Cryptography Standards (PKCS)

Os Padrões de Criptografia com Chave-Pública (PKCS) são especificações produzidas pelos RSA Laboratories em cooperação com desenvolvedores de sistemas de segurança no mundo todo, com o propósito de acelerar a implantação de criptografia com chave-pública. Inicialmente publicados em 1991 como resultado de encontros de um pequeno grupo de pioneiros da tecnologia de chave-pública, os documentos PKCS se tornaram amplamente referenciados e implementados. Contribuições da série PKCS se tornaram parte de muitos padrões formais e de-facto, incluindo documentos ANSI X9, PKIX, SET, S/MIME, e SSL.

• Public-Key Cryptography Standards (PKCS)
  RSA Laboratories, EMC Corporation.
• PKCS
  Verbete em Wikipédia, a enciclopédia livre em português.
• RFC 3447 - Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1
  Por J. Jonsson, B. Kaliski, RSA Laboratories, fevereiro 2003. Este documento torna obsoletas RFC 2437, PKCS #1 v2.0 (outubro 1998), RFC 2313, v1.5 (março 1998).

Cryptographic Message Syntax (CMS) & PKCS #7

• PKCS #7: Cryptographic Message Syntax (CMS) Standard
  PKCS #7 é um dos padrões da família de padrões chamados PKCS (public-key cryptography standards - padrões de criptografia de chave pública) criado pelos Laboratórios RSA. A versão mais recente, 1.5, está disponível como RFC 2315. Verbete em Wikipédia.
• RFC 2315 - PKCS #7: Cryptographic Message Syntax, Version 1.5
  Por B. Kaliski, RSA Laboratories, março 1998. PKCS #7 versão 1.5 foi desenvolvida fora da IETF e posteriormente documentada nesta RFC Informacional; ela foi originalmente publicada como uma nota técnica da RSA Laboratories em novembro de 1993. Desde então, a IETF tomou a responsabilidade pelo desenvolvimento e manutenção (atualizações) do Cryptographic Message Syntax (CMS) como Padrão Internet (Internet Standard), derivado do PKCS #7 version 1.5.
• Cryptographic Message Syntax (CMS)
  O IETF publicou o CMS como Padrão Internet na RFC 2630, de junho 1999, por R. Housley, da Vigil Security (e antes na própria RSA Laboratories), posteriormente atualizado por RFC 3369, de agosto 2002, RFC 3852, de julho 2004, RFC 5652, de setembro 2009, RFC 8933, de outubro 2020 (esta última ainda considerada Proposed Standard). Este documento descreve a nova Sintaxe de Mensagem Criptográfica (CMS). Esta sintaxe é usada para assinar, sumarizar, autenticar, ou criptografar digitalmente conteúdo de mensagem arbitrário.
• RFC 4853 - Cryptographic Message Syntax (CMS) - Multiple Signer Clarification
  Por R. Housley, Vigil Security, abril 2007.
• RFC 5083 - Cryptographic Message Syntax (CMS) - Authenticated-Enveloped-Data Content Type
  Por R. Housley, Vigil Security, novembro 2007.
• RFC 3370 - Cryptographic Message Syntax (CMS) Algorithms
  Por R. Housley, RSA Laboratories, agosto 2002. Este documento descreve as convenções para utilização de diversos algoritmos criptográficos com a Sintaxe de Mensagem Criptográfica (CMS).
• RFC 3274 - Compressed Data Content Type for Cryptographic Message Syntax (CMS)
  Por P. Gutmann, University of Auckland, junho 2002.

