Evaluación STIC

  • Laboratorio líder en evaluaciones STIC
  • Primer laboratorio LINCE acreditado por CCN (Entidad de Certificación Española)
  • Editores de LINCE como norma UNE
  • Líderes en el mercado - Más de 150 proyectos de evaluación STIC
  • Un equipo de más de 50 personas comprometidas con nuestros clientes

Haga clic aquí para encontrar nuestras charlas relacionadas con STIC y otros estándares ofrecidos en los eventos de ciberseguridad más relevantes
Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.

CPSTIC - CATÁLOGO CCN - STIC 105

CPSTIC es el catálogo CCN-STIC-105 de referencia para productos TIC ciberseguros en la Administración Pública Española. Ofrece un listado de productos con garantías de seguridad contrastadas por el CCN (Organismo de Certificación Español). Dispone de una taxonomía dividida en diferentes categorías y familias, en continuo crecimiento.

Incluir su producto en el catálogo tiene múltiples ventajas:

  • Mejora la ciberseguridad de tu producto al ser evaluado por una tercera parte fiable.
  • Potente herramienta de marketing
  • Ofrece una mayor visibilidad de su producto en la Administración Pública Española
  • Cumplir con el Catálogo CPSTIC, desde mayo de 2022, es obligatorio para poder trabajar para la Administración Pública
  • Los pliegos de licitación en el Sector Público Español deberán incluir todos los requisitos necesarios para garantizar el cumplimiento del CPSTIC según el nuevo ENS.

EVALUACIÓN STIC PARA PRODUCTOS/SERVICIOS DESPLEGADOS EN LA NUBE

Cuando se certifica un producto bajo LINCE, se hace sobre una versión específica y la evaluación se realiza on premise. Sin embargo, cada vez son más los productos/servicios que se desarrollan directamente en la nube (cloud-native). Se despliegan en la nube y suelen ser desarrollos en constante evolución, lo que hace imposible identificar el objetivo exacto de la evaluación. Debido a esto, el producto/servicio no puede ser certificado, pero sí puede ser calificado y seguir formando parte del catálogo de productos ciberseguros. Por ello, además de cumplir con los requisitos especificados para su taxonomía con la metodología LINCE, el producto/servicio deberá superar los requisitos especificados en el Anexo G "Servicios en la nube" dedicado a aquellos productos desplegados en la nube. Diagrama de flujo del proceso de Evaluación STIC de un servicio.
CPSTIC-Evaluation

¿CÓMO OBTENER UNA CUALIFICACIÓN STIC?

Para obtener una Cualificación STIC, el producto debe ser evaluado por un laboratorio que actúe como tercera parte fiable y técnicamente capacitada.
El laboratorio revisará la documentación del fabricante y realizará pruebas para verificar que el producto se ajusta a su especificación.

El fabricante del producto entrega al laboratorio la Declaración de Seguridad (ST), que define el alcance de la certificación, las directrices de uso y la configuración segura del producto. Además, utilizará información procedente de fuentes públicas, como especificaciones técnicas u hojas de datos del producto. En este proceso podemos ayudarle con nuestro equipo de consultores en la redacción y gestión de toda la parte documental.

Con esta documentación, el laboratorio obtendrá la información necesaria para realizar una serie de pruebas para tratar de identificar y explotar los fallos y vulnerabilidades del producto. Además, el producto/servicio también deberá superar los requisitos especificados en el Anexo G "Servicios en la nube" dedicado a aquellos productos desplegado en la nube.

Por otro lado, la evaluación también puede incluir pruebas de los componentes criptográficos si dicha categoría lo requiere.

Los resultados de la evaluación de laboratorio se reflejan en un Informe Técnico de Evaluación (ETR), que el CCN revisará, verifica que la solución ha sido evaluada satisfactoriamente y si cumple o no satisfactoriamente con los requisitos de su taxonomía.

CPSTIC-Evaluation

Si quieres saber más sobre el proceso de cualificación de soluciones nativas en la nube, consulta este vídeo en el que Javier Tallón, nuestro Lab Manager, explica todo el proceso en detalle España y CCN como referentes en la evaluación de ciberseguridad de soluciones en la nube - YouTube

DOCUMENTACIÓN REQUERIDA EN EL PROCESO DE EVALUACIÓN STIC

  1. Análisis de requisitos: Consiste en definir a qué taxonomía pertenecen los servicios a cualificar, debiendo además adaptarse a los requisitos del Anexo G. A continuación, se realiza un RFS Rationale en el que se enumeran todos los RFs recogidos en la taxonomía y se aplican las siguientes etiquetas: aplicable, no aplicable, cubierto y no se puede probar.
  2. Declaración de seguridad (ST): Documento que explica el alcance del proyecto y recoge todas las RFS relacionadas con la taxonomía del producto.
  3. ETR (Evaluation Test Report): Define todas las pruebas realizadas y sus resultados, y este documento se envía a CPSTIC para el proceso de validación de la solución.
  4. Arquitectura de seguridad: En este documento el fabricante define la parte cloud del servicio y dónde se aloja.
  5. Declaración responsable donde el fabricante asume que todo lo aquí declarado es cierto.

Ellos ya han confiado en nosotros. ¡Hablemos!

¿Qué ofrecemos?

En jtsec somos expertos en evaluaciones de seguridad y conocemos el proceso a la perfección. Para evitar costes innecesarios, contacte con nosotros cuanto antes.

  1. Evaluación

    Como laboratorio acreditado, realizamos la evaluación de seguridad STIC de su producto, comprobando la documentación, la funcionalidad de seguridad y realizando las pruebas necesarias para que pueda obtener satisfactoriamente la certificación STIC.

  2. Herramientas

    En jtsec ofrecemos de forma gratuita a nuestros clientes la herramienta LinceToolBox, que permite agilizar el proceso de certificación STIC.

  3. Confianza y profesionalidad

    Tenemos años de experiencia en certificaciones de seguridad y contamos con un equipo de profesionales con gran conocimiento y pericia que se encargarán de todo el proceso, evitándole gastos innecesarios de tiempo y dinero..

  4. Capacitación técnica

    Hemos llegado para recoger el testigo de la excelencia técnica. Sólo desde la más alta cualificación podremos verificar la seguridad de tus productos. Estamos comprometidos al 100% con un depurado proceso de formación permanente.

  5. Time To Market

    Únicamente haciendo nuestro trabajo a tiempo podemos dar a nuestros clientes una ventaja competitiva. Si el tiempo es limitado, puedes confiar en nosotros. Ponemos todos nuestros recursos a tu disposición para no ser solo los mejores, si no, también los primeros.

  6. Confianza y profesionalidad

    Tenemos años de experiencia en certificaciones de seguridad y contamos con un equipo de profesionales con gran conocimiento y pericia que se encargará de todo el proceso, evitándose gastos innecesarios de tiempo y dinero.

  7. Capacitación y técnica

    Hemos llegado para recoger el testigo de la excelencia técnica. Sólo desde la más alta cualificación podremos verificar la seguridad de tus productos. Estamos comprometidos al 100% con un depurado proceso de formación permanente.

meta.png