jtsec forma parte de

Evaluación Common Criteria, laboratorio acreditado

  • Expertos de primer nivel
  • Miembros de SCCG (Stakeholder Cybersecurity Certification Group)
  • Miembros de EUCC Ad-hoc Working Group
  • CC ToolBox: Herramienta exclusiva que permite ahorrar hasta un 50% de tiempo y costes
  • Editores en JTC13 WG3: “Cybersecurity Evaluation Methodology for ICT products”

Encuentre aquí nuestras charlas relacionadas con Evaluación Common Criteria y otras metodologías ofrecidas en los eventos más relevantes
Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.

¿Qué es Common Criteria?

Common Criteria es una norma internacional (ISO/IEC 15408) y la certificación más reconocida utilizada para evaluar la seguridad de los productos de TIC. Esta certificación es exigida en algunas ocasiones por diferentes normativas. Un certificado de Common Criteria proporciona siempre una ventaja competitiva, al brindar confianza a los clientes y usuarios. El vendedor o fabricante puede especificar los requisitos funcionales de seguridad (SFRs) y los requisitos de garantía de la seguridad (SARs) mediante el uso de perfiles de protección (PPs, cPP or NIAP PPs).

En ocasiones, puede resultar difícil para el vendedor comprender cómo cumplir los requisitos de la norma de Common Criteria. Esto puede dar lugar a gastos imprevistos de tiempo y dinero y, en el peor de los casos, a que no se obtenga el certificado.

El proceso de certificación Common Criteria en España

En España el proceso de certificación Common Criteria comienza con el envío de la "Solicitud de Certificación" al Organismo de Certificación Español, dependiente del Centro Criptológico Nacional. El Organismo de Certificación (OC) es el que una vez realizada la evaluación, expide el certificado final, siendo el responsable último de la calidad de los ensayos.

Para dar comienzo al proceso, es necesario enviar al laboratorio la "Declaración de Seguridad" un documento formal que describe las capacidades de seguridad del producto y delimita el área evaluable del mismo.

La evaluación no es realizada directamente por el OC, sino que es necesario contratar los servicios de un laboratorio acreditado.

Una vez que el laboratorio acreditado realice la evaluación y los fallos encontrados en el producto sean corregidos, este enviará al OC un "Informe Técnico de Evaluación" con resultado "Pass", y tras los correspondientes trámites administrativos, el certificado será publicado en el BOE y podrá hacerse valer en todo el mundo.

Este proceso es muy similar en todos los organismos de certificación, y podemos participar como laboratorio con cualquier país emisor de certificados.

Somos miembros de ENISA ad-hoc Working Group on SOG-IS successor scheme para apoyar la preparación de un esquema candidato de certificación de ciberseguridad de la UE como sucesor de los esquemas existentes que funcionan en el marco del ARM del SOG-IS. Este nuevo esquema, elaborado para la certificación de la ciberseguridad de los productos TIC, se ha denominado esquema EUCC (Common Criteria based European candidate cybersecurity certification scheme).

CCTOOLBOX, SIMPLIFICANDO COMMON CRITERIA

En jtsec, siempre hemos creído en la innovación y colaboración en el campo de la ciberseguridad. Por eso ofrecemos un mes gratis de nuestra herramienta CCGEN, que puedes obtener visitando nuestra página de CCToolBox.

jtsec desarrolla esta innovadora herramienta para acelerar el proceso de certificación Common Criteria, ahorrando hasta un 40% en tiempos y costes. Un marco de trabajo único que agiliza las dos principales actividades: generación y evaluación de documentation.

CCToolBox contiene tres herramientas que se complementan a la perfección para ofrece un servicio completo:

  • CCGen para la generación de documentación Common Criteria.
  • CCEval para la evaluación de la documentación Common Criteria.
  • CCCAB para la validación de la documentación Common Criteria.

10 RAZONES DE PARA ELEGIR JTSEC

    1. Le ayudamos utilizando CCToolBox nuestra herramienta innovadora y exclusiva que permite automatizar el proceso.

    2. Ahorre hasta un 40% en tiempo y dinero.

    3. Le aseguramos un precio fijo desde el principio, ¡evite sorpresas!

    4. Entrega en plazo de lanzamiento un ingeniero de apoyo está siempre disponible para los proyectos, asegurando así que cumplimos con los plazos y las expectativas.

    5. Le ofrecemos el primer paso de su certificación completamente gratis, el Certification Roadmap Report.

    6. Somos verdaderos expertos en Common Criteria, siempre mejorando e investigando en el área de la ciberseguridad. Formamos parte activa en diferentes actividades de desarrollo de Common Criteria (ISO, ISCI WGs).

    7. Directores de programa de ICCC (International Common Criteria Conference).

    8. Miembros de SCCG (Stakeholder Cybersecurity Certification Group).

    9. Miembros de EUCC Ad-hoc Working Group.

    10. Profesionales nativos Common Criteria.

QUÉ ES EL EUCC

EUCC será el primer esquema publicado bajo las directrices de la CSA (Cybersecurity Act), que propone la creación de un marco común europeo para la certificación de productos y servicios TIC "ciberseguros". Puede considerarse un esquema horizontal, ya que puede utilizarse en varias competencias sectoriales. La EUCC se basa en los Criterios Comunes (ISO/IEC 15408 e ISO/IEC 18045) y pretende sustituir los actuales esquemas nacionales de certificación también basados en los Criterios Comunes. Por lo tanto, se conoce comúnmente como Criterios Comunes Europeos, EUCC tiene reconocimiento y aceptación sólo en la UE La existencia de esquemas de ciberseguridad reconocidos por la Comisión Europea proporciona un marco en el que los laboratorios de ciberseguridad, las empresas privadas y las administraciones públicas pueden atenerse a la hora de certificar sus productos dentro de Europa, en el caso de la EUCC, para productos TIC. *Aviso: Debido a que el esquema EUCC aún no ha sido aprobado y publicado oficialmente, no se pueden realizar evaluaciones.

