CPSTIC

Cualificación CPSTIC

Mediante la cualificación un producto pone a prueba la efectividad de su funcionalidad de seguridad, así como su resistencia ante ataques. Una vez probadas estas características, el producto pasa a formar parte de los productos cualificados, apareciendo así en el catálogo CPSTIC .

Cualificación inicial

Para llevar a cabo la cualificación inicial, lo primero es identificar la familia a la que pertenece el producto y justificar que la funcionalidad de seguridad del producto cumple con los requisitos de la misma. Dicha justificación ha de ser aprobada por el CPSTIC. Si el producto cuenta con una evaluación previa, mediante un análisis diferencial la funcionalidad previamente evaluada se acepta como validada y no será evaluada.

Tras la aprobación por parte del CPSTIC hay que realizar una evaluación favorable por parte de un laboratorio acreditado .

La cualificación inicial normalmente exige que se tenga una certificación Common Criteria o LINCE .

Desde Digital Cubes acompañamos al desarrollador durante todo el proceso de cualificación, ofreciendo los siguientes servicios:

  1. Identificación de la familia.
  2. Análisis diferencial.
  3. Documentación de evaluación (LINCE, Common Criteria, Cloud o complementaria).
  4. Adaptación de la documentación del producto.
  5. Asesoramiento en la implementación del producto.
  6. Asistencia durante el proceso de cualificación y evaluación.

Mantenimiento de la cualificación

Una vez que el producto forma parte del catálogo CPSTIC, hay que actualizar la cualificación. Esta actualización puede ser por tres motivos: caducidad del certificado emitido por CPSTIC, caducidad de las certificaciones requeridas (ej. LINCE o Common Criteria) o modificación del producto.

Para mantener la cualificación en el tiempo hay que llevar a cabo una estrategia de cualificación continua. Cuando un producto, siguiendo su ciclo de vida, es modificado, hay que realizar un análisis diferencial para argumentar si dichos cambios impactan en la seguridad del producto. En la mayoría de los casos, la actualización del producto no tiene impacto en la seguridad y el Análisis diferencial es suficiente.

En caso de que los cambios impacten la funcionalidad de seguridad, habrá que realizar una evaluación de la misma por parte de un laboratorio.

Desde Digital Cubes acompañamos al desarrollador durante todo el proceso de mantenimiendo de la cualificación, ofreciendo los siguientes servicios de mantenimiento de la cualificación:

  1. Análisis diferencial.
  2. Actualización de la documentación de evaluación.
  3. Adaptación de la documentación del producto.
  4. Asesoramiento en la implementación del producto.
  5. Asistencia durante el proceso de evaluación.