CPSTIC - CATÁLOGO CCN - STIC 105
CPSTIC es el catálogo CCN-STIC-105 de referencia para productos TIC ciberseguros en la Administración Pública Española. Ofrece un listado de productos con garantías de seguridad contrastadas por el CCN (Organismo de Certificación Español). Dispone de una taxonomía dividida en diferentes categorías y familias, en continuo crecimiento.
Incluir su producto en el catálogo tiene múltiples ventajas:
- Mejora la ciberseguridad de tu producto al ser evaluado por una tercera parte fiable.
- Potente herramienta de marketing
- Ofrece una mayor visibilidad de su producto en la Administración Pública Española
- Cumplir con el Catálogo CPSTIC, desde mayo de 2022, es obligatorio para poder trabajar para la Administración Pública
- Los pliegos de licitación en el Sector Público Español deberán incluir todos los requisitos necesarios para garantizar el cumplimiento del CPSTIC según el nuevo ENS.
EVALUACIÓN STIC PARA PRODUCTOS/SERVICIOS DESPLEGADOS EN LA NUBE
¿CÓMO OBTENER UNA CUALIFICACIÓN STIC?
Para obtener una Cualificación STIC, el producto debe ser evaluado por un laboratorio que actúe
como tercera parte fiable y técnicamente capacitada.
El laboratorio revisará la documentación del fabricante y realizará pruebas para verificar que el producto se ajusta a su especificación.
El fabricante del producto entrega al laboratorio la Declaración de Seguridad (ST), que define el alcance de la certificación, las directrices de uso y la configuración segura del producto. Además, utilizará información procedente de fuentes públicas, como especificaciones técnicas u hojas de datos del producto. En este proceso podemos ayudarle con nuestro equipo de consultores en la redacción y gestión de toda la parte documental.
Con esta documentación, el laboratorio obtendrá la información necesaria para realizar una serie de pruebas para tratar de identificar y explotar los fallos y vulnerabilidades del producto. Además, el producto/servicio también deberá superar los requisitos especificados en el Anexo G "Servicios en la nube" dedicado a aquellos productos desplegado en la nube.
Por otro lado, la evaluación también puede incluir pruebas de los componentes criptográficos si dicha categoría lo requiere.
Los resultados de la evaluación de laboratorio se reflejan en un Informe Técnico de Evaluación (ETR), que el CCN revisará, verifica que la solución ha sido evaluada satisfactoriamente y si cumple o no satisfactoriamente con los requisitos de su taxonomía.
Si quieres saber más sobre el proceso de cualificación de soluciones nativas en la nube, consulta este vídeo en el que Javier Tallón, nuestro Lab Manager, explica todo el proceso en detalle España y CCN como referentes en la evaluación de ciberseguridad de soluciones en la nube - YouTube
DOCUMENTACIÓN REQUERIDA EN EL PROCESO DE EVALUACIÓN STIC
- Análisis de requisitos: Consiste en definir a qué taxonomía pertenecen los servicios a cualificar, debiendo además adaptarse a los requisitos del Anexo G. A continuación, se realiza un RFS Rationale en el que se enumeran todos los RFs recogidos en la taxonomía y se aplican las siguientes etiquetas: aplicable, no aplicable, cubierto y no se puede probar.
- Declaración de seguridad (ST): Documento que explica el alcance del proyecto y recoge todas las RFS relacionadas con la taxonomía del producto.
- ETR (Evaluation Test Report): Define todas las pruebas realizadas y sus resultados, y este documento se envía a CPSTIC para el proceso de validación de la solución.
- Arquitectura de seguridad: En este documento el fabricante define la parte cloud del servicio y dónde se aloja.
- Declaración responsable donde el fabricante asume que todo lo aquí declarado es cierto.
Ellos ya han confiado en nosotros. ¡Hablemos!
¿Qué ofrecemos?
En jtsec somos expertos en evaluaciones de seguridad y conocemos el proceso a la perfección. Para evitar costes innecesarios, contacte con nosotros cuanto antes.
-
Evaluación
Como laboratorio acreditado, realizamos la evaluación de seguridad STIC de su producto, comprobando la documentación, la funcionalidad de seguridad y realizando las pruebas necesarias para que pueda obtener satisfactoriamente la certificación STIC.
-
Herramientas
En jtsec ofrecemos de forma gratuita a nuestros clientes la herramienta LinceToolBox, que permite agilizar el proceso de certificación STIC.
-
Confianza y profesionalidad
Tenemos años de experiencia en certificaciones de seguridad y contamos con un equipo de profesionales con gran conocimiento y pericia que se encargarán de todo el proceso, evitándole gastos innecesarios de tiempo y dinero..
-
Capacitación técnica
Hemos llegado para recoger el testigo de la excelencia técnica. Sólo desde la más alta cualificación podremos verificar la seguridad de tus productos. Estamos comprometidos al 100% con un depurado proceso de formación permanente.
-
Time To Market
Únicamente haciendo nuestro trabajo a tiempo podemos dar a nuestros clientes una ventaja competitiva. Si el tiempo es limitado, puedes confiar en nosotros. Ponemos todos nuestros recursos a tu disposición para no ser solo los mejores, si no, también los primeros.
-
Confianza y profesionalidad
Tenemos años de experiencia en certificaciones de seguridad y contamos con un equipo de profesionales con gran conocimiento y pericia que se encargará de todo el proceso, evitándose gastos innecesarios de tiempo y dinero.
-
Capacitación y técnica
Hemos llegado para recoger el testigo de la excelencia técnica. Sólo desde la más alta cualificación podremos verificar la seguridad de tus productos. Estamos comprometidos al 100% con un depurado proceso de formación permanente.