Tokens Criptográficos e Smart Cards - PKCS #11 e #15

• PKCS #11: Cryptographic Token Interface Standard
  RSA Laboratories Public-Key Cryptography Standards (PKCS).
  This standard specifies an API, called Cryptoki, to devices which hold cryptographic information and perform cryptographic functions. Cryptoki, pronounced crypto-key and short for cryptographic token interface, follows a simple object-based approach, addressing the goals of technology independence (any kind of device) and resource sharing (multiple applications accessing multiple devices), presenting to applications a common, logical view of the device called a cryptographic token.
• PKCS #15: Cryptographic Token Information Format Standard
  RSA Laboratories Public-Key Cryptography Standards (PKCS).
  PKCS #15 establishes a standard that enables users in to use cryptographic tokens to identify themselves to multiple, standards-aware applications, regardless of the application's cryptoki (or other token interface) provider.
• ISO/IEC 7816-15:2016
  Identification cards -- Integrated circuit cards -- Part 15: Cryptographic information application.
  Preview.
• Wikipedia: PKCS #11
  From Wikipedia, the free encyclopedia.
• PKCS#11 Explorer
  PKCS#11 Explorer is a tool for examining the contents of PKCS#11 tokens (e.g. USB tokens and smartcards), and for carrying out various operations on them, including: show all objects stored and all mechanisms supported and their properties; monitor token insert/removal; initialize tokens; set and change PINs; create test keys; seed and generate random data. Free download, including executable and full Delphi source code.
• FreeOTFE Explorer - Appendix E: PKCS#11 Driver Libraries (PDF)
  FreeOTFE Explorer manual, p 145-150. Not exhaustive list of token manufacturers, devices and their PKCS#11 driver libraries.
  FreeOTFE at Sourceforge.
• PKCS#11 Task Force - Found Drivers
• Wikipedia: Smart card
  From Wikipedia, the free encyclopedia.
  A smart card, chip card, or integrated circuit card (ICC) is any pocket-sized card with embedded integrated circuits. Smart cards can provide strong security identification, authentication, data storage (including digital certificates) and application processing.
• Secure Technology Alliance
  Antes Smart Card Alliance. Smart Card Alliance mission is to accelerate the widespread adoption, usage, and application of smart card technology in North America by bringing together users and technology providers in an open forum to address opportunities and challenges for our industry.
• OpenSC - tools and libraries for smart cards
  OpenSC provides a set of libraries and utilities to work with smart cards. Its main focus is on cards that support cryptographic operations, and facilitate their use in security applications such as authentication, mail encryption and digital signatures. OpenSC implements the PKCS#11 API so applications supporting this API (such as Mozilla Firefox and Thunderbird) can use it. On the card OpenSC implements the PKCS#15 standard and aims to be compatible with every software/card that does so, too.
• M.U.S.C.L.E. - Movement for the Use of Smart Cards in a Linux Environment
  MUSCLE is a project to coordinate the development of smart cards and applications under Linux. The purpose is to develop a set of compliant drivers, API's, and a resource manager for various smart cards and readers for the GNU environment. Source code is now distributed by this site that supports the Schlumbeger Reflex 60 line of reader and all ISO-7816-4 compliant smart cards. I would like to see a Linux resource manager for smart cards and other cryptographic tokens such as Ibuttons or SecureId. A good standpoint for this is the PC/SC specifications written for Microsoft OS.
• PCSC-Lite project
  PC/SC-Lite: Middleware to access a smart card using SCard API (PC/SC). CCID driver: This package provides the source code for a generic USB CCID (Chip/Smart Card Interface Devices) driver and ICCD (Integrated Circuit(s) Card Devices).

