Certificación Common Criteria

Inicio / Certificación Common Criteria

Certificación Common Criteria

Digital Cubes acompaña a fabricantes y desarrolladores de productos TIC en la preparación, documentación y soporte técnico necesarios para afrontar una evaluación Common Criteria bajo ISO/IEC 15408 e ISO/IEC 18045.

Nuestro servicio está orientado a reducir incertidumbre, anticipar riesgos de evaluación y preparar el producto, la documentación y las evidencias necesarias antes y durante el proceso de certificación.

Ayudamos a definir la mejor estrategia de certificación en función del producto, el mercado objetivo, el nivel de aseguramiento requerido y el esquema aplicable, incluyendo tanto certificaciones Common Criteria reconocidas bajo CCRA como certificaciones europeas EUCC.

Common Criteria: CCRA y EUCC

Common Criteria es uno de los marcos de certificación de seguridad más reconocidos internacionalmente para productos TIC. Permite evaluar de forma estructurada las funciones de seguridad de un producto, su entorno de desarrollo, la documentación asociada y las evidencias necesarias para demostrar el nivel de confianza declarado.

En función del mercado objetivo y de los requisitos del cliente, pueden plantearse dos rutas principales:  

Opción 1: Common Criteria bajo CCRA

CCRA está orientado a productos que buscan reconocimiento internacional a través de esquemas nacionales Common Criteria.

Puede ser adecuada para fabricantes que necesitan responder a requisitos de compradores internacionales, sector público, infraestructuras críticas o clientes que exigen certificaciones Common Criteria reconocidas fuera del contexto exclusivamente europeo.

Opción 2: Common Criteria bajo EUCC

EUCC es el esquema europeo de certificación de ciberseguridad basado en Common Criteria.

Puede ser especialmente relevante para fabricantes que quieran comercializar productos TIC en el mercado europeo, responder a requisitos de clientes regulados o anticiparse a futuras exigencias de certificación en la Unión Europea.

EUCC contempla niveles de aseguramiento como Substantial y High, y requiere una correcta definición del alcance del producto, las funciones de seguridad, las evidencias técnicas y la relación con laboratorios y organismos de certificación acreditados o autorizados según el nivel aplicable.

 

Nuestro enfoque

Digital Cubes actúa como consultor técnico independiente durante la preparación y seguimiento de la certificación. Nuestro objetivo es que el fabricante llegue al proceso de evaluación con una estrategia clara, documentación coherente y evidencias alineadas con los requisitos del esquema.

El servicio puede cubrir las siguientes fases:

1. Análisis inicial de certificabilidad

Revisamos el producto, su arquitectura, sus funciones de seguridad, su documentación disponible y sus objetivos comerciales para determinar la ruta de certificación más adecuada.

En esta fase se identifican los principales riesgos, dependencias, carencias documentales y posibles impactos técnicos antes de iniciar formalmente el proceso de evaluación.

2. Definición del alcance del TOE

Ayudamos a definir el Target of Evaluation (la parte del producto que va a ser objeto de análisis), sus límites, componentes incluidos, dependencias externas, configuración evaluada y entorno operacional previsto.

Una definición adecuada del TOE es crítica para evitar ambigüedades, reducir el esfuerzo de evaluación y asegurar que el certificado resultante sea útil comercialmente.

3. Estrategia de certificación

Preparamos una estrategia de certificación adaptada al producto y al mercado objetivo.

Esta estrategia puede incluir la elección entre CCRA y EUCC, el análisis de Protection Profiles aplicables, la identificación del nivel de aseguramiento adecuado, la planificación de evidencias y la preparación de la interacción con el laboratorio y el organismo de certificación.

4. Preparación del Security Target

Damos soporte en la preparación o revisión del Security Target, incluyendo la descripción del TOE, el entorno de seguridad, los objetivos de seguridad, los requisitos funcionales de seguridad y los requisitos de aseguramiento.

También revisamos la consistencia entre el Security Target, el producto real, las guías de usuario, la arquitectura y el resto de evidencias técnicas.

5. Preparación documental y evidencias

Ayudamos a preparar, revisar o adaptar la documentación requerida para la evaluación, incluyendo documentación de diseño, guías de administración y usuario, procedimientos de entrega, configuración segura, ciclo de vida, gestión de configuración, pruebas, análisis de vulnerabilidades y evidencias de desarrollo.

El objetivo es que la documentación sea evaluable, coherente y trazable frente a los requisitos Common Criteria aplicables.

