INFORME DE CERTIFICACIÓN



Documentos relacionados
INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Introducción a la Firma Electrónica en MIDAS

Resumen General del Manual de Organización y Funciones

Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico

Adelacu Ltda. Fono Graballo+ Agosto de Graballo+ - Descripción funcional - 1 -

Gestión de la Configuración

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

MANUAL DE USUARIO. Versión: 3.5

Microsoft Dynamics Sure Step Fundamentos

PROCEDIMIENTO PARA AUDITORÍAS INTERNAS PC-TESI-10

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

Q-expeditive Publicación vía Internet

Solución de una Intranet bajo software Open Source para el Gobierno Municipal del Cantón Bolívar [IOS-GMCB] Gobierno Municipal del Cantón Bolívar

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

Resumen General del Manual de Organización y Funciones

Metodología básica de gestión de proyectos. Octubre de 2003

Estándares para el Uso de Herramientas de Desarrollo y Plataformas de Aplicaciones Web

Diseño dinámico de arquitecturas de información

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

MINISTERIO DE DEFENSA CENTRO NACIONAL DE INTELIGENCIA CENTRO CRIPTOLÓGICO NACIONAL ORGANISMO DE CERTIFICACIÓN INFORME DE CERTIFICACION

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS TABLA DE CONTENIDO

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

Procedimiento de Auditoria Interna Revisión: 3. Facultad de Ciencias PROCEDIMIENTO: DE AUDITORIA INTERNA

Ayuda para la instalación Componente Firma Digital INDICE. 1 Configuración previa Configuración Internet Explorer para ActiveX...

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

Proporcionó tales servicios de acuerdo con sus prácticas manifestadas.

Infraestructura Extendida de Seguridad IES

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Procedimiento de Sistemas de Información

INFORME DE CERTIFICACIÓN

Elementos requeridos para crearlos (ejemplo: el compilador)

ICTE NORMAS DE CALIDAD DE AGENCIAS DE VIAJES REGLAS GENERALES DEL SISTEMA DE CALIDAD. Ref-RG Página 1 de 9

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD. PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9

Manual de Versión 4.0

PROCEDIMIENTO GENERAL RAZÓN SOCIAL DE LA EMPRESA. Auditorias Internas de Calidad. Código PG-09 Edición 0. Índice:

ISO/IEC Sistema de Gestión de Seguridad de la Información

Glosario de términos

Mantenimiento de Sistemas de Información

DATA SECURITY SERVICIOS INTEGRALES, S.L.

Empresa Financiera Herramientas de SW Servicios

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Carpeta Virtual de Expedientes

1.8 TECNOLOGÍA DE LA INFORMACIÓN

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

MACROPROCESO GESTIÓN TECNOLÓGICA

Servicios de instalación y puesta en marcha de HP para HP Insight Control

Nombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: DIRECCIÓN GENERAL DE EVALUACIÓN

PA 08 Gestión de los documentos y

MODIFICACIONES de ISO 9001:2000 a ISO 9001:2008

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

Servicios electrónicos del Banco de España

SPRI FIRMA ELECTRONICA DE DOCUMENTOS

Microsoft Dynamics Sure Step Fundamentos

Manual de Usuario/a sobre el uso de firma electrónica avanzada

C/ ACEBO 33 POZUELO DE ALARCON MADRID TELEFONO (91) Curso

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

Resumen de los protocolos de seguridad del Registro Telemático

Notas para la instalación de un lector de tarjetas inteligentes.

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

DE VIDA PARA EL DESARROLLO DE SISTEMAS

SUBDIRECCIÓN GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

Condiciones Generales Para la obtención y utilización del certificado web PYME Excelente España

ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO

Visión General de GXportal. Última actualización: 2009

AUD Estudio de Auditoría Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº JP

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

SISTEMA LOGÍSTICO DE ACCESO DE TERCEROS A LA RED (SL-ATR)

Operación 8 Claves para la ISO

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

LLEVE SU NEGOCIO al SIGUIENTE NIVEL. digitalice todos sus documentos y procesos.

Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos

Custodia de Documentos Valorados

Sistema de marketing de proximidad

Plataforma de expediente

Carpeta Virtual de Expedientes. Manual de usuario Solicitante

MANUAL DE INSTLACION ETOKEN PARA WINDOWS DESDE LA WEB. Gerente General Gerente General Gerente General

PLAN DE AUDITORIA. La auditoria no busca culpables, busca la mejora de los procesos y servicios de la Entidad.

