Página web
Volver a la descripción general

Common Criteria / EAL

Common Criteria (CC) es un estándar internacional para la evaluación de las propiedades de seguridad de productos y sistemas de TI, publicado bajo la norma ISO/IEC 15408. Fue desarrollado en la década de 1990 conjuntamente por Alemania, Estados Unidos, Canadá, Francia y el Reino Unido con el objetivo de crear una base uniforme e internacionalmente reconocida para las evaluaciones de seguridad en TI. El propósito es confirmar de forma verificable, mediante organismos de evaluación independientes, que un producto cumple efectivamente las funciones de seguridad declaradas. En Alemania, la autoridad de certificación competente es la Oficina Federal de Seguridad de la Información (BSI).

El sistema central de evaluación de Common Criteria son los Evaluation Assurance Levels, abreviados EAL, que van de EAL1 a EAL7. A medida que aumenta el nivel, crecen la profundidad y el alcance de la evaluación, así como los requisitos metodológicos. Mientras EAL1 representa una verificación funcional básica, EAL4 ya exige el análisis del código fuente por parte de evaluadores especializados. Los niveles a partir de EAL5 son, debido a su complejidad, relevantes en la práctica principalmente para aplicaciones de alta seguridad en el ámbito militar y gubernamental. A nivel internacional, los certificados hasta EAL2 se reconocen mutuamente; dentro de Europa, el reconocimiento mutuo se extiende hasta EAL4 a través del acuerdo SOG-IS.

En el entorno empresarial, una certificación Common Criteria es especialmente relevante cuando los productos de TI van a utilizarse en ámbitos críticos para la seguridad, como organismos públicos, infraestructuras críticas o el sector sanitario. Muchos organismos contratantes públicos en Alemania exigen una certificación CC como requisito previo para la adquisición de determinadas categorías de productos. Para los fabricantes de software de seguridad, cortafuegos o soluciones MDM, una certificación Common Criteria es también una señal de calidad importante frente a clientes exigentes del sector público.

Una ventaja esencial de la certificación Common Criteria es la fiabilidad objetiva de un producto, confirmada por organismos independientes. En lugar de depender de las declaraciones del fabricante, los responsables de compras y de TI obtienen una evaluación verificada de forma neutral sobre el rendimiento de seguridad real. Especialmente en tiempos de crecientes ciberamenazas y requisitos de cumplimiento normativo más estrictos derivados de marcos como NIS2, este certificado independiente cobra mayor relevancia.

Para las organizaciones que evalúan productos de TI para su uso en entornos críticos para la seguridad, la certificación Common Criteria es un criterio de selección central. El papel que desempeña en la elección de una solución de gestión de dispositivos adecuada puede consultarse allí.