Applus+ Laboratories

Certificación Common Criteria

Certifica el nivel de seguridad de los productos IT bajo el estándar Common Criteria (ISO 15408:2005)
¿Qué es Common Criteria?
Common Criteria o Criterios Comunes es un estándar con reconocimiento internacional para evaluar las funciones de seguridad y el nivel de confianza de un producto IT (ISO 15408). Este estándar está basado en siete niveles de garantía (EAL) de severidad creciente. Las empresas que quieren certificar su producto escogen el nivel de garantía al que quieren llegar y someten su producto a un proceso de evaluación de seguridad realizado por un laboratorio acreditado independiente.   
La Certificación Common Criteria está reconocida por los 27 países firmantes del Common Criteria Recognition Agreement (CCRA). Adicionalmente, 10 países europeos firmaron el acuerdo SOGIS de reconocimiento mutuo para certificaciones Common Criteria de niveles superiores y para áreas técnicas específicas como las Smart Cards.
¿Por qué certificar un producto TI bajo Common Criteria?
Los certificados Common Criteria tienen un reconocimiento global y multi-sectorial. Un producto certificado Common Criteria dispone de un elemento diferenciador clave en el ámbito de la seguridad ya que ha sido evaluado por una tercera parte independiente bajo una metodología sólida y bien definida.
En muchos casos, Common Criteria es una demanda del cliente final. Las reglamentaciones gubernamentales en Estados Unidos (NSTISSP No. 11 - NIAP PCL List) o Europa (el ENS español,  las regulaciones europeas eIDAS y de tacógrafos) requieren que agencias públicas soliciten certificados de seguridad en sus compras (siendo Common Criteria el más habitual).
En algunas industrias, Common Criteria puede ser un requisito de entrada en el mercado (IC o Pasaporte electrónico) o un requisito de seguridad específico en concursos y licitaciones (bancos, operadoras de telecomunicaciones).
Applus+, laboratorio acreditado para Common Criteria
Applus+ es IT Security Evaluation Facility (ITSEF) acreditado para evaluaciones Common Criteria y SOGIS.  Gestionamos todo el proceso hasta la obtención de la certificación Common Criteria (ISO 15408:2005) de su producto IT. Nuestro servicio incluye evaluaciones Common Criteria hasta nivel EAL 7. En función del nivel, los requisitos de la evaluación pueden incluir:
  • Evaluación del producto: centrada en mitigar vulnerabilidades de riego.
  • Evaluación del diseño del desarrollador: centrada en asegurar la fiabilidad del proceso de desarrollo.
  • Auditoría de los centros de desarrollo: centrada en asegurar la integridad y la confidencialidad de la cadena de suministro.
Aplicaciones de Common Criteria
Tarjetas Smart Cards y Elementos Seguros (SE): Las Smart Cards tienen una amplia implantación en diversas industrias: Pasaportes electrónicos, tarjetas ID, tarjetas de transporte, tarjetas electrónicas de salud. La metodología Common Criteria se puede usar para certificar las tres capas de una Smart Card: el circuito integrado,  el sistema operativo del chip (Plataforma) y la aplicación.  
Aunque algunas industrias como la de los sistemas de pago tienen esquemas de certificación propios (como EMVCo), los fabricantes y desarrolladores de productos no finales (IC, plataformas y composites) pueden necesitar certificar sus productos bajo ambos esquemas (CC y EMVCo) ya que sus productos pueden acabar utilizándose para distintas aplicaciones. En estos casos, Applus+ puede proveer evaluaciones de seguridad combinadas para acelerar la llegada al mercado de los productos.
Equipos de telecomunicaciones: Routers, switches, gateways, y similares son productos críticos a nivel de seguridad y sus clientes finales habitualmente requieren de certificados de confianza como Common Criteria. En algunos casos, como en las licitaciones de las agencias gubernamentales, disponer de un certificado Common Criteria puede ser una barrera de entrada.
Móvil: A medida que las aplicaciones de más valor añadido están moviéndose a los dispositivos móviles (pago, gestión de derechos de autor, identificación, biometría, etc.) la preocupación por la seguridad está aumentando. Common Criteria es la solución ideal para evaluar dispositivos y aplicaciones móviles.
eIDAS y Trusted Services: La regulación eIDAS provee un marco regulatorio europeo para servicios como la firma digital, los HSM o los sellos de tiempo. La Comisión Europa ha designado Common Criteria como la metodología para evaluar la confianza de este tipo de productos a través de la definición de diversos perfiles de protección.  
Otros productos TI:  Common Criteria es una opción apropiada para poder demostrar el nivel confianza en la seguridad de un producto TI y supone un distintivo a nivel de mercado para productos como software comerciales, SaaS, plataformas Cloud Computing o Hardware Secure Modules.
Spacer
Solicite presupuesto