PROCEDIMIENTO AUDITORÍA INTERNA

ANEXO : PERFILES. Guía de Comunicación Digital para la Administración General del Estado. ANEXO PERFILES

[Guía de auditoría AudiLacteos]

Alfresco permite su integración y personalización en sistemas de gestión documental para implementar funcionalidades específicas

PROCEDIMIENTO ELABORACIÓN DE DOCUMENTOS

ADMINISTRACIÓN ELECTRÓNICA DEL SIGLO XXI

CALIDAD DEL SOFTWARE TESTS DE EXAMEN ACTUALIZADO SEP TEMA 3 NORMALIZACIÓN Y CERTIFICACIÓN: NORMA ISO 9001:2000

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

Consultoría para incrementar la capacidad para

Procedimiento AUDITORIA INTERNA DE CALIDAD

OBLIGACIONES DE HACER INSTITUCIONES PÚBLICAS (INSTITUCIONES EDUCATIVAS, HOSPITALES Y CENTROS DE SALUD) DECRETO 2044 DE 2013

Procedimiento de gestión de auditorias internas de calidad

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Transcripción:

MINISTERIO DE LA PRESIDENCIA REF: 2012-10-INF-1315 v1 Difusión: Expediente Fecha: 31.03.2014 Creado: CERT8 Revisado: CALIDAD Aprobado: TECNICO INFORME DE CERTIFICACIÓN MFED Datos del solicitante: W00014596A RCI Banque, S.A., Sucursal en España Referencias: [EXT-1703] Solicitud de Certificación de MFED [EXT-2425] Informe Técnico de Evaluación de MFED La documentación del producto referenciada en los documentos anteriores. Informe de Certificación del producto MFED, según la solicitud de referencia [EXT- 1703], de fecha 01/06/2012, evaluado por el laboratorio Epoche & Espri S.L.U., conforme se detalla en el correspondiente Informe Técnico de Evaluación, indicado en [EXT-2425], recibido el pasado 24/02/2014. Página 1 de 14

MINISTERIO DE LA PRESIDENCIA ÍNDICE RESUMEN... 3 RESUMEN DEL TOE... 4 REQUISITOS DE GARANTÍA DE SEGURIDAD... 4 REQUISITOS FUNCIONALES DE SEGURIDAD... 5 IDENTIFICACIÓN... 6 POLÍTICA DE SEGURIDAD... 6 HIPÓTESIS Y ENTORNO DE USO... 6 ACLARACIONES SOBRE AMENAZAS NO CUBIERTAS... 7 FUNCIONALIDAD DEL ENTORNO... 8 ARQUITECTURA... 10 ARQUITECTURA LÓGICA... 10 ARQUITECTURA FÍSICA... 10 DOCUMENTOS... 11 PRUEBAS DEL PRODUCTO... 11 CONFIGURACIÓN EVALUADA... 11 RESULTADOS DE LA EVALUACIÓN... 12 RECOMENDACIONES Y COMENTARIOS DE LOS EVALUADORES... 13 RECOMENDACIONES DEL CERTIFICADOR... 13 GLOSARIO DE TÉRMINOS... 13 BIBLIOGRAFÍA... 13 DECLARACIÓN DE SEGURIDAD... 14 Página 2 de 14

RESUMEN MINISTERIO DE LA PRESIDENCIA Este documento constituye el Informe de Certificación para el expediente de certificación del producto Módulo de Firma Electrónica de Documentos, versión 2.18. El TOE es un módulo diseñado para llevar a cabo la gestión y firma de documentos en formato PDF generados por la Alianza Renault-Nissan, tales como contratos de financiación con RCI Banque realizados en concesionarios. Fabricante: RCI Banque S.A. Sucursal España. Patrocinador: RCI Banque S.A. Sucursal España. Organismo de Certificación: Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI). Laboratorio de Evaluación: Epoche & Espri S.L.U. Perfil de Protección: Ninguno. Nivel de Evaluación: Common Criteria v3.1 r3. CEM v3.1 r3. EAL1+ (ASE_SPD.1, ASE_OBJ.2, ASE_REQ.2). Fecha de término de la evaluación: 24/02/2014. Todos los componentes de garantía requeridos por el nivel de evaluación EAL1 (ampliado con ASE_SPD.1, ASE_OBJ.2 y ASE_REQ.2) presentan el veredicto de PASA. Por consiguiente, el laboratorio Epoche & Espri S.L.U. asigna el VEREDICTO de PASA a toda la evaluación por satisfacer todas las acciones del evaluador a nivel EAL1 (ampliado con ASE_SPD.1, ASE_OBJ.2 y ASE_REQ.2), definidas por los Common Criteria v3.1 r3 ([CC_P1], [CC_P2] y [CC_P3]) y la Metodología de Evaluación [CEM]. A la vista de las pruebas obtenidas durante la instrucción de la solicitud de certificación del producto Módulo de Firma Electrónica de Documentos v2.18, se propone la resolución estimatoria de la misma. Página 3 de 14

