La norma de certificación Common Criteria (CC) reduce la necesidad de múltiples evaluaciones en los mercados internacionales. Como tal, limita el coste y el esfuerzo invertidos en los procesos de certificación.
Al confiar en productos certificados de alta calidad, las empresas pueden garantizar que están implantando las soluciones más seguras posibles.
El CryptoServer Se-Series Gen2 de Utimaco es el primer Módulo de Seguridad Hardware del mercado que ha recibido la certificación CC basada en el Perfil de Protección EN 419221-5. La plataforma u.trust Anchor también cuenta ahora con la certificación CC EAL4+.
Encontrará más detalles aquí:
CryptoServer Se-Series Gen2 | u.trust Anchor |
Informe de certificación | Informe de certificación (NSCIB) |
Informe de certificación (CSA) |
Certificación Utimaco
La importancia de Common Criteria como norma de evaluación reconocida internacionalmente para productos y componentes de seguridad informática, como los HSM
Common Criteria for Information Technology Security Evaluation (Common Criteria, CC) es una norma de certificación reconocida internacionalmente para la seguridad de productos y sistemas informáticos. Fue desarrollada por Alemania, Canadá, Estados Unidos, Francia, Países Bajos y Reino Unido a mediados de la década de 1990.
El objetivo de estos gobiernos era unificar tres grandes normas de evaluación de la seguridad y sus criterios: la ITSEC europea, la TCSEC estadounidense y la CTCPEC canadiense. De este modo, ya no sería necesario volver a evaluar previamente los productos que se vendieran en los mercados internacionales.
El Acuerdo de Reconocimiento de Criterios Comunes (CCRA), firmado en 2000, regula las certificaciones CC mutuamente reconocidas en distintos países. Los participantes se comprometen a aplicar procesos de evaluación rigurosos y normalizados para respaldar el alto nivel de confianza en los productos certificados. Se esfuerzan por reducir la necesidad de múltiples evaluaciones y, de este modo, reducir el coste y el esfuerzo invertidos en los procesos de certificación. El número de productos informáticos evaluados ha ido en aumento desde entonces.
Los gobiernos y las empresas del sector privado exigen a menudo evaluaciones Common Criteria. Al confiar en productos certificados de alta calidad, pueden garantizar que están implantando las soluciones más seguras posibles. Como resultado, pueden asegurar las infraestructuras de TI de la forma más eficaz posible y proteger los datos críticos para la empresa.
Common Criteria y eIDAS
El gobierno de EE.UU. confía a menudo en productos que figuran en la lista de la National Information Assurance Partnership (NIAP). Para figurar en la lista se requiere una certificación Common Criteria. Del mismo modo, la normativa europea eIDAS exige una evaluación CC para que las firmas electrónicas puedan considerarse "firmas digitales cualificadas".
El Reglamento nº 910/2014 (Reglamento eIDAS) del Parlamento Europeo y del Consejo ha desencadenado la definición de un nuevo perfil de protección. El PP "Módulo criptográfico para servicios de confianza" se publicará como norma oficial EN 419221-5, y define los requisitos de seguridad en un nivel de garantía EAL4+.
Utimaco Hardware Security Modules es el primer HSM del mercado que ha obtenido la certificación CC
Aplicaciones como la autenticación, la firma electrónica y el cifrado requieren claves criptográficas sólidas y gestionadas de forma segura. Los HSM ofrecen el máximo nivel de seguridad a la hora de generar, almacenar, gestionar y dar de baja claves criptográficas de alta calidad.
El CryptoServer Se-Series Gen2 de Utimaco es el primer Módulo de Seguridad Hardware que ha obtenido la certificación CC basada en el Perfil de Protección EN 419 221-5. Con esta evaluación, pretendemos asegurarnos de que los proveedores de servicios de confianza (TSP) puedan ofrecer soluciones conformes con eIDAS a sus clientes. Con la reciente certificación CC, Utimaco atestigua la sólida arquitectura de seguridad de la plataforma u.trust Anchor y la fuerte separación entre los HSM en contenedores.
¿Su aplicación requiere un HSM con certificación CC? Póngase en contacto con nosotros en hsm@utimaco.com.
Estamos deseando conocer sus necesidades y encontrar la solución adecuada.
Conceptos clave y abreviaturas de Common Criteria que debe conocer
- El objetivo de evaluación (TOE) es el producto o sistema evaluado según los requisitos de Common Criteria.
- La funcionalidad general y, especialmente, los requisitos funcionales de seguridad (SFR) del TOE se describen en un objetivo de seguridad (ST). Este objetivo de seguridad se basa preferentemente en un Perfil de Protección (PP) reconocido, o puede ser definido libremente por el fabricante del TOE.
- Los PP resumen los requisitos funcionales y de seguridad para un determinado tipo de producto, por ejemplo, una tarjeta inteligente o un módulo de seguridad de hardware (HSM). O, alternativamente, para un dispositivo con una funcionalidad específica para un caso de uso, por ejemplo, un dispositivo de seguridad postal. El objetivo es que varios productos y sus certificaciones sean comparables entre sí.
Una evaluación CC verifica las características de seguridad del objetivo con el fin de confirmar las afirmaciones hechas sobre el objetivo de evaluación en el objetivo de seguridad. Para calificar y evaluar la confianza que se puede depositar en las características de seguridad de un producto:
- Los requisitos de garantía de seguridad (SAR) describen las medidas adoptadas para garantizar la conformidad de un producto informático con las características o el nivel de seguridad declarados.
- Los niveles de garantía de evaluación (EAL) corresponden a un grupo de SAR. Van del EAL 1 al EAL 7 y dan una idea de la amplitud y el rigor con que se ha ejecutado una evaluación.
- EAL 1 es el nivel más básico y el más barato de aplicar.
- EAL 7 es el nivel más estricto y exigente, relacionado con un mayor coste y una mayor cantidad de insumos necesarios.
El CCRA, entre otras cosas, determina que las evaluaciones con un nivel de garantía de evaluación de hasta EAL4 se reconocen mutuamente en todos los países participantes. En la mayoría de los casos, los EAL más altos requerirán la inclusión de los requisitos específicos del gobierno nacional.