Advanced Electronic Signatures (AdES) Standards: CAdES, XAdES, PAdES

• Advanced electronic signature
  An advanced electronic signature (AdES) is an electronic signature that has met the requirements set forth under EU Regulation No 910/2014 (eIDAS-regulation) on electronic identification and trust services for electronic transactions in the European Single Market. From Wikipedia, the free encyclopedia.
• European Telecommunications Standards Institute (ETSI) on Electronic (Digital) Signatures
  Electronic Signatures and Infrastructures (ESI) Committee. ETSI standards:
  • ETSI TS 101 733 V2.2.1 (2013-04): CMS Advanced Electronic Signatures (CAdES)
    ETSI EN 319 122-1 & 122-2: CAdES digital signatures; Part 1: Building blocks and CAdES baseline signatures; Part 2: Extended CAdES signatures
  • ETSI TS 101 903 V1.4.2 (2010-12): XML Advanced Electronic Signatures (XAdES)
    ETSI EN 319 132-1 & 132-2: XAdES digital signatures; Part 1: Building blocks and XAdES baseline signatures; Part 2: Extended XAdES signatures
  • ETSI TS 102 778-1 V1.1.1 (2009-07): PDF Advanced Electronic Signature (PAdES) Profiles; Part 1: PAdES Overview - a framework document for PAdES
    ETSI EN 319 142-1 & 142-2: PAdES digital signatures; Part 1: Building blocks and PAdES baseline signatures; Part 2: Additional PAdES signatures profiles
  • ETSI EN 319 102-1 V1.3.1 (2021-11) - Procedures for Creation and Validation of AdES Digital Signatures; Part 1: Creation and Validation
• XML Advanced Electronic Signatures (XAdES)
  W3C Note, 20 February 2003.
  XAdES extends the IETF/W3C XML-Signature Syntax and Processing specification (XMLDSig) into the domain of non-repudiation by defining XML formats for advanced electronic signatures that remain valid over long periods and are compliant with the European "Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures", and incorporate additional useful information in common uses cases.
• CAdES (CMS Advanced Electronic Signatures)
  From Wikipedia, the free encyclopedia.
• XAdES (XML Advanced Electronic Signatures)
  From Wikipedia, the free encyclopedia.
• PAdES (PDF Advanced Electronic Signatures)
  From Wikipedia, the free encyclopedia.
• RFC 5126: CMS Advanced Electronic Signatures (CAdES)
  By D. Pinkas, Bull SAS; N. Pope, Thales eSecurity; J. Ross. Informational (não especifica um padrão Internet), February 2008, IETF. This memo provides information for the Internet community. It does not specify an Internet standard of any kind. This document defines the format of an electronic signature that can remain valid over long periods. This includes evidence as to its validity even if the signer or verifying party later attempts to deny (i.e., repudiates) the validity of the signature. The format can be considered as an extension to RFC 3852 and RFC 2634, where, when appropriate, additional signed and unsigned attributes have been defined.
• Documentos Principais das versões das resoluções da ICP-Brasil em vigor (DOC-ICP) [Em Português]
  Por Instituto Nacional de Tecnologia da Informação (INTI).
  DOC-ICP-15 – V.4.0 de 18/02/2021 - Visão Geral Sobre Assinaturas Digitais na ICP-Brasil.
  DOC-ICP-15.01 – V.4.0 de 12/02/2021 - Requisitos para Geração e Verificação de Assinaturas Digitais na ICP-Brasil.
  DOC-ICP-15.02 – V.4.0 de 12/02/2021 - Perfil de Uso Geral para Assinaturas Digitais na ICP-Brasil. Este documento define um perfil para assinatura digital na Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil que contém um subconjunto dos atributos, propriedades ou entrada de dicionários definidos respectivamente nos padrões CMS Advanced Electronic Signatures - CAdES, XML Advanced Electronic Signatures - XAdES e PDF Advanced Electronic Signatures - PAdES. Tal perfil foi criado com o objetivo de minimizar as diferenças entre implementações e maximizar a interoperabilidade das aplicações para geração e verificação de assinaturas digitais.
  DOC-ICP-15.03 – V.8.0 de 12/02/2021 - Requisitos das Políticas de Assinatura Digital na ICP-Brasil.

XML Signature (XMLDSig)

• XML Signature Syntax and Processing Version
  W3C Recommendation, 11 April 2013.
• XML Digital Signatures (xmldsig)
  Concluded WG, IETF.
  RFC 3275: (Extensible Markup Language) XML-Signature Syntax and Processing, Draft Standard, March 2002.
• XML Signature
  From Wikipedia, the free encyclopedia.