RESUMEN DEL TOE MINISTERIO DE LA PRESIDENCIA Se trata de un módulo que permite la firma de contratos de financiación, prestaciones y servicios, u otros tipos de documentos utilizados en la actividad de RCI y empresas de la Alianza Renault-Nissan. El TOE hace uso de un dispositivo de captura de firmas (tableta WACOM 520U) para capturar las firmas de los intervinientes. Esta captura de firmas se realiza con el fin de llevar a cabo un posterior uso de las mismas para adjuntarlas al correspondiente documento PDF. El TOE realiza la gestión de la comunicación entre las partes cliente y el componente servidor tanto para enviar documentos a firmar, como para recuperar documentos previamente firmados. El procedimiento de firma se gestiona en el componente servidor, e incluye tanto el firmado de los intervinientes sobre el documento a firmar, como la inclusión de un sello de tiempo proveniente de una TSA, y la firma digital de dicho documento, sus firmas y el sello de tiempo, por parte de la plataforma de firmas ASF. La plataforma de firmas tiene como objetivo confirmar la validez del certificado electrónico (no revocación) con el que se va a firmar el documento, la consulta a la TSA para recoger el sello de tiempo y la custodia final de los documentos firmados. El TOE permite que la firma de documentos se realice en diferentes instantes, de forma que se puedan ir incorporando nuevas firmas a lo largo del tiempo hasta el cierre del proceso completo de firma, que culmina con la adición del sello de tiempo y la firma del emisor del contrato por parte de ASF. En el proceso de firma, se pueden pasar varios documentos a firmar, aunque cada uno será firmado por separado. REQUISITOS DE GARANTÍA DE SEGURIDAD El producto se evaluó con todas las evidencias necesarias para la satisfacción del nivel de evaluación EAL1, más las requeridas por los componentes adicionales ASE_SPD.1, ASE_OBJ.2 y ASE_REQ.2 según [CC_P3]. Clase Security Target evaluation Guidance documents Familia/Componente ASE_CCL.1 ASE_ECD.1 ASE_INT.1 ASE_OBJ.2 ASE_REQ.3 ASE_SPD.1 ASE_TSS.1 AGD_OPE.1 AGD_PRE.1 Página 4 de 14

Life-cycle support MINISTERIO DE LA PRESIDENCIA ALC_CMC.1 ALC_CMS.1 Development ADV_FSP.1 Tests Vulnerability assessment ATE_IND.1 AVA_VAN.1 REQUISITOS FUNCIONALES DE SEGURIDAD La funcionalidad de seguridad del producto satisface los siguientes requisitos funcionales, según [CC_P2]. Clase Familia/Componente FAU GEN.1 Audit data generation POM.1 Process order management FDP ITI.1 Intra-TOE trusted information RIP.1 Subset residual information protection FMT SMF.1 Specification of management functions Página 5 de 14

IDENTIFICACIÓN MINISTERIO DE LA PRESIDENCIA Producto: Módulo de Firma Electrónica de Documentos versión 2.18. Declaración de Seguridad: Declaración de Seguridad para Módulo de Firma Electrónica de Documentos de RCI Banque España, versión 1.5, Noviembre 2013. Perfil de Protección: ninguno. Nivel de Evaluación: Common Criteria v3.1 r3 CEM v3.1 r3 EAL1+ (ASE_SPD.1, ASE_OBJ.2, ASE_REQ.2). POLÍTICA DE SEGURIDAD El uso del producto Módulo de Firma Electrónica de Documentos v2.18, debe implementar una serie de políticas organizativas, que aseguran el cumplimiento de diferentes estándares y exigencias de seguridad. El detalle de estas políticas se encuentra en la Declaración de Seguridad. En síntesis, se establece la necesidad de implementar políticas organizativas relativas a los siguientes aspectos: Política 01: OSP.Auditoría El TOE deberá generar auditoría para las acciones que intervienen en los procesos completos de firma. Política 02: OSP. ProcesoFirma Los documentos firmados por todos los intervinientes se deberán enviar a una entidad externa donde se sellarán con una marca de tiempo y se firmarán digitalmente. Política 03: OSP.Gestión El TOE deberá implementar funcionalidad de gestión relacionada con los procesos completos de firma. HIPÓTESIS Y ENTORNO DE USO Las siguientes hipótesis restringen las condiciones sobre las cuales se garantizan las propiedades y funcionalidades de seguridad indicadas en la Declaración de Seguridad. Estas mismas hipótesis se han aplicado durante la evaluación en la determinación de la condición de explotables de las vulnerabilidades identificadas. Por tanto, para garantizar el uso seguro del TOE, se parte de las siguientes hipótesis para su entorno de operación. En caso de que alguna de ellas no pudiera asumirse, no sería posible garantizar el funcionamiento seguro del TOE. Página 6 de 14