6. Revisión técnica y hardening

Además de la documentación, apoyamos al fabricante en la revisión de las funciones de seguridad del producto, configuración segura, mecanismos de autenticación, control de acceso, comunicaciones seguras, auditoría, gestión criptográfica y otras funciones relevantes para el alcance definido.

Cuando se identifican carencias, ayudamos a priorizar acciones de remediación y a justificar técnicamente las decisiones de diseño.

7. Soporte durante la evaluación

Durante la evaluación, damos soporte al fabricante en la interlocución técnica con el laboratorio, la preparación de respuestas, la revisión de observaciones, la gestión de no conformidades y la actualización de evidencias.

Nuestro papel es facilitar que las respuestas sean consistentes, completas y alineadas con los requisitos del esquema, evitando repetir trabajo.

8. Mantenimiento y continuidad

Tras la certificación, el producto puede requerir mantenimiento, análisis de impacto ante cambios, gestión de vulnerabilidades, actualizaciones de documentación o soporte para nuevas versiones.

Digital Cubes puede apoyar al fabricante en la gestión de cambios y en la preparación de evidencias para mantener la validez y utilidad comercial del certificado.

Preguntas frecuentes (FAQ)

¿Qué diferencia hay entre CCRA y EUCC?

CCRA es el marco de reconocimiento internacional de certificados Common Criteria emitidos por esquemas nacionales participantes. EUCC es el esquema europeo de certificación de ciberseguridad basado en Common Criteria.

La elección depende del mercado objetivo, los requisitos del cliente, el tipo de producto y el nivel de aseguramiento necesario.

El TOE, o Target of Evaluation, es el producto o parte del producto que será objeto de evaluación.

Definir correctamente el TOE es una de las decisiones más importantes del proceso, ya que determina qué componentes, funciones, configuraciones y documentación estarán incluidos en la certificación.

El Security Target es el documento central de una evaluación Common Criteria.

Describe el producto evaluado, sus funciones de seguridad, el entorno de uso, las amenazas consideradas, los objetivos de seguridad y los requisitos que serán evaluados.

Depende del tipo de producto, del esquema de certificación y de los requisitos del comprador o regulador.

Cuando existe un Protection Profile aplicable, puede ser necesario o recomendable utilizarlo como base de la certificación. En otros casos, puede definirse un Security Target específico para el producto.

El nivel de aseguramiento adecuado depende del perfil de riesgo del producto, del mercado objetivo, del uso previsto y de los requisitos establecidos por los clientes, los organismos reguladores o los procesos de contratación.

En las evaluaciones tradicionales de Common Criteria, el aseguramiento suele expresarse mediante los Evaluation Assurance Levels (EAL) u otros paquetes de aseguramiento definidos por el esquema de certificación aplicable o por el Protection Profile correspondiente.

En el esquema europeo de certificación EUCC (European Union Common Criteria), el aseguramiento se clasifica además en los niveles Substantial y High.

Seleccionar el nivel de aseguramiento más adecuado es una parte fundamental de la estrategia de certificación, ya que influye directamente en el alcance de la evaluación, las evidencias requeridas, el esfuerzo de evaluación, la duración del proceso de certificación y el coste global del proyecto.

La duración de un proyecto de certificación Common Criteria depende de diversos factores, entre ellos el tipo de producto, el alcance del TOE (Target of Evaluation), el nivel de aseguramiento requerido, la calidad y el grado de madurez de la documentación disponible, la disponibilidad del equipo técnico y la complejidad global de la evaluación.

Los proyectos de certificación pueden durar desde unos pocos meses hasta más de un año, en función del alcance de la evaluación y del nivel de preparación del fabricante antes de iniciar el proceso con el laboratorio de evaluación.

Una evaluación inicial de la preparación para la certificación permite estimar el esfuerzo necesario, identificar riesgos potenciales y carencias documentales, y establecer una planificación realista antes de comenzar formalmente el proceso de evaluación.

Recibir observaciones, preguntas, solicitudes de aclaración o findings por parte del laboratorio de evaluación es una parte habitual del proceso de evaluación Common Criteria.

Cuando se identifican incidencias, Digital Cubes ayuda a los fabricantes a analizar cada finding, preparar respuestas técnicamente fundamentadas, actualizar la documentación de soporte y coordinar las acciones correctivas necesarias para resolver las observaciones planteadas por los evaluadores.

Nuestro objetivo es garantizar que las respuestas sean claras, coherentes y estén alineadas con los requisitos de certificación, contribuyendo a minimizar retrasos y evitar retrabajos innecesarios durante la evaluación.