CALENDARIO Y ADAPTACIÓN DEL EUCC

Aunque el EUCC todavía está a la espera de que se publique oficialmente su versión final, se espera que la norma sea plenamente operativa en 2022. Basándose en las discusiones con la Comisión Europea, se ha considerado que el escenario de un "big bang" es el más probable, ya que consiste en lo siguiente - Todos los esquemas existentes cesan en la misma fecha. - No hay emisión paralela de certificados EUCC y SOG-IS MRA para los mismos productos TIC durante el periodo de transición. - Para minimizar este impacto, ENISA está creando guías de transición que permitirán a los laboratorios y fabricantes adaptarse a las nuevas condiciones. No obstante, habrá un periodo de transición que permitirá - La finalización de los actuales proyectos de certificación bajo los esquemas existentes, o su fácil conversión en proyectos EUCC. - La transferencia sin problemas de los certificados que requieran mantenimiento a largo plazo, por lo tanto bajo el esquema EUCC, o su reutilización para las evaluaciones y certificaciones compuestas bajo el esquema EUCC. Si quieres saber más sobre el proceso seguido por la EUCC hasta su aprobación por la Comisión Europea, lee el post de nuestro blog titulado: "ENISA publica EUCC 1.1.1 el primer esquema europeo de ciberseguridad para productos TIC".

¿CÓMO OBTENER UNA CERTIFICACIÓN EUCC?

Para obtener la certificación EUCC, el producto debe ser evaluado por un laboratorio que actúe como tercera parte confiable y técnicamente capacitada. El laboratorio revisará la documentación del fabricante y realizará pruebas para verificar que el producto se ajusta a su especificación. El fabricante del producto entrega al laboratorio la declaración de seguridad (ST), que define el alcance de la certificación, las directrices de uso y la configuración segura del producto. Además, utilizará información procedente de fuentes públicas, como las especificaciones técnicas o las hojas de datos del producto. Con esta documentación, el laboratorio obtendrá la información necesaria para realizar una serie de pruebas para tratar de identificar y explotar los fallos y vulnerabilidades del producto. Por otro lado, la evaluación puede incluir también pruebas de los componentes criptográficos y el análisis del código fuente. Los resultados de la evaluación de laboratorio se reflejan en un Informe Técnico de Evaluación (ETR, Evaluation Technical Report), que el CAB revisará y, en caso de que la evaluación no haya encontrado ningún fallo o no conformidad de seguridad, emitirá el certificado EUCC, que acredita que el producto ha sido evaluado satisfactoriamente.

10 RAZONES PARA ELEGIR JTSEC

1. Expertos de primer nivel.
2. Enfoque personalizado.
3. Laboratorio acreditado. para evaluaciones Common Criteria.
4. Miembros del SCCG (Stakeholder Cybersecurity Certification Group).
5. Le ayudamos utilizando CCToolBox nuestro innovador y exclusivo framework que automatiza el proceso.
6. Le aseguramos un precio fijo desde el principio, ¡evite sorpresas!Entrega en plazo de lanzamiento un ingeniero de apoyo está siempre disponible para los proyectos, asegurando así que cumplimos con los plazos y las expectativas.
7. Editores en JTC13 WG3: “Cybersecurity Evaluation Methodology for ICT products”.
8. Miembros de SCCG (Stakeholder Cybersecurity Certification Group).
9. Miembros de EUCC Ad-hoc Working Group.
10. Compromiso con su proyecto antes, durante y después de la certificación.
-->

¿Qué ofrecemos?

En jtsec somos expertos en evaluaciones de seguridad y conocemos el proceso a la perfección. Para evitar costes innecesarios, contacte con nosotros cuanto antes.

  1. Evaluación, laboratorio acreditado

    Contamos con años de experiencia en certificaciones de seguridad y con un equipo de profesionales con gran conocimiento y pericia que se encargarán de todo el proceso, evitándole gastos innecesarios de tiempo y dinero.

  2. Herramientas

    En jtsec ofrecemos de forma gratuita a nuestros clientes la herramienta CCGen, que permite elaborar la declaración de seguridad de un producto para la certificación Common Criteria.

  3. Laboratorio acreditado Common Criteria

    Como laboratorio acreditado, realizamos la evaluación de seguridad Common Criteria de su producto, comprobando la declaración de seguridad y documentación de guías de usuario, diseño, ciclo de vida y pruebas. Además, realizamos las pruebas y tests necesarios para asegurarnos de que tu producto es resistente a los ataques aplicables. De este modo, el producto puede obtener satisfactoriamente la certificación Common Criteria.

  4. Enfoque personalizado

    Ofrecemos un enfoque personalizado en su certificación Common Criteria, un proceso adaptado teniendo en cuenta que cada cliente y cada producto son únicos. Nos adaptamos a sus necesidades creando un marco de trabajo único, atendiendo a las necesidades específicas de su proyecto