Hipótesis 01: A.Configuración MINISTERIO DE LA PRESIDENCIA Tanto los puestos clientes como los servidores centrales donde se ejecuta el TOE (servidores Web, de aplicaciones, LDAP y base de datos), y los otros sistemas con los que interactúa (@baco, Plataforma ASF, Archivo Digital) están bien configurados, y no son una fuente de ataque Hipótesis 02: A.Físico Todo el sistema global, a excepción de los puestos clientes y los dispositivos de captura de firma, están en un CPD securizado. Hipótesis 03: A.Personal Los administradores de los sistemas centrales, tanto de RCI como de Renault, son de confianza. Hipótesis 04: A.Autenticación El entorno operacional del TOE es el encargado de autenticar al usuario del puesto cliente con que se opera. Hipótesis 05: A.Integridad La integridad de los documentos y sus firmas es mantenida por el entorno operacional. Hipótesis 06: A.PKI La custodia de la PKI utilizada para la generación de certificados firmados por la CA del grupo Renault está gestionada por personal confiable, y sólo se generarán certificados si su uso final es conocido y aceptado. Hipótesis 07: A.DMZ La parte servidor del TOE y su entorno está desplegado en una red DMZ segura en la que todas las comunicaciones con Internet son manejadas por un reverse proxy y las comunicaciones con la Intranet se autorizan a nivel IP:Puerto. Se utilizan servidores intermedios para las comunicaciones de tal manera que éstas nunca son directas. Toda comunicación entre elementos dentro de la DMZ se considera segura. Tanto la configuración de la red como la asignación y utilización de los pares IP:puerto en los nodos conectados a la misma es responsabilidad del grupo de seguridad de Renault y no constituye una fuente de ataque. Hipótesis 08: A.Generación El entorno operacional del TOE es el encargado de generar los documentos a firmar y asegurar su envío de forma única al TOE para cada proceso completo de firma ACLARACIONES SOBRE AMENAZAS NO CUBIERTAS Las siguientes amenazas no suponen un riesgo explotable para el producto Módulo de Firma Electrónica de Documentos v2.18, aunque los agentes que realicen Página 7 de 14

MINISTERIO DE LA PRESIDENCIA ataques tengan potencial de ataque correspondiente a Basic de EAL1, y siempre bajo el cumplimiento de las hipótesis de uso y la correcta satisfacción de las políticas de seguridad. Para cualquier otra amenaza no incluida en esta lista, el resultado de la evaluación de las propiedades del producto, y el correspondiente certificado, no garantizan resistencia alguna. Las amenazas cubiertas por las propiedades de seguridad del TOE se relacionan a continuación. Amenaza 01: T.Acceso Un usuario sin autenticar logra acceso a la red donde está desplegado el TOE y obtiene información de documentos, firmas y descriptores de firmas. Amenaza 02: T.ModificaSecuencia Cualquier agente modifica la secuencia de operaciones y hace que un documento incompleto sea firmado digitalmente por ASF, y pasado a documento completo. Amenaza 03: T.FirmaNoAutorizada Cualquier agente inserta una firma en un documento en proceso de firma, sin que dicha firma provenga directamente de un interviniente con el procedimiento habitual. Amenaza 04: T.DocumentoFalso Cualquier agente envía al TOE un documento falso a ser firmado, y el TOE procesa dicho documento como válido y realiza un proceso completo de firma. Amenaza 05: T.ModificaDocumento Cualquier agente modifica un documento, sus firmas o el descriptor de firmas durante el proceso completo de firma. FUNCIONALIDAD DEL ENTORNO El producto requiere de la colaboración del entorno para la cobertura de algunos objetivos del problema de seguridad definido. Se relacionan, a continuación, los objetivos que se deben cubrir por el entorno de uso del TOE. Objetivo entorno 01: OE.FirmaDigital El entorno operacional proporcionará una marca de tiempo de una fuente confiable y un mecanismo para realizar firmas digitales a los documentos firmados por todos sus intervinientes. Objetivo entorno 02: OE.Integridad El entorno operacional garantizará la integridad de los documentos y sus firmas. Objetivo entorno 03: OE.Autenticación Página 8 de 14

MINISTERIO DE LA PRESIDENCIA El entorno operacional será el encargado de autenticar a los usuarios de los puestos clientes. Objetivo entorno 04: OE.Personal Los administradores de los sistemas centrales tanto de RCI como de Renault son de confianza. Objetivo entorno 05: OE.Configuración Los puestos cliente y los servidores centrales donde se ejecuta el TOE están bien configurados. Objetivo entorno 06: OE.Físico Todo el sistema global, a excepción de los puestos clientes y los dispositivos de captura de firma, están soportados por un entorno seguro. Objetivo entorno 07: OE.PKI La custodia de la PKI utilizada para la generación de certificados firmados por la CA del grupo Renault estará gestionada por personal confiable, y sólo se generarán certificados si su uso final es conocido y aceptado. Objetivo entorno 08: OE.DMZ La parte servidor del TOE y su entorno se desplegará en una red DMZ segura en la que todas las comunicaciones con Internet serán manejadas por un reverse proxy y las comunicaciones con la Intranet se autorizarán a nivel IP:Puerto. Se utilizarán servidores intermedios para las comunicaciones de tal manera que éstas nunca serán directas. Tanto la configuración de la red como la asignación y utilización de los pares IP:puerto en los nodos conectados a la misma es responsabilidad del grupo de seguridad de Renault y no constituye una fuente de ataque. Objetivo entorno 09: Generación La generación y el del envío de los documentos a firmar será realizada por el entorno y sólo se realizará dicho envío una única vez para cada proceso completo de firma. Los detalles de la definición del entorno del producto (hipótesis, amenazas y políticas de seguridad) o de los requisitos de seguridad del TOE se encuentran en la correspondiente Declaración de Seguridad. Página 9 de 14

ARQUITECTURA MINISTERIO DE LA PRESIDENCIA ARQUITECTURA FÍSICA El TOE tiene una arquitectura cliente-servidor que se muestra en la siguiente figura. ARQUITECTURA LÓGICA Los componentes software de los que consta el TOE son: tabletas.jar Elemento Descripción Fichero applet para la gestión de la firma con la tableta. ContratoDigitalweb.war Conjunto de manuales de instalación y operación para Módulo de Firma Electrónica de Documentos. Página 10 de 14

DOCUMENTOS MINISTERIO DE LA PRESIDENCIA El producto incluye los documentos indicados a continuación, y que deberán distribuirse y facilitarse de manera conjunta a los usuarios de la versión evaluada. - Declaración de Seguridad para Módulo de Firma Electrónica de Documentos de RCI Banque España, versión 1.5, Noviembre 2013. - Manual de operación para Módulo de Firma Electrónica de Documentos de RCI Banque España versión 1.4, Noviembre 2013. - Manual de instalación para Módulo de Firma Electrónica de Documentos de RCI Banque España versión 1.3, Noviembre 2013. PRUEBAS DEL PRODUCTO El evaluador ha diseñado y ejecutado un plan de pruebas independiente para verificar la funcionalidad de la totalidad de requisitos definidos en la declaración de seguridad e interfaces descritas en la especificación funcional, con resultado satisfactorio. El evaluador también ha realizado pruebas de penetración con el fin de comprobar la existencia de vulnerabilidades obvias con un potencial de ataque BASIC, obteniendo un resultado satisfactorio. Para el diseño de estas pruebas de penetración se ha tenido en cuenta: - Vulnerabilidades públicas e inherentes a la tecnología teniendo en cuenta el tipo de TOE. - Especificación de requisitos de seguridad. - La especificación de interfaces externos y pruebas funcionales sobre los mismos. Para la realización de dichas pruebas, el evaluador ha verificado la instalación y ha considerado que el TOE está desplegado y configurado conforme a la declaración de seguridad y se encuentra en un estado conocido. CONFIGURACIÓN EVALUADA El fabricante ha proporcionado al laboratorio una instalación funcional del TOE en un entorno virtualizado para la realización de las pruebas. El evaluador ha verificado la instalación y ha considerado que el TOE está desplegado y configurado conforme a la declaración de seguridad y se encuentra en un estado conocido, considerándola por tanto válida para la realización de las pruebas. El evaluador ha realizado los pasos indicados para obtener la versión del TOE en operación, y ha verificado que es la misma versión que la descrita en la declaración de seguridad. Página 11 de 14

MINISTERIO DE LA PRESIDENCIA Los requisitos software y hardware son los que se indican a continuación. Así, para el funcionamiento del producto Módulo de Firma Electrónica de Documentos v2.18 es necesario disponer de los siguientes componentes software: Para los puestos Cliente: - Sistema Operativo Windows XP o Windows 7. - Navegadores: Internet Explorer v7 o superior o Mozilla Firefox v9 o superior. - Plugin Flash v11 o superior. - Tableta digitalizadora WACOM 520-U y drivers. - JVM versión 6 o superior. - Microsoft Visual C++ 2005 o superior. Para el servidor - Sistema operativo: Solaris 10. - Servidor web Apache 2.0.59 o superior. - Servidor de aplicaciones J2EE WebSphere application server CE v.2.1.0.1. - Java JRE v.1.6.20 o superior. - Plataforma ASF de TB Solutions v.51.17 o superior. - Puesto de venta RCI (@baco) v.1.04.267 o superior. - Archivo digital. - Camerfirma (Conexión SSL a sus servidores). - LDAP SUN One DS 5.2P4. En cuanto a los componentes hardware, el único requisito es que soporten los elementos software detallados previamente. RESULTADOS DE LA EVALUACIÓN El producto Módulo de Firma Electrónica de Documentos v2.18 ha sido evaluado en base a la Declaración de Seguridad para Módulo de Firma Electrónica de Documentos de RCI Banque España, versión 1.5, Noviembre 2013. Todos los componentes de garantía requeridos por el nivel de evaluación EAL1 más los componentes extendidos ASE_SPD.1, ASE_OBJ.2 y ASE_REQ.2 presentan el veredicto de PASA. Por consiguiente, el laboratorio Epoche & Espri S.L.U. asigna el VEREDICTO de PASA a toda la evaluación por satisfacer todas las acciones del evaluador a nivel EAL1+ (ASE_SPD.1, ASE_OBJ.2, ASE_REQ.2), definidas por Common Criteria [CC-P3] y la Metodología de Evaluación [CEM] en su version 3.1 r3. Página 12 de 14

MINISTERIO DE LA PRESIDENCIA RECOMENDACIONES Y COMENTARIOS DE LOS EVALUADORES A continuación se proporcionan las recomendaciones acerca del uso seguro del producto. Estas recomendaciones han sido recopiladas a lo largo de todo el proceso de evaluación y se detallan para que sean consideradas en la utilización del producto. - Tanto la red como los puestos cliente de acceso al TOE deben estar configurados acorde a la declaración de seguridad. - El personal que hace uso del mismo debe estar adecuadamente preparado y familiarizado con los procesos de firma. RECOMENDACIONES DEL CERTIFICADOR A la vista de las pruebas obtenidas durante la instrucción de la solicitud de certificación del producto Módulo de Firma Electrónica de Documentos v2.18, se propone la resolución estimatoria de la misma. GLOSARIO DE TÉRMINOS CCN Centro Criptológico Nacional CNI Centro Nacional de Inteligencia EAL Evaluation Assurance Level ETR Evaluation Technical Report OC Organismo de Certificación TOE Target Of Evaluation BIBLIOGRAFÍA Se han utilizado las siguientes normas y documentos en la evaluación del producto: [CC_P1] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model, Version 3.1, R3 Final, July 2009. [CC_P2] Common Criteria for Information Technology Security Evaluation Part 2: Security functional components, Version 3.1, R3 Final, July 2009. [CC_P3] Common Criteria for Information Technology Security Evaluation Part 3: Security assurance components, Version 3.1, R3 Final, July 2009. [CEM] Common Methodology for Information Technology Security Evaluation: Version 3.1, R3 Final, July 2009. Página 13 de 14

MINISTERIO DE LA PRESIDENCIA DECLARACIÓN DE SEGURIDAD Junto con este Informe de Certificación, se dispone en el Organismo de Certificación de la Declaración de Seguridad para Módulo de Firma Electrónica de Documentos de RCI Banque España, versión 1.5, Noviembre 2013. También se encuentra disponible para su descarga en la web del Organismo de Certificación http://www.oc.ccn.cni.es. Página 14 de 14

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback